Непрекращающиеся российские кибератаки на Украину вызывают важные политические вопросы

СЕКТОР 2022 — Торонто — Первые выстрелы в российско-украинской кибервойне прозвучали практически 23 февраля, когда за день до ввода российских войск в Украину были предприняты разрушительные атаки на организации. Образно говоря, Microsoft была «там», наблюдая за развитием событий, и ее исследователи тут же забеспокоились.

У технологического гиганта были предварительно размещены датчики в различных общедоступных и частных сетях в стране, установленные совместно с украинскими группами по ликвидации последствий инцидентов после предыдущих кибератак. Они все еще функционировали, и по мере того, как российская армия стягивалась к границе, их активность резко возросла.

«Мы видели атаки по меньшей мере на 200 различных государственных систем, которые начали выполняться в разных областях, которые мы обнаружили в Украине», — сказал Джон Хьюи, сотрудник службы национальной безопасности Microsoft Canada, выступая на этой неделе на SecTor 2022 в Торонто, на сессии под названием “Защита Украины: первые уроки кибервойны".

Он добавил: «Мы также уже установили линию связи с высокопоставленными украинскими чиновниками в правительстве, а также с организациями в Украине — и мы смогли обмениваться информацией об угрозах туда и обратно».

Из всей этой информации изначально выяснилось, что волна кибератак была нацелена на государственные учреждения, затем перешла на финансовый сектор, затем на ИТ-сектор, а затем сосредоточилась на центрах обработки данных и ИТ-компаниях, которые поддерживают государственные учреждения в стране. Но это было только начало.

Кибервойна: угроза физической расправы

По мере того как война продолжалась, киберкартина ухудшалась, потому что критическая инфраструктура и системы, используемые для поддержки военных действий оказался в перекрестье прицелов.

Вскоре после начала физического вторжения Microsoft обнаружила, что она также может соотносить кибератаки в секторе критической инфраструктуры с кинетическими событиями. Например, когда российская кампания перемещалась по Донбассу в марте, исследователи наблюдали скоординированные атаки на транспортно-логистические системы, используемые для передвижения войск и доставки гуманитарной помощи.

И нанесение киберактивности на ядерные объекты в Украине для смягчения цели перед военным вторжением — это то, что исследователи Microsoft постоянно наблюдали на протяжении всей войны.

«Было ожидание, что у нас будет большое событие, похожее на NotPetya, которое распространится на весь остальной мир, но этого не произошло», — отметил Хьюи. Вместо этого атаки были очень адаптированы и нацелены на организации таким образом, что ограничивали их возможности и масштабы — например, с использованием привилегированных учетных записей и групповой политики для развертывания вредоносного ПО.

«Мы все еще учимся, и мы пытаемся поделиться некоторой информацией о масштабах операций, которые там были задействованы, и о том, как они используют цифровые технологии значимыми и тревожными способами», — сказал он.

Рог изобилия опасных APT на поле

Microsoft постоянно сообщала о том, что она видела в российско-украинском конфликте, в основном потому, что ее исследователи считали, что «происходившие там атаки значительно занижаются», — сказал Хьюи.

Он добавил, что несколько игроков направленные на Украину, являются известными спонсируемыми Россией передовыми постоянными угрозами (APT), которые оказались чрезвычайно опасными как с точки зрения шпионажа, так и с точки зрения физического разрушения активов, которые он называет набором «страшных» возможностей.

«Стронций, например, был ответственен за атаки DNC еще в 2016 году; они хорошо известны нам с точки зрения фишинга, захвата аккаунта — и мы сделали подрывная деятельность к их инфраструктуре», — пояснил он. «Затем есть Иридиум, также известный как Песчаный Червь, который является сущностью, приписываемой некоторым из более ранних атак [Черной Энергии] против энергосистема в Украине, и они же отвечают за NotPetya. Это очень сложный актор, специализирующийся на промышленных системах управления».

Среди прочего, он также назвал Nobelium, APT, ответственный за Атака на цепочку поставок с помощью SolarWinds. «В течение этого года они занимались шпионажем не только против Украины, но и против западных демократий, поддерживающих Украину», — сказал Хьюи.

Политические выводы из российско-украинского киберконфликта

У исследователей нет гипотезы, почему атаки остались такими узкими, но Хьюи отметил, что политические последствия ситуации следует рассматривать как очень, очень широкие. Самое главное, ясно, что необходимо установить нормы для кибер-взаимодействия в будущем.

Это должно сформироваться в трех отдельных областях, начиная с «цифровой Женевской конвенции», сказал он: «Мир развивается вокруг норм для химического оружия и наземных мин, и мы должны применять это к надлежащему поведению в киберпространстве со стороны национальных государств. ».

Вторая часть этих усилий заключается в гармонизации законов о киберпреступности или в пропаганде того, чтобы страны в первую очередь разрабатывали законы о киберпреступности. «Таким образом, у этих преступных организаций будет меньше убежищ, чтобы действовать безнаказанно», — объясняет он.

В-третьих, и в более широком смысле, защита демократии и процесса голосования в демократических странах имеет важные последствия для киберпространства, поскольку позволяет защитникам иметь доступ к соответствующим инструментам, ресурсам и информации для устранения угроз.

«Вы видели, как Microsoft проводит активные кибероперации при поддержке творческих гражданских судебных процессов, в партнерстве с правоохранительными органами и многими представителями сообщества безопасности — такие вещи, как Trickbot or Emotet и другие виды подрывной деятельности», по словам Хьюи, все это стало возможным, потому что демократические правительства не хранят информацию в секрете. «Это более широкая картина».

Еще один вывод касается защиты; Миграцию в облако следует начать рассматривать как важнейшую часть защиты критической инфраструктуры во время кинетической войны. Хьюи отметил, что украинская оборона осложняется тем, что большая часть инфраструктуры там работает локально, а не в облаке.

«И хотя они, вероятно, являются одной из лучших стран с точки зрения защиты от российских атак на протяжении ряда лет, они по-прежнему в основном делают это локально, так что это похоже на рукопашный бой», — сказал Хьюи. «Это довольно сложно».