SEKTÖR 2022 — Toronto — Rusya-Ukrayna siber savaşındaki ilk atışlar, Rus askeri birliklerinin Ukrayna'ya taşınmasından bir gün önce örgütlere yönelik yıkıcı saldırıların başlatıldığı 23 Şubat'ta neredeyse ateşlendi. Microsoft mecazi anlamda "oradaydı", gelişmeleri izliyordu ve araştırmacıları hemen endişelendi.
Teknoloji devi, önceki siber saldırıların ardından Ukraynalı olay kurtarma ekipleriyle birlikte kurulan, ülkedeki çeşitli kamu ve özel ağlarda önceden konumlandırılmış sensörlere sahip oldu. Hala çalışıyorlardı ve Rus ordusu sınırda yığılırken geniş bir yelpazede ilgili, kartopu faaliyeti aldılar.
Bu hafta Toronto'da SecTor 200'de sahne alan Microsoft Kanada ulusal güvenlik görevlisi John Hewie, "Ukrayna'da tespit ettiğimiz farklı alanlarda çalışmaya başlayan en az 2022 farklı hükümet sistemine yönelik saldırılar gördük" dedi. “Ukrayna'yı Savunmak: Siber Savaştan Erken Dersler".
"Ayrıca hükümet ve ayrıca Ukrayna'daki kuruluşlar arasında üst düzey Ukraynalı yetkililerle bir iletişim hattı kurduk ve tehdit istihbaratını ileri geri paylaşabildik" diye ekledi.
Tüm bu istihbaratlardan başlangıçta ortaya çıkan şey, siber saldırı dalgasının önce finans sektörüne, ardından da BT sektörüne geçmeden önce devlet kurumlarını hedef almasıydı. Fakat bu sadece bir başlangıçtı.
Siber Savaş: Fiziksel Zarar Tehdidi
Savaş devam ettikçe siber görüntü kötüleşti, çünkü kritik altyapı ve sistemler savaş çabalarını desteklemek için kullanıldı. çapraz çizgide sona erdi.
Fiziksel istilanın başlamasından kısa bir süre sonra Microsoft, kritik altyapı sektöründeki siber saldırıları da kinetik olaylarla ilişkilendirebildiğini keşfetti. Örneğin, Rus harekatı Mart ayında Donbas bölgesini dolaşırken, araştırmacılar askeri hareket ve insani yardımın teslimi için kullanılan ulaşım lojistik sistemlerine karşı koordineli silme saldırıları gözlemlediler.
Ve askeri saldırılardan önce bir hedefi yumuşatmak için siber faaliyetlerle Ukrayna'daki nükleer tesisleri hedef almak, Microsoft araştırmacılarının savaş boyunca sürekli olarak gördüğü bir şey.
Hewie, "Dünyanın geri kalanına yayılacak olan NotPetya benzeri büyük bir etkinliğimiz olacağına dair bir beklenti vardı, ama bu olmadı," dedi Hewie. Bunun yerine saldırılar, kapsamlarını ve ölçeklerini sınırlayacak şekilde, örneğin ayrıcalıklı hesapların kullanılması ve kötü amaçlı yazılımı dağıtmak için Grup İlkesi'nin kullanılması gibi, çok özel olarak tasarlanmış ve kuruluşlara yöneliktir.
"Hala öğreniyoruz ve orada yer alan operasyonların kapsamı ve ölçeği ve dijitalden bazı anlamlı ve rahatsız edici şekillerde nasıl yararlandıkları hakkında bazı bilgileri paylaşmaya çalışıyoruz" dedi.
Sahadaki Tehlikeli APT'lerin Bereketi
Hewie, Microsoft'un Rusya-Ukrayna ihtilafında gördüklerini sürekli olarak rapor ettiğini, çünkü araştırmacılarının “orada devam eden saldırıların büyük ölçüde eksik bildirildiğini” düşündüklerini söyledi.
Ekledi birkaç oyuncu Ukrayna'yı hedef alan, hem casusluk açısından hem de bir dizi “korkutucu” yetenek olarak adlandırdığı varlıkların fiziksel olarak bozulması açısından son derece tehlikeli olduğu kanıtlanmış, Rusya destekli gelişmiş kalıcı tehditler (APT'ler) olarak biliniyor.
"Stronsiyum, örneğin, DNC saldırıları 2016 yılında; onlar bizim tarafımızdan kimlik avı, hesap ele geçirme konularında iyi biliniyorlar ve biz de bunu başardık bozulma faaliyetleri altyapılarına” dedi. “Sonra, daha önceki [Kara Enerji] saldırılarından bazılarına atfedilen varlık olan İridyum, diğer adıyla Sandworm var. Ukrayna'da elektrik şebekesi, ayrıca NotPetya'dan da sorumludurlar. Bu, aslında endüstriyel kontrol sistemlerini hedeflemede uzmanlaşmış çok sofistike bir aktör.”
Diğerlerinin yanı sıra, APT'den sorumlu Nobelium'u da çağırdı. SolarWinds kaynaklı tedarik zinciri saldırısı. Hewie, "Sadece Ukrayna'ya karşı değil, bu yıl boyunca Ukrayna'yı destekleyen Batılı demokrasilere karşı da epeyce casusluk yaptılar" dedi.
Rusya-Ukrayna Siber Çatışmasından Politika Çıkarımları
Araştırmacılar, saldırıların neden bu kadar dar kaldığına dair bir hipoteze sahip değiller, ancak Hewie, durumun politika sonuçlarının çok, çok geniş olarak görülmesi gerektiğine dikkat çekti. En önemlisi, ileriye dönük siber angajman için normlar oluşturma zorunluluğu olduğu açıktır.
Bu, “dijital Cenevre Sözleşmesi” ile başlayarak üç farklı alanda şekillenmeli: “Dünya, kimyasal silahlar ve mayınlar için normlar etrafında gelişiyor ve bunu, ulus-devlet aktörlerinin siber uzayda uygun davranışlarına uygulamalıyız. ”
Bu çabanın ikinci parçası, siber suç yasalarını uyumlu hale getirmekte ya da ilk etapta ülkelerin siber suç yasaları geliştirmesini savunmakta yatıyor. “Bu şekilde, bu suç örgütlerinin cezasız bir şekilde faaliyet gösterebilecekleri daha az güvenli liman var” diye açıklıyor.
Üçüncüsü ve daha genel olarak konuşursak, demokrasiyi ve demokratik ülkeler için oy verme sürecini savunmanın siber için önemli sonuçları vardır, çünkü savunucuların tehditleri engellemek için uygun araçlara, kaynaklara ve bilgilere erişmelerine izin verir.
“Microsoft'un yaratıcı hukuk davalarının desteğiyle, kolluk kuvvetleriyle ve güvenlik camiasındaki pek çok kişiyle ortaklıkla aktif siber operasyonlar gerçekleştirdiğini gördünüz. Trickbot or Emotet Hewie'ye göre, tüm bunlar demokratik hükümetlerin bilgiyi gizli tutmadığı için mümkün oldu. "Bu daha geniş resim."
Bir başka paket servis de savunma tarafında; bulut geçişi, kinetik savaş sırasında kritik altyapıyı savunmanın kritik bir parçası olarak görülmeye başlamalıdır. Hewie, altyapının çoğunun bulutta değil, şirket içinde çalıştırılması nedeniyle Ukrayna savunmasının karmaşık olduğuna dikkat çekti.
"Ve birkaç yıl boyunca Rus saldırılarına karşı savunma açısından muhtemelen en iyi ülkelerden biri olmalarına rağmen, hala işleri çoğunlukla şirket içinde yapıyorlar, bu yüzden göğüs göğüse çarpışma gibi" dedi Hewie. “Oldukça zorlu.”
