Υπεράσπιση της Ουκρανίας: Πρώτα διδάγματα από τον πόλεμο στον κυβερνοχώρο

Η Ρωσία δεν στόχευσε απροσδόκητα το κυβερνητικό κέντρο δεδομένων της Ουκρανίας σε μια πρώιμη επίθεση με πυραύλους κρουζ, και άλλοι διακομιστές εγκαταστάσεων ήταν παρομοίως ευάλωτοι σε επιθέσεις με συμβατικά όπλα. Η Ρωσία στόχευσε επίσης τις καταστροφικές κυβερνοεπιθέσεις σε δίκτυα υπολογιστών εντός των εγκαταστάσεων. Ωστόσο, η κυβέρνηση της Ουκρανίας έχει διατηρήσει επιτυχώς τις πολιτικές και στρατιωτικές της επιχειρήσεις ενεργώντας γρήγορα για να διαθέσει την ψηφιακή της υποδομή στο δημόσιο cloud, όπου έχει φιλοξενηθεί σε κέντρα δεδομένων σε όλη την Ευρώπη.

Αυτό περιλάμβανε επείγοντα και έκτακτα βήματα από όλο τον τεχνολογικό τομέα, συμπεριλαμβανομένης της Microsoft. Αν και το έργο του τομέα της τεχνολογίας ήταν ζωτικής σημασίας, είναι επίσης σημαντικό να σκεφτούμε τα μακροχρόνια μαθήματα που προέρχονται από αυτές τις προσπάθειες.

Επειδή οι δραστηριότητες στον κυβερνοχώρο είναι αόρατες με γυμνό μάτι, είναι πιο δύσκολο να τις παρακολουθήσουν οι δημοσιογράφοι και ακόμη και πολλοί στρατιωτικοί αναλυτές. Η Microsoft έχει δει τον ρωσικό στρατό να εξαπολύει πολλαπλά κύματα καταστροφικών κυβερνοεπιθέσεων εναντίον 48 διαφορετικών ουκρανικών υπηρεσιών και επιχειρήσεων. Αυτοί προσπάθησαν να διεισδύσουν σε τομείς του δικτύου θέτοντας αρχικά σε κίνδυνο εκατοντάδες υπολογιστές και στη συνέχεια διαδίδοντας κακόβουλο λογισμικό που έχει σχεδιαστεί για να καταστρέφει το λογισμικό και τα δεδομένα σε χιλιάδες άλλους.

Οι ρωσικές τακτικές στον κυβερνοχώρο στον πόλεμο έχουν διαφοροποιηθεί από αυτές που αναπτύχθηκαν στην επίθεση NotPetya κατά της Ουκρανίας το 2017. Η επίθεση εκείνη χρησιμοποίησε καταστροφικό κακόβουλο λογισμικό που μπορούσε να μεταπηδήσει από τον έναν τομέα υπολογιστή στον άλλο και ως εκ τούτου να διασχίσει τα σύνορα σε άλλες χώρες. Η Ρωσία ήταν προσεκτική το 2022 για να περιορίσει το καταστροφικό λογισμικό wiper σε συγκεκριμένους τομείς δικτύου εντός της ίδιας της Ουκρανίας. Όμως, οι ίδιες οι πρόσφατες και συνεχιζόμενες καταστροφικές επιθέσεις ήταν πολύπλοκες και πιο διαδεδομένες από ό,τι αναγνωρίζουν πολλές αναφορές. Και ο ρωσικός στρατός συνεχίζει να προσαρμόζει αυτές τις καταστροφικές επιθέσεις στις μεταβαλλόμενες πολεμικές ανάγκες, συμπεριλαμβανομένης της σύζευξης των κυβερνοεπιθέσεων με τη χρήση συμβατικών όπλων.

Μια καθοριστική πτυχή αυτών των καταστροφικών επιθέσεων μέχρι στιγμής ήταν η δύναμη και η σχετική επιτυχία της άμυνας στον κυβερνοχώρο. Αν και δεν είναι τέλειες, και ορισμένες καταστροφικές επιθέσεις ήταν επιτυχείς, αυτές οι άμυνες στον κυβερνοχώρο έχουν αποδειχθεί ισχυρότερες από τις επιθετικές δυνατότητες στον κυβερνοχώρο. Αυτό αντανακλά δύο σημαντικές και πρόσφατες τάσεις. Πρώτον, τα επιτεύγματα της ευφυΐας προστασίας από απειλές στον κυβερνοχώρο, συμπεριλαμβανομένης της χρήσης τεχνητής νοημοσύνης, έχουν βοηθήσει να καταστεί δυνατός ο πιο αποτελεσματικός εντοπισμός αυτών των επιθέσεων. Και δεύτερον, η προστασία τελικού σημείου που συνδέεται στο Internet κατέστησε δυνατή τη γρήγορη διανομή προστατευτικού κώδικα λογισμικού τόσο σε υπηρεσίες cloud όσο και σε άλλες συνδεδεμένες υπολογιστικές συσκευές για τον εντοπισμό και την απενεργοποίηση αυτού του κακόβουλου λογισμικού. Οι συνεχιζόμενες καινοτομίες και τα μέτρα εν καιρώ πολέμου με την ουκρανική κυβέρνηση ενίσχυσαν περαιτέρω αυτή την προστασία. Ωστόσο, πιθανότατα θα χρειαστούν συνεχής επαγρύπνηση και καινοτομία για να διατηρηθεί αυτό το αμυντικό πλεονέκτημα.

Στη Microsoft εντοπίσαμε προσπάθειες εισβολής ρωσικού δικτύου σε 128 οργανισμούς σε 42 χώρες εκτός Ουκρανίας. Ενώ οι Ηνωμένες Πολιτείες ήταν ο νούμερο ένα στόχος της Ρωσίας, αυτή η δραστηριότητα έχει επίσης δώσει προτεραιότητα στην Πολωνία, όπου συντονίζεται μεγάλο μέρος της υλικοτεχνικής παράδοσης στρατιωτικής και ανθρωπιστικής βοήθειας. Οι ρωσικές δραστηριότητες έχουν επίσης στοχεύσει τις χώρες της Βαλτικής και κατά τους τελευταίους δύο μήνες υπήρξε αύξηση σε παρόμοια δραστηριότητα με στόχο δίκτυα υπολογιστών στη Δανία, τη Νορβηγία, τη Φινλανδία, τη Σουηδία και την Τουρκία. Έχουμε επίσης δει μια αύξηση σε παρόμοια δραστηριότητα με στόχο τα υπουργεία Εξωτερικών άλλων χωρών του ΝΑΤΟ.

Η ρωσική στόχευση έχει δώσει προτεραιότητα στις κυβερνήσεις, ειδικά μεταξύ των μελών του ΝΑΤΟ. Αλλά η λίστα των στόχων περιλαμβάνει επίσης δεξαμενές σκέψης, ανθρωπιστικές οργανώσεις, εταιρείες πληροφορικής και προμηθευτές ενέργειας και άλλων κρίσιμων υποδομών. Από την αρχή του πολέμου, η ρωσική στόχευση που έχουμε εντοπίσει ήταν επιτυχής στο 29% των περιπτώσεων. Το ένα τέταρτο αυτών των επιτυχημένων εισβολών οδήγησε σε επιβεβαιωμένη διείσδυση στα δεδομένα ενός οργανισμού, αν και όπως εξηγείται στην έκθεση, αυτό πιθανότατα υποτιμά τον βαθμό επιτυχίας της Ρωσίας.

Εξακολουθούμε να ανησυχούμε περισσότερο για τους κυβερνητικούς υπολογιστές που λειτουργούν σε εγκαταστάσεις και όχι στο cloud. Αυτό αντικατοπτρίζει την τρέχουσα και παγκόσμια κατάσταση της επιθετικής κυβερνοκατασκοπείας και της αμυντικής προστασίας στον κυβερνοχώρο. Όπως έδειξε το περιστατικό του SolarWinds πριν από 18 μήνες, οι υπηρεσίες πληροφοριών της Ρωσίας έχουν εξαιρετικά εξελιγμένες δυνατότητες να εμφυτεύουν κώδικα και να λειτουργούν ως Προηγμένη Μόνιμη Απειλή (APT που μπορεί να αποκτήσει και να διεισδύσει σε ευαίσθητες πληροφορίες από ένα δίκτυο σε συνεχή βάση. Υπήρξαν σημαντική πρόοδος στην αμυντική προστασία από τότε, αλλά η εφαρμογή αυτής της προόδου παραμένει πιο άνιση στις ευρωπαϊκές κυβερνήσεις παρά στις Ηνωμένες Πολιτείες. Ως αποτέλεσμα, παραμένουν σημαντικές συλλογικές αμυντικές αδυναμίες.

Αυτές συνδυάζουν τακτικές που αναπτύχθηκαν από την KGB για αρκετές δεκαετίες με νέες ψηφιακές τεχνολογίες και το internet για να δώσουν στις δραστηριότητες ξένης επιρροής ευρύτερη γεωγραφική εμβέλεια, μεγαλύτερο όγκο, πιο ακριβή στόχευση και μεγαλύτερη ταχύτητα και ευελιξία. Δυστυχώς, με επαρκή προγραμματισμό και πολυπλοκότητα, αυτές οι δραστηριότητες επιρροής στον κυβερνοχώρο είναι σε θέση να επωφεληθούν από το μακροχρόνιο άνοιγμα των δημοκρατικών κοινωνιών και τη δημόσια πόλωση που είναι χαρακτηριστικό της σημερινής εποχής.

Καθώς ο πόλεμος στην Ουκρανία έχει προχωρήσει, οι ρωσικές υπηρεσίες εστιάζουν στις δραστηριότητες επιρροής στον κυβερνοχώρο σε τέσσερα διαφορετικά ακροατήρια. Στοχεύουν τον ρωσικό πληθυσμό με στόχο τη διατήρηση της υποστήριξης στην πολεμική προσπάθεια. Στοχεύουν τον ουκρανικό πληθυσμό με στόχο να υπονομεύσουν την εμπιστοσύνη στην προθυμία και την ικανότητα της χώρας να αντισταθεί στις ρωσικές επιθέσεις. Στοχεύουν αμερικανικούς και ευρωπαϊκούς πληθυσμούς με στόχο να υπονομεύσουν τη δυτική ενότητα και να εκτρέψουν την επίκριση των ρωσικών στρατιωτικών εγκλημάτων πολέμου. Και αρχίζουν να στοχεύουν πληθυσμούς σε μη συμμαχικές χώρες, ενδεχομένως εν μέρει για να διατηρήσουν την υποστήριξή τους στα Ηνωμένα Έθνη και σε άλλους χώρους.

Οι ρωσικές δραστηριότητες επιρροής στον κυβερνοχώρο βασίζονται και συνδέονται με τακτικές που έχουν αναπτυχθεί για άλλες δραστηριότητες στον κυβερνοχώρο. Όπως οι ομάδες APT που εργάζονται στις ρωσικές υπηρεσίες πληροφοριών, οι ομάδες Advance Persistent Manipulator (APM) που σχετίζονται με ρωσικές κυβερνητικές υπηρεσίες ενεργούν μέσω των κοινωνικών μέσων και των ψηφιακών πλατφορμών. Προτοποθετούν ψευδή αφηγήματα με τρόπους που είναι παρόμοια με την προτοποθέτηση κακόβουλου λογισμικού και άλλου κώδικα λογισμικού. Στη συνέχεια ξεκινούν ευρεία και ταυτόχρονη «αναφορά» αυτών των αφηγημάτων από ιστότοπους που διαχειρίζονται και επηρεάζονται από την κυβέρνηση και ενισχύουν τα αφηγήματά τους μέσω τεχνολογικών εργαλείων που έχουν σχεδιαστεί για την εκμετάλλευση των υπηρεσιών κοινωνικής δικτύωσης. Πρόσφατα παραδείγματα περιλαμβάνουν αφηγήματα γύρω από τα βιοεργαστήρια στην Ουκρανία και πολλαπλές προσπάθειες να συγκαλυφθούν οι στρατιωτικές επιθέσεις εναντίον ουκρανικών στόχων αμάχων.

Στο πλαίσιο μιας νέας πρωτοβουλίας της Microsoft, χρησιμοποιούμε AI, νέα εργαλεία ανάλυσης, ευρύτερα σύνολα δεδομένων και ένα αυξανόμενο προσωπικό ειδικών για την παρακολούθηση και την πρόβλεψη αυτής της απειλής στον κυβερνοχώρο. Χρησιμοποιώντας αυτές τις νέες δυνατότητες, εκτιμούμε ότι οι ρωσικές δραστηριότητες επιρροής στον κυβερνοχώρο αύξησαν με επιτυχία τη διάδοση της ρωσικής προπαγάνδας μετά την έναρξη του πολέμου κατά 216 τοις εκατό στην Ουκρανία και 82 τοις εκατό στις Ηνωμένες Πολιτείες.

Αυτές οι συνεχιζόμενες ρωσικές δραστηριότητες βασίζονται σε πρόσφατες περίπλοκες προσπάθειες για τη διάδοση ψευδών αφηγημάτων για την COVID-19 σε πολλές δυτικές χώρες. Αυτά περιλάμβαναν κρατικές δραστηριότητες επιρροής στον κυβερνοχώρο το 2021 που προσπάθησαν να αποθαρρύνουν την υιοθέτηση εμβολίων μέσω αγγλόφωνων αναφορών στο Internet ενώ ταυτόχρονα ενθάρρυναν τη χρήση εμβολίων μέσω ιστοτόπων στα Ρωσικά. Κατά τη διάρκεια των τελευταίων έξι μηνών, παρόμοιες ρωσικές δραστηριότητες επιρροής στον κυβερνοχώρο προσπάθησαν να συμβάλουν στην πυροδότηση της κοινής αντίθεσης στις πολιτικές της COVID-19 στη Νέα Ζηλανδία και τον Καναδά.

Θα συνεχίσουμε να επεκτείνουμε το έργο της Microsoft σε αυτόν τον τομέα τις επόμενες εβδομάδες και μήνες. Σε αυτό περιλαμβάνεται τόσο η εσωτερική ανάπτυξη όσο και μέσω της συμφωνίας που ανακοινώσαμε την περασμένη εβδομάδα για την απόκτηση της Miburo Solutions, μιας κορυφαίας εταιρείας ανάλυσης και έρευνας απειλών στον κυβερνοχώρο που ειδικεύεται στον εντοπισμό και την απόκριση σε ξένες δραστηριότητες επιρροής στον κυβερνοχώρο.

Ανησυχούμε ότι πολλές τρέχουσες ρωσικές δραστηριότητες επιρροής στον κυβερνοχώρο συνεχίζονται επί μήνες χωρίς κατάλληλο εντοπισμό, ανάλυση ή δημόσιες αναφορές. Αυτό επηρεάζει όλο και περισσότερο ένα ευρύ φάσμα σημαντικών θεσμών τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα. Όσο περισσότερο διαρκεί ο πόλεμος στην Ουκρανία, τόσο πιο σημαντικές θα γίνουν αυτές οι δραστηριότητες για την ίδια την Ουκρανία. Αυτό συμβαίνει επειδή ένας μεγαλύτερος πόλεμος θα απαιτήσει τη διατήρηση της δημόσιας υποστήριξης από την αναπόφευκτη πρόκληση της μεγαλύτερης κόπωσης. Αυτό θα πρέπει να προσθέσει επείγων χαρακτήρα στη σημασία της ενίσχυσης της δυτικής άμυνας έναντι αυτών των τύπων ξένων επιθέσεων επιρροής στον κυβερνοχώρο.

Όπως δείχνει ο πόλεμος στην Ουκρανία, ενώ υπάρχουν διαφορές μεταξύ αυτών των απειλών, η ρωσική κυβέρνηση δεν τις επιδιώκει ως ξεχωριστές προσπάθειες και δεν πρέπει να τις βάλουμε σε ξεχωριστά αναλυτικά σιλό. Επιπλέον, οι αμυντικές στρατηγικές πρέπει να λαμβάνουν υπόψη τον συντονισμό αυτών των δραστηριοτήτων στον κυβερνοχώρο με κινητικές στρατιωτικές επιχειρήσεις, όπως μαρτυρήθηκε στην Ουκρανία.

Απαιτείται νέα πρόοδος για την αποτροπή αυτών των απειλών στον κυβερνοχώρο και θα εξαρτηθεί από τέσσερις κοινές αρχές και — τουλάχιστον σε υψηλό επίπεδο — από μια κοινή στρατηγική. Το πρώτο αμυντικό δόγμα θα πρέπει να αναγνωρίζει ότι οι ρωσικές απειλές στον κυβερνοχώρο προωθούνται από ένα κοινό σύνολο παραγόντων εντός και εκτός της ρωσικής κυβέρνησης και να βασίζεται σε παρόμοιες ψηφιακές τακτικές. Ως αποτέλεσμα, θα χρειαστεί πρόοδος στην ψηφιακή τεχνολογία, την τεχνητή νοημοσύνη και τα δεδομένα για την αντιμετώπισή τους. Αντικατοπτρίζοντας αυτό, μια δεύτερη αρχή θα πρέπει να αναγνωρίσει ότι σε αντίθεση με τις παραδοσιακές απειλές του παρελθόντος, οι απαντήσεις στον κυβερνοχώρο πρέπει να βασίζονται σε μεγαλύτερη δημόσια και ιδιωτική συνεργασία. Ένα τρίτο δόγμα θα πρέπει να περιλαμβάνει την ανάγκη για στενή και κοινή πολυμερή συνεργασία μεταξύ των κυβερνήσεων για την προστασία των ανοιχτών και δημοκρατικών κοινωνιών. Και ένα τέταρτο και τελευταίο αμυντικό δόγμα θα πρέπει να υποστηρίζει την ελεύθερη έκφραση και να αποφεύγει τη λογοκρισία στις δημοκρατικές κοινωνίες, ακόμη και όταν χρειάζονται νέα βήματα για την αντιμετώπιση του πλήρους φάσματος των απειλών στον κυβερνοχώρο που περιλαμβάνουν δραστηριότητες επιρροής στον κυβερνοχώρο.

Μια αποτελεσματική απάντηση πρέπει να βασίζεται σε αυτές τις αρχές με τέσσερις στρατηγικούς πυλώνες. Αυτά θα αυξήσουν τις συλλογικές ικανότητες για καλύτερο (1) εντοπισμό, (2) άμυνα, (3) διατάραξη και (4) αποτροπή ξένων απειλών στον κυβερνοχώρο. Αυτή η προσέγγιση αντικατοπτρίζεται ήδη σε πολλές συλλογικές προσπάθειες για την αντιμετώπιση καταστροφικών κυβερνοεπιθέσεων και κατασκοπείας που βασίζεται στον κυβερνοχώρο. Ισχύουν επίσης για την κρίσιμη και συνεχή εργασία που απαιτείται για την αντιμετώπιση επιθέσεων ransomware. Πλέον χρειαζόμαστε μια παρόμοια και ολοκληρωμένη προσέγγιση με νέες δυνατότητες και άμυνες για την καταπολέμηση των ρωσικών δραστηριοτήτων επιρροής στον κυβερνοχώρο.

Όπως συζητήθηκε σε αυτή την έκθεση, ο πόλεμος στην Ουκρανία δεν παρέχει μόνο μαθήματα αλλά και έκκληση για δράση για αποτελεσματικά μέτρα που θα είναι ζωτικής σημασίας για την προστασία του μέλλοντος της δημοκρατίας. Ως εταιρεία, δεσμευόμαστε να υποστηρίξουμε αυτές τις προσπάθειες, μεταξύ άλλων μέσω συνεχών και νέων επενδύσεων σε τεχνολογία, δεδομένα και συνεργασίες που θα υποστηρίξουν κυβερνήσεις, εταιρείες, ΜΚΟ και πανεπιστήμια.

Για να μάθετε περισσότερα, διαβάστε την πλήρη έκθεση.