SEKTOR 2022 — Toronto — Tembakan pertama dalam perang siber Rusia-Ukraina ditembakkan secara virtual pada 23 Februari, ketika serangan destruktif diluncurkan terhadap organisasi sehari sebelum pasukan militer Rusia pindah ke Ukraina. Microsoft secara kiasan "di sana," mengamati perkembangan - dan para penelitinya segera khawatir.
Raksasa teknologi itu kebetulan memiliki sensor yang ditempatkan sebelumnya di berbagai jaringan publik dan pribadi di dalam negeri, dipasang bersama dengan tim pemulihan insiden Ukraina setelah serangan siber sebelumnya. Mereka masih berfungsi, dan mengambil banyak aktivitas bola salju yang mengkhawatirkan ketika tentara Rusia berkumpul di perbatasan.
“Kami melihat serangan terhadap setidaknya 200 sistem pemerintahan yang berbeda mulai berjalan di area berbeda yang kami deteksi di Ukraina,” kata John Hewie, petugas keamanan nasional di Microsoft Kanada, yang tampil di SecTor 2022 minggu ini di Toronto, dalam sesi berjudul “Membela Ukraina: Pelajaran Awal dari Perang Cyber. "
Dia menambahkan, “Kami juga telah menjalin komunikasi dengan pejabat senior Ukraina di seluruh pemerintahan dan juga organisasi di Ukraina — dan kami dapat berbagi intelijen ancaman bolak-balik.”
Apa yang muncul dari semua intel itu awalnya adalah gelombang serangan siber menyasar instansi pemerintah, sebelum beralih ke sektor keuangan, lalu sektor IT, sebelum secara khusus membidik pusat data dan perusahaan IT yang mendukung instansi pemerintah di tanah air. Tapi itu baru permulaan.
Cyber-Warfare: Mengancam Kerusakan Fisik
Saat perang berlangsung, gambaran dunia maya memburuk, karena infrastruktur dan sistem penting digunakan untuk mendukung upaya perang berakhir di garis bidik.
Segera setelah dimulainya invasi fisik, Microsoft menemukan bahwa ia juga mampu menghubungkan serangan siber di sektor infrastruktur kritis dengan peristiwa kinetik. Misalnya, ketika kampanye Rusia bergerak di sekitar wilayah Donbas pada bulan Maret, para peneliti mengamati serangan wiper terkoordinasi terhadap sistem logistik transportasi yang digunakan untuk pergerakan militer dan pengiriman bantuan kemanusiaan.
Dan menargetkan fasilitas nuklir di Ukraina dengan aktivitas dunia maya untuk melunakkan target sebelum serangan militer adalah sesuatu yang telah dilihat secara konsisten oleh para peneliti Microsoft selama perang.
“Ada harapan bahwa kami akan mengadakan acara besar seperti NotPetya yang akan menyebar ke seluruh dunia, tetapi itu tidak terjadi,” kata Hewie. Sebaliknya, serangan telah sangat disesuaikan dan ditargetkan pada organisasi dengan cara yang membatasi ruang lingkup dan skala mereka — misalnya, menggunakan akun istimewa dan menggunakan Kebijakan Grup untuk menyebarkan malware.
“Kami masih belajar, dan kami mencoba untuk berbagi beberapa informasi seputar ruang lingkup dan skala operasi yang telah terlibat di sana dan bagaimana mereka memanfaatkan digital dalam beberapa cara yang bermakna dan meresahkan,” katanya.
Banyaknya APT Berbahaya di Lapangan
Microsoft secara konsisten melaporkan apa yang terlihat dalam konflik Rusia-Ukraina, sebagian besar karena para penelitinya merasa bahwa "serangan yang terjadi di sana sangat tidak dilaporkan," kata Hewie.
Dia menambahkan itu beberapa pemain menargetkan Ukraina dikenal sebagai ancaman persisten lanjutan (APT) yang disponsori Rusia yang telah terbukti sangat berbahaya, baik dari perspektif spionase maupun dalam hal gangguan fisik aset, yang ia sebut sebagai serangkaian kemampuan "menakutkan".
“Stronsium, misalnya, bertanggung jawab untuk serangan DNC kembali pada tahun 2016; mereka terkenal bagi kami dalam hal phishing, pengambilalihan akun — dan kami telah melakukannya kegiatan gangguan infrastrukturnya,” jelasnya. “Lalu ada Iridium, alias Sandworm, yang merupakan entitas yang dikaitkan dengan beberapa serangan [Energi Hitam] sebelumnya terhadap jaringan listrik di Ukraina, dan mereka juga bertanggung jawab atas NotPetya. Ini adalah aktor yang sangat canggih yang benar-benar berspesialisasi dalam menargetkan sistem kontrol industri. ”
Antara lain, ia juga menyebut Nobelium, APT yang bertanggung jawab atas Serangan rantai pasokan yang ditanggung SolarWinds. “Mereka telah terlibat dalam sedikit spionase tidak hanya terhadap Ukraina, tetapi juga terhadap demokrasi Barat yang mendukung Ukraina sepanjang tahun ini,” kata Hewie.
Pengambilan Kebijakan dari Konflik Cyber Rusia-Ukraina
Para peneliti tidak memiliki hipotesis mengapa serangan tetap begitu sempit, tetapi Hewie mencatat bahwa konsekuensi kebijakan dari situasi tersebut harus dilihat sebagai sangat, sangat luas. Yang terpenting, jelas bahwa ada keharusan untuk menetapkan norma-norma untuk keterlibatan dunia maya ke depan.
Ini harus terbentuk di tiga bidang berbeda, dimulai dengan “Konvensi Jenewa digital,” katanya: “Dunia dikembangkan di sekitar norma untuk senjata kimia dan ranjau darat, dan kita harus menerapkannya pada perilaku yang sesuai di dunia maya oleh aktor negara-bangsa. .”
Bagian kedua dari upaya itu terletak pada harmonisasi undang-undang kejahatan dunia maya — atau menganjurkan agar negara-negara mengembangkan undang-undang kejahatan dunia maya sejak awal. “Dengan begitu, semakin sedikit pelabuhan yang aman bagi organisasi kriminal ini untuk beroperasi dengan impunitas,” jelasnya.
Ketiga, dan secara lebih luas, membela demokrasi dan proses pemungutan suara untuk negara-negara demokratis memiliki konsekuensi penting bagi dunia maya, karena memungkinkan para pembela HAM untuk memiliki akses ke alat, sumber daya, dan informasi yang tepat untuk mengganggu ancaman.
“Anda telah melihat Microsoft melakukan operasi siber aktif, dengan dukungan litigasi sipil yang kreatif, dengan kemitraan dengan penegak hukum dan banyak komunitas keamanan — hal-hal seperti Trickbot or Emotet dan jenis kegiatan disrupsi lainnya,” menurut Hewie, semua dimungkinkan karena pemerintahan demokratis tidak merahasiakan informasi. "Itu gambaran yang lebih luas."
Takeaway lain ada di sisi pertahanan; migrasi awan harus mulai dilihat sebagai bagian penting dari mempertahankan infrastruktur kritis selama perang kinetik. Hewie menunjukkan bahwa pertahanan Ukraina diperumit oleh fakta bahwa sebagian besar infrastruktur di sana dijalankan di tempat, bukan di cloud.
“Dan meskipun mereka mungkin salah satu negara terbaik dalam hal bertahan melawan serangan Rusia selama beberapa tahun, mereka masih melakukan banyak hal di tempat, jadi ini seperti pertarungan tangan kosong,” kata Hewi. “Ini cukup menantang.”
