SEKTOR 2022 — Toronto — De första skotten i cyberkriget mellan Ryssland och Ukraina avlossades praktiskt taget den 23 februari, när destruktiva attacker inleddes mot organisationer dagen innan ryska militära trupper flyttade in i Ukraina. Microsoft var bildligt talat "där" och observerade utvecklingen - och dess forskare var omedelbart oroliga.
Teknikjätten råkade ha förpositionerade sensorer inom olika offentliga och privata nätverk i landet, installerade i samarbete med ukrainska incident-återställningsteam i kölvattnet av tidigare cyberattacker. De fungerade fortfarande och plockade upp en stor mängd oroande snöbollsaktiviteter när den ryska armén samlades på gränsen.
"Vi såg attacker mot minst 200 olika regeringssystem som började köras i olika områden som vi upptäckte i Ukraina", sa John Hewie, nationell säkerhetsansvarig på Microsoft Kanada, som tog scenen på SecTor 2022 denna vecka i Toronto, i en session med titeln "Försvara Ukraina: Tidiga lärdomar från cyberkriget. "
Han tillade, "Vi hade också redan etablerat en kommunikationslinje med höga ukrainska tjänstemän över hela regeringen och även organisationer i Ukraina - och vi kunde dela hotunderrättelser fram och tillbaka."
Det som till en början kom fram från all information var att vågen av cyberattacker riktade sig mot statliga myndigheter, innan man gick vidare till finanssektorn, sedan IT-sektorn, innan man specifikt nollställde datacenter och IT-företag som stödjer statliga myndigheter i landet. Men det var bara början.
Cyberkrigföring: hotar med fysisk skada
Allt eftersom kriget fortsatte försämrades cyberbilden, eftersom kritisk infrastruktur och system användes för att stödja krigsansträngningen hamnade i hårkorset.
Strax efter början av den fysiska invasionen fann Microsoft att man också kunde koppla cyberattacker i den kritiska infrastruktursektorn med kinetiska händelser. Till exempel, när den ryska kampanjen rörde sig runt Donbas-regionen i mars, observerade forskare samordnade torkareattacker mot transportlogistiksystem som används för militär rörelse och leverans av humanitärt bistånd.
Och att rikta in kärnkraftsanläggningar i Ukraina med cyberaktivitet för att mildra ett mål före militära intrång är något som Microsoft-forskare har sett konsekvent under hela kriget.
"Det fanns den här förväntningen att vi skulle ha en stor NotPetya-liknande händelse som skulle sprida sig till resten av världen, men det hände inte," noterade Hewie. Istället har attackerna varit mycket skräddarsydda och riktade mot organisationer på ett sätt som begränsat deras omfattning och skala – till exempel genom att använda privilegierade konton och använda Group Policy för att distribuera skadlig programvara.
"Vi lär oss fortfarande, och vi försöker dela lite information om omfattningen och omfattningen av de verksamheter som har varit inblandade där och hur de utnyttjar digitalt på några meningsfulla och oroande sätt," sa han.
Ett ymnighetshorn av farliga APTs på fältet
Microsoft har konsekvent rapporterat om vad man har sett i konflikten mellan Ryssland och Ukraina, till stor del för att dess forskare ansåg att "attackerna som pågick där var kraftigt underrapporterade", sa Hewie.
Han tillade det flera av spelarna som riktar sig mot Ukraina är kända Rysslandssponsrade avancerade ihållande hot (APTs) som har visat sig vara extremt farliga, både ur ett spionageperspektiv och när det gäller fysiska störningar av tillgångar, som han kallar en uppsättning "läskiga" förmågor.
”Strontium var till exempel ansvarig för DNC-attackerna tillbaka 2016; de är välkända för oss när det gäller nätfiske, kontoövertagande – och det har vi gjort störande verksamhet till deras infrastruktur”, förklarade han. "Sedan finns det Iridium, aka Sandworm, som är den enhet som tillskrivs några av de tidigare [Black Energy] attackerna mot elnätet i Ukraina, och de är också ansvariga för NotPetya. Det här är en mycket sofistikerad aktör som faktiskt är specialiserad på att rikta in sig på industriella styrsystem."
Bland annat ropade han också ut Nobelium, APT som ansvarar för SolarWinds-buren supply chain attack. "De har varit engagerade i en hel del spionage mot inte bara Ukraina, utan mot västerländska demokratier som stöder Ukraina under hela detta år", sa Hewie.
Policyuttag från Cyber-konflikten mellan Ryssland och Ukraina
Forskare har ingen hypotes för varför attackerna har förblivit så snäva, men Hewie noterade att de politiska konsekvenserna av situationen bör ses som väldigt, väldigt breda. Det viktigaste är att det är uppenbart att det är nödvändigt att fastställa normer för cyberengagemang framöver.
Detta bör ta form inom tre distinkta områden, som börjar med en "digital Genèvekonvention", sade han: "Världen är utvecklad kring normer för kemiska vapen och landminor, och vi borde tillämpa det på lämpligt beteende i cyberrymden av nationalstatsaktörer. .”
Den andra delen av denna ansträngning ligger i att harmonisera cyberbrottslagar - eller förespråka att länder utvecklar cyberbrottslagar i första hand. "På det sättet finns det färre säkra hamnar för dessa kriminella organisationer att fungera ostraffat", förklarar han.
För det tredje, och mer allmänt sett, har försvaret av demokrati och röstningsprocessen för demokratiska länder viktiga konsekvenser för cyber, eftersom det tillåter försvarare att ha tillgång till lämpliga verktyg, resurser och information för att störa hot.
"Du har sett Microsoft göra aktiva cyberoperationer, med stöd av kreativa civilrättsliga tvister, med partnerskap med brottsbekämpande myndigheter och många inom säkerhetsgemenskapen - saker som trickbot or Emotet och andra typer av störningsaktiviteter”, enligt Hewie, allt möjligt eftersom demokratiska regeringar inte håller information hemlig. "Det är den bredare bilden."
En annan takeaway är på försvarssidan; molnmigrering bör börja ses som en viktig del av att försvara kritisk infrastruktur under kinetisk krigföring. Hewie påpekade att det ukrainska försvaret kompliceras av det faktum att det mesta av infrastrukturen där körs på plats, inte i molnet.
"Och så mycket som de förmodligen är ett av de bästa länderna när det gäller att försvara sig mot ryska attacker under ett antal år, så gör de fortfarande mestadels på plats, så det är som hand-to-hand-strider." sa Hewie. "Det är ganska utmanande."
