SEKTOR 2022 — Toronto — Pierwsze strzały w rosyjsko-ukraińskiej cyberwojnie zostały oddane praktycznie 23 lutego, kiedy niszczycielskie ataki zostały przeprowadzone na organizacje dzień przed wkroczeniem rosyjskich wojsk na Ukrainę. Microsoft był w przenośni „tam”, obserwował rozwój wydarzeń – i jego badacze natychmiast się zaniepokoili.
Gigant technologiczny zdarzyło się, że wstępnie rozmieścił czujniki w różnych publicznych i prywatnych sieciach w kraju, zainstalowanych we współpracy z ukraińskimi zespołami ds. odzyskiwania po poprzednich cyberatakach. Nadal funkcjonowały i podjęły szeroki zakres niepokojących, lawinowych działań, gdy armia rosyjska gromadziła się na granicy.
„Widzieliśmy ataki na co najmniej 200 różnych systemów rządowych, które zaczęły działać w różnych obszarach, które wykryliśmy na Ukrainie”, powiedział John Hewie, oficer bezpieczeństwa narodowego w Microsoft Canada, biorąc udział w sesji SecTor 2022 w tym tygodniu w Toronto, podczas sesji zatytułowanej “Obrona Ukrainy: wczesne lekcje z cyberwojny".
Dodał: „Utworzyliśmy już również linię komunikacji z wyższymi urzędnikami ukraińskimi w rządzie, a także w organizacjach na Ukrainie – i byliśmy w stanie dzielić się informacjami o zagrożeniach tam iz powrotem”.
Z tych wszystkich informacji początkowo wynikało, że fala cyberataków była wymierzona w agencje rządowe, zanim przeniosła się do sektora finansowego, a następnie do sektora IT, zanim skupiła się na centrach danych i firmach IT, które wspierają agencje rządowe w kraju. Ale to był dopiero początek.
Cyber-wojna: groźba szkód fizycznych
W miarę trwania wojny obraz cybernetyczny pogarszał się, ponieważ krytyczna infrastruktura i systemy wykorzystywane do wspierania działań wojennych znalazł się na celowniku.
Wkrótce po rozpoczęciu fizycznej inwazji Microsoft odkrył, że jest również w stanie skorelować cyberataki w sektorze infrastruktury krytycznej ze zdarzeniami kinetycznymi. Na przykład, gdy w marcu rosyjska kampania rozprzestrzeniła się po Donbasie, badacze zaobserwowali skoordynowane ataki wycieraczek na systemy logistyczne transportu wykorzystywane do przemieszczania się wojsk i dostarczania pomocy humanitarnej.
A atakowanie obiektów nuklearnych na Ukrainie za pomocą aktywności cybernetycznej w celu złagodzenia celu przed najazdami wojskowymi jest czymś, co badacze Microsoftu konsekwentnie obserwowali przez całą wojnę.
„Istniało takie oczekiwanie, że będziemy mieć wielkie wydarzenie w stylu NotPetya, które rozprzestrzeni się na resztę świata, ale tak się nie stało” – zauważył Hewie. Zamiast tego ataki były bardzo dostosowane i wymierzone w organizacje w sposób, który ograniczał ich zakres i skalę — na przykład przy użyciu kont uprzywilejowanych i przy użyciu zasad grupy do wdrażania złośliwego oprogramowania.
„Wciąż się uczymy i próbujemy podzielić się pewnymi informacjami na temat zakresu i skali operacji, które były tam zaangażowane oraz tego, w jaki sposób wykorzystują technologię cyfrową w znaczący i niepokojący sposób” – powiedział.
Róg obfitości niebezpiecznych APT na polu
Microsoft konsekwentnie informował o tym, co widzi w konflikcie rosyjsko-ukraińskim, głównie dlatego, że jego badacze uważali, że „ataki, które tam miały miejsce, były znacznie zaniżone”, powiedział Hewie.
Dodał to kilku graczy ataku na Ukrainę znane są sponsorowane przez Rosję zaawansowane trwałe zagrożenia (APT), które okazały się niezwykle niebezpieczne, zarówno z perspektywy szpiegowskiej, jak i pod względem fizycznego zakłócania zasobów, co nazywa zestawem „przerażających” zdolności.
„Na przykład Stront był odpowiedzialny za: ataki DNC w 2016 roku; są nam dobrze znane pod względem phishingu, przejmowania kont — i zrobiliśmy to działania zakłócające do ich infrastruktury” – wyjaśnił. „Wtedy jest Iridium, czyli Sandworm, który jest istotą, która jest przypisywana niektórym z wcześniejszych ataków [Czarnej Energii] na sieć energetyczna na Ukrainie, a także są odpowiedzialni za NotPetya. To bardzo wyrafinowany aktor, który specjalizuje się w atakowaniu przemysłowych systemów sterowania”.
Między innymi wezwał także Nobelium, APT odpowiedzialne za Atak na łańcuch dostaw przenoszony przez SolarWinds. „Byli zaangażowani w sporo szpiegostwa przeciwko nie tylko Ukrainie, ale przeciwko zachodnim demokracjom wspierającym Ukrainę w ciągu tego roku” – powiedział Hewie.
Wnioski polityczne z rosyjsko-ukraińskiego cyberkonfliktu
Badacze nie mają hipotezy, dlaczego ataki pozostały tak wąskie, ale Hewie zauważył, że polityczne konsekwencje sytuacji należy postrzegać jako bardzo, bardzo szerokie. Co najważniejsze, jasne jest, że konieczne jest ustalenie przyszłych norm dotyczących cyberzaangażowania.
Powinno to nabrać kształtu w trzech różnych obszarach, zaczynając od „cyfrowej konwencji genewskiej”, powiedział: „Świat rozwija się wokół norm dotyczących broni chemicznej i min lądowych i powinniśmy stosować to do odpowiedniego zachowania w cyberprzestrzeni przez podmioty państw narodowych ”.
Drugim elementem tego wysiłku jest harmonizacja przepisów dotyczących cyberprzestępczości — lub w pierwszej kolejności namawianie krajów do opracowania przepisów dotyczących cyberprzestępczości. „W ten sposób jest mniej bezpiecznych przystani, w których te organizacje przestępcze mogą działać bezkarnie”, wyjaśnia.
Po trzecie, szerzej mówiąc, obrona demokracji i procesu głosowania w krajach demokratycznych ma ważne konsekwencje dla cyberbezpieczeństwa, ponieważ umożliwia obrońcom dostęp do odpowiednich narzędzi, zasobów i informacji w celu przeciwdziałania zagrożeniom.
„Widziałeś, jak firma Microsoft prowadzi aktywne operacje cybernetyczne, wspierane kreatywnymi procesami cywilnymi, współpracując z organami ścigania i wieloma członkami społeczności zajmującej się bezpieczeństwem — na przykład trickbot or Emotet i inne rodzaje działań zakłócających”, według Hewie, wszystko to było możliwe, ponieważ demokratyczne rządy nie przechowują informacji w tajemnicy. „To szerszy obraz”.
Kolejny wynos jest po stronie obrony; Migracja do chmury powinna zacząć być postrzegana jako kluczowy element obrony infrastruktury krytycznej podczas wojny kinetycznej. Hewie zwrócił uwagę, że ukraińską obronę komplikuje fakt, że większość infrastruktury jest uruchamiana lokalnie, a nie w chmurze.
„I chociaż są prawdopodobnie jednym z najlepszych krajów pod względem obrony przed rosyjskimi atakami przez wiele lat, nadal robią to głównie lokalnie, więc to jest jak walka wręcz” Hewie powiedział. „To dość trudne”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
