2022년 섹터 — 토론토 — 러시아-우크라이나 사이버 전쟁의 첫 번째 총격은 23월 XNUMX일 가상으로 발사되었으며, 러시아 군대가 우크라이나로 이동하기 전날 조직에 대한 파괴적인 공격이 시작되었습니다. 마이크로소프트는 비유적으로 "거기"에 있었고 개발 상황을 관찰하고 있었습니다. 연구원들은 즉시 우려했습니다.
이 기술 대기업은 이전 사이버 공격의 여파로 우크라이나 사고 복구 팀과 함께 국내의 다양한 공공 및 사설 네트워크 내에 센서를 미리 배치했습니다. 그들은 여전히 작동하고 있었고 러시아 군대가 국경에 집결함에 따라 우려하고 눈덩이처럼 쌓이는 활동을 광범위하게 포착했습니다.
마이크로소프트 캐나다의 국가 안보 책임자인 존 휴이(John Hewie)는 이번 주 토론토에서 열린 '섹터 200'라는 제목의 세션에서 "우리는 우크라이나에서 탐지한 서로 다른 영역에서 최소 2022개의 서로 다른 정부 시스템에 대한 공격이 실행되기 시작하는 것을 보았다"고 말했다. "우크라이나 방어: 사이버 전쟁의 초기 교훈. "
그는 또한 "우리는 이미 정부 및 우크라이나의 조직 전반에 걸쳐 우크라이나 고위 관리들과 통신 라인을 구축했으며 위협 정보를 주고받을 수 있었습니다."라고 덧붙였습니다.
처음에 그 모든 정보에서 나온 것은 사이버 공격의 물결이 정부 기관을 대상으로 하고 금융 부문으로 이동한 다음 IT 부문으로 이동한 후 특히 국가의 정부 기관을 지원하는 데이터 센터 및 IT 회사에 집중한다는 것입니다. 그러나 그것은 시작에 불과했습니다.
사이버 전쟁: 물리적 피해 위협
전쟁이 진행되면서 사이버 상황이 악화되었습니다. 전쟁 노력을 지원하는 데 중요한 기반 시설과 시스템이 사용되었기 때문입니다. 십자선으로 끝났다.
물리적 침공이 시작된 직후 Microsoft는 중요 인프라 부문의 사이버 공격을 운동 이벤트와 연관시킬 수 있음을 발견했습니다. 예를 들어, XNUMX월에 러시아 캠페인이 Donbas 지역을 이동하면서 연구원들은 군사 이동 및 인도적 지원 전달에 사용되는 운송 물류 시스템에 대한 조직적인 와이퍼 공격을 관찰했습니다.
그리고 사이버 활동으로 우크라이나의 핵 시설을 표적으로 삼아 군사적 침공에 앞서 표적을 약화시키는 것은 Microsoft 연구원들이 전쟁 내내 일관되게 보아온 것입니다.
Hewi는 "우리가 NotPetya와 같은 큰 이벤트를 통해 전 세계에 퍼질 것이라고 예상했지만 그렇게 되지는 않았습니다."라고 말했습니다. 대신 공격은 범위와 규모를 제한하는 방식으로 조직을 매우 맞춤화하고 표적으로 삼았습니다. 예를 들어 권한 있는 계정을 사용하고 그룹 정책을 사용하여 맬웨어를 배포하는 것입니다.
그는 "우리는 여전히 배우고 있으며 거기에 관련된 운영의 범위와 규모, 그리고 의미 있고 문제가 되는 방식으로 디지털을 활용하는 방법에 대한 정보를 공유하려고 노력하고 있습니다."라고 말했습니다.
현장에 있는 위험한 APT의 풍요
마이크로소프트는 러시아-우크라이나 분쟁에서 목격한 사실을 지속적으로 보고하고 있는데, 그 이유는 주로 연구원들이 “거기서 일어나고 있는 공격이 매우 과소 보고되고 있다”고 느꼈기 때문이라고 휴이는 말했습니다.
그는 덧붙였다. 몇몇 선수들 우크라이나를 표적으로 하는 것은 러시아가 후원하는 APT(Advanced Persistent Threat)로 알려진 것으로, 그는 스파이 관점과 자산의 물리적 파괴 측면에서 극도로 위험한 것으로 판명되었습니다.
"예를 들어 스트론튬은 DNC 공격 2016년으로 돌아가서; 그들은 피싱, 계정 탈취와 관련하여 우리에게 잘 알려져 있습니다. 중단 활동 그들의 인프라에"라고 설명했다. "그런 다음 샌드웜이라고도 하는 이리듐이 있습니다. 이 개체는 초기 [검은 에너지] 공격에 기인한 독립체입니다. 우크라이나의 전력망, 그들은 또한 NotPetya에 대한 책임이 있습니다. 이것은 실제로 산업 제어 시스템을 표적으로 삼는 것을 전문으로 하는 매우 정교한 행위자입니다.”
무엇보다 그는 APT를 담당하는 노벨륨(Nobelium)에 대해서도 언급했다. SolarWinds를 통한 공급망 공격. 휴이는 “그들은 우크라이나뿐만 아니라 올해 내내 우크라이나를 지원하는 서방 민주주의 국가에 대해 꽤 많은 스파이 활동을 해왔다”고 말했다.
러시아-우크라이나 사이버 분쟁의 정책적 시사점
연구원들은 공격이 왜 그렇게 좁게 유지되었는지에 대한 가설을 가지고 있지 않지만, Hewi는 상황의 정책적 파급효과가 매우, 매우 광범위해야 한다고 지적했습니다. 가장 중요한 것은 앞으로 사이버 참여에 대한 규범을 수립하는 것이 필수적이라는 점입니다.
그는 “디지털 제네바 협약”을 시작으로 세 가지 별개의 영역에서 구체화되어야 한다고 말했습니다. .”
그 노력의 두 번째 부분은 사이버 범죄법을 조화시키거나 국가가 먼저 사이버 범죄법을 개발하도록 옹호하는 것입니다. "그렇게 하면 이러한 범죄 조직이 처벌받지 않고 활동할 수 있는 은신처가 줄어듭니다."라고 그는 설명합니다.
셋째, 보다 광범위하게 말해서 민주주의 수호와 민주주의 국가의 투표 프로세스는 사이버에 중요한 영향을 미칩니다. 방어자가 위협을 방해하기 위한 적절한 도구, 리소스 및 정보에 액세스할 수 있기 때문입니다.
“Microsoft가 창의적인 민사 소송을 지원하고 법 집행 기관 및 많은 보안 커뮤니티와 협력하여 적극적인 사이버 작전을 수행하는 것을 보았습니다. Trickbot or Emotet 및 기타 유형의 파괴 활동”이라고 Hewie에 따르면 민주주의 정부가 정보를 비밀로 유지하지 않기 때문에 이 모든 것이 가능했습니다. "그것은 더 넓은 그림입니다."
또 다른 요점은 방어 측면입니다. 클라우드 마이그레이션은 운동전에서 중요한 인프라를 방어하는 중요한 부분으로 간주되기 시작해야 합니다. Hewie는 우크라이나 방어가 대부분의 인프라가 클라우드가 아닌 온프레미스에서 실행된다는 사실 때문에 복잡하다고 지적했습니다.
"그리고 수년에 걸쳐 러시아의 공격을 방어하는 면에서 최고의 국가 중 하나인 만큼, 그들은 여전히 대부분 현장에서 일을 하고 있으므로 백병전과 같습니다." 휴이가 말했다. “상당히 도전적입니다.”
