KHU VỰC 2022 — Toronto — Những phát súng đầu tiên trong cuộc chiến tranh mạng Nga-Ukraine đã được bắn hầu như vào ngày 23 tháng XNUMX, khi các cuộc tấn công hủy diệt được tiến hành nhằm vào các tổ chức một ngày trước khi quân đội Nga tiến vào Ukraine. Theo nghĩa bóng, Microsoft đã “ở đó”, quan sát các diễn biến - và các nhà nghiên cứu của họ ngay lập tức lo ngại.
Người khổng lồ công nghệ đã tình cờ có các cảm biến định vị trước trong các mạng công cộng và riêng tư trong nước, được cài đặt cùng với các nhóm khắc phục sự cố của Ukraine sau các cuộc tấn công mạng trước đó. Chúng vẫn đang hoạt động và thu thập được nhiều hoạt động ném tuyết liên quan khi quân đội Nga tập trung ở biên giới.
John Hewie, nhân viên an ninh quốc gia tại Microsoft Canada, phát biểu trên sân khấu tại SecTor 200 tuần này ở Toronto, trong một phiên có tiêu đề: “Chúng tôi đã chứng kiến các cuộc tấn công nhằm vào ít nhất 2022 hệ thống chính phủ khác nhau bắt đầu chạy ở các khu vực khác nhau ở Ukraine”. “Bảo vệ Ukraine: Bài học sớm từ Chiến tranh mạng".
Ông nói thêm, “Chúng tôi cũng đã thiết lập một đường dây liên lạc với các quan chức cấp cao của Ukraine trong chính phủ cũng như các tổ chức ở Ukraine - và chúng tôi có thể chia sẻ thông tin tình báo về mối đe dọa qua lại.”
Điều nổi lên từ tất cả những gì thông tin ban đầu là làn sóng tấn công mạng đang nhắm vào các cơ quan chính phủ, trước khi chuyển sang lĩnh vực tài chính, sau đó là lĩnh vực CNTT, trước khi đặc biệt tập trung vào các trung tâm dữ liệu và các công ty CNTT hỗ trợ các cơ quan chính phủ trong nước. Nhưng đó mới chỉ là khởi đầu.
Chiến tranh mạng: Đe dọa tác hại về thể chất
Khi chiến tranh tiếp diễn, bức tranh mạng trở nên tồi tệ hơn, vì cơ sở hạ tầng và hệ thống quan trọng được sử dụng để hỗ trợ nỗ lực chiến tranh cuối cùng đã kết thúc trong những cuộc vượt biên.
Ngay sau khi bắt đầu cuộc xâm lược vật lý, Microsoft nhận thấy rằng họ cũng có thể tương quan các cuộc tấn công mạng trong lĩnh vực cơ sở hạ tầng quan trọng với các sự kiện động học. Ví dụ, khi chiến dịch của Nga di chuyển quanh khu vực Donbas vào tháng XNUMX, các nhà nghiên cứu đã quan sát thấy các cuộc tấn công phối hợp chống lại các hệ thống hậu cần giao thông vận tải được sử dụng cho việc di chuyển quân sự và cung cấp viện trợ nhân đạo.
Và việc nhắm mục tiêu vào các cơ sở hạt nhân ở Ukraine bằng hoạt động mạng để làm dịu mục tiêu trước khi có các cuộc tấn công quân sự là điều mà các nhà nghiên cứu của Microsoft đã thấy nhất quán trong suốt cuộc chiến.
Hewie lưu ý: “Người ta kỳ vọng rằng chúng tôi sẽ có một sự kiện lớn giống như NotPetya sẽ lan sang phần còn lại của thế giới, nhưng điều đó đã không xảy ra”. Thay vào đó, các cuộc tấn công được thiết kế rất phù hợp và nhắm mục tiêu vào các tổ chức theo cách hạn chế phạm vi và quy mô của họ — ví dụ: sử dụng các tài khoản đặc quyền và sử dụng Chính sách nhóm để triển khai phần mềm độc hại.
Ông nói: “Chúng tôi vẫn đang tìm hiểu và đang cố gắng chia sẻ một số thông tin xung quanh phạm vi và quy mô của các hoạt động đã tham gia ở đó cũng như cách họ tận dụng kỹ thuật số theo một số cách có ý nghĩa và đáng lo ngại”.
Khả năng xảy ra các APT nguy hiểm trên thực địa
Hewie cho biết, Microsoft đã liên tục báo cáo về những gì họ thấy trong cuộc xung đột Nga-Ukraine, phần lớn là do các nhà nghiên cứu của họ cảm thấy rằng “các cuộc tấn công đang diễn ra ở đó đã được báo cáo quá thấp”.
Ông nói thêm rằng một số người chơi nhắm mục tiêu vào Ukraine được biết đến là các mối đe dọa dai dẳng nâng cao (APT) do Nga tài trợ đã được chứng minh là cực kỳ nguy hiểm, từ cả góc độ gián điệp cũng như về mặt phá hủy tài sản vật lý, mà ông gọi là một tập hợp các khả năng “đáng sợ”.
“Ví dụ, Strontium chịu trách nhiệm về các cuộc tấn công DNC trở lại năm 2016; chúng tôi biết rõ chúng về lừa đảo, chiếm đoạt tài khoản — và chúng tôi đã làm được điều đó hoạt động gián đoạn đến cơ sở hạ tầng của họ,” ông giải thích. “Sau đó là Iridium, hay còn gọi là Sandworm, là thực thể được cho là gây ra một số cuộc tấn công [Năng lượng đen] trước đó chống lại lưới điện ở Ukrainevà họ cũng chịu trách nhiệm về NotPetya. Đây là một kẻ rất tinh vi chuyên nhắm vào các hệ thống điều khiển công nghiệp.”
Trong số những người khác, ông cũng gọi Nobelium, APT chịu trách nhiệm về Cuộc tấn công chuỗi cung ứng do SolarWinds thực hiện. Hewie nói: “Họ đã tham gia vào khá nhiều hoạt động gián điệp không chỉ chống lại Ukraine mà còn chống lại các nền dân chủ phương Tây ủng hộ Ukraine trong suốt năm nay”.
Chính sách rút ra từ Xung đột mạng Nga-Ukraine
Các nhà nghiên cứu không có giả thuyết về lý do tại sao các cuộc tấn công vẫn ở phạm vi hẹp như vậy, nhưng Hewie lưu ý rằng sự phân nhánh chính sách của tình hình nên được coi là rất, rất rộng. Quan trọng nhất, rõ ràng là cần phải thiết lập các tiêu chuẩn cho hoạt động tương tác trên mạng trong tương lai.
Ông nói: “Điều này sẽ hình thành trong ba lĩnh vực riêng biệt, bắt đầu bằng “Công ước Geneva kỹ thuật số”. .”
Phần thứ hai của nỗ lực đó nằm ở việc hài hòa hóa luật tội phạm mạng - hoặc ủng hộ việc các quốc gia xây dựng luật tội phạm mạng ngay từ đầu. Ông giải thích: “Bằng cách đó, sẽ có ít bến đỗ an toàn hơn cho các tổ chức tội phạm này hoạt động mà không bị trừng phạt”.
Thứ ba, và nói rộng hơn, bảo vệ nền dân chủ và quy trình bỏ phiếu cho các quốc gia dân chủ có những phân nhánh quan trọng đối với không gian mạng, vì nó cho phép những người bảo vệ có quyền truy cập vào các công cụ, tài nguyên và thông tin thích hợp để ngăn chặn các mối đe dọa.
“Bạn đã thấy Microsoft thực hiện các hoạt động mạng tích cực, với sự hỗ trợ của các vụ kiện dân sự sáng tạo, với sự hợp tác với cơ quan thực thi pháp luật và nhiều người trong cộng đồng bảo mật - những thứ như Trickbot or Emotet và các loại hoạt động gây gián đoạn khác,” theo Hewie, tất cả đều có thể thực hiện được vì các chính phủ dân chủ không giữ bí mật thông tin. “Đó là bức tranh rộng hơn.”
Một điều khác nữa là về mặt phòng thủ; di chuyển đám mây nên bắt đầu được coi là một phần quan trọng để bảo vệ cơ sở hạ tầng quan trọng trong chiến tranh động học. Hewie chỉ ra rằng việc phòng thủ của Ukraine rất phức tạp bởi thực tế là hầu hết các cơ sở hạ tầng ở đó đều được vận hành tại chỗ chứ không phải trên đám mây.
“Và mặc dù họ có lẽ là một trong những quốc gia tốt nhất về khả năng phòng thủ trước các cuộc tấn công của Nga trong nhiều năm, nhưng họ vẫn chủ yếu thực hiện các công việc tại chỗ, vì vậy nó giống như chiến đấu tay đôi,” Hewie nói. “Nó khá khó khăn.”
