การโจมตีทางไซเบอร์ของรัสเซียอย่างไม่หยุดยั้งในยูเครนทำให้เกิดคำถามเกี่ยวกับนโยบายที่สำคัญ

SECTOR 2022 — โตรอนโต — การยิงนัดแรกในสงครามไซเบอร์ระหว่างรัสเซียและยูเครนเกิดขึ้นจริงในวันที่ 23 ก.พ. เมื่อมีการโจมตีแบบทำลายล้างต่อองค์กรต่างๆ ในวันก่อนที่กองทหารรัสเซียจะเคลื่อนเข้าสู่ยูเครน ไมโครซอฟต์เปรียบเปรยว่า "ที่นั่น" เฝ้าสังเกตการพัฒนา - และนักวิจัยก็กังวลทันที

ยักษ์ใหญ่ด้านเทคโนโลยีบังเอิญมีเซ็นเซอร์ตำแหน่งล่วงหน้าในเครือข่ายสาธารณะและส่วนตัวในประเทศต่างๆ ติดตั้งร่วมกับทีมกู้คืนเหตุการณ์ของยูเครนหลังจากการโจมตีทางไซเบอร์ครั้งก่อน พวกเขายังคงทำงานอยู่ และได้รับกิจกรรมที่เกี่ยวข้องกับสโนว์บอลเป็นวงกว้างในขณะที่กองทัพรัสเซียรวมตัวกันที่ชายแดน

“เราเห็นการโจมตีระบบของรัฐบาลอย่างน้อย 200 ระบบที่เริ่มทำงานในพื้นที่ต่างๆ ที่เราตรวจพบในยูเครน” จอห์น ฮิววี เจ้าหน้าที่ความมั่นคงแห่งชาติของไมโครซอฟต์แคนาดากล่าว ขณะขึ้นเวทีที่ SecTor 2022 ในสัปดาห์นี้ที่เมืองโตรอนโต ในเซสชันหัวข้อ “ปกป้องยูเครน: บทเรียนแรกเริ่มจากสงครามไซเบอร์".

เขากล่าวเสริมว่า “เราได้จัดตั้งสายการติดต่อสื่อสารกับเจ้าหน้าที่ระดับสูงของยูเครนทั่วทั้งรัฐบาลและองค์กรต่างๆ ในยูเครนแล้ว และเราสามารถแบ่งปันข่าวกรองด้านภัยคุกคามไปมาได้”

สิ่งที่เกิดขึ้นจากข่าวกรองทั้งหมดในตอนแรกคือคลื่นของการโจมตีทางไซเบอร์มุ่งเป้าไปที่หน่วยงานของรัฐ ก่อนที่จะย้ายไปยังภาคการเงิน จากนั้นจึงไปที่ภาคไอที ก่อนที่จะเจาะจงไปที่ศูนย์ข้อมูลและบริษัทไอทีที่สนับสนุนหน่วยงานรัฐบาลในประเทศ แต่นั่นเป็นเพียงจุดเริ่มต้นเท่านั้น

สงครามไซเบอร์: การคุกคามทางกายภาพ

ในขณะที่สงครามดำเนินต่อไป ภาพลักษณ์ทางไซเบอร์ก็แย่ลง เนื่องจากโครงสร้างพื้นฐานและระบบที่สำคัญถูกใช้เพื่อสนับสนุนความพยายามในสงคราม ลงเอยด้วยกากบาท.

ไม่นานหลังจากการบุกรุกทางกายภาพ Microsoft พบว่าสามารถเชื่อมโยงการโจมตีทางไซเบอร์ในภาคโครงสร้างพื้นฐานที่สำคัญกับเหตุการณ์การเคลื่อนไหวได้ ตัวอย่างเช่น ในขณะที่การรณรงค์ของรัสเซียเคลื่อนตัวไปทั่วภูมิภาค Donbas ในเดือนมีนาคม นักวิจัยได้สังเกตเห็นการโจมตีที่ปัดน้ำฝนที่ประสานกันกับระบบลอจิสติกส์การขนส่งที่ใช้สำหรับการเคลื่อนย้ายทางทหารและการส่งมอบความช่วยเหลือด้านมนุษยธรรม

และการกำหนดเป้าหมายโรงงานนิวเคลียร์ในยูเครนด้วยกิจกรรมทางไซเบอร์เพื่อลดเป้าหมายก่อนการรุกรานทางทหารเป็นสิ่งที่นักวิจัยของ Microsoft ได้เห็นอย่างสม่ำเสมอตลอดช่วงสงคราม

“มีความคาดหมายว่าเรากำลังจะมีเหตุการณ์ใหญ่ที่คล้ายกับ NotPetya ซึ่งจะแพร่กระจายไปยังส่วนอื่นๆ ของโลก แต่นั่นไม่เกิดขึ้น” Hewie กล่าว แต่การโจมตีนั้นได้รับการปรับแต่งและกำหนดเป้าหมายไปที่องค์กรในลักษณะที่จำกัดขอบเขตและขนาดของมัน ตัวอย่างเช่น การใช้บัญชีพิเศษและการใช้นโยบายกลุ่มเพื่อปรับใช้มัลแวร์

“เรายังคงเรียนรู้ และเรากำลังพยายามแบ่งปันข้อมูลบางอย่างเกี่ยวกับขอบเขตและขนาดของการดำเนินงานที่เกี่ยวข้องที่นั่น และวิธีที่พวกเขาใช้ประโยชน์จากดิจิทัลในทางที่มีความหมายและเป็นปัญหา” เขากล่าว

ความอุดมสมบูรณ์ของ APT ที่เป็นอันตรายบนสนาม

Microsoft ได้รายงานอย่างต่อเนื่องเกี่ยวกับสิ่งที่เห็นในความขัดแย้งระหว่างรัสเซียและยูเครน ส่วนใหญ่เป็นเพราะนักวิจัยรู้สึกว่า “การโจมตีที่เกิดขึ้นที่นั่นมีการรายงานน้อยเกินไป” Hewie กล่าว

เขาเสริมว่า ผู้เล่นหลายคน การกำหนดเป้าหมายยูเครนเป็นที่ทราบกันว่าภัยคุกคามแบบถาวรขั้นสูง (APT) ที่รัสเซียสนับสนุน ซึ่งได้รับการพิสูจน์แล้วว่าเป็นอันตรายอย่างยิ่งจากทั้งมุมมองของหน่วยสืบราชการลับและในแง่ของการหยุดชะงักทางกายภาพของสินทรัพย์ ซึ่งเขาเรียกว่าความสามารถที่ "น่ากลัว"

“ตัวอย่างเช่น สตรอนเชียมรับผิดชอบ การโจมตีของ DNC ย้อนกลับไปในปี 2016; พวกเขารู้จักเราดีในแง่ของการฟิชชิง การยึดครองบัญชี — และเราก็ทำสำเร็จแล้ว กิจกรรมหยุดชะงัก กับโครงสร้างพื้นฐานของพวกเขา” เขาอธิบาย “จากนั้นก็มีอิริเดียมหรือที่รู้จักกันในนามแซนด์เวิร์ม ซึ่งเป็นตัวตนที่มีสาเหตุมาจากการโจมตี [พลังงานสีดำ] ก่อนหน้านี้เพื่อต่อต้าน ตารางพลังงานในยูเครนและพวกเขายังรับผิดชอบ NotPetya อีกด้วย นี่คือนักแสดงที่มีความซับซ้อนมาก โดยแท้จริงแล้วเชี่ยวชาญในการกำหนดเป้าหมายระบบควบคุมอุตสาหกรรม”

เขายังเรียกโนบีเลียม ซึ่งเป็น APT ที่รับผิดชอบเรื่อง การโจมตีห่วงโซ่อุปทานที่เกิดจาก SolarWinds. “พวกเขามีส่วนร่วมในการจารกรรมไม่น้อย ไม่ใช่แค่ยูเครน แต่กับประชาธิปไตยตะวันตกที่สนับสนุนยูเครนตลอดปีนี้” ฮิววีกล่าว

ประเด็นนโยบายจากความขัดแย้งทางไซเบอร์ระหว่างรัสเซียและยูเครน

นักวิจัยไม่มีสมมติฐานว่าเหตุใดการโจมตีจึงยังคงแคบ แต่ Hewie สังเกตว่าการแบ่งกลุ่มนโยบายของสถานการณ์ควรมองว่ากว้างมาก สิ่งสำคัญที่สุดคือ เป็นที่ชัดเจนว่ามีความจำเป็นในการกำหนดบรรทัดฐานสำหรับการมีส่วนร่วมในโลกไซเบอร์ในอนาคต

สิ่งนี้ควรเป็นรูปเป็นร่างในสามด้านที่แตกต่างกัน โดยเริ่มจาก "อนุสัญญาเจนีวาดิจิทัล" เขากล่าวว่า "โลกได้รับการพัฒนาโดยใช้บรรทัดฐานสำหรับอาวุธเคมีและทุ่นระเบิด และเราควรนำไปใช้กับพฤติกรรมที่เหมาะสมในไซเบอร์สเปซโดยนักแสดงของรัฐชาติ ”

ส่วนที่สองของความพยายามนั้นอยู่ที่การทำกฎหมายอาชญากรรมไซเบอร์ให้สอดคล้องกัน — หรือสนับสนุนให้ประเทศต่างๆ พัฒนากฎหมายอาชญากรรมไซเบอร์ตั้งแต่แรก “วิธีนี้ทำให้มีแหล่งหลบภัยน้อยลงสำหรับองค์กรอาชญากรรมเหล่านี้ในการดำเนินการโดยไม่ต้องรับโทษ” เขาอธิบาย

ประการที่สาม การปกป้องประชาธิปไตยและกระบวนการลงคะแนนเสียงสำหรับประเทศประชาธิปไตยมีการแบ่งสาขาที่สำคัญสำหรับไซเบอร์ เนื่องจากช่วยให้ผู้ปกป้องสามารถเข้าถึงเครื่องมือ ทรัพยากร และข้อมูลที่เหมาะสมเพื่อขัดขวางภัยคุกคาม

“คุณได้เห็น Microsoft ดำเนินการทางไซเบอร์อย่างแข็งขัน ด้วยการสนับสนุนการฟ้องร้องคดีแพ่งที่สร้างสรรค์ ร่วมกับความร่วมมือกับหน่วยงานบังคับใช้กฎหมาย และอีกมากมายในชุมชนความปลอดภัย — สิ่งต่างๆ เช่น กลโกง or Emotet และกิจกรรมก่อกวนประเภทอื่นๆ” อ้างอิงจาก Hewie ทั้งหมดนี้เป็นไปได้เพราะรัฐบาลประชาธิปไตยไม่เก็บข้อมูลไว้เป็นความลับ “นั่นคือภาพที่กว้างขึ้น”

อีกประเด็นหนึ่งคือด้านการป้องกัน การย้ายระบบคลาวด์ควรเริ่มถูกมองว่าเป็นส่วนสำคัญในการปกป้องโครงสร้างพื้นฐานที่สำคัญระหว่างสงครามการเคลื่อนไหว Hewie ชี้ให้เห็นว่าการป้องกันของยูเครนมีความซับซ้อนเนื่องจากโครงสร้างพื้นฐานส่วนใหญ่ที่ทำงานอยู่ในสถานที่ ไม่ใช่ในระบบคลาวด์

“และเท่าที่พวกเขาอาจเป็นหนึ่งในประเทศที่ดีที่สุดในแง่ของการป้องกันการโจมตีของรัสเซียในช่วงหลายปีมานี้ พวกเขายังคงทำสิ่งต่างๆ อยู่ในสถานที่เป็นส่วนใหญ่ ดังนั้นมันจึงเหมือนกับการต่อสู้แบบประชิดตัว” ฮิววี่กล่าวว่า “มันค่อนข้างท้าทาย”