Trace Id is missing

Ukrainas aizstāvība: Kiberkara pirmās mācības

Kiberietekmes operācijas ir izplatīta taktika, kas tiek izmantota karā pret Ukrainu

Katra kara vēsturē parasti tiek aprakstīti pirmie šāvieni un to liecinieki. Katrs stāsts sniedz ieskatu ne tikai par kara sākumu, bet arī par laikmetu, kurā cilvēki dzīvoja.

Vēsturnieki, kuri apspriež pirmos šāvienus Amerikas pilsoņu karā 1861. gadā, parasti apraksta ieročus, lielgabalus un burukuģus ap cietoksni netālu no Čārlstonas, Dienvidkarolīnas.

1914. gadā notikumi tuvojās Pirmā pasaules kara sākumam, kad Sarajevā teroristi uz ielas ar granātām un pistoli nogalināja Austroungārijas arhibīskapu.

Bija nepieciešams laiks līdz Nirnbergas kara prāvai, lai pilnībā saprastu, kas notika netālu no Polijas robežas 25 gadus vēlāk. 1939. gadā nacistu SS karaspēks ģērbās poļu uniformās un inscenēja uzbrukumu vācu radiostacijai. Ādolfs Hitlers atsaucās uz šādiem uzbrukumiem, lai attaisnotu “blitzkrieg” invāziju, uzbrūkot Polijas pilsētām un civiliedzīvotājiem ar tankiem, lidmašīnām un karaspēku.

Katrs no šiem incidentiem sniedz arī pārskatu par tā laika tehnoloģijām — tehnoloģijām, kurām bija liela nozīme turpmākajā karā un to cilvēku dzīvēs, kuri dzīvoja kara apstākļos.

Karš Ukrainā notiek pēc šādas shēmas. 2022. gada 24. februārī Krievijas bruņotie spēki ar karaspēku, tankiem, lidmašīnām un spārnotajām raķetēm šķērsoja Ukrainas robežu. Taču pirmie šāvieni patiesībā tika raidīti dažas stundas iepriekš, kad kalendārā vēl bija 23. februāris. Viņi iesaistīja kiberieroci “Foxblade”, kas tika palaists pret datoriem Ukrainā. Atbilstoši mūsdienu tehnoloģijām tie, kuri pirmie pamanīja uzbrukumu, atradās puspasaules attālumā, strādājot Amerikas Savienotajās Valstīs, Redmondā, Vašingtonā.

Tas parāda, cik svarīgi ir atkāpties un izvērtēt pirmos kara mēnešus Ukrainā, kas valstij ir bijis postošs laiks, piedzīvojot iznīcību un zaudējot cilvēku, tostarp nevainīgu civiliedzīvotāju, dzīvības. Lai gan neviens nevar prognozēt, cik ilgi šis karš turpināsies, jau tagad ir skaidrs, ka tas atspoguļo tendenci, kas novērota citos lielos konfliktos pēdējo divu gadsimtu laikā. Valstis karo, izmantojot jaunākās tehnoloģijas, un paši kari paātrina tehnoloģiju attīstības. Tāpēc ir svarīgi pastāvīgi izvērtēt kara ietekmi uz tehnoloģiju attīstību un lietošanu.

Krievijas iebrukums daļēji balstās uz kiberstratēģiju, kas ietver vismaz trīs atšķirīgus un dažkārt koordinētus centienus — postošus kiberuzbrukumus Ukrainā, iekļūšanu tīklos un spiegošanu ārpus Ukrainas, kā arī kiberietekmes operācijas, kas vērstas pret cilvēkiem visā pasaulē. Šajā ziņojumā sniegta atjaunināta informācija un analīze par katru no šīm jomām un to savstarpējo koordināciju. Tas piedāvā arī idejas, kā labāk cīnīties pret apdraudējumiem šajā karā un pēc tā, kā arī jaunas iespējas valsts iestādēm un privātajam sektoram labāk sadarboties.

Pašreizējā kara kiberproporcijas sniedzas tālu aiz Ukrainas un atspoguļo kibertelpas unikālo dabu. Kad valstis kaujā sūta kodus, to ieroči pārvietojas ar gaismas ātrumu. Interneta globālie ceļi ļauj ar kiberdarbībām nojaukt lielu daļu no ilglaicīgās aizsardzības, ko nodrošina robežas, sienas un okeāni. Internets atšķirībā no sauszemes, jūras un gaisa, ir cilvēku radīts un balstās uz publiskā un privātā sektora īpašumtiesību, darbības un aizsardzības apvienojumu.

Tas savukārt prasa jaunu kolektīvās aizsardzības formu. Šajā karā Krievija, kurai ir ievērojama kibervara, ne tikai cīnās pret valstu aliansi. Ukrainas kiberaizsardzība lielā mērā ir atkarīga no valstu, uzņēmumu un NVO koalīcijas.

Tagad pasaule var sākt novērtēt uzbrukuma un aizsardzības kiberoperāciju agrīnās un relatīvās stiprās un vājās puses. Kur kolektīvā aizsardzība sekmīgi novērš uzbrukumus un kur tā ir nepietiekama? Kāda veida tehnoloģiju inovācijas tiek ieviestas? Svarīgi noskaidrot, kādi soļi ir jāsper, lai efektīvi aizsargātos pret kiberuzbrukumiem nākotnē? Cita starpā ir svarīgi šos novērtējumus balstīt uz precīziem datiem un neļauties maldināt nepamatotai miera sajūtai, ko rada ārējais uzskats, ka kiberkarš Ukrainā nav bijis tik postošs, kā daži baidījās.

Šajā atskaitē ir pieci secinājumi, kas radušies no pirmajiem četriem kara mēnešiem:

Pirmkārt, aizsardzībai pret militāru iebrukumu lielākajai daļai valstu tagad ir nepieciešama spēja finansiāli segt un izplatīt digitālās operācijas un datu līdzekļus pāri robežām un citās valstīs.

Nav pārsteidzoši, ka Krievijas mērķis bija Ukrainas valsts iestāžu datu centrs, uzbrūkot ar kruīza raķetēm, un arī citi lokāli serveri bija neaizsargāti pret ierasto ieroču uzbrukumiem ar ierastajiem ieročiem. Krievija savus postošos “tīrītāju” (wiper) uzbrukumus vērsa arī uz lokālajiem tīkliem. Taču Ukrainas valsts iestādes ir veiksmīgi uzturējušas savas civilās un militārās operācijas, ātri rīkojoties un pārvietojot savu digitālo infrastruktūru publiskajā mākonī, kur tā tiek izvietota datu centros visā Eiropā.

Tas ir prasījis steidzamus un ārkārtas pasākumus visā tehnoloģiju nozarē, tostarp no Microsoft puses. Lai gan tehnoloģiju nozares darbs ir bijis ļoti svarīgs, ir svarīgi domāt arī par ilgtermiņa mācībām, kas izriet no šiem centieniem.

Otrkārt, nesenie sasniegumi kiberdraudu informācijas un galapunktu aizsardzības jomā ir palīdzējuši Ukrainai izturēt lielu daļu Krievijas destruktīvo kiberuzbrukumu

Tā kā kiberdarbības ir nav redzamas ar neapbruņotu aci, žurnālistiem un pat daudziem militārās jomas analītiķiem tās ir grūtāk izsekot. Microsoft ir novērojis, ka Krievijas militārie spēki ir uzsākuši vairākus postošu kiberuzbrukumu viļņus pret 48 dažādām Ukrainas aģentūrām un uzņēmumiem. Tie ir mēģinājuši iekļūt tīkla domēnos, sākotnēji kompromitējot simtiem datoru un pēc tam izplatot ļaunprogrammatūru, kas paredzēta, lai iznīcinātu programmatūru un datus tūkstošiem citu datoru.

Krievijas kiberdarbības taktika šajā karā ir atšķirīga no tās, kas tika izmantota NotPetya uzbrukumā Ukrainai 2017. gadā. Šajā uzbrukumā tika izmantota “tārpu” (wormable) ļaunprogrammatūra, kas varēja pāriet no viena datora domēna uz citu un tādējādi šķērsot citu valstu robežas. 2022. gadā Krievija ir centusies ierobežot postošo “tīrītāja programmatūru” (wiper software) ar konkrētiem tīkla domēniem pašā Ukrainā. Taču nesenie un joprojām notiekošie postošie uzbrukumi ir bijuši smalkāk izstrādāti un plašāk izplatīti, nekā ir norādīts daudzās atskaitēs. Krievijas armija turpina pielāgot šos destruktīvos uzbrukumus mainīgajām kara vajadzībām, tostarp apvienojot kiberuzbrukumus ar parasto ieroču izmantošanu.

Šo postošo uzbrukumu noteicošais aspekts līdz šim ir bijis kiberaizsardzības stiprums un relatīvie panākumi. Lai gan šī kiberaizsardzība nav perfekta un daži destruktīvie uzbrukumi ir bijuši veiksmīgi, tā ir izrādījusies spēcīgāka nekā uzbrukuma kiberdrošība. Tas atspoguļo divas svarīgas nesenas tendences. Pirmkārt, uzlabojumi draudu informācijas jomā, tostarp mākslīgā intelekta izmantošana, ir palīdzējuši efektīvāk atklāt šos uzbrukumus. Otrkārt, ar internetu savienotā galapunktu aizsardzība ir ļāvusi ātri izplatīt aizsardzības programmatūras kodu gan mākoņpakalpojumos, gan citās savienotās datoru ierīcēs, lai identificētu un atspējotu šo ļaunprogrammatūru. Kara laika inovācijas un mēri kopā ar Ukrainas valsts iestādēm ir vēl vairāk pastiprinājuši šo aizsardzību. Tomēr, lai saglabātu šo aizsardzības priekšrocību, visticamāk, būs nepieciešama pastāvīga modrība un inovācijas.

Treškārt, tā kā valstu koalīcija ir apvienojusies, lai aizstāvētu Ukrainu, Krievijas informācijas aģentūras ir pastiprinājušas iekļūšanu tīklos un spiegošanu, kas vērsta pret sabiedroto valsts iestādēm ārpus Ukrainas.

Uzņēmumā Microsoft esam atklājuši Krievijas centienus ielauzties tīklā 128 organizācijās 42 valstīs ārpus Ukrainas. Lai gan Amerikas Savienotās Valstis ir Krievijas galvenais mērķis, šīs darbības prioritāte ir arī Polija, kur tiek koordinēta liela daļa militārās un humānās palīdzības loģistikas. Krievijas aktivitātes ir vērstas arī pret Baltijas valstīm, un pēdējo divu mēnešu laikā ir vairāk aktivitāšu, kas vērstas pret Dānijas, Norvēģijas, Somijas, Zviedrijas un Turcijas datora tīkliem. Esam novērojuši, ka pieaug arī līdzīgas aktivitātes pret citu NATO valstu ārlietu ministrijām.

Krievija kā prioritāti noteikusi valsts iestādes, jo īpaši NATO dalībvalstīs. Mērķu sarakstā ir arī domnīcas, humānās palīdzības organizācijas, IT uzņēmumi, kā arī enerģētikas un citas kritiskās infrastruktūras piegādātāji. Kopš kara sākuma mūsu identificētie Krievijas mērķtiecīgie uzbrukumi ir bijuši veiksmīgi 29% gadījumu. Ceturtā daļa šo veiksmīgo ielaušanās gadījumu ir novedusi pie apstiprinātas organizācijas datu eksfiltrācijas, lai gan, kā paskaidrots ziņojumā, tas, visticamāk, ir par zemu novērtēts Krievijas panākumu līmenis.

Mēs joprojām visvairāk uztraucamies par valsts iestāžu datoriem, kas darbojas telpās, nevis mākonī. Tas atspoguļo pašreizējo un globālo stāvokli aktīvās kiberspiegošanas un kiberaizsardzības jomā. Kā pirms 18 mēnešiem pierādīja SolarWinds incidents, Krievijas informācijas aģentūrām ir ārkārtīgi smalki izstrādātas iespējas implantēt kodu un darboties kā rafinēti noturīgiem draudiem (APT), kas no tīkla var pastāvīgi iegūt un izvilkt sensitīvu informāciju. Kopš tā laika aizsardzības jomā ir gūti ievērojami panākumi, taču Eiropas valstu valsts iestādes šos sasniegumus īsteno nevienmērīgāk nekā Amerikas Savienotajās Valstīs. Tā rezultātā joprojām pastāv būtiski kolektīvās aizsardzības trūkumi.

Ceturtkārt, saskaņoti ar citām kiberdarbībām Krievijas aģentūras veic globālas kiberietekmes operācijas, lai atbalstītu savus centienus karā.

Tās apvieno vairākas desmitgades KGB izstrādāto taktiku ar jaunajām digitālajām tehnoloģijām un internetu, lai ārvalstu operācijām nodrošinātu plašāku ģeogrāfisko pārklājumu, lielāku apjomu, precīzāku mērķi, kā arī lielāku ātrumu un veiklību. Diemžēl, pateicoties pietiekamai plānošanai un smalki nostrādātām darbībām, šīs kiberietekmes operācijas var labi izmantot demokrātisko sabiedrību ilgstošo atvērtību un sabiedrības polarizāciju, kas mūsdienās ir raksturīga.

Turpinoties karam Ukrainā, Krievijas aģentūras koncentrē savas kiberietekmes operācijas uz četrām dažādām auditorijām. Tās ir vērstas pret Krievijas iedzīvotājiem ar mērķi uzturēt atbalstu karam. Tie ir vērsti pret Ukrainas iedzīvotājiem, lai iedragātu pārliecību par valsts gatavību un spēju pretoties Krievijas uzbrukumiem. Tie vēršas pret Amerikas un Eiropas iedzīvotājiem ar mērķi graut Rietumu vienotību un novērst kritiku par Krievijas militārajiem kara noziegumiem. Tās sāk orientēties uz neiesaistīto valstu iedzīvotājiem, iespējams, daļēji tādēļ, lai uzturētu savu atbalstu Apvienoto Nāciju Organizācijā un citās vietās.

Krievijas kiberietekmes operācijas ir saistītas taktiku, kas ir izstrādāta citām kiberdarbībām. Līdzīgi kā uzlabotā pastāvīgā apdraudējuma (APT) komandas, kas darbojas Krievijas informācijas pakalpojumu ietvaros, uzlabotā pastāvīgā manipulatora (APM) komandas, kas ir saistītas ar Krievijas valsts iestāžu aģentūrām, darbojas, izmantojot sociālos tīklus un digitālās platformas. Viņi iepriekš izvieto viltus stāstījumus līdzīgi kā izvieto ļaunprogrammatūras un citu programmatūru kodu. Pēc tam viņi uzsāk plašu un vienlaicīgu šo valsts iestāžu pārvaldīto un ietekmēto tīmekļa vietņu stāstījumu “pārskatīšanu” un pastiprina savus stāstījumus, izmantojot tehnoloģiju rīkus, kas izstrādāti, lai izmantotu sociālo tīklu pakalpojumus. Nesenie piemēri ir stāsti par biolaboratorijām Ukrainā un vairāki centieni aizēnot militāros uzbrukumus Ukrainas civiliedzīvotājiem.

Jaunas Microsoft iniciatīvas ietvaros mēs izmantojam mākslīgo intelektu, jaunus analītiskos rīkus, plašākas datu kopas un arvien lielāku speciālistu personālu, lai izsekotu un prognozētu šos kiberdraudus. Izmantojot šīs jaunās iespējas, mēs lēšam, ka Krievijas kiberietekmes operācijas veiksmīgi palielināja Krievijas propagandas izplatību pēc kara sākuma par 216% Ukrainā un par 82% Amerikas Savienotajās Valstīs.

Šīs Krievijas operācijas balstās uz neseniem smalki izstrādātiem centieniem izplatīt nepatiesus COVID-19 stāstījumus vairākās Rietumvalstīs. Tostarp 2021. gadā tika veiktas valsts sponsorētas kiberietekmes operācijas, kuru mērķis bija atturēt no vakcīnu ieviešanas, izmantojot interneta ziņojumus angļu valodā, un vienlaikus veicināt vakcīnu lietošanu, izmantojot vietnes krievu valodā. Pēdējo sešu mēnešu laikā līdzīgu Krievijas kiberietekmes operāciju mērķis bija palīdzēt uzkurināt sabiedrības pretestību COVID-19 politikai Jaunzēlandē un Kanādā.

Turpmākajās nedēļās un mēnešos mēs turpināsim paplašināt Microsoft darbu šajā jomā. Tas ietver gan iekšējo izaugsmi, gan pagājušajā nedēļā paziņoto vienošanos par Miburo Solutions, vadošā kiberdraudu analīzes un izpētes uzņēmuma, kura specializācija ir ārvalstu kiberuzbrukumu atklāšana un reaģēšana uz tiem, iegādi.

Mēs uztraucamies, ka daudzas pašreizējās Krievijas kiberietekmes operācijas patlaban turpinās mēnešiem ilgi bez pienācīgas atklāšanas, analīzes vai publiskiem pārskatiem. Tas arvien vairāk ietekmē daudzas svarīgas iestādes gan valsts, gan privātajā sektorā. Jo ilgāk karš Ukrainā turpināsies, jo svarīgākas šīs operācijas, visticamāk, kļūs pašai Ukrainai. Tas ir tāpēc, ka ilgāks karš prasīs noturēt sabiedrības atbalstu no neizbēgamas problēmas, ko rada lielāks nogurums. Būtu steidzami jāpievērš uzmanība tam, cik svarīgi ir stiprināt Rietumu aizsardzību pret šāda veida ārvalstu kiberietekmes uzbrukumiem.

Visbeidzot Ukrainas pieredze liecina, ka ir nepieciešama koordinēta un visaptveroša stratēģija, lai stiprinātu aizsardzību pret dažādām postošām kiberspiegošanas un kiberietekmes operācijām.

Kā liecina karš Ukrainā, lai gan starp šiem apdraudējumiem pastāv atšķirības, Krievijas valdība tos neizpilda kā atsevišķus centienus un mums nevajadzētu tos analītiski nošķirt. Turklāt aizsardzības stratēģijās ir jāņem vērā šo kiberoperāciju koordinācija ar kinētiskajām militārajām operācijām, kā tas notika Ukrainā.

Lai novērstu šos kiberdraudus, ir nepieciešama uzlabota pieeja, un tā būs atkarīga no četriem pamatprincipiem un — vismaz augstākajā līmenī — izplatītākās stratēģijas. Pirmais aizsardzības princips ir atzīt, ka Krievijas kiberdraudus veic kopīgs Krievijas valsts iekšienē un ārpus tās esošo draudu izpildītāju kopums un ka tos vieno līdzīga digitālā taktika. Tāpēc, lai pret tām cīnītos, būs nepieciešami sasniegumi digitālo tehnoloģiju, mākslīgā intelekta un datu jomā. To atspoguļojot, otrais princips ir atzīt ka atšķirībā no tradicionālajiem pagātnes apdraudējumiem, reaģējot uz kiberdraudiem, ir jāpaļaujas uz plašāku publiskā un privātā sektora sadarbību. Trešais princips ietver nepieciešamību pēc ciešas un kopīgas daudzpusējas sadarbības starp valsts iestādēm, lai aizsargātu atvērtu un demokrātisku sabiedrību. Ceturtais un pēdējais aizsardzības princips ir atbalstīt vārda brīvību un izvairīties no cenzūras demokrātiskā sabiedrībā, pat ja ir nepieciešami jauni pasākumi, lai vērstos pret visiem kiberdraudiem, tostarp kiberietekmes operācijām.

Efektīvai reakcijai jābalstās uz šiem principiem, izmantojot četrus stratēģiskos pīlārus. Tām būtu jāpalielina kolektīvās spējas labāk (1) noteikt, (2) aizsargāties, (3) izjaukt un (4) novērst ārvalstu kiberdraudus. Šāda pieeja jau ir atspoguļota daudzos kopīgos centienos novērst postošus kiberuzbrukumus un kiberspiegošanu. Tie attiecas arī uz kritiski svarīgo un nepārtraukto darbu, kas nepieciešams, lai novērstu ļaunprogrammatūru uzbrukumus. Tagad mums ir nepieciešama līdzīga un visaptveroša pieeja ar jaunām spējām un aizsardzības līdzekļiem, lai apkarotu Krievijas kiberietekmes operācijas.

Kā minēts šajā atskaitē, karš Ukrainā ir ne tikai mācība, bet arī aicinājums rīkoties, lai veiktu efektīvus pasākumus, kas būs būtiski svarīgi demokrātijas nākotnes aizsardzībai. Mēs kā uzņēmums esam apņēmušies atbalstīt šos centienus, tostarp ar pastāvīgiem un jauniem ieguldījumiem tehnoloģijās, datos un partnerībās, kas atbalstīs valsts iestādes, uzņēmumus, NVO un universitātes.

Papildinformācijai lasiet pilnu pārskatu.

Saistītie raksti

Īpašais pārskats: Ukraina

Microsoft dalās ieskatos par kiberuzbrukumiem Ukrainai, izceļot uzbrukuma detaļas un kontekstu saistībā ar Krievijā bāzēto plaša mēroga uzbrucēju darbības jomu, mērogu un metodēm.

Kibernoturības pārskats

Microsoft drošības speciālisti veica vairāk nekā 500 drošības profesionāļu aptauju, lai izprastu drošības tendenču attīstību un svarīgākos apstākļus, kas rada bažas informācijas drošības vadītājiem.

Ieskati no triljoniem drošības signālu dienā

Microsoft drošības eksperti izgaismo mūsdienu apdraudējumu kopumu, sniedzot ieskatus par jaunajām tendencēm, kā arī apdraudējumiem, kas joprojām pastāv.