SECTOR 2022 — トロント — ロシアとウクライナのサイバー戦争の最初の発砲は、ロシア軍がウクライナに移動する前日に組織に対して破壊的な攻撃が開始された 23 月 XNUMX 日に事実上行われました。 マイクロソフトは比喩的に「そこに」いて、開発を観察していました。その研究者たちはすぐに心配しました。
テクノロジーの巨人はたまたま、国内のさまざまなパブリックおよびプライベート ネットワーク内にセンサーを事前に配置しており、以前のサイバー攻撃を受けて、ウクライナのインシデント リカバリ チームと連携して設置されました。 彼らはまだ機能しており、ロシア軍が国境に集結するにつれて、懸念される雪だるま式の活動を広範囲に拾い上げました。
「少なくとも 200 の異なる政府システムに対する攻撃が、ウクライナで検出されたさまざまな地域で実行され始めているのを確認しました」と、今週トロントで開催された SecTor 2022 のセッションで登壇した Microsoft Canada の国家安全保障責任者である John Hewie 氏は述べています。 「ウクライナの防衛:サイバー戦争からの初期の教訓に設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」
彼は、「また、ウクライナの政府や組織全体で、ウクライナの高官とのコミュニケーションラインをすでに確立しており、脅威に関する情報をやり取りすることができました」と付け加えました。
これらすべての情報から最初に明らかになったのは、サイバー攻撃の波が政府機関を標的にしてから、金融部門、次に IT 部門に移り、特に国内の政府機関をサポートするデータセンターと IT 企業に焦点を合わせていたということでした。 しかし、それはほんの始まりに過ぎませんでした。
サイバー戦争: 身体的危害の脅威
戦争が進むにつれて、重要なインフラストラクチャとシステムが戦争の努力をサポートするために使用されたため、サイバー状況は悪化しました。 十字線で終わった.
物理的な侵入が始まってすぐに、Microsoft は、重要なインフラストラクチャ セクターでのサイバー攻撃を動的イベントと関連付けることもできることを発見しました。 たとえば、ロシアのキャンペーンが XNUMX 月にドンバス地域を移動したとき、研究者は、軍事移動と人道援助の配送に使用される輸送ロジスティクス システムに対する組織的なワイパー攻撃を観察しました。
また、マイクロソフトの研究者は、戦争中に一貫してウクライナの核施設を標的にして、軍事侵攻前に標的を和らげるためにサイバー活動を行っていることを確認しています。
Hewie 氏は次のように述べています。 代わりに、攻撃は非常に調整されており、その範囲と規模を制限する方法で組織を標的にしています。たとえば、特権アカウントを使用したり、グループ ポリシーを使用してマルウェアを展開したりしています。
「私たちはまだ学んでおり、そこに関与している活動の範囲と規模、そして彼らが意味のある厄介な方法でデジタルをどのように活用しているかについて、いくつかの情報を共有しようとしています.
フィールド上の危険な APT の宝庫
マイクロソフトは、ロシアとウクライナの紛争で見られるものについて一貫して報告してきました。その主な理由は、同社の研究者が「そこで進行中の攻撃が大幅に過少報告されている」と感じたためだと Hewie 氏は述べています。
彼はそれを付け加えた 何人かの選手 ウクライナを標的にしているのは、ロシアが支援する高度持続的脅威 (APT) であることが知られており、スパイ活動の観点からも、一連の「恐ろしい」機能と呼ばれる資産の物理的破壊の観点からも、非常に危険であることが証明されています。
「たとえば、ストロンチウムは DNCの攻撃 2016 年にさかのぼります。 彼らはフィッシングやアカウントの乗っ取りに関してよく知られています。 妨害活動 彼らのインフラストラクチャに」と彼は説明した。 「それからイリジウム、別名サンドワームがあります。これは、初期の[ブラック エネルギー]攻撃のいくつかに起因するエンティティです。 ウクライナの送電網、そして彼らは NotPetya も担当しています。 これは非常に洗練された攻撃者であり、実際には産業用制御システムを標的にすることを専門としています。」
とりわけ、彼はまた、APT の責任者である Nobelium についても言及しました。 SolarWinds によるサプライ チェーン攻撃. 「彼らは、ウクライナだけでなく、今年一年を通じて、ウクライナを支持する西側の民主主義国家に対してかなりのスパイ活動を行ってきた」とヒューイ氏は述べた。
ロシアとウクライナのサイバー紛争から得られる政策の教訓
研究者は、攻撃がこれほど限定的なものにとどまっている理由について仮説を立てていませんが、Hewie 氏は、状況のポリシーへの影響は非常に広範囲に及ぶと見なすべきであると述べています。 最も重要なことは、今後のサイバー エンゲージメントの規範を確立することが不可欠であることは明らかです。
これは、「デジタル ジュネーブ条約」をはじめとする XNUMX つの異なる分野で具体化する必要があると彼は述べました。 」
その取り組みの XNUMX 番目の部分は、サイバー犯罪法を調和させること、つまり、そもそも各国がサイバー犯罪法を策定することを提唱することです。 「そうすれば、これらの犯罪組織が無罪で活動できるセーフ ハーバーが少なくなります」と彼は説明します。
第三に、より広義に言えば、民主主義と民主主義国の投票プロセスを守ることは、サイバーにとって重要な影響をもたらします。これにより、防御者は脅威を妨害するための適切なツール、リソース、および情報にアクセスできるようになるからです。
「Microsoft が、創造的な民事訴訟の支援を受けて、法執行機関や多くのセキュリティ コミュニティと協力して、積極的なサイバー オペレーションを行っているのを見てきました。 Trickbot or エモット Hewie 氏によると、これらすべてが可能になったのは、民主主義政府が情報を秘密にしないためです。 「それが全体像です。」
もう XNUMX つの要点は、防御側にあります。 クラウドへの移行は、動的な戦争中に重要なインフラストラクチャを防御するための重要な要素と見なされ始める必要があります。 Hewie 氏は、ウクライナの防御は、インフラストラクチャのほとんどがクラウドではなくオンプレミスで実行されているという事実によって複雑になっていると指摘しました。
「ロシアの攻撃を長年にわたって防御するという点では、おそらく最高の国の XNUMX つですが、いまだにほとんどのことをオンプレミスで行っているため、白兵戦のようなものです。」ヒューイは言った。 「それはかなり挑戦的です。」
