SETOR 2022 — Toronto — Os primeiros tiros na guerra cibernética Rússia-Ucrânia foram disparados virtualmente em 23 de fevereiro, quando ataques destrutivos foram lançados contra organizações um dia antes de as tropas militares russas entrarem na Ucrânia. A Microsoft estava figurativamente “lá”, observando os desenvolvimentos – e seus pesquisadores ficaram imediatamente preocupados.
Acontece que a gigante tecnológica tinha sensores pré-posicionados em várias redes públicas e privadas no país, instalados em conjunto com equipas ucranianas de recuperação de incidentes na sequência de ataques cibernéticos anteriores. Eles ainda estavam funcionando e iniciaram uma ampla gama de atividades preocupantes e crescentes à medida que o exército russo se acumulava na fronteira.
“Vimos ataques contra pelo menos 200 sistemas governamentais diferentes começando a ocorrer em diferentes áreas que detectamos na Ucrânia”, disse John Hewie, oficial de segurança nacional da Microsoft Canadá, subindo ao palco do SecTor 2022 esta semana em Toronto, em uma sessão intitulada “Defendendo a Ucrânia: primeiras lições da guerra cibernética. "
Ele acrescentou: “Também já havíamos estabelecido uma linha de comunicação com altos funcionários ucranianos do governo e também de organizações na Ucrânia – e fomos capazes de compartilhar informações sobre ameaças”.
O que emergiu inicialmente de toda essa informação foi que a onda de ataques cibernéticos tinha como alvo agências governamentais, antes de passar para o sector financeiro, depois para o sector de TI, antes de se concentrar especificamente nos centros de dados e nas empresas de TI que apoiam as agências governamentais no país. Mas aquilo foi só o inicio.
Guerra Cibernética: Ameaça de Danos Físicos
À medida que a guerra prosseguia, o quadro cibernético piorou, porque as infra-estruturas e os sistemas críticos utilizados para apoiar o esforço de guerra acabou na mira.
Logo após o início da invasão física, a Microsoft descobriu que também era capaz de correlacionar ataques cibernéticos no setor de infraestrutura crítica com eventos cinéticos. Por exemplo, à medida que a campanha russa avançava pela região de Donbass em Março, os investigadores observaram ataques coordenados contra sistemas logísticos de transporte utilizados para movimentos militares e entrega de ajuda humanitária.
E atacar instalações nucleares na Ucrânia com actividade cibernética para suavizar um alvo antes de incursões militares é algo que os investigadores da Microsoft têm visto consistentemente durante a guerra.
“Havia a expectativa de que teríamos um grande evento semelhante ao NotPetya que se espalharia pelo resto do mundo, mas isso não aconteceu”, observou Hewie. Em vez disso, os ataques foram muito adaptados e direcionados às organizações de uma forma que restringiu o seu âmbito e escala – por exemplo, utilizando contas privilegiadas e usando a Política de Grupo para implementar o malware.
“Ainda estamos aprendendo e tentando compartilhar algumas informações sobre o escopo e a escala das operações envolvidas e como elas estão aproveitando o digital de maneiras significativas e preocupantes”, disse ele.
Uma cornucópia de APTs perigosos em campo
A Microsoft tem relatado consistentemente o que viu no conflito Rússia-Ucrânia, em grande parte porque os seus investigadores sentiram que “os ataques que estavam a acontecer lá estavam a ser muito subnotificados”, disse Hewie.
Ele acrescentou que vários dos jogadores que têm como alvo a Ucrânia são conhecidas ameaças persistentes avançadas (APTs) patrocinadas pela Rússia que se revelaram extremamente perigosas, tanto do ponto de vista da espionagem como em termos de perturbação física de activos, que ele chama de um conjunto de capacidades “assustadoras”.
“O estrôncio, por exemplo, foi responsável por os ataques do DNC em 2016; eles são bem conhecidos por nós em termos de phishing e controle de contas - e nós fizemos atividades de interrupção à sua infraestrutura”, explicou ele. “Depois, há o Iridium, também conhecido como Sandworm, que é a entidade atribuída a alguns dos ataques anteriores [da Energia Negra] contra o rede elétrica na Ucrânia, e também são responsáveis pelo NotPetya. Este é um ator muito sofisticado, especializado em sistemas de controle industrial.”
Entre outros, também destacou a Nobelium, a APT responsável pela Ataque à cadeia de suprimentos transmitido pela SolarWinds. “Eles estiveram envolvidos em bastante espionagem não apenas contra a Ucrânia, mas contra as democracias ocidentais que apoiam a Ucrânia ao longo deste ano”, disse Hewie.
Conclusões políticas do conflito cibernético entre a Rússia e a Ucrânia
Os investigadores não têm uma hipótese sobre a razão pela qual os ataques permaneceram tão restritos, mas Hewie observou que as ramificações políticas da situação deveriam ser vistas como muito, muito amplas. Mais importante ainda, está claro que é imperativo estabelecer normas para o envolvimento cibernético no futuro.
Isto deve tomar forma em três áreas distintas, começando com uma “Convenção digital de Genebra”, disse ele: “O mundo é desenvolvido em torno de normas para armas químicas e minas terrestres, e deveríamos aplicar isso ao comportamento apropriado no ciberespaço por parte dos atores do Estado-nação. .”
A segunda parte desse esforço reside na harmonização das leis sobre o crime cibernético – ou, em primeiro lugar, na defesa de que os países desenvolvam leis sobre o crime cibernético. “Dessa forma, há menos portos seguros para essas organizações criminosas operarem impunemente”, explica.
Em terceiro lugar, e de um modo mais geral, a defesa da democracia e do processo de votação nos países democráticos tem ramificações importantes para o ciberespaço, porque permite que os defensores tenham acesso a ferramentas, recursos e informações adequadas para interromper as ameaças.
“Você viu a Microsoft realizando operações cibernéticas ativas, com o apoio de litígios civis criativos, com parceria com autoridades policiais e muitos na comunidade de segurança – coisas como robô trapaceiro or Emotet e outros tipos de atividades perturbadoras”, segundo Hewie, todas possíveis porque os governos democráticos não mantêm as informações em segredo. “Esse é o quadro mais amplo.”
Outra conclusão está no lado da defesa; a migração para a nuvem deve começar a ser vista como uma peça crítica na defesa de infraestruturas críticas durante a guerra cinética. Hewie destacou que a defesa ucraniana é complicada pelo fato de que a maior parte da infraestrutura é executada no local, e não na nuvem.
“E por mais que sejam provavelmente um dos melhores países em termos de defesa contra ataques russos ao longo de vários anos, ainda fazem principalmente as coisas no local, por isso é como um combate corpo a corpo”, Hewie disse. “É bastante desafiador.”
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
