SECTOR 2022 — Toronto — De første skuddene i cyberkrigen mellom Russland og Ukraina ble avfyrt praktisk talt 23. februar, da destruktive angrep ble satt i gang mot organisasjoner dagen før russiske militærtropper rykket inn i Ukraina. Microsoft var billedlig "der", og observerte utviklingen - og forskerne ble umiddelbart bekymret.
Teknologigiganten hadde tilfeldigvis forhåndsposisjonerte sensorer innenfor ulike offentlige og private nettverk i landet, installert i samarbeid med ukrainske team for gjenoppretting av hendelser i kjølvannet av tidligere nettangrep. De fungerte fortsatt, og fanget opp et bredt spekter av bekymringsfull snøballaktivitet da den russiske hæren samlet seg på grensen.
"Vi så angrep mot minst 200 forskjellige regjeringssystemer som begynte å kjøre i forskjellige områder som vi oppdaget i Ukraina," sa John Hewie, nasjonal sikkerhetsoffiser i Microsoft Canada, på scenen på SecTor 2022 denne uken i Toronto, i en sesjon med tittelen "Defending Ukraine: Tidlige leksjoner fra cyberkrigen».
Han la til, "Vi hadde også allerede etablert en kommunikasjonslinje med høytstående ukrainske tjenestemenn på tvers av regjeringen og også organisasjoner i Ukraina - og vi var i stand til å dele trusseletterretninger frem og tilbake."
Det som først kom ut av all den informasjonen, var at bølgen av nettangrep var rettet mot offentlige etater, før de gikk videre til finanssektoren, deretter IT-sektoren, før de spesifikt satte inn datasentre og IT-selskaper som støtter offentlige etater i landet. Men det var bare begynnelsen.
Cyber-krigføring: truer med fysisk skade
Etter hvert som krigen fortsatte, ble cyberbildet dårligere, fordi kritisk infrastruktur og systemer ble brukt til å støtte krigsinnsatsen havnet i trådkorset.
Rett etter utbruddet av den fysiske invasjonen fant Microsoft ut at det også var i stand til å korrelere cyberangrep i den kritiske infrastruktursektoren med kinetiske hendelser. For eksempel, da den russiske kampanjen beveget seg rundt i Donbas-regionen i mars, observerte forskere koordinerte viskerangrep mot transportlogistikksystemer brukt til militær bevegelse og levering av humanitær hjelp.
Og målretting av kjernefysiske anlegg i Ukraina med cyberaktivitet for å myke opp et mål før militære inngrep er noe som Microsoft-forskere har sett konsekvent gjennom hele krigen.
"Det var denne forventningen om at vi skulle ha en stor NotPetya-lignende begivenhet som skulle spre seg ut i resten av verden, men det skjedde ikke," bemerket Hewie. I stedet har angrepene vært veldig skreddersydd og målrettet mot organisasjoner på en måte som begrenset deres omfang og omfang – for eksempel ved å bruke privilegerte kontoer og bruke gruppepolicy for å distribuere skadelig programvare.
"Vi lærer fortsatt, og vi prøver å dele litt informasjon rundt omfanget og omfanget av operasjonene som har vært involvert der og hvordan de utnytter digitalt på noen meningsfulle og urovekkende måter," sa han.
Et overflødighetshorn av farlige APT-er på banen
Microsoft har konsekvent rapportert om hva de har sett i Russland-Ukraina-konflikten, hovedsakelig fordi forskerne følte at "angrepene som foregikk der ble kraftig underrapportert," sa Hewie.
Han la til det flere av spillerne rettet mot Ukraina er kjente Russland-sponsede avanserte vedvarende trusler (APTs) som har vist seg å være ekstremt farlige, både fra et spionasjeperspektiv så vel som i form av fysisk forstyrrelse av eiendeler, som han kaller et sett med "skumle" evner.
"Strontium, for eksempel, var ansvarlig for DNC-angrepene tilbake i 2016; de er godt kjent for oss når det gjelder phishing, kontoovertakelse – og det har vi gjort forstyrrelsesaktiviteter til deres infrastruktur," forklarte han. «Så er det Iridium, aka Sandworm, som er enheten som tilskrives noen av de tidligere [Black Energy]-angrepene mot strømnettet i Ukraina, og de er også ansvarlige for NotPetya. Dette er en veldig sofistikert aktør som faktisk spesialiserer seg på å målrette industrielle kontrollsystemer.»
Blant andre ropte han også ut Nobelium, APT som er ansvarlig for SolarWinds-båret forsyningskjedeangrep. "De har vært engasjert i ganske mye spionasje mot ikke bare Ukraina, men mot vestlige demokratier som støtter Ukraina i løpet av dette året," sa Hewie.
Retningslinjer fra den russisk-ukrainske cyberkonflikten
Forskere har ingen hypotese for hvorfor angrepene har holdt seg så smale, men Hewie bemerket at de politiske konsekvensene av situasjonen bør sees på som veldig, veldig brede. Det viktigste er at det er klart at det er et imperativt behov for å etablere normer for cyberengasjement fremover.
Dette bør ta form på tre forskjellige områder, som starter med en "digital Genève-konvensjon," sa han: "Verden er utviklet rundt normer for kjemiske våpen og landminer, og vi bør bruke det på passende oppførsel i cyberspace av nasjonalstatsaktører ."
Den andre delen av denne innsatsen ligger i å harmonisere lover om nettkriminalitet – eller å gå inn for at land utvikler lover om nettkriminalitet i utgangspunktet. "På den måten er det færre trygge havner for disse kriminelle organisasjonene å operere ustraffet," forklarer han.
For det tredje, og mer generelt sett, har forsvar av demokrati og stemmeprosessen for demokratiske land viktige konsekvenser for cyber, fordi det gir forsvarere tilgang til passende verktøy, ressurser og informasjon for å forstyrre trusler.
«Du har sett Microsoft utføre aktive cyberoperasjoner, med støtte fra kreative sivile rettssaker, med partnerskap med rettshåndhevelse og mange i sikkerhetsmiljøet – ting som trickbot or Emotet og andre typer forstyrrelsesaktiviteter,» ifølge Hewie, alle muliggjort fordi demokratiske regjeringer ikke holder informasjon skjult. "Det er det bredere bildet."
En annen takeaway er på forsvarssiden; skymigrasjon bør begynne å bli sett på som en kritisk del av å forsvare kritisk infrastruktur under kinetisk krigføring. Hewie påpekte at det ukrainske forsvaret kompliseres av det faktum at det meste av infrastrukturen der kjøres på stedet, ikke i skyen.
"Og så mye som de sannsynligvis er et av de beste landene når det gjelder å forsvare seg mot russiske angrep over en årrekke, gjør de fortsatt stort sett ting på stedet, så det er som hånd-til-hånd kamp," sa Hewie. "Det er ganske utfordrende."
