Ukrajna védelme: A kiberháború korai tanulságai

Oroszország nem meglepő módon Ukrajna kormányzati adatközpontját vette célba egy korai robotrepülőgép-támadás során, és más helyszíni szerverek is hasonlóan sebezhetőek voltak a hagyományos fegyverek támadásával szemben. Oroszország pusztító "wiper" támadásait is a helyszíni számítógépes hálózatok ellen intézte. Az ukrán kormány azonban sikeresen fenntartotta polgári és katonai műveleteit azáltal, hogy gyorsan cselekedett, és digitális infrastruktúráját a nyilvános felhőbe költöztette, ahol azt Európa-szerte található adatközpontokban tárolták.

Ehhez a technológiai szektorban sürgős és rendkívüli lépésekre volt szükség, többek között a Microsoft részéről is. Miközben a technológiai ágazat munkája létfontosságú volt, fontos végiggondolni az ezen erőfeszítésekből származó, hosszabb távú tanulságokat is.

Mivel a kibertevékenységek szabad szemmel láthatatlanok, az újságírók és még sok katonai elemző számára is nehezebb nyomon követni őket. A Microsoft szemtanúja volt annak, hogy az orosz hadsereg több hullámban 48 különböző ukrán ügynökség és vállalat ellen indított pusztító kibertámadást. Ezek úgy próbáltak behatolni a hálózati tartományokba, hogy kezdetben több száz számítógépet kompromittáltak, majd olyan kártevő szoftvereket terjesztettek, amelyek célja több ezer számítógép szoftverének és adatainak megsemmisítése volt.

Az orosz kibertaktika ebben a háborúban különbözik az Ukrajna elleni 2017-es NotPetya-támadás során alkalmazottaktól. Ez a támadás „wormable” (emberi beavatkozás nélkül terjedő) romboló kártevő szoftvert használt, amely képes volt egyik számítógépes tartományból a másikba ugrani, és így átlépni az országhatárokat. Oroszország 2022-ben gondosan ügyelt arra, hogy a pusztító „wiper szoftvereket” csak bizonyos, Ukrajnán belüli hálózati tartományokra korlátozza. De a közelmúltbeli és folyamatban lévő pusztító támadások kifinomultabbak és szélesebb körben elterjedtek, mint ahogy azt sok jelentés elismeri. Az orosz hadsereg pedig továbbra is hozzáigazítja ezeket a pusztító támadásokat a változó háborús igényekhez, többek között azáltal, hogy a kibertámadásokat összekapcsolja a hagyományos fegyverek használatával.

Az eddigi pusztító támadások egyik meghatározó szempontja a kibervédelem erőssége és viszonylagos sikere volt. Bár nem tökéletesek, és néhány pusztító támadás sikeres volt, ezek a kibervédelmi módszerek erősebbnek bizonyultak, mint a támadó kiberképességek. Ez két fontos, új tendenciát tükröz. Először is, a fenyegetések felderítésének fejlődése, beleértve a mesterséges intelligencia használatát, hozzájárult ahhoz, hogy ezeket a támadásokat hatékonyabban lehessen felderíteni. Másodszor pedig az internetre csatlakoztatott végpontok védelme lehetővé tette a védelmi szoftverkód gyors terjesztését mind a felhőszolgáltatások, mind más csatlakoztatott számítástechnikai eszközök számára, hogy azonosítani és hatástalanítani lehessen ezeket a rosszindulatú szoftvereket. A folyamatban lévő háborús újítások és az ukrán kormánnyal közösen hozott intézkedések tovább erősítették ezt a védelmet. A védelmi előny fenntartásához azonban továbbra is folyamatos éberségre és innovációra lesz szükség.

A Microsoftnál Ukrajnán kívül 42 országban 128 szervezetnél észleltünk orosz hálózati behatolási kísérleteket. Bár Oroszország első számú célpontja az Egyesült Államok volt, a tevékenység Lengyelországot is kiemelten érinti, ahol a katonai és humanitárius segítségnyújtás logisztikai feladatainak nagy részét koordinálják. Az orosz tevékenységek a balti országokat is célba vették, és az elmúlt két hónapban megnövekedett a Dániában, Norvégiában, Finnországban, Svédországban és Törökországban található számítógépes hálózatokat célzó hasonló tevékenységek száma. Más NATO-országok külügyminisztériumai ellen is egyre több hasonló tevékenységet tapasztalunk.

Oroszország főleg a kormányokat célozza elsősorban, különösen a NATO-tagállamok esetében. A célpontok listáján azonban agytrösztök, humanitárius szervezetek, informatikai vállalatok, valamint energia- és egyéb kritikus infrastruktúra-szolgáltatók is szerepelnek. A háború kezdete óta az általunk azonosított orosz támadások az esetek 29 százalékában voltak sikeresek. A sikeres behatolások egynegyede vezetett a szervezet adatainak megerősített kiszivárgásához, bár amint azt a jelentésben kifejtették, ez valószínűleg alulbecsüli az orosz siker mértékét.

Továbbra is az olyan kormányzati számítógépek miatt aggódunk a legjobban, amelyek nem a felhőben, hanem a helyszínen futnak. Ez tükrözi az offenzív kiberkémkedés és a defenzív kibervédelem jelenlegi és globális helyzetét. Amint azt a SolarWinds incidens 18 hónappal ezelőtt bebizonyította, az orosz hírszerző ügynökségek rendkívül kifinomult képességekkel rendelkeznek kódok beültetésére és folyamatos komplex veszélyforrásként (Advanced Persistent Threat, APT) való működésre, amely folyamatosan képes érzékeny információkat szerezni és kiszivárogtatni egy hálózatból. Azóta jelentős előrelépések történtek a védekezés terén, de ezeknek az előrelépéseknek a végrehajtása az európai kormányoknál továbbra is sokkal egyenlőtlenebb, mint az Egyesült Államokban. Ennek eredményeképpen továbbra is jelentős kollektív védelmi hiányosságok állnak fenn.

Ezek a KGB által több évtizeden át kifejlesztett taktikákat ötvözik az új digitális technológiákkal és az internettel, ami szélesebb földrajzi hatókörrel, nagyobb volumennel, pontosabb célzással, valamint nagyobb sebességgel és mozgékonysággal teszi lehetővé a külföldi befolyásszerző műveleteket. Sajnos kellő tervezéssel és kifinomultsággal ezek a kiberbefolyásolási műveletek jól kihasználhatják a demokratikus társadalmak régóta fennálló nyitottságát és a közvélemény jelen pillanatban is fennálló polarizálódását.

Az ukrajnai háború előrehaladtával az orosz ügynökségek négy különböző célcsoportra összpontosítják kiberbefolyásolási műveleteiket. Az orosz lakosságot célozzák meg azzal a céllal, hogy fenntartsák a háborús erőfeszítések támogatását. Az ukrán lakosságot veszik célba azzal a szándékkal, hogy aláássák az ország bizalmát az orosz támadásokkal szembeni ellenálló képességben és hajlandóságban. Az amerikai és európai lakosságot veszik célba azzal a szándékkal, hogy aláássák a nyugati egységet és eltereljék az orosz katonai háborús bűnökkel kapcsolatos kritikát. Végül pedig az el nem kötelezett országok lakosságát is kezdik célozni valószínűleg részben azzal a szándékkal, hogy fenntartsák támogatásukat az ENSZ-ben és más helyszíneken.

Az orosz kiberbefolyásolási műveletek más kibertevékenységekhez kifejlesztett taktikákra épülnek és azokhoz kapcsolódnak. Az orosz hírszerző szolgálatokon belül működő APT-csapatokhoz hasonlóan az orosz kormányzati ügynökségekhez kapcsolódó Advanced Persistent Manipulator (APM) csapatok is a közösségi médián és digitális platformokon keresztül tevékenykednek. Olyan módon prepozicionálnak hamis narratívákat, amely hasonló a rosszindulatú programok és más szoftverkódok prepozicionálásához. Ezután a kormány által irányított és befolyásolt weboldalakról széles körű és egyidejű "tudósításokat" indítanak ezekről a narratívákról, a közösségi médiaszolgáltatások kihasználására tervezett technológiai eszközökkel pedig felerősítik narratíváikat. A legújabb példák közé tartoznak az ukrajnai biolaborok körüli narratívák és az ukrajnai polgári célpontok elleni katonai támadások elkendőzésére tett számos erőfeszítés.

A Microsoft új kezdeményezésének részeként mesterséges intelligenciát, új elemzőeszközöket, szélesebb körű adathalmazt és egyre több szakértőt alkalmazunk a kiberfenyegetettség nyomon követésére és előrejelzésére. Ezen új képességek felhasználásával úgy becsüljük, hogy az orosz kiberbefolyásolási műveletek a háború kezdete után 216 százalékkal növelték az orosz propaganda terjedését Ukrajnában és 82 százalékkal az Egyesült Államokban.

Ezek a jelenlegi orosz műveletek azokra a közelmúltbeli kifinomult erőfeszítésekre épülnek, amelyek a hamis COVID-19 narratívák terjesztésére irányulnak több nyugati országban. Ezek közé tartoztak az államilag támogatott kiberbefolyásolási műveletek 2021-ben, amelyek célja az volt, hogy angol nyelvű internetes jelentéseken keresztül lebeszéljék a lakosságot a vakcina felvételéről, míg orosz nyelvű oldalakon keresztül egyidejűleg ösztönözték a vakcina használatát. Az elmúlt hat hónap során hasonló orosz kiberbefolyásolási műveletekkel próbálták felszítani a COVID-19 politikával szembeni ellenállást Új-Zélandon és Kanadában.

Az elkövetkező hetekben és hónapokban tovább bővítjük a Microsoft munkáját ezen a területen. Ez magában foglalja mind a belső növekedést, mind pedig a múlt héten bejelentett megállapodásunkat a Miburo Solutions felvásárlásáról, amely egy vezető kiberfenyegetések elemzésével és kutatásával foglalkozó vállalat, amely külföldi kiberbefolyásoló műveletek felderítésére és az azokra való reagálásra specializálódott.

Aggódunk amiatt, hogy számos jelenlegi orosz kiberbefolyásolási művelet hónapokig tart megfelelő felderítés, elemzés vagy nyilvános jelentés nélkül. Ez egyre inkább hatással van a köz- és a magánszektor számos fontos intézményére. És minél tovább tart a háború Ukrajnában, annál fontosabbak lesznek ezek a műveletek Ukrajna számára. Ennek oka, hogy egy hosszabb háborúban fenn kell tartani a közvélemény támogatását a fáradtság elkerülhetetlen kihívása miatt. Ez még sürgetőbbé teszi a nyugati védelem megerősítésének fontosságát az ilyen típusú külföldi kiberbefolyásoló támadásokkal szemben.

Amint azt az ukrajnai háború is mutatja, bár e fenyegetések között vannak különbségek, az orosz kormány nem különálló törekvésekként kezeli őket, és nekünk sem szabad külön elemzési tárolókba zárnunk őket. Ezenkívül a védelmi stratégiáknak figyelembe kell venniük e kiberműveletek és a fizikai katonai műveletek összehangolását, amint azt Ukrajnában is láthattuk.

Új előrelépésekre van szükség e kiberfenyegetések elhárításához, és ezek négy közös alaptételen és – legalábbis magas szinten – egy közös stratégián fognak múlni. Az első védelmi alapelvnek fel kell ismernie, hogy az orosz kiberfenyegetéseket az orosz kormányon belüli és kívüli szereplők közös csoportja fejleszti, és hasonló digitális taktikákra támaszkodnak. Ezért a digitális technológia, a mesterséges intelligencia és az adatok terén elért eredményekre lesz szükség az ellenük való védekezéshez. Ezt tükrözve a második alapelvnek fel kell ismernie, hogy a múlt hagyományos fenyegetéseitől eltérően a kiberválaszoknak a köz- és a magánszféra nagyobb mértékű együttműködésére kell támaszkodniuk. A harmadik alapelvnek a kormányok közötti szoros és közös többoldalú együttműködés szükségességét kell magában foglalnia a nyitott és demokratikus társadalmak védelme érdekében. A negyedik és egyben utolsó védelmi alapelv pedig a demokratikus társadalmakban a véleménynyilvánítás szabadságának fenntartása és a cenzúra elkerülése, még akkor is, ha új lépésekre van szükség a kiberfenyegetések teljes körének – köztük a kiberbefolyásolási műveleteknek – a kezelésére.

A hatékony válasznak ezekre az alapelvekre kell épülnie, négy stratégiai pillérrel. Ezeknek növelniük kell a kollektív képességeket a külföldi kiberfenyegetések jobb (1) felderítése, (2) az ellenük való védekezés, (3) a zavarás és (4) az elrettentés érdekében. Ez a megközelítés már számos közös erőfeszítésben tükröződik, amelyek a pusztító kibertámadások és a kiberalapú kémkedés kezelésére irányulnak. Ezek a zsarolóvírus-támadások kezeléséhez szükséges kritikus és folyamatos munkára is vonatkoznak. Most egy hasonló és átfogó megközelítésre van szükségünk, új képességekkel és védelmi eszközökkel az orosz kiberbefolyásolási műveletek elleni küzdelemhez.

Amint azt ez a jelentés tárgyalja, az ukrajnai háború nemcsak tanulságokkal szolgál, hanem cselekvésre is felszólít a hatékony intézkedések érdekében, amelyek létfontosságúak a demokrácia jövőjének védelme szempontjából. Vállalkozásként elkötelezettek vagyunk ezen erőfeszítések támogatása mellett, többek között a technológiába, adatokba és partnerségekbe történő folyamatos és új beruházások révén, amelyek támogatják a kormányokat, vállalatokat, nem kormányzati szervezeteket és egyetemeket.

További információért olvassa el a teljes jelentést.