СЕКТОР 2022 — Торонто — Первые выстрелы в российско-украинской кибервойне прозвучали практически 23 февраля, когда за день до ввода российских войск в Украину были предприняты разрушительные атаки на организации. Образно говоря, Microsoft была «там», наблюдая за развитием событий, и ее исследователи тут же забеспокоились.
У технологического гиганта были предварительно размещены датчики в различных общедоступных и частных сетях в стране, установленные совместно с украинскими группами по ликвидации последствий инцидентов после предыдущих кибератак. Они все еще функционировали, и по мере того, как российская армия стягивалась к границе, их активность резко возросла.
«Мы видели атаки по меньшей мере на 200 различных государственных систем, которые начали выполняться в разных областях, которые мы обнаружили в Украине», — сказал Джон Хьюи, сотрудник службы национальной безопасности Microsoft Canada, выступая на этой неделе на SecTor 2022 в Торонто, на сессии под названием “Защита Украины: первые уроки кибервойны".
Он добавил: «Мы также уже установили линию связи с высокопоставленными украинскими чиновниками в правительстве, а также с организациями в Украине — и мы смогли обмениваться информацией об угрозах туда и обратно».
Из всей этой информации изначально выяснилось, что волна кибератак была нацелена на государственные учреждения, затем перешла на финансовый сектор, затем на ИТ-сектор, а затем сосредоточилась на центрах обработки данных и ИТ-компаниях, которые поддерживают государственные учреждения в стране. Но это было только начало.
Кибервойна: угроза физической расправы
По мере того как война продолжалась, киберкартина ухудшалась, потому что критическая инфраструктура и системы, используемые для поддержки военных действий оказался в перекрестье прицелов.
Вскоре после начала физического вторжения Microsoft обнаружила, что она также может соотносить кибератаки в секторе критической инфраструктуры с кинетическими событиями. Например, когда российская кампания перемещалась по Донбассу в марте, исследователи наблюдали скоординированные атаки на транспортно-логистические системы, используемые для передвижения войск и доставки гуманитарной помощи.
И нанесение киберактивности на ядерные объекты в Украине для смягчения цели перед военным вторжением — это то, что исследователи Microsoft постоянно наблюдали на протяжении всей войны.
«Было ожидание, что у нас будет большое событие, похожее на NotPetya, которое распространится на весь остальной мир, но этого не произошло», — отметил Хьюи. Вместо этого атаки были очень адаптированы и нацелены на организации таким образом, что ограничивали их возможности и масштабы — например, с использованием привилегированных учетных записей и групповой политики для развертывания вредоносного ПО.
«Мы все еще учимся, и мы пытаемся поделиться некоторой информацией о масштабах операций, которые там были задействованы, и о том, как они используют цифровые технологии значимыми и тревожными способами», — сказал он.
Рог изобилия опасных APT на поле
Microsoft постоянно сообщала о том, что она видела в российско-украинском конфликте, в основном потому, что ее исследователи считали, что «происходившие там атаки значительно занижаются», — сказал Хьюи.
Он добавил, что несколько игроков направленные на Украину, являются известными спонсируемыми Россией передовыми постоянными угрозами (APT), которые оказались чрезвычайно опасными как с точки зрения шпионажа, так и с точки зрения физического разрушения активов, которые он называет набором «страшных» возможностей.
«Стронций, например, был ответственен за атаки DNC еще в 2016 году; они хорошо известны нам с точки зрения фишинга, захвата аккаунта — и мы сделали подрывная деятельность к их инфраструктуре», — пояснил он. «Затем есть Иридиум, также известный как Песчаный Червь, который является сущностью, приписываемой некоторым из более ранних атак [Черной Энергии] против энергосистема в Украине, и они же отвечают за NotPetya. Это очень сложный актор, специализирующийся на промышленных системах управления».
Среди прочего, он также назвал Nobelium, APT, ответственный за Атака на цепочку поставок с помощью SolarWinds. «В течение этого года они занимались шпионажем не только против Украины, но и против западных демократий, поддерживающих Украину», — сказал Хьюи.
Политические выводы из российско-украинского киберконфликта
У исследователей нет гипотезы, почему атаки остались такими узкими, но Хьюи отметил, что политические последствия ситуации следует рассматривать как очень, очень широкие. Самое главное, ясно, что необходимо установить нормы для кибер-взаимодействия в будущем.
Это должно сформироваться в трех отдельных областях, начиная с «цифровой Женевской конвенции», сказал он: «Мир развивается вокруг норм для химического оружия и наземных мин, и мы должны применять это к надлежащему поведению в киберпространстве со стороны национальных государств. ».
Вторая часть этих усилий заключается в гармонизации законов о киберпреступности или в пропаганде того, чтобы страны в первую очередь разрабатывали законы о киберпреступности. «Таким образом, у этих преступных организаций будет меньше убежищ, чтобы действовать безнаказанно», — объясняет он.
В-третьих, и в более широком смысле, защита демократии и процесса голосования в демократических странах имеет важные последствия для киберпространства, поскольку позволяет защитникам иметь доступ к соответствующим инструментам, ресурсам и информации для устранения угроз.
«Вы видели, как Microsoft проводит активные кибероперации при поддержке творческих гражданских судебных процессов, в партнерстве с правоохранительными органами и многими представителями сообщества безопасности — такие вещи, как Trickbot or Emotet и другие виды подрывной деятельности», по словам Хьюи, все это стало возможным, потому что демократические правительства не хранят информацию в секрете. «Это более широкая картина».
Еще один вывод касается защиты; Миграцию в облако следует начать рассматривать как важнейшую часть защиты критической инфраструктуры во время кинетической войны. Хьюи отметил, что украинская оборона осложняется тем, что большая часть инфраструктуры там работает локально, а не в облаке.
«И хотя они, вероятно, являются одной из лучших стран с точки зрения защиты от российских атак на протяжении ряда лет, они по-прежнему в основном делают это локально, так что это похоже на рукопашный бой», — сказал Хьюи. «Это довольно сложно».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов