SECTOR 2022 — Toronto — De eerste schoten in de cyberoorlog tussen Rusland en Oekraïne werden virtueel afgevuurd op 23 februari, toen destructieve aanvallen werden gelanceerd op organisaties de dag voordat Russische militaire troepen Oekraïne binnentrokken. Microsoft was figuurlijk 'daar' en observeerde de ontwikkelingen - en de onderzoekers waren meteen bezorgd.
De techgigant had toevallig vooraf geplaatste sensoren binnen verschillende openbare en particuliere netwerken in het land, geïnstalleerd in samenwerking met Oekraïense incidentherstelteams in de nasleep van eerdere cyberaanvallen. Ze functioneerden nog steeds en kregen een groot aantal zorgwekkende sneeuwbalactiviteiten te zien toen het Russische leger zich aan de grens verzamelde.
"We zagen aanvallen op ten minste 200 verschillende overheidssystemen beginnen in verschillende gebieden die we in Oekraïne hebben ontdekt", zei John Hewie, nationale veiligheidsfunctionaris bij Microsoft Canada, die deze week het podium betrad op SecTor 2022 in Toronto, in een sessie getiteld “Oekraïne verdedigen: vroege lessen uit de cyberoorlog. '
Hij voegde eraan toe: "We hadden ook al een communicatielijn opgezet met hoge Oekraïense functionarissen binnen de regering en ook met organisaties in Oekraïne - en we waren in staat om informatie over bedreigingen heen en weer te delen."
Wat aanvankelijk uit al die informatie naar voren kwam, was dat de golf van cyberaanvallen gericht was op overheidsinstanties, voordat hij overstapte naar de financiële sector en vervolgens de IT-sector, voordat hij zich specifiek richtte op datacenters en IT-bedrijven die overheidsinstanties in het land ondersteunen. Maar dat was nog maar het begin.
Cyberoorlogvoering: dreigen met lichamelijk letsel
Naarmate de oorlog vorderde, verslechterde het cyberbeeld, omdat kritieke infrastructuur en systemen werden gebruikt om de oorlogsinspanning te ondersteunen belandde in het vizier.
Kort na het begin van de fysieke invasie ontdekte Microsoft dat het ook in staat was cyberaanvallen in de kritieke infrastructuursector te correleren met kinetische gebeurtenissen. Toen de Russische campagne zich bijvoorbeeld in maart door de Donbas-regio trok, observeerden onderzoekers gecoördineerde wisseraanvallen op transportlogistieke systemen die worden gebruikt voor militaire bewegingen en het leveren van humanitaire hulp.
En het richten op nucleaire faciliteiten in Oekraïne met cyberactiviteit om een doelwit te verzachten voorafgaand aan militaire invallen, is iets dat Microsoft-onderzoekers gedurende de hele oorlog consequent hebben gezien.
"Er was de verwachting dat we een groot NotPetya-achtig evenement zouden hebben dat de rest van de wereld zou overslaan, maar dat gebeurde niet," merkte Hewie op. In plaats daarvan zijn de aanvallen zeer op maat gemaakt en gericht op organisaties op een manier die hun reikwijdte en schaal beperkte, bijvoorbeeld door geprivilegieerde accounts te gebruiken en Groepsbeleid te gebruiken om de malware te implementeren.
"We leren nog steeds en we proberen wat informatie te delen over de reikwijdte en schaal van de operaties die daar zijn betrokken en hoe ze digitaal op een aantal zinvolle en verontrustende manieren benutten", zei hij.
Een overvloed aan gevaarlijke APT's op het veld
Microsoft heeft consequent gerapporteerd over wat het heeft gezien in het Rusland-Oekraïne-conflict, voornamelijk omdat de onderzoekers van mening waren dat "de aanvallen die daar plaatsvonden enorm onderrapporteerd waren", zei Hewie.
Hij voegde eraan toe een aantal van de spelers die zich op Oekraïne richten, zijn bekende door Rusland gesponsorde geavanceerde persistente dreigingen (APT's) waarvan is bewezen dat ze extreem gevaarlijk zijn, zowel vanuit spionageperspectief als in termen van de fysieke verstoring van activa, die hij een reeks "enge" capaciteiten noemt.
“Strontium was bijvoorbeeld verantwoordelijk voor de DNC-aanvallen terug in 2016; ze zijn goed bekend bij ons op het gebied van phishing, accountovername - en dat hebben we gedaan verstoringsactiviteiten aan hun infrastructuur,” legde hij uit. "Dan is er Iridium, ook bekend als Sandworm, de entiteit die wordt toegeschreven aan enkele van de eerdere [Black Energy]-aanvallen tegen de elektriciteitsnet in Oekraïne, en ze zijn ook verantwoordelijk voor NotPetya. Dit is een zeer geavanceerde speler die zich in feite specialiseert in het richten op industriële controlesystemen.”
Hij riep onder andere ook Nobelium, de APT die verantwoordelijk is voor de Aanval in toeleveringsketen door SolarWinds. "Ze zijn in de loop van dit jaar betrokken geweest bij nogal wat spionage tegen niet alleen Oekraïne, maar ook tegen westerse democratieën die Oekraïne steunen", zei Hewie.
Beleidspunten uit het Russisch-Oekraïense cyberconflict
Onderzoekers hebben geen hypothese waarom de aanvallen zo beperkt zijn gebleven, maar Hewie merkte wel op dat de beleidsgevolgen van de situatie als zeer, zeer breed moeten worden gezien. Het belangrijkste is dat het duidelijk is dat het noodzakelijk is om in de toekomst normen voor cyberbetrokkenheid vast te stellen.
Dit moet vorm krijgen op drie verschillende gebieden, te beginnen met een "digitale Conventie van Genève", zei hij: "De wereld is ontwikkeld rond normen voor chemische wapens en landmijnen, en we zouden dat moeten toepassen op gepast gedrag in cyberspace door natiestatelijke actoren .”
Het tweede deel van die inspanning ligt in het harmoniseren van cybercriminaliteitswetten - of het pleiten dat landen in de eerste plaats cybercriminaliteitswetten ontwikkelen. “Op die manier zijn er minder veilige havens voor deze criminele organisaties om straffeloos te opereren”, legt hij uit.
Ten derde, en meer in het algemeen, heeft het verdedigen van de democratie en het stemproces voor democratische landen belangrijke gevolgen voor cyber, omdat het verdedigers toegang geeft tot geschikte instrumenten, middelen en informatie om bedreigingen te verstoren.
“Je hebt Microsoft actieve cyberoperaties zien doen, ondersteund door creatieve civiele rechtszaken, in samenwerking met wetshandhavingsinstanties en velen in de beveiligingsgemeenschap — zaken als trickbot or Emotet en andere soorten verstoringsactiviteiten”, aldus Hewie, allemaal mogelijk gemaakt omdat democratische regeringen informatie niet geheimhouden. "Dat is het bredere plaatje."
Een andere afhaalmaaltijd is aan de verdedigingskant; cloudmigratie moet worden gezien als een cruciaal onderdeel van de verdediging van kritieke infrastructuur tijdens kinetische oorlogsvoering. Hewie wees erop dat de Oekraïense verdediging wordt bemoeilijkt door het feit dat de meeste infrastructuur daar on-premises wordt uitgevoerd, niet in de cloud.
"En hoewel ze waarschijnlijk een van de beste landen zijn in termen van verdediging tegen Russische aanvallen gedurende een aantal jaren, doen ze de dingen nog steeds meestal ter plaatse, dus het is als man-tegen-mangevechten," zei Hewie. "Het is best een uitdaging."
