Ukrainas aizstāvība: Kiberkara pirmās mācības

Nav pārsteidzoši, ka Krievijas mērķis bija Ukrainas valsts iestāžu datu centrs, uzbrūkot ar kruīza raķetēm, un arī citi lokāli serveri bija neaizsargāti pret ierasto ieroču uzbrukumiem ar ierastajiem ieročiem. Krievija savus postošos “tīrītāju” (wiper) uzbrukumus vērsa arī uz lokālajiem tīkliem. Taču Ukrainas valsts iestādes ir veiksmīgi uzturējušas savas civilās un militārās operācijas, ātri rīkojoties un pārvietojot savu digitālo infrastruktūru publiskajā mākonī, kur tā tiek izvietota datu centros visā Eiropā.

Tas ir prasījis steidzamus un ārkārtas pasākumus visā tehnoloģiju nozarē, tostarp no Microsoft puses. Lai gan tehnoloģiju nozares darbs ir bijis ļoti svarīgs, ir svarīgi domāt arī par ilgtermiņa mācībām, kas izriet no šiem centieniem.

Tā kā kiberdarbības ir nav redzamas ar neapbruņotu aci, žurnālistiem un pat daudziem militārās jomas analītiķiem tās ir grūtāk izsekot. Microsoft ir novērojis, ka Krievijas militārie spēki ir uzsākuši vairākus postošu kiberuzbrukumu viļņus pret 48 dažādām Ukrainas aģentūrām un uzņēmumiem. Tie ir mēģinājuši iekļūt tīkla domēnos, sākotnēji kompromitējot simtiem datoru un pēc tam izplatot ļaunprogrammatūru, kas paredzēta, lai iznīcinātu programmatūru un datus tūkstošiem citu datoru.

Krievijas kiberdarbības taktika šajā karā ir atšķirīga no tās, kas tika izmantota NotPetya uzbrukumā Ukrainai 2017. gadā. Šajā uzbrukumā tika izmantota “tārpu” (wormable) ļaunprogrammatūra, kas varēja pāriet no viena datora domēna uz citu un tādējādi šķērsot citu valstu robežas. 2022. gadā Krievija ir centusies ierobežot postošo “tīrītāja programmatūru” (wiper software) ar konkrētiem tīkla domēniem pašā Ukrainā. Taču nesenie un joprojām notiekošie postošie uzbrukumi ir bijuši smalkāk izstrādāti un plašāk izplatīti, nekā ir norādīts daudzās atskaitēs. Krievijas armija turpina pielāgot šos destruktīvos uzbrukumus mainīgajām kara vajadzībām, tostarp apvienojot kiberuzbrukumus ar parasto ieroču izmantošanu.

Šo postošo uzbrukumu noteicošais aspekts līdz šim ir bijis kiberaizsardzības stiprums un relatīvie panākumi. Lai gan šī kiberaizsardzība nav perfekta un daži destruktīvie uzbrukumi ir bijuši veiksmīgi, tā ir izrādījusies spēcīgāka nekā uzbrukuma kiberdrošība. Tas atspoguļo divas svarīgas nesenas tendences. Pirmkārt, uzlabojumi draudu informācijas jomā, tostarp mākslīgā intelekta izmantošana, ir palīdzējuši efektīvāk atklāt šos uzbrukumus. Otrkārt, ar internetu savienotā galapunktu aizsardzība ir ļāvusi ātri izplatīt aizsardzības programmatūras kodu gan mākoņpakalpojumos, gan citās savienotās datoru ierīcēs, lai identificētu un atspējotu šo ļaunprogrammatūru. Kara laika inovācijas un mēri kopā ar Ukrainas valsts iestādēm ir vēl vairāk pastiprinājuši šo aizsardzību. Tomēr, lai saglabātu šo aizsardzības priekšrocību, visticamāk, būs nepieciešama pastāvīga modrība un inovācijas.

Uzņēmumā Microsoft esam atklājuši Krievijas centienus ielauzties tīklā 128 organizācijās 42 valstīs ārpus Ukrainas. Lai gan Amerikas Savienotās Valstis ir Krievijas galvenais mērķis, šīs darbības prioritāte ir arī Polija, kur tiek koordinēta liela daļa militārās un humānās palīdzības loģistikas. Krievijas aktivitātes ir vērstas arī pret Baltijas valstīm, un pēdējo divu mēnešu laikā ir vairāk aktivitāšu, kas vērstas pret Dānijas, Norvēģijas, Somijas, Zviedrijas un Turcijas datora tīkliem. Esam novērojuši, ka pieaug arī līdzīgas aktivitātes pret citu NATO valstu ārlietu ministrijām.

Krievija kā prioritāti noteikusi valsts iestādes, jo īpaši NATO dalībvalstīs. Mērķu sarakstā ir arī domnīcas, humānās palīdzības organizācijas, IT uzņēmumi, kā arī enerģētikas un citas kritiskās infrastruktūras piegādātāji. Kopš kara sākuma mūsu identificētie Krievijas mērķtiecīgie uzbrukumi ir bijuši veiksmīgi 29% gadījumu. Ceturtā daļa šo veiksmīgo ielaušanās gadījumu ir novedusi pie apstiprinātas organizācijas datu eksfiltrācijas, lai gan, kā paskaidrots ziņojumā, tas, visticamāk, ir par zemu novērtēts Krievijas panākumu līmenis.

Mēs joprojām visvairāk uztraucamies par valsts iestāžu datoriem, kas darbojas telpās, nevis mākonī. Tas atspoguļo pašreizējo un globālo stāvokli aktīvās kiberspiegošanas un kiberaizsardzības jomā. Kā pirms 18 mēnešiem pierādīja SolarWinds incidents, Krievijas informācijas aģentūrām ir ārkārtīgi smalki izstrādātas iespējas implantēt kodu un darboties kā rafinēti noturīgiem draudiem (APT), kas no tīkla var pastāvīgi iegūt un izvilkt sensitīvu informāciju. Kopš tā laika aizsardzības jomā ir gūti ievērojami panākumi, taču Eiropas valstu valsts iestādes šos sasniegumus īsteno nevienmērīgāk nekā Amerikas Savienotajās Valstīs. Tā rezultātā joprojām pastāv būtiski kolektīvās aizsardzības trūkumi.

Tās apvieno vairākas desmitgades KGB izstrādāto taktiku ar jaunajām digitālajām tehnoloģijām un internetu, lai ārvalstu operācijām nodrošinātu plašāku ģeogrāfisko pārklājumu, lielāku apjomu, precīzāku mērķi, kā arī lielāku ātrumu un veiklību. Diemžēl, pateicoties pietiekamai plānošanai un smalki nostrādātām darbībām, šīs kiberietekmes operācijas var labi izmantot demokrātisko sabiedrību ilgstošo atvērtību un sabiedrības polarizāciju, kas mūsdienās ir raksturīga.

Turpinoties karam Ukrainā, Krievijas aģentūras koncentrē savas kiberietekmes operācijas uz četrām dažādām auditorijām. Tās ir vērstas pret Krievijas iedzīvotājiem ar mērķi uzturēt atbalstu karam. Tie ir vērsti pret Ukrainas iedzīvotājiem, lai iedragātu pārliecību par valsts gatavību un spēju pretoties Krievijas uzbrukumiem. Tie vēršas pret Amerikas un Eiropas iedzīvotājiem ar mērķi graut Rietumu vienotību un novērst kritiku par Krievijas militārajiem kara noziegumiem. Tās sāk orientēties uz neiesaistīto valstu iedzīvotājiem, iespējams, daļēji tādēļ, lai uzturētu savu atbalstu Apvienoto Nāciju Organizācijā un citās vietās.

Krievijas kiberietekmes operācijas ir saistītas taktiku, kas ir izstrādāta citām kiberdarbībām. Līdzīgi kā uzlabotā pastāvīgā apdraudējuma (APT) komandas, kas darbojas Krievijas informācijas pakalpojumu ietvaros, uzlabotā pastāvīgā manipulatora (APM) komandas, kas ir saistītas ar Krievijas valsts iestāžu aģentūrām, darbojas, izmantojot sociālos tīklus un digitālās platformas. Viņi iepriekš izvieto viltus stāstījumus līdzīgi kā izvieto ļaunprogrammatūras un citu programmatūru kodu. Pēc tam viņi uzsāk plašu un vienlaicīgu šo valsts iestāžu pārvaldīto un ietekmēto tīmekļa vietņu stāstījumu “pārskatīšanu” un pastiprina savus stāstījumus, izmantojot tehnoloģiju rīkus, kas izstrādāti, lai izmantotu sociālo tīklu pakalpojumus. Nesenie piemēri ir stāsti par biolaboratorijām Ukrainā un vairāki centieni aizēnot militāros uzbrukumus Ukrainas civiliedzīvotājiem.

Jaunas Microsoft iniciatīvas ietvaros mēs izmantojam mākslīgo intelektu, jaunus analītiskos rīkus, plašākas datu kopas un arvien lielāku speciālistu personālu, lai izsekotu un prognozētu šos kiberdraudus. Izmantojot šīs jaunās iespējas, mēs lēšam, ka Krievijas kiberietekmes operācijas veiksmīgi palielināja Krievijas propagandas izplatību pēc kara sākuma par 216% Ukrainā un par 82% Amerikas Savienotajās Valstīs.

Šīs Krievijas operācijas balstās uz neseniem smalki izstrādātiem centieniem izplatīt nepatiesus COVID-19 stāstījumus vairākās Rietumvalstīs. Tostarp 2021. gadā tika veiktas valsts sponsorētas kiberietekmes operācijas, kuru mērķis bija atturēt no vakcīnu ieviešanas, izmantojot interneta ziņojumus angļu valodā, un vienlaikus veicināt vakcīnu lietošanu, izmantojot vietnes krievu valodā. Pēdējo sešu mēnešu laikā līdzīgu Krievijas kiberietekmes operāciju mērķis bija palīdzēt uzkurināt sabiedrības pretestību COVID-19 politikai Jaunzēlandē un Kanādā.

Turpmākajās nedēļās un mēnešos mēs turpināsim paplašināt Microsoft darbu šajā jomā. Tas ietver gan iekšējo izaugsmi, gan pagājušajā nedēļā paziņoto vienošanos par Miburo Solutions, vadošā kiberdraudu analīzes un izpētes uzņēmuma, kura specializācija ir ārvalstu kiberuzbrukumu atklāšana un reaģēšana uz tiem, iegādi.

Mēs uztraucamies, ka daudzas pašreizējās Krievijas kiberietekmes operācijas patlaban turpinās mēnešiem ilgi bez pienācīgas atklāšanas, analīzes vai publiskiem pārskatiem. Tas arvien vairāk ietekmē daudzas svarīgas iestādes gan valsts, gan privātajā sektorā. Jo ilgāk karš Ukrainā turpināsies, jo svarīgākas šīs operācijas, visticamāk, kļūs pašai Ukrainai. Tas ir tāpēc, ka ilgāks karš prasīs noturēt sabiedrības atbalstu no neizbēgamas problēmas, ko rada lielāks nogurums. Būtu steidzami jāpievērš uzmanība tam, cik svarīgi ir stiprināt Rietumu aizsardzību pret šāda veida ārvalstu kiberietekmes uzbrukumiem.

Kā liecina karš Ukrainā, lai gan starp šiem apdraudējumiem pastāv atšķirības, Krievijas valdība tos neizpilda kā atsevišķus centienus un mums nevajadzētu tos analītiski nošķirt. Turklāt aizsardzības stratēģijās ir jāņem vērā šo kiberoperāciju koordinācija ar kinētiskajām militārajām operācijām, kā tas notika Ukrainā.

Lai novērstu šos kiberdraudus, ir nepieciešama uzlabota pieeja, un tā būs atkarīga no četriem pamatprincipiem un — vismaz augstākajā līmenī — izplatītākās stratēģijas. Pirmais aizsardzības princips ir atzīt, ka Krievijas kiberdraudus veic kopīgs Krievijas valsts iekšienē un ārpus tās esošo draudu izpildītāju kopums un ka tos vieno līdzīga digitālā taktika. Tāpēc, lai pret tām cīnītos, būs nepieciešami sasniegumi digitālo tehnoloģiju, mākslīgā intelekta un datu jomā. To atspoguļojot, otrais princips ir atzīt ka atšķirībā no tradicionālajiem pagātnes apdraudējumiem, reaģējot uz kiberdraudiem, ir jāpaļaujas uz plašāku publiskā un privātā sektora sadarbību. Trešais princips ietver nepieciešamību pēc ciešas un kopīgas daudzpusējas sadarbības starp valsts iestādēm, lai aizsargātu atvērtu un demokrātisku sabiedrību. Ceturtais un pēdējais aizsardzības princips ir atbalstīt vārda brīvību un izvairīties no cenzūras demokrātiskā sabiedrībā, pat ja ir nepieciešami jauni pasākumi, lai vērstos pret visiem kiberdraudiem, tostarp kiberietekmes operācijām.

Efektīvai reakcijai jābalstās uz šiem principiem, izmantojot četrus stratēģiskos pīlārus. Tām būtu jāpalielina kolektīvās spējas labāk (1) noteikt, (2) aizsargāties, (3) izjaukt un (4) novērst ārvalstu kiberdraudus. Šāda pieeja jau ir atspoguļota daudzos kopīgos centienos novērst postošus kiberuzbrukumus un kiberspiegošanu. Tie attiecas arī uz kritiski svarīgo un nepārtraukto darbu, kas nepieciešams, lai novērstu ļaunprogrammatūru uzbrukumus. Tagad mums ir nepieciešama līdzīga un visaptveroša pieeja ar jaunām spējām un aizsardzības līdzekļiem, lai apkarotu Krievijas kiberietekmes operācijas.

Kā minēts šajā atskaitē, karš Ukrainā ir ne tikai mācība, bet arī aicinājums rīkoties, lai veiktu efektīvus pasākumus, kas būs būtiski svarīgi demokrātijas nākotnes aizsardzībai. Mēs kā uzņēmums esam apņēmušies atbalstīt šos centienus, tostarp ar pastāvīgiem un jauniem ieguldījumiem tehnoloģijās, datos un partnerībās, kas atbalstīs valsts iestādes, uzņēmumus, NVO un universitātes.

Papildinformācijai lasiet pilnu pārskatu.