SZEKTOR 2022 – Toronto – Az orosz-ukrán kiberháború első lövései gyakorlatilag február 23-án dördültek el, amikor az orosz katonai csapatok Ukrajnába vonulását megelőző napon pusztító támadásokat indítottak szervezetek ellen. A Microsoft képletesen „ott volt”, figyelte a fejleményeket – és kutatói azonnal aggódtak.
A technológiai óriás történetesen előre elhelyezett érzékelőket az ország különböző nyilvános és magánhálózataiban, amelyeket a korábbi kibertámadások nyomán az ukrán incidens-helyreállító csapatokkal együtt telepítettek. Még mindig működtek, és aggasztó, hógolyózó tevékenység széles skáláját vették fel, amikor az orosz hadsereg felhalmozódott a határon.
„Legalább 200 különböző kormányzati rendszer elleni támadást láttunk a különböző területeken, amelyeket Ukrajnában észleltünk” – mondta John Hewie, a Microsoft Canada nemzetbiztonsági tisztje, a héten Torontóban, a SecTor 2022 rendezvényen. "Ukrajna védelme: A kiberháború korai tanulságai. "
Hozzátette: „Kormányzati és ukrajnai szervezeteken keresztül is kialakítottunk egy kommunikációs vonalat magas rangú ukrán tisztviselőkkel, és meg tudtuk osztani a fenyegetésekkel kapcsolatos hírszerzési információkat oda-vissza.”
Az összes információból kezdetben az derült ki, hogy a kibertámadások hulláma a kormányzati szerveket célozta meg, majd a pénzügyi szektorba, majd az IT szektorba, mielőtt konkrétan nullázta volna az ország kormányzati ügynökségeit támogató adatközpontokat és IT-cégeket. De ez csak a kezdet volt.
Kiberhadviselés: Fizikai sérülésekkel való fenyegetés
A háború előrehaladtával a kiberkép romlott, mert a kritikus infrastruktúra és rendszerek támogatták a háborús erőfeszítéseket. célkeresztben kötött ki.
Nem sokkal a fizikai invázió kezdete után a Microsoft megállapította, hogy a kritikus infrastruktúra szektorban elkövetett kibertámadásokat is képes összefüggésbe hozni a kinetikus eseményekkel. Például, amikor az orosz hadjárat márciusban a Donbász régió körül mozgott, a kutatók összehangolt ablaktörlő-támadásokat figyeltek meg a katonai mozgáshoz és a humanitárius segélyek kézbesítéséhez használt szállítási logisztikai rendszerek ellen.
Az ukrajnai nukleáris létesítmények kibertevékenységgel történő célba vétele pedig egy olyan dolog, amelyet a Microsoft kutatói folyamatosan tapasztaltak a háború során.
„Azt várták, hogy lesz egy nagy NotPetya-szerű eseményünk, amely a világ többi részére is ki fog terjedni, de ez nem történt meg” – jegyezte meg Hewie. Ehelyett a támadásokat nagyon személyre szabták, és a szervezeteket célozták meg oly módon, hogy korlátozták azok hatókörét és mértékét – például privilegizált fiókok használatával vagy csoportházirenddel a rosszindulatú program telepítéséhez.
„Még mindig tanulunk, és megpróbálunk megosztani néhány információt az ott végzett műveletek hatóköréről és mértékéről, valamint arról, hogy ezek hogyan hasznosítják a digitálist néhány értelmes és aggasztó módon” – mondta.
Veszélyes APT-k bőségszara a pályán
A Microsoft következetesen beszámol arról, amit az orosz-ukrán konfliktusban látott, főként azért, mert kutatói úgy vélték, hogy „az ott folyó támadásokat jelentősen aluljelentették” – mondta Hewie.
Hozzátette több játékos is Az Ukrajnát célzó ismert Oroszország által támogatott fejlett tartós fenyegetések (APT), amelyek rendkívül veszélyesnek bizonyultak, mind kémkedési szempontból, mind pedig az eszközök fizikai megzavarása szempontjából, amit „ijesztő” képességek halmazának nevez.
„A Stroncium például a felelős volt a DNC támadások még 2016-ban; jól ismerjük őket az adathalászat és a fiókok átvétele terén – és meg is tettük zavaró tevékenységek infrastruktúrájukhoz” – magyarázta. Aztán ott van az Iridium, más néven Sandworm, amely az az entitás, amelyet néhány korábbi [Black Energy] támadásnak tulajdonítanak. elektromos hálózat Ukrajnában, és a NotPetyáért is felelősek. Ez egy nagyon kifinomult szereplő, aki tulajdonképpen az ipari vezérlőrendszerek megcélzására szakosodott.”
Többek között felhívta a Nobeliumot is, az APT-t, amely felelős a SolarWinds által közvetített ellátási lánc támadás. „Ezen év során nem csak Ukrajna, hanem az Ukrajnát támogató nyugati demokráciák ellen is elég sok kémkedést folytattak” – mondta Hewie.
Politikai kivonatok az orosz-ukrán kiberkonfliktusból
A kutatóknak nincs hipotézise arra vonatkozóan, hogy a támadások miért maradtak ilyen szűkösek, de Hewie megjegyezte, hogy a helyzet politikai következményeit nagyon-nagyon szélesnek kell tekinteni. A legfontosabb az, hogy egyértelmű, hogy a jövőben kötelező normákat kialakítani a kibernevezésre vonatkozóan.
Ennek három különböző területen kell formálódnia, kezdve a „digitális genfi egyezménnyel” – mondta: „A világ a vegyi fegyverekre és taposóaknákra vonatkozó normák köré épül, és ezt alkalmaznunk kell a nemzetállami szereplők megfelelő viselkedésére a kibertérben. .”
Ennek az erőfeszítésnek a második része a kiberbűnözéssel kapcsolatos törvények harmonizálásában rejlik – vagy annak támogatásában, hogy az országok először dolgozzanak ki számítógépes bűnözésre vonatkozó törvényeket. „Ily módon kevesebb biztonságos kikötője van ezeknek a bűnszervezeteknek, hogy büntetlenül működhessenek” – magyarázza.
Harmadszor, tágabb értelemben a demokrácia védelmének és a demokratikus országok szavazási folyamatának fontos következményei vannak a kiber számára, mert lehetővé teszi a védelmezők számára, hogy megfelelő eszközökhöz, forrásokhoz és információkhoz férhessenek hozzá a fenyegetések megzavarásához.
„Látta már, hogy a Microsoft aktív kiberműveleteket végez kreatív polgári peres eljárások támogatásával, a bűnüldöző szervekkel és sok más biztonsági közösséggel együttműködve – például trükkbot or érzelmek és más típusú zavaró tevékenységek” – Hewie szerint mindez azért lehetséges, mert a demokratikus kormányok nem tartják titokban az információkat. – Ez a tágabb kép.
Egy másik kiemelés a védelem oldaláról szól; A felhőmigrációt a kritikus infrastruktúra védelmének kritikus elemének kell tekinteni a kinetikus hadviselés során. Hewie rámutatott, hogy az ukrán védelmet bonyolítja, hogy az infrastruktúra nagy része a helyszínen működik, nem a felhőben.
„Bármilyen évek óta valószínűleg az egyik legjobb ország az orosz támadások elleni védekezésben, még mindig többnyire a helyszínen végzik a dolgokat, tehát ez olyan, mint a kézi harc” - mondta Hewie. – Ez elég nagy kihívás.
