Neizprosni ruski kibernetski napadi na Ukrajino odpirajo pomembna politična vprašanja

SEKTOR 2022 — Toronto — Prvi streli v kibernetski vojni med Rusijo in Ukrajino so bili virtualno izstreljeni 23. februarja, ko so bili uničujoči napadi na organizacije sproženi dan preden so se ruske vojaške enote preselile v Ukrajino. Microsoft je bil figurativno »tam« in je opazoval razvoj - in njegovi raziskovalci so bili takoj zaskrbljeni.

Tehnološki gigant je imel vnaprej nameščene senzorje v različnih javnih in zasebnih omrežjih v državi, nameščene v povezavi z ukrajinskimi ekipami za obnovo incidentov po prejšnjih kibernetskih napadih. Še vedno so delovali in pobrali so velik del zaskrbljujoče, snežne dejavnosti, ko se je ruska vojska nakopičila na meji.

»Videli smo napade na vsaj 200 različnih vladnih sistemov, ki so se začeli izvajati na različnih območjih, ki smo jih zaznali v Ukrajini,« je dejal John Hewie, uradnik za nacionalno varnost pri Microsoftu v Kanadi, ki je nastopil na SecTor 2022 ta teden v Torontu, na predavanju z naslovom “Obramba Ukrajine: zgodnje izkušnje iz kibernetske vojne«.

Dodal je: "Prav tako smo že vzpostavili komunikacijsko linijo z visokimi ukrajinskimi uradniki v vladi in tudi organizacijah v Ukrajini - in lahko smo izmenjevali obveščevalne podatke o grožnjah naprej in nazaj."

Iz vseh teh podatkov je na začetku razvidno, da je val kibernetskih napadov ciljal na vladne agencije, preden se je premaknil na finančni sektor, nato na sektor IT, preden se je posebej osredotočil na podatkovne centre in podjetja IT, ki podpirajo vladne agencije v državi. A to je bil šele začetek.

Kibernetska vojna: Grožnja s fizičnimi poškodbami

Ko je vojna trajala, se je kibernetska slika poslabšala, saj so kritična infrastruktura in sistemi podpirali vojne napore končal v križu.

Kmalu po začetku fizične invazije je Microsoft ugotovil, da je sposoben povezati kibernetske napade v sektorju kritične infrastrukture s kinetičnimi dogodki. Na primer, ko se je marca ruska kampanja premikala po regiji Donbas, so raziskovalci opazili usklajene napade brisalcev na transportne logistične sisteme, ki se uporabljajo za vojaško gibanje in dostavo humanitarne pomoči.

In ciljanje jedrskih objektov v Ukrajini s kibernetsko dejavnostjo za ublažitev tarče pred vojaškimi vdori je nekaj, kar Microsoftovi raziskovalci dosledno opažajo skozi celotno vojno.

"Pričakovali smo, da bomo imeli velik dogodek, podoben NotPetyi, ki se bo razširil po preostalem svetu, vendar se to ni zgodilo," je opozoril Hewie. Namesto tega so bili napadi zelo prilagojeni in usmerjeni na organizacije na način, ki je omejil njihov obseg in obseg – na primer z uporabo privilegiranih računov in uporabo pravilnika skupine za uvajanje zlonamerne programske opreme.

»Še vedno se učimo in poskušamo deliti nekaj informacij o obsegu in obsegu operacij, ki so bile tam vključene, in o tem, kako izkoriščajo digitalno na nekatere pomembne in zaskrbljujoče načine,« je dejal.

Rog izobilja nevarnih APT na igrišču

Microsoft je dosledno poročal o tem, kaj je videl v konfliktu med Rusijo in Ukrajino, predvsem zato, ker so njegovi raziskovalci menili, da se »napadi, ki so se tam dogajali, zelo premalo poročajo«, je dejal Hewie.

To je dodal več igralcev ciljajo na Ukrajino, so znane napredne trajne grožnje (APT), ki jih sponzorira Rusija, za katere se je izkazalo, da so izjemno nevarne, tako z vidika vohunjenja kot tudi v smislu fizičnega uničenja sredstev, kar imenuje nabor "strašljivih" zmogljivosti.

»Stroncij je bil na primer odgovoren za DNC napade že leta 2016; so nam dobro znani v smislu lažnega predstavljanja, prevzema računov — in to smo storili moteče dejavnosti na njihovo infrastrukturo,« je pojasnil. »Potem je tu še Iridium, alias Sandworm, ki je entiteta, ki se ji pripisuje nekaj prejšnjih napadov [Črna energija] na električno omrežje v Ukrajini, odgovorni pa so tudi za NotPetya. To je zelo prefinjen akter, ki je dejansko specializiran za ciljanje industrijskih nadzornih sistemov.«

Med drugim je izpostavil tudi Nobelium, APT, odgovoren za Napad na dobavno verigo, ki ga prenaša SolarWinds. "V tem letu so sodelovali pri kar nekaj vohunjenju ne samo proti Ukrajini, ampak proti zahodnim demokracijam, ki podpirajo Ukrajino," je dejal Hewie.

Politični povzetki rusko-ukrajinskega kibernetskega konflikta

Raziskovalci nimajo hipoteze, zakaj so napadi ostali tako ozki, vendar je Hewie opozoril, da je treba politične posledice situacije videti kot zelo, zelo široke. Najpomembneje je, da je jasno, da je nujno treba vzpostaviti norme za kibernetsko sodelovanje v prihodnosti.

To bi se moralo oblikovati na treh različnih področjih, začenši z »digitalno ženevsko konvencijo«, je dejal: »Svet je razvit okoli norm za kemično orožje in kopenske mine in to bi morali uporabiti za ustrezno vedenje v kibernetskem prostoru akterjev nacionalnih držav. .”

Drugi del tega prizadevanja je usklajevanje zakonov o kibernetski kriminaliteti – ali zagovarjanje, da države najprej razvijejo zakonodajo o kibernetski kriminaliteti. "Tako je manj varnih pristanišč za te kriminalne združbe, kjer lahko delujejo nekaznovano," pojasnjuje.

Tretjič, in širše gledano, zagovarjanje demokracije in volilnega procesa za demokratične države ima pomembne posledice za kibernetiko, saj zagovornikom omogoča dostop do ustreznih orodij, virov in informacij za motenje groženj.

»Videli ste, da Microsoft izvaja aktivne kibernetske operacije s podporo ustvarjalnih civilnih sporov, s partnerstvom z organi kazenskega pregona in mnogimi v varnostni skupnosti – stvari, kot so Trikbot or Emotet in druge vrste motečih dejavnosti,« je po besedah ​​Hewieja vse omogočeno, ker demokratične vlade informacij ne skrivajo. "To je širša slika."

Še en zaključek je na strani obrambe; migracijo v oblak bi morali začeti obravnavati kot kritičen del obrambe kritične infrastrukture med kinetičnim bojevanjem. Hewie je poudaril, da je ukrajinska obramba zapletena zaradi dejstva, da večina tamkajšnje infrastrukture deluje na mestu uporabe, ne v oblaku.

"Čeprav so verjetno ena najboljših držav v smislu obrambe pred ruskimi napadi v nekaj letih, še vedno večinoma delajo stvari na mestu, tako da je kot boj iz rok v roke," je rekel Hewie. "To je precej zahtevno."