Defendendo a Ucrânia: as primeiras lições da guerra cibernética

Não foi surpresa a Rússia alvejar o data center governamental da Ucrânia em um ataque inicial com mísseis de cruzeiro, e outros servidores locais também ficaram vulneráveis a ataques com armas convencionais. A Rússia também direcionou seus ataques destrutivos "wiper" para redes de computadores locais. Mas o governo ucraniano conseguiu sustentar suas operações civis e militares agindo rapidamente para desembolsar sua infraestrutura digital para a nuvem pública, onde ela foi hospedada em data centers em toda a Europa.

Isso envolveu medidas urgentes e extraordinárias de todo o setor de tecnologia, inclusive da Microsoft. Embora o trabalho do setor de tecnologia tenha sido vital, também é importante pensar nas lições mais duradouras resultantes desses esforços.

Como as atividades cibernéticas são invisíveis a olho nu, elas são mais difíceis de serem rastreadas pelos jornalistas e até mesmo por muitos analistas militares. A Microsoft viu os militares russos lançarem várias ondas de ataques cibernéticos destrutivos contra 48 agências e empresas ucranianas distintas. Eles tentaram penetrar os domínios de rede comprometendo inicialmente centenas de computadores e, em seguida, espalhando malware projetado para destruir o software e os dados de milhares de outros.

As táticas cibernéticas russas na guerra foram diferentes das utilizadas no ataque NotPetya contra a Ucrânia em 2017. Aquele ataque usou um malware destrutivo "tipo worm" que podia saltar de um domínio de computador para outro e, portanto, atravessar fronteiras para outros países. Em 2022, a Rússia teve o cuidado de limitar o "software wiper" destrutivo a domínios de rede específicos dentro da própria Ucrânia. Mas os ataques destrutivos recentes e contínuos foram sofisticados e mais difundidos do que muitos relatórios informaram. E o exército russo continua a adaptar esses ataques destrutivos às necessidades em constante mudança da guerra, inclusive combinando ataques cibernéticos com o uso de armas convencionais.

Um aspecto determinante desses ataques destrutivos até agora tem sido a força e o sucesso relativo das defesas cibernéticas. Embora não sejam perfeitas e alguns ataques destrutivos tenham sido bem-sucedidos, essas defesas cibernéticas se mostraram mais fortes do que as capacidades cibernéticas ofensivas. Isso reflete duas tendências importantes e recentes. Primeiro, os avanços na inteligência contra ameaças, incluindo o uso de inteligência artificial, ajudaram a tornar possível detectar esses ataques de forma mais eficaz. E, em segundo lugar, a proteção de pontos de extremidade conectados à Internet possibilitou a distribuição rápida de códigos de software de proteção para serviços em nuvem e outros dispositivos de computação conectados para identificar e desativar esse malware. As inovações e medidas em andamento durante a guerra com o governo ucraniano fortaleceram ainda mais essa proteção. No entanto, provavelmente serão necessárias vigilância e inovação contínuas para manter essa vantagem defensiva.

Na Microsoft, detectamos esforços russos de invasão de rede em 128 organizações em 42 países fora da Ucrânia. Embora os Estados Unidos tenham sido o alvo número um da Rússia, essa atividade também priorizou a Polônia, onde grande parte da entrega logística de assistência militar e humanitária está sendo coordenada. As atividades russas também tiveram como alvo os países bálticos e, nos últimos dois meses, houve um aumento de atividades semelhantes direcionadas a redes de computadores na Dinamarca, Finlândia, Noruega, Suécia e Turquia. Também observamos um aumento de atividades semelhantes direcionadas aos ministérios de relações exteriores de outros países da OTAN.

Os alvos russos priorizaram os governos, especialmente entre os membros da OTAN. Mas a lista de alvos também incluiu think tanks, organizações humanitárias, empresas de TI e fornecedores de energia e de outras infraestruturas essenciais. Desde o início da guerra, os alvos russos que identificamos foram invadidos em 29% das vezes. Um quarto dessas invasões bem-sucedidas levou à exfiltração confirmada dos dados da organização, embora, conforme explicado no relatório, isso provavelmente subestime o grau de sucesso russo.

Continuamos mais preocupados com os computadores do governo que estão sendo executados no local e não na nuvem. Isso reflete o estado atual e global da espionagem cibernética ofensiva e da proteção cibernética defensiva. Como o incidente da SolarWinds demonstrou há 18 meses, as agências de inteligência da Rússia têm recursos extremamente sofisticados para implantar códigos e operar como uma APT (ameaça avançada persistente) que pode obter e exfiltrar informações confidenciais de uma rede de forma contínua. Houve avanços substanciais na proteção defensiva desde aquela época, mas a implementação desses avanços continua mais desigual nos governos europeus do que nos Estados Unidos. Como resultado, permanecem fraquezas defensivas coletivas significativas.

Estas combinam táticas desenvolvidas pela KGB ao longo de várias décadas com novas tecnologias digitais e a Internet para proporcionar às operações de influência estrangeira um alcance geográfico mais amplo, maior volume, direcionamento mais preciso e maior velocidade e agilidade. Infelizmente, com planejamento e sofisticação suficientes, essas operações de influência cibernética estão bem posicionadas para aproveitar a abertura de longa data das sociedades democráticas e a polarização pública característica dos tempos atuais.

Com o avanço da guerra na Ucrânia, as agências russas estão concentrando suas operações de influência cibernética em quatro públicos distintos. Eles têm como alvo a população russa com o objetivo de manter o apoio ao esforço de guerra. Também têm como alvo a população ucraniana com o objetivo de minar a confiança na disposição e na capacidade do país de resistir aos ataques russos. Eles estão visando as populações americanas e europeias com o objetivo de minar a unidade ocidental e desviar as críticas dos crimes de guerra militares russos. E estão começando a visar populações em países não alinhados, possivelmente em parte para sustentar seu apoio nas Nações Unidas e em outros locais.

As operações russas de influência cibernética se baseiam e estão conectadas a táticas desenvolvidas para outras atividades cibernéticas. Assim como as equipes de APT que trabalham dentro dos serviços de inteligência russos, as equipes de APM (manipuladores avançados persistentes) associadas a agências governamentais russas agem por meio de redes sociais e plataformas digitais. Eles estão pré-posicionando narrativas falsas de forma semelhante ao pré-posicionamento de malware e outros códigos de software. Em seguida, estão lançando "reportagens" amplas e simultâneas dessas narrativas a partir de sites gerenciados e influenciados pelo governo e amplificando suas narrativas por meio de ferramentas tecnológicas criadas para explorar os serviços de redes sociais. Exemplos recentes incluem narrativas sobre laboratórios de armas biológicas na Ucrânia e vários esforços para ofuscar ataques militares contra alvos civis ucranianos.

Como parte de uma nova iniciativa da Microsoft, estamos usando IA, novas ferramentas de análise, conjuntos de dados mais amplos e uma equipe crescente de especialistas para rastrear e prever essa ameaça cibernética. Usando esses novos recursos, estimamos que as operações de influência cibernética russa aumentaram com sucesso a disseminação da propaganda russa após o início da guerra em 216% na Ucrânia e 82% nos Estados Unidos.

Essas operações russas em andamento se baseiam em esforços sofisticados recentes para disseminar narrativas falsas sobre a COVID-19 em vários países ocidentais. Isso incluiu operações de influência cibernética patrocinadas pelo Estado em 2021, que buscavam desencorajar a adoção da vacina por meio de relatórios na Internet em inglês e, ao mesmo tempo, incentivar o uso da vacina por meio de sites em russo. Nos últimos seis meses, operações similares de influência cibernética russa procuraram ajudar a inflamar a oposição pública às políticas da COVID-19 na Nova Zelândia e no Canadá.

Continuaremos a expandir o trabalho da Microsoft nesse campo nas próximas semanas e meses. Isso inclui o crescimento interno e o acordo que anunciamos na semana passada para adquirir a Miburo Solutions, uma empresa líder em análise e pesquisa de ameaças cibernéticas, especializada na detecção e resposta a operações de influência cibernética estrangeira.

Estamos preocupados com o fato de que muitas operações atuais de influência cibernética russa passam meses sem a devida detecção, análise ou relatório público. Isso afeta cada vez mais uma ampla variedade de instituições importantes nos setores público e privado. E quanto mais a guerra durar na Ucrânia, mais importantes essas operações provavelmente se tornarão para a própria Ucrânia. Isso se deve ao fato de que uma guerra mais longa exigirá a manutenção do apoio público diante do inevitável desafio de maior desgaste. Isso deve aumentar a urgência da importância de fortalecer as defesas ocidentais contra esses tipos de ataques de influência cibernética estrangeira.

Como a guerra na Ucrânia mostra, embora existam diferenças entre essas ameaças, o governo russo não as utiliza como esforços separados e não devemos colocá-las em silos analíticos separados. Além disso, as estratégias defensivas devem considerar a coordenação dessas operações cibernéticas com operações militares em andamento, como ocorreu na Ucrânia.

São necessários novos avanços para impedir essas ameaças cibernéticas, e eles dependerão de quatro princípios comuns e, pelo menos a um nível elevado, de uma estratégia comum. O primeiro princípio defensivo deve reconhecer que as ameaças cibernéticas russas estão sendo promovidas por um conjunto comum de atores dentro e fora do governo russo e dependem de táticas digitais semelhantes. Como resultado, serão necessários avanços em tecnologia digital, IA e dados para combatê-los. Refletindo isso, o segundo princípio deve reconhecer que, diferentemente das ameaças tradicionais do passado, as respostas cibernéticas devem contar com uma maior colaboração pública e privada. O terceiro princípio deve abranger a necessidade de uma colaboração multilateral intensa e comum entre os governos para proteger as sociedades abertas e democráticas. E o quarto e último princípio defensivo deve defender a liberdade de expressão e evitar a censura em sociedades democráticas, mesmo que sejam necessárias novas medidas para lidar com toda a variedade de ameaças cibernéticas que incluem operações de influência cibernética.

Uma resposta eficaz deve se basear nesses princípios com quatro pilares estratégicos. Isso deve aumentar as capacidades coletivas para melhor (1) detectar, (2) defender-se, (3) interromper e (4) deter ameaças cibernéticas estrangeiras. Essa abordagem já está refletida em vários esforços coletivos para lidar com ataques cibernéticos destrutivos e espionagem cibernética. Ela também se aplica ao trabalho crítico e contínuo necessário para lidar com ataques de ransomware. Agora precisamos de uma abordagem semelhante e abrangente com novos recursos e defesas para combater as operações de influência cibernética da Rússia.

Conforme discutido neste relatório, a guerra na Ucrânia oferece não apenas lições, mas também um chamado à ação para medidas eficazes que serão vitais para a proteção do futuro da democracia. Como empresa, temos o compromisso de apoiar esses esforços, inclusive por meio de investimentos novos e contínuos em tecnologia, dados e parcerias que apoiarão governos, empresas, ONGs e universidades.

Para saber mais, leia o relatório completo.