SECTOR 2022 — Toronto — The first shots in the Russia-Ukraine cyberwar were fired virtually on Feb. 23, when destructive attacks were launched against organizations the day before Russian military troops moved into Ukraine. Microsoft was figuratively “there,” observing the developments — and its researchers were immediately concerned.
A technológiai óriás történetesen előre elhelyezett érzékelőket az ország különböző nyilvános és magánhálózataiban, amelyeket a korábbi kibertámadások nyomán az ukrán incidens-helyreállító csapatokkal együtt telepítettek. Még mindig működtek, és aggasztó, hógolyózó tevékenység széles skáláját vették fel, amikor az orosz hadsereg felhalmozódott a határon.
“We saw attacks against at least 200 different government systems starting to run in different areas that we detected in Ukraine,” said John Hewie, national security officer at Microsoft Canada, taking the stage at SecTor 2022 this week in Toronto, in a session titled “Ukrajna védelme: A kiberháború korai tanulságai. "
He added, “We also had already established a line of communication with senior Ukrainian officials across government and also organizations in Ukraine — and we were able to share threat intelligence back and forth.”
Az összes információból kezdetben az derült ki, hogy a kibertámadások hulláma a kormányzati szerveket célozta meg, majd a pénzügyi szektorba, majd az IT szektorba, mielőtt konkrétan nullázta volna az ország kormányzati ügynökségeit támogató adatközpontokat és IT-cégeket. De ez csak a kezdet volt.
Kiberhadviselés: Fizikai sérülésekkel való fenyegetés
A háború előrehaladtával a kiberkép romlott, mert a kritikus infrastruktúra és rendszerek támogatták a háborús erőfeszítéseket. célkeresztben kötött ki.
Nem sokkal a fizikai invázió kezdete után a Microsoft megállapította, hogy a kritikus infrastruktúra szektorban elkövetett kibertámadásokat is képes összefüggésbe hozni a kinetikus eseményekkel. Például, amikor az orosz hadjárat márciusban a Donbász régió körül mozgott, a kutatók összehangolt ablaktörlő-támadásokat figyeltek meg a katonai mozgáshoz és a humanitárius segélyek kézbesítéséhez használt szállítási logisztikai rendszerek ellen.
Az ukrajnai nukleáris létesítmények kibertevékenységgel történő célba vétele pedig egy olyan dolog, amelyet a Microsoft kutatói folyamatosan tapasztaltak a háború során.
“There was this expectation that we were going to have a big NotPetya-like event that was going to spill into the rest of the world, but that didn’t happen,” Hewie noted. Instead, the attacks have been very tailored and targeted at organizations in a way that constrained their scope and scale — for example, using privileged accounts and using Group Policy to deploy the malware.
“We’re still learning, and we’re trying to share some information around the scope and scale of the operations that have been involved there and how they’re leveraging digital in some meaningful and troubling ways,” he said.
Veszélyes APT-k bőségszara a pályán
Microsoft has consistently reported on what it’s seen in the Russia-Ukraine conflict, largely because its researchers felt that “the attacks that were going on there were being vastly underreported,” Hewie said.
Hozzátette több játékos is targeting Ukraine are known Russia-sponsored advanced persistent threats (APTs) that have been proven to be extremely dangerous, from both an espionage perspective as well as in terms of the physical disruption of assets, which he calls a set of “scary” capabilities.
“Strontium, for instance, was responsible for a DNC támadások back in 2016; they’re well known to us in terms of phishing, account takeover — and we’ve done zavaró tevékenységek to their infrastructure,” he explained. “Then there’s Iridium, aka Sandworm, which is the entity that is attributed to some of the earlier [Black Energy] attacks against the elektromos hálózat Ukrajnában, and they’re also responsible for NotPetya. This is a very sophisticated actor actually specializing in targeting industrial control systems.”
Többek között felhívta a Nobeliumot is, az APT-t, amely felelős a SolarWinds által közvetített ellátási lánc támadás. “They have been engaged in quite a bit of espionage against not just Ukraine, but against Western democracies supporting Ukraine throughout the course of this year,” Hewie said.
Politikai kivonatok az orosz-ukrán kiberkonfliktusból
Researchers don’t have a hypothesis for why the attacks have remained so narrow, but Hewie did note that the policy ramifications of the situation should be seen as very, very broad. Most importantly, it’s clear that there is an imperative to establish norms for cyber-engagement going forward.
This should take shape in three distinct areas, starting with a “digital Geneva Convention,” he said: “The world is developed around norms for chemical weapons and landmines, and we should be applying that to appropriate behavior in cyberspace by nation-state actors.”
The second piece of that effort lies in harmonizing cybercrime laws — or advocating that countries develop cybercrime laws in the first place. “That way, there are fewer safe harbors for these criminal organizations to operate with impunity,” he explains.
Harmadszor, tágabb értelemben a demokrácia védelmének és a demokratikus országok szavazási folyamatának fontos következményei vannak a kiber számára, mert lehetővé teszi a védelmezők számára, hogy megfelelő eszközökhöz, forrásokhoz és információkhoz férhessenek hozzá a fenyegetések megzavarásához.
“You’ve seen Microsoft doing active cyber-operations, with the backing of creative civil litigation, with partnership with law enforcement and many in the security community — things like trükkbot or érzelmek and other types of disruption activities,” according to Hewie, all made possible because democratic governments don’t keep information under wraps. “That’s the broader picture.”
Egy másik kiemelés a védelem oldaláról szól; A felhőmigrációt a kritikus infrastruktúra védelmének kritikus elemének kell tekinteni a kinetikus hadviselés során. Hewie rámutatott, hogy az ukrán védelmet bonyolítja, hogy az infrastruktúra nagy része a helyszínen működik, nem a felhőben.
“And so as much as they’re probably one of the best countries in terms of defending against Russian attacks over a number of years, they are still mostly doing the stuff on-premises, so it’s like hand-to-hand combat,” Hewie said. “It’s quite challenging.”
