Ginant Ukrainą: Pirmosios kibernetinio karo pamokos

Rusija, nenuostabu, nusitaikė į Ukrainos vyriausybinį duomenų centrą per ankstyvą sparnuotųjų raketų ataką, o kiti patalpose esantys serveriai taip pat buvo pažeidžiami įprastinių ginklų atakų. Rusija taip pat nukreipė savo destruktyvias „ištrynimo“ atakas į vietinius kompiuterių tinklus. Tačiau Ukrainos vyriausybė sėkmingai išlaikė savo civilines ir karines operacijas, greitai imdamasi veiksmų, kad jos skaitmeninė infrastruktūra būtų pervesta į viešąjį debesį, ją laikant visos Europos duomenų centruose.

Visam technologijų sektoriui teko imtis skubių ir nepaprastų veiksmų, įskaitant „Microsoft“. Nors technologijų sektoriaus darbas buvo labai svarbus, taip pat svarbu pagalvoti apie ilgalaikes šių pastangų pamokas.

Kadangi kibernetinė veikla plika akimi nematoma, žurnalistams ir net daugeliui karinių analitikų ją sunkiau sekti. „Microsoft“ pastebėjo, kad Rusijos kariuomenė surengė kelias destruktyvių kibernetinių atakų bangas prieš 48 skirtingas Ukrainos agentūras ir įmones. Ji siekė įsiskverbti į tinklo domenus, iš pradžių pažeisdama šimtus kompiuterių, o tada platindama kenkėjiškas programas, skirtas sunaikinti programinę įrangą ir duomenis apie tūkstančius kitų.

Rusijos kibernetinė taktika kare skyrėsi nuo tos, kuri buvo panaudota 2017 m. „NotPetya“ atakoje prieš Ukrainą. Šiai atakai buvo panaudota „kirmėlinė“ kenkėjiška programa, galinti peršokti iš vieno kompiuterio domeno į kitą ir taip peržengti sienas į kitas šalis. 2022 m. Rusija atsargiai stengėsi apriboti žalingą „ištrynimo programinę įrangą“ konkrečiais tinklo domenais pačioje Ukrainoje. Tačiau patys neseniai įvykę ir tebevykstantys destruktyvūs išpuoliai buvo sudėtingi ir labiau paplitę, nei pripažįsta daugelis pranešimų. Rusijos kariuomenė ir toliau pritaiko šias destruktyvias atakas prie besikeičiančių karo poreikių, įskaitant kibernetinių atakų susiejimą su įprastinių ginklų naudojimu.

Iki šiol lemiamas šių destruktyvių atakų aspektas buvo kibernetinės gynybos stiprumas ir santykinė sėkmė. Nors ši kibernetinė gynyba nėra tobula ir kai kurios destruktyvios atakos buvo sėkmingos, ji pasirodė esanti stipresnė už puolamuosius kibernetinius pajėgumus. Tai atspindi dvi svarbias ir naujausias tendencijas. Pirma, grėsmių žvalgybos pažanga, įskaitant dirbtinio intelekto naudojimą, padėjo veiksmingiau aptikti šias atakas. Antra, prie interneto prijungta galinių punktų apsauga leido greitai platinti apsauginį programinės įrangos kodą tiek debesų kompiuterijos tarnyboms, tiek kitiems prijungtiems skaičiavimo įrenginiams, kad būtų galima atpažinti ir išjungti šią kenkėjišką programinę įrangą. Karo metu taikomos naujovės ir priemonės kartu su Ukrainos vyriausybe dar labiau sustiprino šią apsaugą. Tačiau norint išlaikyti šį gynybinį pranašumą greičiausiai reikės nuolatinio budrumo ir naujovių.

„Microsoft“ nustatė Rusijos bandymus įsibrauti į tinklą 128 organizacijose 42 šalyse už Ukrainos ribų. Nors svarbiausias Rusijos taikinys buvo Jungtinės Valstijos, prioritetas taip pat skiriamas Lenkijai, kurioje koordinuojama didžioji dalis karinės ir humanitarinės pagalbos logistikos. Rusijos veiksmai taip pat buvo nukreipti į Baltijos šalis, o per pastaruosius du mėnesius padaugėjo panašių veiksmų, nukreiptų į Danijos, Norvegijos, Suomijos, Švedijos ir Turkijos kompiuterių tinklus. Taip pat matome didesnį panašių veiksmų aktyvumą, kai taikomasi į kitų NATO šalių užsienio reikalų ministerijas.

Rusija prioritetą skiria valdžios institucijoms, ypač NATO narėse. Tačiau taikinių sąraše taip pat atsidūrė analitiniai centrai, humanitarinės organizacijos, IT bendrovės, energetikos ir kitos svarbios infrastruktūros tiekėjai. Nuo karo pradžios mūsų nustatyti Rusijos taikiniai buvo sėkmingi 29 proc. atvejų. Ketvirtadalyje šių sėkmingų įsilaužimų patvirtintas organizacijos duomenų išsiuntimas, nors, kaip paaiškinta ataskaitoje, tikėtina, kad šis skaičius nepakankamai atspindi Rusijos sėkmės laipsnį.

Vis dar labiausiai nerimaujame dėl vyriausybės kompiuterių, kurie veikia patalpose, o ne debesyje. Tai atspindi dabartinę ir pasaulinę puolamojo kibernetinio šnipinėjimo ir gynybinės kibernetinės apsaugos padėtį. Kaip parodė prieš 18 mėnesių įvykęs „SolarWinds“ incidentas, Rusijos žvalgybos agentūros turi itin pažangių galimybių implantuoti kodą ir veikti kaip sudėtinga ilgalaikė grėsmė (APT), galinti nuolat gauti ir iš tinklo išvilioti slaptą informaciją. Nuo to laiko gynybinės apsaugos srityje padaryta didelė pažanga, tačiau Europos vyriausybės šią pažangą įgyvendina nevienodu greičiu nei JAV. Todėl išlieka didelių kolektyvinės gynybos trūkumų.

Čia derinamos kelis dešimtmečius KGB kurtos taktikos su naujomis skaitmeninėmis technologijomis ir internetu, kad užsienio įtakos operacijos turėtų platesnę geografinę aprėptį, didesnę apimtį, tikslesnius tikslus, būtų greitesnės ir judresnės. Deja, pakankamai gerai suplanavus ir ištobulinus šias kibernetinės įtakos operacijas, galima pasinaudoti ilgalaikiu demokratinių visuomenių atvirumu ir šiems laikams būdinga visuomenės poliarizacija.

Įsibėgėjus karui Ukrainoje, Rusijos agentūros savo kibernetinės įtakos operacijas orientuoja į keturias skirtingas auditorijas. Jos taikosi į Rusijos gyventojus, siekdamos gauti paramos karo veiksmams. Pastangos taip pat nukreiptos prieš Ukrainos gyventojus, siekiant pakirsti pasitikėjimą šalies pasiryžimu ir gebėjimu atremti Rusijos išpuolius. Taikomasi į Amerikos ir Europos gyventojus, siekiant pakirsti Vakarų vienybę ir nukreipti kritiką dėl Rusijos karinių karo nusikaltimų. Jos pradeda orientuotis į prie sutarties neprisijungusių šalių gyventojus, galbūt iš dalies siekdami palaikyti savo gaunamą paramą Jungtinėse Tautose ir kitose institucijose.

Rusijos kibernetinės įtakos operacijos remiasi ir yra susijusios su kitos kibernetinės veiklos taktika. Kaip ir Rusijos žvalgybos tarnybose veikiančios APT komandos, su Rusijos vyriausybinėmis agentūromis susijusios Pažangaus nuotolinio manipuliavimo (APM) komandos veikia per socialinę mediją ir skaitmenines platformas. Jie iš anksto sukuria melagingus naratyvus, kurie yra panašūs į iš anksto sukurtą kenkėjišką programinę įrangą ir kitą programinį kodą. Vėliau jie pradeda plačiai ir vienu metu rengti „pranešimus“ apie šiuos naratyvus vyriausybės valdomose ir formuojamose interneto svetainėse ir savo naratyvus sustiprina naudodami technologines priemones, skirtas socialinės medijos paslaugoms išnaudoti. Naujausi pavyzdžiai – naratyvai apie biologines laboratorijas Ukrainoje ir įvairios pastangos nuslėpti karines atakas prieš Ukrainos civilius taikinius.

Įgyvendindami naują „Microsoft“ iniciatyvą, šiai kibernetinei grėsmei stebėti ir prognozuoti pasitelkiame dirbtinį intelektą, naujas analizės priemones, platesnius duomenų rinkinius ir vis daugiau ekspertų. Remdamiesi šiomis naujomis galimybėmis apskaičiavome, kad Rusijos kibernetinės įtakos operacijos sėkmingai padidino Rusijos propagandos sklaidą prasidėjus karui 216 proc. Ukrainoje ir 82 proc. Jungtinėse Valstijose.

Šios Rusijos vykdomos operacijos grindžiamos pastarojo meto sudėtingomis pastangomis skleisti melagingus COVID-19 naratyvus daugelyje Vakarų šalių. Be kita ko, 2021 m. buvo vykdomos valstybės remiamos kibernetinės įtakos operacijas, kuriomis buvo siekiama atgrasyti nuo vakcinų vartojimo, pateikiant pranešimus internete anglų kalba, ir tuo pat metu skatinti vakcinų vartojimą, pateikiant pranešimus rusų kalba. Per pastarąjį pusmetį panašiomis Rusijos kibernetinės įtakos operacijomis siekta pakurstyti visuomenės pasipriešinimą COVID-19 politikai Naujojoje Zelandijoje ir Kanadoje.

Ateinančiomis savaitėmis ir mėnesiais toliau plėsime „Microsoft“ pastangas šioje srityje. Tai apima tiek vidaus augimą, tiek praėjusią savaitę paskelbtą susitarimą įsigyti „Miburo Solutions“ – pirmaujančią kibernetinių grėsmių analizės ir tyrimų bendrovę, kuri specializuojasi užsienio kibernetinės įtakos operacijų aptikimo ir reagavimo į jas srityje.

Esame susirūpinę, kad daugelis dabartinių Rusijos kibernetinės įtakos operacijų šiuo metu tęsiasi mėnesių mėnesius be tinkamo aptikimo, analizės ar viešų pranešimų. Tai daro vis didesnį poveikį daugeliui svarbių institucijų tiek viešajame, tiek privačiajame sektoriuose. Kuo ilgiau truks karas Ukrainoje, tuo svarbesnės šios operacijos taps pačiai šaliai. Taip yra todėl, kad ilgesniam karui reikės palaikyti visuomenės paramą dėl neišvengiamo didėjančio nuovargio. Tai turėtų dar labiau padidinti Vakarų gynybos nuo tokio pobūdžio užsienio kibernetinio poveikio atakų stiprinimo svarbą.

Kaip rodo karas Ukrainoje, nors tarp šių grėsmių yra skirtumų, Rusijos vyriausybė jų nesiekia kaip atskirų tikslų ir mes neturėtume jų vertinti atskirai. Be to, rengiant gynybos strategijas būtina atsižvelgti į šių kibernetinių operacijų derinimą su kinetinėmis karinėmis operacijomis, kaip tai įvyko Ukrainoje.

Norint užkirsti kelią šioms kibernetinėms grėsmėms, reikia naujos pažangos, kuri priklausys nuo keturių bendrų principų ir, bent žvelgiant aukštu lygmeniu, bendros strategijos. Pirmuoju gynybos principu reikėtų pripažinti, kad Rusijos kibernetines grėsmes kelia bendri subjektai Rusijos vyriausybėje ir už jos ribų, kurie remiasi panašiomis skaitmeninėmis taktikomis. Todėl jiems įveikti reikės skaitmeninių technologijų, dirbtinio intelekto ir duomenų pažangos. Atsižvelgiant į tai, antruoju principu turėtų būti pripažįstama, kad, skirtingai nuo tradicinių praeities grėsmių, atsakas į kibernetines grėsmes turi būti grindžiamas glaudesniu viešojo ir privačiojo sektorių bendradarbiavimu. Trečiasis principas turėtų apimti glaudaus ir bendro daugiašalio vyriausybių bendradarbiavimo poreikį siekiant apsaugoti atviras ir demokratines visuomenes. Ketvirtasis ir paskutinis gynybos principas turėtų apimti saviraiškos laisvės palaikymą ir cenzūros vengimą demokratinėse visuomenėse, nors reikia imtis naujų priemonių, kad būtų galima kovoti su visomis kibernetinėmis grėsmėmis, įskaitant kibernetinės įtakos operacijas.

Veiksmingas atsakas turi būti grindžiamas šiais principais ir keturiais strateginiais ramsčiais. Tai turėtų padidinti kolektyvinius pajėgumus, kad būtų galima geriau (1) aptikti užsienio kibernetines grėsmes, (2) nuo jų apsisaugoti, (3) sutrikdyti jų veikimą ir (4) atgrasyti nuo jų. Šis požiūris jau atsispindi daugelyje kolektyvinių pastangų kovoti su destruktyviomis kibernetinėmis atakomis ir kibernetiniu šnipinėjimu. Jis taip pat taikomas svarbiam ir nuolatiniam darbui, reikalingam kovojant su išpirkos reikalaujančių programų atakomis. Dabar mums reikia panašaus ir visapusiško požiūrio su naujais pajėgumais ir gynybos priemonėmis kovai su Rusijos kibernetinės įtakos operacijomis.

Kaip aptariama šioje ataskaitoje, karas Ukrainoje yra ne tik pamoka, bet ir raginimas imtis veiksmingų priemonių, kurios bus gyvybiškai svarbios siekiant apsaugoti demokratijos ateitį. Kaip įmonė, esame pasiryžę remti šias pastangas, įskaitant nuolatines ir naujas investicijas į technologijas, duomenis ir partnerystes, kurios padės vyriausybėms, bendrovėms, nevyriausybinėms organizacijoms ir universitetams.

Norėdami sužinoti daugiau, perskaitykite visą ataskaitą.