Obramba Ukrajine: Začetne lekcije kibernetske vojne

Ni presenetljivo, da je Rusija z zgodnjim napadom z manevrirnim izstrelkom svoj napad usmerila v ukrajinsko vladno podatkovno središče, prav tako pa so bili drugi strežniki na mestu uporabe ranljivi za napade s klasičnim orožjem. Rusija je s svojim uničujočimi napadi »wiper« ciljala tudi na računalniška omrežja na mestu uporabe. Vendar pa je ukrajinska vlada s hitrim ukrepanjem za razdelitev svoje digitalne infrastrukture v javni oblak, ki gostuje v podatkovnih središčih po Evropi, uspešno ohranila civilne in vojaške operacije.

To je vključevalo nujne in izredne ukrepe tehnološkega sektorja, vključno z Microsoftom. Čeprav je bil delo tehnološkega sektorja ključno, pa je potrebno razmisliti tudi o dolgotrajnejših lekcijah, ki izhajajo iz teh prizadevanj.

Ker so kibernetske aktivnosti prostemu očesu nevidne, jih novinarji in celo mnogi vojaški analitiki zelo težko spremljajo. Microsoft je opazil več valov uničujočih kibernetskih napadov ruske vojske proti 48 različnim ukrajinskim agencijam in podjetjem. S temi so želeli prebiti domene omrežij tako, da so prvotno ogrozili na stotine računalnikov ter nato razširili zlonamerno programsko opremo, ki je zasnovana za uničenje programske opreme in podatkov, na tisoče drugih.

Ruske kibernetske taktike v tej vojni se razlikujejo od tistih, ki so jih leta 2017 uporabili v napadu NotPetya na Ukrajino. V tem napadu je bila uporabljena »črviva« uničujoča zlonamerna programska oprema, ki lahko skače iz ene računalniške domene na drugo ter tako prečka meje v druge države. Rusija je bila leta 2022 previdna in je uničujočo »programsko opremo wiper« omejila na določene domene omrežij v sami Ukrajini. A nedavni in neprekinjeni uničujoči napadi so bili sami po sebi veliko bolj izpopolnjeni in razširjeni, kot je zaznala večina poročil. Ruska vojska pa te uničujoče napade še naprej prilagaja spreminjajočim se potrebam vojne, tudi z združevanjem kibernetskih napadov z uporabo običajnih orožij.

Značilen vidik teh uničujočih napadov doslej je bila moč in relativna uspešnost kibernetske obrambe. Čeprav ta ni popolna in so bili nekateri uničujoči napadi uspešni, pa so se te kibernetske obrambe izkazale za močnejše od napadalnih kibernetskih zmogljivosti. To odraža dva pomembna in nedavna trenda. Prvič, obveščanje o grožnjah napreduje, skupaj z uporabo umetne inteligence, kar omogoča učinkovitejše zaznavanje teh napadov. In drugič, zaščita končne točke, povezane z internetom, je omogočila hitro porazdelitev kode zaščitne programske opreme na storitve v oblaku in druge povezane računalniške naprave za prepoznavanje in onemogočanje te zlonamerne programske opreme. Nenehne inovacije in ukrepi ukrajinske vlade v času vojne so to zaščito še dodatno okrepili. A za ohranitev te obrambne prednosti bo verjetno potrebna nenehna pozornost in inovacije.

Pri Microsoftu smo zaznali ruske poskuse vdorov v omrežja pri 128 organizacijah in v 42 državah zunaj Ukrajine. Čeprav so Združene države prva tarča Rusije, pa so tovrstne dejavnosti usmerjene tudi v Poljsko, kjer poteka koordinacija večine logistične dostave vojaške in humanitarne pomoči. Ruske dejavnosti so usmerjene tudi v baltske države in zadnja dva meseca je bilo opaziti povečanje podobnih dejavnosti, ki bile usmerjene v računalniška omrežja na Danskem, Norveškem, Finskem, Švedskem in v Turčiji. Opazili smo tudi povečanje podobnih dejavnosti, usmerjenih v zunanja ministrstva drugih držav članic Nata.

Tarče Rusije so predvsem vlade, zlasti med članicami Nata. A seznam tarč vsebuje tudi možganske truste, humanitarne organizacije, podjetja IT ter dobavitelje energetske in druge kritične infrastrukture. Vse od začetka vojne, je ruska izbira ciljev, ki smo jih prepoznali, bila uspešna v 29-odstotkih primerov. Četrtina teh uspešnih vdorov je posledično vodila do potrjenega nepooblaščenega filtriranja podatkov organizacije, čeprav, kot je pojasnjeno v poročilu, to verjetno podcenjuje stopnjo ruskega uspeha.

Najbolj zaskrbljujoče področje pa ostajajo vladni računalniki, ki delujejo na mestu samem, namesto v oblaku. To odraža trenutno in globalno stanje napadalnega kibernetskega vohunjenja in obrambne kibernetske zaščite. Kot je pokazal dogodek SolarWinds pred 18 meseci, imajo ruske obveščevalne agencije izredno izpopolnjene zmogljivosti uvedbe kode in delovanja kot napredna dolgotrajna grožnja (APT, ki lahko neprekinjeno pridobiva in nepooblaščeno filtrira občutljive podatke in omrežja). Od takrat je obrambna zaščita znatno napredovala, a uvedba teh novosti je v evropskih vladah še vedno bolj neenakomerna, kot v Združenih državah. Posledično še vedno obstaja znatno število skupnih obrambnih ranljivosti.

Te združujejo taktike, ki jih je KGB razvijala več desetletij, z novimi digitalnim tehnologijami in spletom, ki tujim postopkom vpliva omogočajo širši geografski doseg, večji obseg, natančnejšo izbiro cilja ter večjo hitrost in prilagodljivost. Žal pa so ti postopki vpliva z zadostnim načrtovanjem in izpopolnjenostjo na dobrem položaju, da izkoristijo dolgoletno odprtost demokratskih družb in polarizacijo javnosti, ki je značilnost današnjega časa.

Z napredovanjem vojne v Ukrajini so ruske agencije svoje postopke kibernetskega vpliva usmerile v štiri različne vrste občinstva. Usmerjene so v rusko prebivalstvo z namenom ohranjanja podpore pri vojnih prizadevanjih. Usmerjene so v ukrajinsko prebivalstvo z namenom spodkopavanja zaupanja v pripravljenost in zmožnost njihove države za obrambo pred ruskimi napadi. Usmerjene so v ameriško in evropsko prebivalstvo z namenom slabljenja zahodne enotnosti in preusmerjanja kritike ruskih vojnih zločinov. Hkrati pa so se začeli usmerjati v prebivalstvo nevtralnih držav, delno morebiti za to, da bi ohranili njihovo podporo pri Združenih narodih in drugih prizoriščih.

Ruski postopki kibernetskega vpliva nadgrajujejo in so povezani s taktikami, ki so razvite za druge kibernetske dejavnosti. Podobno kot ekipe ATP, ki delujejo znotraj ruskih obveščevalnih storitev, ekipe naprednega dolgotrajnega manipulatorja (APM), povezane z ruskimi vladnimi agencijami, delujejo preko družabnih omrežij in digitalnih platform. Odgovorne so pripravo napačnih pripovedi, ki je podobna pripravi kode zlonamerne programske opreme in druge programske opreme. Nato pa nadaljujejo z uvedbo široko zastavljenega in hkratnega »poročanja« o teh pripovedih na spletnih mestih, na katere vpliva in jih upravlja vlada, kar okrepi njihove pripovedi preko orodij tehnologije, ki so zasnovana za izkoriščanje storitve družabnih omrežij. Nedavni primeri vključujejo pripovedi o biolaboratorijih v Ukrajini in številna prizadevanja za prikrivanje vojaških napadov na ukrajinske civilne tarče.

Kot del nove pobude pri Microsoftu, uporabljamo umetno inteligenco, nova analitična orodja, širše nabore podatkov ter vse večje število strokovnjakov za spremljanje in predvidevanje te kibernetske grožnje. Z uporabo teh novih zmogljivosti ocenjujemo, da so ruski postopki kibernetskega vpliva po začetku vojne uspešno povečali razširjenost ruske propagande za 216 odstotkov v Ukrajini in 82 odstotkov v Združenih državah.

Ti neprekinjeni ruski postopki gradijo na nedavnih izpopolnjenih prizadevanjih za širjenje napačnih pripovedi glede virusa COVID-19 v številnih zahodnih državah. Vključujejo postopke kibernetskega vpliva, sponzorirane s strani države, ki so leta 2021 preko internetnih poročil v angleškem jeziku želeli odvrniti od uporabe cepiva, hkrati pa preko strani v ruskem jeziku spodbujati uporabo cepiva. V zadnjih šestih mesecih so podobni ruski postopki kibernetskega vpliva skušali podžgati javno nasprotovanje pravilnikom na področju virusa COVID-19 v Novi Zelandiji in Kanadi.

V prihajajočih tednih in mesecih bomo še naprej širili Microsoftovo dejavnost na tem področju. To vključuje notranjo rast, kot tudi pogodbo, ki smo jo naznanili prejšnji teden, o prevzemu Miburo Solutions, vodilnega podjetja za analizo in raziskavo kibernetskih groženj, ki je specializirano za zaznavanje in odziv na tuje postopke kibernetskega vpliva.

Skrbi nas, da veliko število aktualnih ruskih postopkov kibernetskega vpliva že mesece poteka brez ustreznega zaznavanja, analize ali javnega poročanja. To vedno bolj vpliva na širok obseg pomembnih ustanov v javnih in zasebnih sektorjih. In dlje, kot traja vojna v Ukrajini, večja verjetnost je, da bodo ti postopki postali pomembnejši za samo Ukrajino. To pa zato, ker dolgotrajnejša vojna zahteva ohranitev javne podpore ob neizbežnem izzivu večje naveličanosti. Zaradi tega je krepitev zahodne obrambe pred tovrstnimi napadi s postopki kibernetskega vpliva še toliko bolj nujna.

Kot lahko vidimo pri vojni v Ukrajini, čeprav se te grožnje med seboj razlikujejo, jih ruska vlada ne obravnava kot ločena prizadevanja, zato jih ne smemo uvrščati v ločene analitične silose. Poleg tega pa morajo strategije obrambe upoštevati usklajenost teh kibernetskih postopkov s kinetičnimi vojaškimi operacijami, kot smo lahko videli v Ukrajini.

Nujni so novi napredki za preprečevanje teh kibernetskih groženj, ki bodo temeljili na štirih splošnih načelih in – vsaj na višji stopnji – skupni strategiji. Prvo načelo obrambe mora prepoznati, da ruske kibernetske grožnje napredujejo zaradi splošnega nabora akterjev znotraj in zunaj ruske vlade ter temeljijo na podobnih digitalnih taktikah. Posledično bo za boj proti tem grožnjam potreben napredek na področju digitalne tehnologije, umetne inteligence in podatkov. Kot odraz tega dejstva, mora drugo načelo prepoznati, da morajo v nasprotji s tradicionalnimi grožnjami v preteklosti, kibernetski odzivi temeljiti na večjem sodelovanju med javnim in zasebnim. Tretje načelo mora zajemati potrebo po tesnem in splošnem večstranskem sodelovanju med vladami za zaščito odprtih in demokratičnih skupnosti. Četrto in končno načelo obrambe pa mora spoštovati svobodo izražanja in se izogibati cenzuri v demokratičnih družbah, tudi če so potrebni novi ukrepi za spopadanje s celotnim naborom kibernetskih groženj, ki vključujejo postopke kibernetskega vpliva.

Učinkovit odziv mora temeljiti na teh načelih s štirimi strateškimi stebri. Ti morajo krepiti skupne zmogljivosti za boljše (1) zaznavanje, (2) obrambo pred, (3) onemogočanje in (4) preprečevanje tujih kibernetskih groženj. Ta pristop se že odraža v mnogih skupnih prizadevanjih za spopadanje z uničujočimi kibernetskimi napadi in kibernetskim vohunjenjem. Načela veljajo tudi za ključno in nenehno delo, ki je potrebo za spopadanje z napadi z izsiljevalsko programsko opremo. Sedaj potrebujemo podoben in celovit pristop z novimi zmogljivostmi in obrambami za boj proti ruskih postopkom kibernetskega vpliva.

Kot je bilo navedeno v tem poročilu, vojna v Ukrajini ni samo lekcija, ampak tudi poziv k sprejetju učinkovitejših ukrepov, ki bodo ključni za zaščito prihodnosti demokracije. Ko podjetje se zavezujemo podpori teh prizadevanj preko stalnih in novih naložb v tehnologijo, podatke in partnerstva, ki bodo podpirala vlade, podjetja, nevladne organizacije in univerze.

Za več informacij preberite celotno poročilo.