Beskyttelse av Ukraina: Tidlige erfaringer fra cyberkrigen

Det var ingen overraskelse at Russland angrep Ukrainas statlige datasenter i et tidlig angrep med krysserraketter, og andre servere var også sårbare for angrep av konvensjonelle våpen. Russland benyttet også sine destruktive «wiper»-angrep på lokale datanettverk. Men Ukrainas myndigheter har klart å holde den sivile og militære operasjonen i drift ved raskt å spre den digitale infrastrukturen til den offentlige skyen, hvor den har blitt driftet i datasentre i hele Europa.

Dette har omfattet raske og usedvanlige inngrep fra hele teknologisektoren, deriblant Microsoft. Mens teknologisektorens arbeid har vært viktig, er det også viktig å tenke i langtidsperspektiv på hva man kan lære av denne innsatsen.

Fordi cyberaktivitet er usynlig for det blotte øyet, er de vanskeligere for journalister og til og med mange militære analytikere å følge med på. Microsoft har sett det russiske militæret sende mange bølger med destruktive cyberangrep mot 48 forskjellige ukrainske organer og virksomheter. Disse har forsøkt å trenge inn i nettverksdomener ved først å bryte inn i hundrevis av datamaskiner og deretter spre skadelig programvare som har til hensikt å ødelegge programvare og data, i tusenvis av andre.

Russisk cybertaktikk i krigen har skilt seg ut fra taktikken som ble brukt i NotPetya-angrepet mot Ukraina i 2017. Det angrepet brukte en destruktiv skadelig programvare i form av en orm som kunne hoppe fra et datadomene til et annet og dermed komme seg over grensen til andre land. Russland har i 2022 passet på å begrense destruktiv «wiperprogramvare» til bestemte nettverksdomener innenfor Ukraina. Men de nylige og pågående destruktive angrepene selv har vært sofistikerte og mer utbredt enn mange rapporter anerkjenner. Og den russiske hæren fortsetter å tilpasse disse destruktive angrepene til endringene i krigsbehovene, blant annet ved å koble cyberangrep til bruken av konvensjonelle våpen.

Et definerende aspekt ved disse destruktive angrepene så langt har vært styrken og den relative suksessen til cyberforsvaret. Det er kanskje ikke perfekt, og noen destruktive angrep har lykkes, men cyberforsvaret har vist seg sterkere enn angrepene. Dette gjenspeiler to viktige og nylige trender. For det første har fremskritt innen trusselinformasjon, blant annet bruk av kunstig intelligens, gjort det mulig å oppdage disse angrepene på en mer effektiv måte. Og for det andre har endepunktbeskyttelse koblet til Internett gjort det mulig å rulle ut beskyttende programvarekode raskt til både skytjenester og andre tilkoblede databehandlingsenheter for å identifisere og deaktivere denne skadelige programvaren. Stadige nyskapninger og tiltak med de ukrainske myndighetene under krigen har styrket denne beskyttelsen enda mer. Men det må nok fortsatt vaktsomhet og nyskapning til for å opprettholde dette gode forsvaret.

I Microsoft har vi oppdaget russiske inntrengningsforsøk på 128 organisasjoner i 42 land utenfor Ukraina. Mens USA har vært hovedmålet for Russland, har aktiviteten også prioritert Polen, hvor mye av logistikken rundt leveranser av militær og humanitær hjelp koordineres. Russland har også rettet aktivitet mot baltiske land, og i løpet av de siste to månedene har det vært en økning i lignende aktivitet mot datanettverk i Danmark, Norge, Finland, Sverige og Tyrkia. Vi har også sett en økning i lignende aktivitet mot utenriksdepartementene til andre NATO-land.

Russland har prioritert angrep på statlige organisasjoner, særlig blant NATO-medlemmer. Men listen over mål har også omfattet tenketanker, humanitære organisasjoner, IT-selskaper og leverandører av energi og annen viktig infrastruktur. Siden krigens begynnelse har vi identifisert at de russiske angrepene har lykkes i 29 prosent av tilfellene. Tjuefem prosent av disse vellykkede inntrengningene har ført til bekreftet uttrekking av en organisasjons data, selv om dette, som forklart i rapporten, nok undervurderer graden av Russlands suksess.

Vi forblir mest bekymret for statseide datamaskiner som kjøres lokalt heller enn i skyen. Dette reflekterer den gjeldende og globale tilstanden til offensiv cyberspionasje og defensiv cyberbeskyttelse. Som SolarWinds-hendelsen demonstrerte for 18 måneder siden, har Russlands etterretningsorganer ekstremt sofistikerte evner til å innplante kode og operere som en avansert vedvarende trussel (APT) som kan få tak i og trekke ut sensitiv informasjon fra et nettverk over lengre tid. Det har skjedd betydelige fremskritt innen beskyttelse siden den gangen, men implementeringen av disse fremskrittene er litt mer ujevn i europeiske stater enn i USA. Som resultat finnes det fortsatt betydelige svakheter i forsvaret.

Denne kombinerte taktikken ble utviklet av KGB over flere tiår med ny digital teknologi og Internett for å gi påvirkningskraften i utlandet større geografisk rekkevidde, større omfang, mer presis målretting og gjøre den raskere og smidigere. Dessverre, med tilstrekkelig planlegging og raffinement kan disse cyberbaserte påvirkningsoperasjonene utnytte åpenheten i demokratiske samfunn og polariseringen i det offentlige som er karakteristisk for nåtiden.

Etter hvert som krigen i Ukraina utvikler seg, konsentrerer russiske organer de cyberbaserte påvirkningsoperasjonene om fire særskilte målgrupper. De ønsker å opprettholde støtten for krigsinnsatsen i den russiske befolkningen. De ønsker å undergrave tilliten til landets villighet og evner til å motstå russiske angrep i den ukrainske befolkningen. De ønsker å undergrave vestlig samhold og avlede fra kritikk mot Russlands krigsforbrytelser i den amerikanske og europeiske befolkningen. Og trolig ønsker de blant annet å opprettholde støtten fra befolkningene i ikke-allierte land i FN og andre kanaler.

Russiske cyberbaserte påvirkningsoperasjoner bygger på og er forbundet med taktikker som ble utviklet for andre cyberaktiviteter. I likhet med APT-teamene som jobber innenfor russisk etterretning, er APM (overvåking av programytelse)-teamene forbundet med russiske statlige organer gjennom sosiale medier og digitale plattformer. De utplasserer falske historier på en måte som ligner utplasseringen av skadelig programvare og annen programvarekode. De lanserer deretter bred og samtidig «rapportering» av disse historiene fra nettsteder under statlig administrasjon og innflytelse og forsterker historiene med teknologiske verktøy som utnytter sosiale medier. Nylige eksempler inkluderer historier om biolaboratorier i Ukraina og mange forsøk på å skjule militære angrep på sivile mål i Ukraina.

Som en del av et nytt initiativ i Microsoft bruker vi kunstig intelligens, nye analyseverktøy, bredere datasett og en voksende stab av eksperter for å spore og forhåndsberegne denne datatrusselen. Ved hjelp av disse nye evnene anslår vi at russiske cyberbaserte påvirkningsoperasjoner klarte å øke spredningen av russisk propaganda etter at krigen begynte, med 216 prosent i Ukraina og 82 prosent i USA.

Disse pågående russiske operasjonene bygger på nylige sofistikerte forsøk på å spre falske COVID-19-historier i flere vestlige land. Dette omfattet statssponsede cyberbaserte påvirkningsoperasjoner i 2021 som søkte å motarbeide opptaket av vaksine gjennom engelskspråklige rapporter på Internett og samtidig oppmuntre til vaksinebruk på russiskspråklige nettsteder. De siste seks månedene har lignende russiske cyberbaserte påvirkningsoperasjoner søkt å bidra til å fyre opp under offentlig motstand til COVID-19-policyer i New Zealand og Canada.

Vi fortsetter å utvide Microsofts arbeid på dette feltet i månedene og ukene som kommer. Dette omfatter både intern vekst og gjennom avtalen vi kunngjorde i forrige uke om å erverve Miburo Solutions, et ledende datatrusselanalyse- og forskningsfirma som spesialiserer seg på oppdagelse av og svar på fremmede cyberbaserte påvirkningsoperasjoner.

Vi er bekymret over at mange gjeldene russiske cyberbaserte påvirkningsoperasjoner kjører i flere måneder uten å bli oppdaget, analysert eller rapportert om. Dette har stadig større innvirkning på et stort antall viktige institusjoner både i offentlig og privat sektor. Og jo lenger krigen i Ukraina varer, desto viktigere blir disse operasjonene for Ukraina selv. Dette er fordi en mer langvarig krig krever at allmenn støtte opprettholdes stilt overfor den uunngåelige utmattelsen. Dette burde understreke hvor viktig det er å styrke vestlig forsvar mot denne slags cyberangrep fra fremmede makter.

Som krigen i Ukraina illustrerer, mens det finnes forskjeller mellom disse truslene, driver ikke de russiske myndighetene dem som atskilte operasjoner, og vi burde ikke putte dem i hver sin analytiske bås. I tillegg må de fleste forsvarsstrategier vurdere koordineringen av disse cyberoperasjonene med kinetiske militæroperasjoner, som vi har vært vitne til i Ukraina.

Det er behov for nye fremskritt for å stanse disse datatruslene, og det vil avhenge av fire grunnprinsipper og – i hvert fall på et høyere nivå – en felles strategi. Det første defensive grunnprinsippet må anerkjenne at russiske cybertrusler utvikles av en gruppe aktører i og utenfor den russiske staten som bruker en felles digital taktikk. Som resultat trenger vi fremskritt innen digital teknologi, kunstig intelligens og data for å motarbeide dem. Som en gjenspeiling av dette må det andre grunnprinsippet anerkjenne at til forskjell fra fortidens tradisjonelle trusler er cybersvaret mer avhengig av større samarbeid mellom det private og det offentlige. Et tredje grunnprinsipp må anerkjenne behovet for et nært og felles multilateralt samarbeid mellom myndigheter for å beskytte åpne og demokratiske samfunn. En fjerde og siste defensivt grunnprinsipp er å opprettholde ytringsfrihet og unngå sensur i demokratiske samfunn, samtidig som vi trenger nye skritt for å ta tak i hele omfanget av datatrusler, som inkluderer cyberbaserte påvirkningsoperasjoner.

Et effektivt svar må bygge på disse prinsippene med fire strategiske pilarer. Disse burde øke de kollektive evnene til bedre å (1) oppdage (2) forsvare mot, (3) forstyrre og (4) hindre fremmede datatrusler. Denne tilnærmingen er allerede gjenspeilet i mange kollektive forsøk på å gjøre noe med destruktive cyberangrep og cyberbasert spionasje. De gjelder også for det viktige og pågående arbeidet som er nødvendig for å gjøre noe med løsepengevirusangrep. Vi trenger nå en lignende og omfattende tilnærming med nye evner og forsvar for å bekjempe russiske cyberbaserte påvirkningsoperasjoner.

Som nevnt i denne rapporten gir krigen i Ukraina ikke bare lærdom, men også en handlingsoppfordring for mer effektive tiltak som kommer til å bli livsviktige for å beskytte demokratiets fremtid. Som selskap er vi opptatt av å støtte denne innsatsen, blant annet gjennom pågående og ny investering i teknologi, data og partnerskap som støtter myndigheter, selskaper, ideelle organisasjoner og universiteter.

Hvis du vil vite mer, kan du lese den fullstendige rapporten.