СЕКТОР 2022 — Торонто — Перші постріли в російсько-українській кібервійні пролунали фактично 23 лютого, коли були здійснені деструктивні атаки на організації за день до введення російських військ в Україну. Корпорація Майкрософт образно «була там», спостерігаючи за розвитком подій — і її дослідники одразу ж занепокоїлися.
Технологічний гігант попередньо розташував датчики в різних публічних і приватних мережах у країні, встановлені спільно з українськими групами з відновлення інцидентів після попередніх кібератак. Вони все ще функціонували та підхопили широку хвилю занепокоєння, бурхливої активності, коли російська армія скупчилася на кордоні.
«Ми бачили атаки на принаймні 200 різних державних систем, які почали запускатися в різних областях, які ми виявили в Україні», — сказав Джон Г’юї, офіцер національної безпеки Microsoft Canada, виступаючи на SecTor 2022 цього тижня в Торонто під час сесії під назвою «Захист України: ранні уроки кібервійни».
Він додав: «Ми також уже встановили лінію зв’язку з високопоставленими українськими посадовцями в уряді та організаціях в Україні — і ми змогли обмінюватися розвідувальною інформацією про загрози».
З усіх цих даних спочатку випливає, що хвиля кібератак була націлена на урядові установи, перш ніж перейти до фінансового сектора, потім ІТ-сектору, а потім спеціально зосередитися на центрах обробки даних та ІТ-компаніях, які підтримують урядові установи в країні. Але це був лише початок.
Кібервійна: загроза фізичної шкоди
У міру того, як війна тривала, кіберкартина погіршувалася, оскільки критична інфраструктура та системи використовувалися для підтримки військових зусиль опинився в перехресті прицілу.
Незабаром після початку фізичного вторгнення Microsoft виявила, що вона також здатна співвідносити кібератаки в секторі критичної інфраструктури з кінетичними подіями. Наприклад, коли в березні російська кампанія розгорталася навколо Донбасу, дослідники спостерігали скоординовані атаки на транспортні логістичні системи, які використовуються для переміщення військових і доставки гуманітарної допомоги.
А націлювання на ядерні об’єкти в Україні за допомогою кіберактивності для пом’якшення цілі перед військовими вторгненнями – це те, що дослідники Microsoft постійно спостерігали протягом усієї війни.
«Очікувалося, що у нас буде велика подія, схожа на NotPetya, яка розповсюдиться на решту світу, але цього не сталося», — зауважив Г’юї. Натомість атаки були дуже адаптованими та націленими на організації таким чином, щоб обмежити їх сферу дії та масштаб — наприклад, використання привілейованих облікових записів і використання групової політики для розгортання зловмисного програмного забезпечення.
«Ми все ще вчимося й намагаємося поділитися деякою інформацією щодо обсягу та масштабу операцій, які там були залучені, а також того, як вони використовують цифрові технології в певний значущий і тривожний спосіб», — сказав він.
Ріг достатку небезпечних APT на полі
Microsoft постійно звітує про те, що вона бачила в російсько-українському конфлікті, головним чином тому, що її дослідники вважали, що «атаки, які там відбувалися, були значно занижені», - сказав Хьюї.
Він додав, що кілька гравців На Україну націлені відомі спонсоровані Росією передові постійні загрози (APT), які виявилися надзвичайно небезпечними як з точки зору шпигунства, так і з точки зору фізичного руйнування активів, які він називає набором «страшних» можливостей.
«Стронцій, наприклад, відповідав за атакує DNC ще в 2016 році; вони добре відомі нам у сфері фішингу, захоплення облікових записів — і ми це зробили зрив діяльності до їх інфраструктури», – пояснив він. «Тоді є Iridium, він же Sandworm, який є сутністю, яку приписують деяким із попередніх атак [Black Energy] проти електромережі України, і вони також відповідають за NotPetya. Це дуже досвідчений актор, який насправді спеціалізується на націленні на промислові системи управління».
Серед інших він також назвав Nobelium, APT, відповідальний за Атака на ланцюжок постачання через SolarWinds. «Вони були залучені в шпигунство не тільки проти України, але й проти західних демократій, які підтримують Україну протягом цього року», – сказав Г’юї.
Політичні висновки з російсько-українського кіберконфлікту
У дослідників немає гіпотези, чому атаки залишаються такими вузькими, але Г’юї зазначив, що політичні наслідки ситуації слід розглядати як дуже, дуже широкі. Найважливіше те, що зрозуміло, що необхідно встановити норми для кіберзалучення в майбутньому.
Це має оформитися в трьох окремих сферах, починаючи з «цифрової Женевської конвенції», сказав він: «Світ розвивається навколо норм щодо хімічної зброї та наземних мін, і ми повинні застосовувати це до відповідної поведінки в кіберпросторі суб’єктів національної держави. .”
Друга частина цих зусиль полягає в узгодженні законів про кіберзлочинність — або пропагування країнами розробки законів про кіберзлочинність в першу чергу. «Таким чином у цих злочинних організацій буде менше притулків для безкарної діяльності», – пояснює він.
По-третє, і ширше кажучи, захист демократії та процесу голосування в демократичних країнах має важливі наслідки для кібернетики, оскільки це дозволяє захисникам мати доступ до відповідних інструментів, ресурсів та інформації для подолання загроз.
«Ви бачили, як Microsoft проводить активні кібероперації за підтримки творчих цивільних судових процесів, партнерства з правоохоронними органами та багатьма представниками спільноти безпеки — такі речі, як Trickbot or Емотет та інші типи підривної діяльності», за словами Г’юї, все це стало можливим завдяки тому, що демократичні уряди не зберігають інформацію в таємниці. «Це ширша картина».
Інший висновок стосується захисту; хмарна міграція повинна почати розглядатися як критична частина захисту критичної інфраструктури під час кінетичної війни. Г’юї зазначив, що захист України ускладнюється тим фактом, що більшість інфраструктури там працює локально, а не в хмарі.
«І хоча вони, ймовірно, є однією з найкращих країн щодо захисту від нападів Росії протягом кількох років, вони все ще здебільшого роблять це на місці, тому це схоже на рукопашний бій», — сказав Хьюї. «Це досить складно».
