Obrana Ukrajine: Prve lekcije iz kibernetičkog rata

U povijesti svakog rata obično je zabilježeno tko je prvi zapucao i tko je tome svjedočio. Svaki izvještaj daje kratki pogled ne samo na to tko je započeo rat, već i prirodu razdoblja u kojem su ljudi živjeli.

Povjesničari koji raspravljaju prve ispaljene metke u američkom Građanskom ratu 1861 obično opisuju pištolje, topove i brodarice oko luke u blizini Charlestona, Južna Karolina.

Događaji su se naglo razvijali prema početku Prvog svjetskog rata 1914. kada su teroristi na čistom vidiku na gradskim ulicama u Sarajevu koristili granate i pištolje kako ubili nadvojvodu Austrougarskog carstva.

Tek se na Nürnberškim procesima u potpunosti razumjelo što se dogodilo blizu poljske granice 25 godina kasnije. Godine 1939. nacističke SS trupe obučene u poljske uniforme izvele su napad protiv njemačke radio stanice. Adolf Hitler citirao je te napade kako bi opravdao blitzkrieg invazije u kojoj su se kombinirali tenkovi, avioni i trupe kako bi osvojio poljske gradove i građane.

Svaki od ovih incidenata također prikazuje tehnologiju tog vremena – tehnologiju koja će igrati ulogu u ratu koji bi se razvio i životima ljudi koji su ga proživljavali.

Rat u Ukrajini prati ovaj uzorak. Ruska vojska rasporedila se preko ukrajinske granice 24. veljače 2022. s kombinacijom trupa, tenkova, letjelica i kružnih projektila. No prvi su pucnjevi zapravo satima prije kada je kalendar još uvijek pokazivao na 23. veljače. Uključivali su kibernetičko oružje zvano „Foxblade” koje je pokrenuto protiv računala u Ukrajini. Kao odraz tehnologije našeg doba, oni koji su prvi primijetili napad bili su udaljeni pola svijeta, radili su u Sjedinjenim Američkim Državama u Redmondu, Washington.

Ovo najviše opisuje važnost koraka unatrag i procjenjivanja prvih nekoliko mjeseci rata u Ukrajini koji je bio devastirajući za tu zemlju u pogledu razaranja i gubitaka života, uključujući nevine građane. Dok nitko ne može predvidjeti koliko će ovaj rat trajati, već je očito da je odraz trenda kojem smo svjedočili u sukobima u zadnja dva stoljeća. Zemlje vode ratove koristeći najnoviju tehnologiju, a sami ratovi ubrzavaju tehnološku promjenu. Stoga je važno kontinuirano procjenjivati učinak rata na razvoj i korištenje tehnologije.

Ruska invazija dijelom se oslanja na kibernetičku strategiju koja obuhvaća tri različita i ponekad koordinirana napora – destruktivne računalne napade u Ukrajini, proboj mreže i špijunažu izvan Ukrajine te kibernetičke operacije utjecaja u kojima su mete ljudi diljem svijeta. Ovim se izvješćem ažurira i analizira svako od ovih područja i koordinacija među njima. Također nudi ideje o tome kako se bolje suprotstaviti ovim prijetnjama u ovom ratu i izvan njega, s novim prilikama za vlade i privatni sektor da bolje rade zajedno.

Kibernetički aspekti trenutačnog rata šire se daleko izvan Ukrajine i odraz su jedinstvene prirode kibernetičkog prostora. Kada zemlje šalju kod u sukob, njihovo se oružje kreće po brzini svjetla. Internetski globalni putevi znače da računalne aktivnosti brišu podosta dugotrajne zaštite koju nude granice, zidovi i oceani. A sami internet, za razliku od kopna, mora i zraka, ljudska je kreacija i oslanja se na kombinaciju javnog i privatnog vlasništva, operacije i zaštite.

To pak zahtijeva novi oblik kolektivne obrane. Ovaj rat suprotstavlja Rusiju, veliku kibernetičku snagu, ne samo naspram saveza zemalja. Kibernetička obrana Ukrajine uvelike se oslanja na koaliciju zemalja, poduzeća i nevladinih organizacija.

Svijet sada može procjenjivati rane i relativne snage i slabosti napadačkih i obrambenih kibernetičkih operacija. Gdje kolektivne obrambene snage uspješno ometaju napade i gdje nisu uspješne? Koje se vrste tehnoloških inovacija odvijaju? I što je ključno, koji su koraci potrebni za učinkovitu obranu od računalnih napada u budućnosti? Među drugim stvarima, važno je temeljiti ove procjene na točnim podacima i ne dopustiti zabludu s nezajamčenim osjećajem mirnoće iz vanjske percepcije da kibernetički rat u Ukrajini nije toliko destruktivan koliko su se neki bojali.

Ovo izvješće daje pet zaključaka iz prva četiri mjeseca rata:

Prvo, obrana od vojne invazije sada zahtijeva kod većine zemalja sposobnost trošenja i distribuiranja digitalnih operacija i podatkovnih resursa preko granica i u druge zemlje.

Ne iznenađuje da je meta Rusije bio ukrajinski vladin podatkovni centar u ranom napadu kružnim projektilima te su drugi lokalni poslužitelji na sličan način bili ranjivi na napade konvencionalnim oružjem. Rusija je također ciljala na destruktivne napade „brisanja” na lokalne računalne mreže. No ukrajinska vlada je uspješno provodila svoje građanske i vojne operacije brzim djelovanjem na trošenju svoje digitalne infrastrukture u javni oblak gdje je bila hostirana u podatkovnim centrima diljem Europe.

Time su se razvili hitni i izvanredni koraci u cijelom tehnološkom sektoru, uključujući Microsoft. Dok je tehnološki sektor vitalan, također je važno razmišljati o dugotrajnim lekcijama koje proizlaze iz ovih napora.

Drugo, nedavnim napretkom u obavještavanju o sigurnosnim prijetnjama i zaštiti krajnjih točaka pomoglo se Ukrajini da podnese visoki postotak destruktivnih ruskih računalnih napada.

Budući da su kibernetički napadi nevidljivi golom oku, također ih teško prate novinari, a čak i mnogi vojni analitičari. Microsoft je vidio kako ruska vojska pokreće više valova destruktivnih kibernetičkih napada protiv 48 različitih ukrajinskih agencija i velikih tvrtki. Njima su se nastojale probiti mrežne domene inicijalnim ugrožavanjem stotina računala pa zatim širenjem zlonamjernog softvera dizajniranog za uništenje softvera i podataka na tisućama drugih.

Ruska kibernetička taktika u ratu razlikovala se od onih implementiranih u NotPetya napadu protiv Ukrajine 2017. godine. U tom se napadu koristio destruktivan zlonamjerni softver „sličan crvu” koji bi mogao skočiti s jedne računalne domene na drugu i stoga prijeći granice u druge zemlje. Rusija je bila pažljiva 2022. kada je ograničila destruktivni „softver za brisanje” na specifične mrežne domene u samoj Ukrajini. No sami su nedavni i aktualni destruktivni napadi sofisticirani i rašireniji nego što to mnoga izvješća pokazuju. A ruska vojska i dalje prilagođava ove destruktivne napade na promjenjive promjene u ratovanju, uključujući povezivanje kibernetičkih napada s uporabom konvencionalnog oružja.

Definirajući aspekt ovih destruktivnih napada do sada je bio snaga i relativni uspjeh kibernetičkih obrana. Iako nisu savršene i neki su destruktivni napadi bili uspješni, ove su se kibernetičke obrane pokazale jačima od napadačkih kibernetičkih sposobnosti. To je odraz dvaju važnih i nedavnih trendova. Prvo, napredak u obavještavanju o prijetnjama, uključujući primjenu umjetne inteligencije, pomogao je da se omogući otkrivanje ovih napada na učinkovitiji način. I drugo, internetski spojena zaštita krajnjih točaka omogućila je brzu distribuciju zaštitnog softverskog koda na usluge u oblaku i druge povezane računalne uređaje radi utvrđivanja i onemogućivanja ovog zlonamjernog softvera. Aktualne inovacije i mjere u ratovanju koje ima ukrajinska vlada nadalje su pojačale ovu zaštitu. No vjerojatno će biti potrebni kontinuirani oprez i inovacije kako bi se održavala ova obrambena prednost.

Treće,budući da se stvorila koalicija zemalja za obranu Ukrajine, ruske obavještajne službe ubrzale su aktivnosti proboja mreže i špijunaže u kojima su meta savezničke vlade izvan Ukrajine.

Microsoft je otkrio ruske napore proboja mreže u 128 organizacija u 42 zemlje izvan Ukrajine. Dok su Sjedinjene Američke Države bile prva meta Rusije, ovom se aktivnošću također stavio prioritet na Poljsku gdje se koordinira puno logističke isporuke vojne i humanitarne pomoći. Meta ruskih aktivnosti također su baltičke zemlje, a tijekom zadnja dva mjeseca uočen je porast u sličnoj aktivnosti u kojoj su meta računalne mreže u Danskoj, Norveškoj, Finskoj, Švedskoj i Turskoj. Također smo svjedočili rastu u sličnoj aktivnosti u kojoj su meta vanjska ministarstva drugih zemalja NATO saveza.

Rusija je prioritizirala vlade kao mete, posebice među zemljama članicama NATO saveza. No na popisu meta također se nalaze razvojni centri, humanitarne organizacije, IT tvrtke te opskrbljivači energijom i drugom ključnom infrastrukturom. Od početka rata rusko ciljanje meta koje smo utvrdili bilo je uspješno u 29 posto vremena. Četvrtina ovih uspješnih neovlaštenih upada dovela je do potvrđenog izvlačenja podataka organizacije, iako je, kako je objašnjeno u ovom izvješću, stupanj ruskog uspjeha vjerojatno veći.

Više nas brinu vladina računala koja rade lokalno, a ne ona na oblaku. To je odraz trenutačnog i globalnog stanja napadačke kibernetičke špijunaže i obrambene kibernetičke zaštite. Kao što je incident sa SolarWindsom pokazao prije 18 mjeseci, ruske obavještajne agencije imaju izrazito sofisticirane sposobnosti umetanja koda i operiranja kao napredna trajna prijetnja (APT) koja može dobiti i izvući povjerljive informacije iz neke mreže na tekućoj bazi. Od tada se dosta napredovalo u obrambenoj zaštiti, ali je implementacija tog napretka i dalje više neravnomjerna u europskim vladama nego u Sjedinjenim Američkim Državama. Kao posljedica toga, i dalje postoje značajne kolektivne obrambene slabosti.

Četvrto, u koordinaciji s ovim drugim kibernetičkim aktivnostima, ruske agencije provode globalne kibernetičke operacije utjecaja za podržavanje svojih ratnih napora.

U njima se kombinira taktika koju je KGB razvijao više desetljeća s novim digitalnim tehnologijama i internetom koji pruža vanjskim operacijama utjecaja širi geografski doseg, veći obujam, preciznije ciljanje i veću brzinu i agilnost. Nažalost, s dostatnim planiranjem i sofisticiranosti, ove su kibernetičke operacije utjecaja na dobrom položaju da iskoriste dugotrajnu otvorenost demokratskih društava i javnu polarizaciju koja je karakteristična za ovo doba.

S nastavkom rata u Ukrajini ruske agencije usmjeravaju svoje kibernetičke operacije utjecaja na četiri različite publike. Ciljaju na rusko stanovništvo s ciljem održavanja podrške za napore u ratovanju. Ciljaju na ukrajinsko stanovništvo s ciljem potkopavanja pouzdanosti u volju i sposobnost te zemlje da se odupre ruskim napadima. Ciljaju na američko i europsko stanovništvo s ciljem potkopavanja zajedništva Zapada i odvraćanja kritika u pogledu ruskih vojnih ratnih zločina. I počinju ciljati na stanovništvo zemalja koje nisu saveznice, potencijalno dijelom radi održavanja potpore u Ujedinjenim narodima i na drugim mjestima.

Ruske kibernetičke operacije utjecaja grade se na taktiku razvijenu za druge kibernetičke aktivnosti te se povezuju s njom. Poput APT timova koji rade s ruskim obavještajnim uslugama, timovi za naprednu trajnu manipulaciju (APM) povezani s ruskim vladinim agencijama djeluju preko društvenih mreža i digitalnih platformi. Prethodno smještaju lažne narative na načine koji su slični prethodnom namještanju zlonamjernog softvera i drugog softverskog koda. Zatim pokreću širokoopsežno i simultano „izvješćivanje” o ovim narativama s web-mjesta kojima upravlja vlada i na koje vlada ima utjecaj te pojačavanjem svojih narativa preko tehnoloških alata dizajniranih za iskorištavanje društvenih medija. Nedavni primjeri uključuju narative oko bioloških laboratorija u Ukrajini i više napora da se učine nerazumljivima vojni napadi protiv ukrajinskih civilnih ciljeva.

Kao dio nove inicijative u Microsoftu, koristimo AI, nove alate analitike, šire skupove podataka i imamo sve više stručnjaka koji prate i predviđaju ovu računalnu prijetnju. Primjenom ovih novih sposobnosti procjenjujemo da su ruske kibernetičke operacije utjecaja uspješno povećale širenje ruske propagande nakon početka rata za 216 posto u Ukrajini i 82 posto u Sjedinjenim Američkim Državama.

Ove se aktualne ruske operacije nadograđuju na nedavne sofisticirane napore širenja lažnih narativa o bolesti COVID-19 u više zapadnih zemalja. Obuhvaćale su kibernetičke operacije utjecaja koje je sponzorirala država 2021. godine kojima se nastojalo odvratiti od primjene cjepiva preko internetskih izvješća na engleskom jeziku, dok se istovremeno poticalo korištenje cjepiva preko web-mjesta na ruskom jeziku. U zadnjih šest mjeseci sličnim se ruskim kibernetičkim operacijama utjecaja nastojalo pridonijeti u poticanju javnog protivljenja propisima u vezi bolesti COVID-19 u Novom Zelandu i Kanadi.

I dalje ćemo širiti Microsoftov rad u ovom području u tjednima i mjesecima koji dolaze. To obuhvaća interni rast i rast preko ugovora koji smo najavili prošli tjedan, a kojim se kupuje Miburo Solutions, vodeća tvrtka za analizu i istraživanje računalnih prijetnji koja specijalizira otkrivanje stranih kibernetičkih operacija utjecaja te odgovor na njih.

Brine nas što se trenutačno mnoge aktualne kibernetičke akcije utjecaja mjesecima ne mogu ispravno otkriti i analizirati te se ne može javno izvijestiti o njima. To sve više utječe na široki raspon važnih ustanova u javnim i privatnim sektorima. A što dulje rat traje u Ukrajini to će vjerojatnije ove operacije postati važnije za samu Ukrajinu. Razlog tomu je što dulji rat zahtijeva održavanje potpore javnosti iz neizbježnog izazova većeg zamora. Zbog toga bi hitnija trebala biti važnost jačanja zapadnih obrana od ovih vrsta stranih kibernetičkih napada utjecaja.

Konačno, lekcije iz Ukrajine pozivaju na koordiniranu u sveobuhvatnu strategiju za jačanje obrana od cjelokupnog raspona kibernetičkih destruktivnih operacija, operacija špijunaže i operacija utjecaja.

Kao što rat u Ukrajini prikazuje, dok postoje razlike među ovim prijetnjama, ruska vlada ih ne provodi kao odvojene zadatke i ne bismo ih trebali staviti u odvojeni analitički koš. Dodatno, obrambene strategije moraju razmotriti koordinaciju ovih kibernetičkih operacija s kinetičkim vojnim operacijama, kao što smo vidjeli u Ukrajini.

Potreban je novi napredak za ometanje ovih kibernetičkih prijetnji, a ovisit će o četiri zajednička pravila te – barem na visokoj razini – zajedničkoj strategiji. U prvom pravilu obrane treba se prepoznati da ruske kibernetičke prijetnje napreduju kroz zajednički skup aktera unutar i izvan ruske vlade te se oslanjaju na sličnu digitalnu taktiku. Kao posljedica toga, napredak u digitalnoj tehnologiji, umjetnoj inteligenciji i podacima bit će potreban kako bi im se moglo suprotstaviti. Kao odraz toga, u drugom se pravilu treba prepoznati da se, za razliku od tradicionalnih prijetnji u prošlosti, kibernetički odgovori trebaju osloniti na veću javnu i privatnu suradnju. U trećem se pravilu treba prihvatiti potreba za bliskom i multilateralnom suradnjom među vladama za zaštitu otvorenih i demokratskih društava. A prema četvrtom i zadnjem pravilu obrane treba se podržavati slobodno izražavanje radi izbjegavanja cenzure u demokratskim društvima, čak i kako su novi koraci potrebni za rješavanje cjelokupnog raspona kibernetičkih prijetnji koje obuhvaćaju kibernetičke operacije utjecaja.

Učinkoviti odgovor treba se graditi na ovim pravilima s četiri strateška stupa. Ti bi stupovi trebali povećati kolektivne sposobnosti za bolje (1) otkrivanje, (2) borbu protiv, (3) ometanje i (4) odvraćanje od stranih kibernetičkih prijetnji. Taj pristup možemo vidjeti u mnogi kolektivnim naporima rješavanja destruktivnih računalnih napada i kibernetičke špijunaže. Također se primjenjuju na ključan i aktualan rad koji je potreban za rješavanje napada ucjenjivačkog softvera. Sada nam je potreban sličan i sveobuhvatan pristup s novim sposobnostima i obranama za borbu protiv ruskih kibernetičkih operacija utjecaja.

Kao što smo objasnili u ovom izvješću, rat u Ukrajini ne samo da pruža lekcije, već je i poziv na djelovanje za učinkovite mjere koje će biti ključne u zaštiti budućnosti demokracije. Mi smo kao tvrtka posvećeni podržavanju tih napora, uključujući putem aktualnih i novih ulaganja u tehnologiju, podatke i partnerstva koja će podržavati vlade, poduzeća, nevladine organizacije i sveučilišta.

Za više informacija pročitajte cijelo izvješće.

Obrana Ukrajine: Prve lekcije iz kibernetičkog rata

Ovo izvješće daje pet zaključaka iz prva četiri mjeseca rata:

Prvo, obrana od vojne invazije sada zahtijeva kod većine zemalja sposobnost trošenja i distribuiranja digitalnih operacija i podatkovnih resursa preko granica i u druge zemlje.

Drugo, nedavnim napretkom u obavještavanju o sigurnosnim prijetnjama i zaštiti krajnjih točaka pomoglo se Ukrajini da podnese visoki postotak destruktivnih ruskih računalnih napada.

Treće,budući da se stvorila koalicija zemalja za obranu Ukrajine, ruske obavještajne službe ubrzale su aktivnosti proboja mreže i špijunaže u kojima su meta savezničke vlade izvan Ukrajine.

Četvrto, u koordinaciji s ovim drugim kibernetičkim aktivnostima, ruske agencije provode globalne kibernetičke operacije utjecaja za podržavanje svojih ratnih napora.

Konačno, lekcije iz Ukrajine pozivaju na koordiniranu u sveobuhvatnu strategiju za jačanje obrana od cjelokupnog raspona kibernetičkih destruktivnih operacija, operacija špijunaže i operacija utjecaja.

Povezani članci

Posebno izvješće: Ukrajina

Microsoft dijeli uvide u kibernetičke napade protiv Ukrajine i ističe pojedinosti u napadu i kontekstu oko opsega, mjerila i metoda državnih napadača koji se nalaze u Rusiji.

Izvješće o kibernetičkoj otpornosti

Microsoft Security proveo je anketu s više od 500 stručnjaka u području sigurnosti kako bi razumio novonastale sigurnosne trendove i najveća problemska pitanja među CISO-vima.

Uvidi iz bilijun dnevnih sigurnosnih signala

Stručnjaci za sigurnost tvrtke Microsoft osvjetljavaju današnji krajolik računalnih prijetnji pružajući uvide u novonastale trendove kao i u povijesno trajne prijetnje.