Захист України: перші уроки кібервійни

Недаремно під час перших ракетних ударів по Україні Росія атакувала державний центр обробки даних. Інші сервери на території країни теж були вразливими цілями для традиційної зброї. Крім того, Росія проводила руйнівні кібератаки для знищення даних у локальних комп’ютерних мережах в Україні. Але український уряд вистояв і забезпечив свої військові й цивільні операції, швидко перевівши цифрову інфраструктуру в загальнодоступну хмару в європейських центрах обробки даних.

Ситуація вимагала негайних і неординарних дій від спеціалістів технічної галузі, зокрема фахівців корпорації Майкрософт. Хоча робота технологічного сектору вкрай важлива, потрібно також пам’ятати про довгострокові уроки, які ми отримали із цих зусиль.

Оскільки кібероперації не можна побачити неозброєним оком, журналістам і навіть багатьом військовим аналітикам важко їх відстежувати. Корпорація Майкрософт спостерігала за тим, як російські військові запустили кілька хвиль руйнівних кібератак на 48 різних українських установ і підприємств. За планом вони мали проникнути на мережеві домени й уразити спочатку сотні комп’ютерів, а потім поширити зловмисні програми для знищення програмного забезпечення та даних на тисячах інших пристроїв.

Тактика російських злочинів під час війни відрізнялася від методів атаки на Україну програмою NotPetya у 2017 році. Тоді зловмисники використали програму-хробака, яка "перестрибувала" з одного мережевого домена на інший, а отже, могла потрапити на комп’ютери в інших країнах. У 2022 році Росія діяла обережніше й обмежила дію зловмисного ПЗ для стирання даних певними мережевими доменами на території України. Але нещодавні руйнівні атаки, деякі з яких досі тривають, проведені майстерніше й масштабніше, ніж указано у звітах. Росія постійно адаптує свої руйнівні атаки до мінливих умов на полі бою, наприклад поєднує кібератаки із застосуванням традиційної зброї.

До сьогодні всім руйнівним атакам успішно протистояли потужні стратегії кіберзахисту. Хоча вони недосконалі, і деякі атаки все ж досягли своїх цілей, ці стратегії кіберзахисту виявилися міцнішими, ніж можливості зловмисників. Це відображає дві важливі нові тенденції. Передусім, галузь аналізу кіберзагроз розвивається, зокрема використання штучного інтелекту. Це допомогло ефективніше вистежувати атаки. Крім того, системи безпеки підключених до Інтернету кінцевих точок дали змогу швидко поширити захисний програмний код у хмарні служби й на інші підключені пристрої, щоб виявляти та знешкоджувати зловмисні програми. Інновації військового часу й заходи, вжиті разом з українським урядом, ще більше посилили ці захисні можливості. Однак потрібно залишатися пильними й розвивати інновації, щоб зберегти перевагу в захисті.

Фахівці корпорації Майкрософт виявили такі спроби в 128 організаціях у 42 країнах. Хоча США є ціллю номер один для Росії, хакери також активно діяли в Польщі, де координується великий обсяг поставок військової техніки й гуманітарної допомоги. Діяльність російських зловмисників також була націлена на країни Балтії, а за останні два місяці зросла кількість атак на комп’ютерні мережі в Данії, Норвегії, Фінляндії, Швеції та Туреччині. Ми також спостерігаємо все більше зловмисних дій проти міністерств іноземних справ інших країн НАТО.

Основними цілями Росії є уряди, особливо країн-членів НАТО. Але до списку цілей також входять аналітичні центри, гуманітарні організації, енергетичні й ІТ-компанії та підприємства критичної інфраструктури. З початку війни 29% виявлених нами кібератак Росії були успішними. У четверті випадків цих атак зловмисники заволодівали даними організації. Однак у звіті стверджується, що показники успішності російських атак занижені.

Нас найбільше турбує безпека комп’ютерів у державних установах, які працюють локально без підключення до хмари. Це відображає поточний стан у світі щодо наступальних операцій зі шпіонажу й дій для кіберзахисту. Інцидент SolarWinds, який стався 18 місяців тому, продемонстрував, що в російської розвідки є великі можливості для того, щоб імплантувати код і діяти як удосконалена постійна загроза (APT), що може заволодівати делікатною інформацією, яку вона безперервно отримує з мереж. З того часу можливості захисту суттєво зросли, але їх практичне застосування в урядах європейських країн не таке активне, як у США. У результаті в системі колективного захисту від загроз є серйозні недоліки.

Стратегії, які ФСБ розробляло десятиліттями, у поєднанні з новітніми цифровими технологіями й можливостями Інтернету розширюють географію міжнародних операцій Росії з кібервпливу, роблять їх масштабними, прицільними, стрімкими й гнучкими. На жаль, завдяки ретельному плануванню та майстерній реалізації ці операції використовують відкритість демократичних суспільств і полярні настрої, які останнім часом у них панують.

Війна в Україні триває, і російські установи зосереджують операції із кібервпливу на чотирьох різних аудиторіях. Вони спрямовують операції на населення Росії, щоб зберегти рівень підтримки військових дій. Вони націлені на населення України, щоб підірвати впевненість у бажанні й спроможності уряду протистояти російській агресії. Вони націлені на населення Америки й Європи, щоб розхитати єдність країн Заходу та знизити рівень критики російських воєнних злочинів. Росіяни також починають націлювати свої операції на країни, які не входять до коаліції, щоб у перспективі отримати їхню підтримку в ООН або інших міжнародних організаціях.

Російські операції з кібервпливу побудовані на стратегіях, розроблених для інших видів атак, і пов’язані з ними. Як команди APT, які працюють у рамках російських розвідувальних служб, команди удосконаленого постійного маніпулювання (APM) пов’язані з російськими урядовими організаціями та діють через соціальні мережі й цифрові платформи. Вони публікують неправдиві дописи, подібно до того, як попередньо поширюють зловмисні програми й інший програмний код. Після цього вони активно просувають ці наративи з офіційних урядових вебсайтів або інших державних ресурсів і посилюють фальшиві ідеї за допомогою інструментів, призначених для соціальних мереж. Останні приклади таких наративів: історії про біолабораторії в Україні й численні спроби приховати атаки на українські цивільні об’єкти.

У рамках нової ініціативи корпорація Майкрософт використовує штучний інтелект, нові інструменти аналізу, розширені набори даних, а також залучає великий штат фахівців, щоб відстежувати й прогнозувати ці кіберзагрозу. За допомогою цих можливостей ми встановили, що після початку війни російські операції із кібервпливу ефективно збільшили поширення російської пропаганди на 216% в Україні й на 82% у США.

У цих активних операціях російські зловмисники використовують нові ефективні методи, за допомогою яких хакери поширювали неправдиві наративи про COVID-19 у західних країнах. Можна згадати фінансовані урядом операції з кібервпливу у 2021 році, коли вакцинацію критикували в англомовних звітах в Інтернеті та водночас заохочували вакцинуватися на російськомовних сайтах. За останні шість місяців за допомогою подібних російських операцій зловмисники підбурювати населення Нової Зеландії та Канади проти антиковідної політики цих держав.

Корпорація Майкрософт розширюватиме свою діяльність у цьому напрямку впродовж наступних місяців. Це означає розвиток всередині корпорації та роботу в рамках угоди, про яку ми оголосили минулого тижня, а саме: придбання Miburo Solutions, провідної компанії в галузі аналізу й дослідження загроз, яка спеціалізується на виявленні іноземних операцій із кібервпливу й реагуванні на них.

Ми стурбовані тим, що багато активних російських операцій із кібервпливу тривають місяцями, але їх належним чином не виявляють, не аналізують й не повідомляють про них громадськості. Це дуже впливає на різноманітні важливі організації державного й приватного секторів. Що довше триває війна в Україні, то більше значення ці операції матимуть для цієї країни. Усе тому, що під час затяжної війни потрібно здолати неминучу втому від неї, щоб забезпечити підтримку суспільства. Країнам Заходу слід негайно усвідомити, наскільки важливо зміцнювати захист від таких іноземних операцій із кібервпливу.

Як видно на прикладі війни в Україні, хоча між загрозами є відмінності, російський уряд не розглядає їх як окремі операції. Ми теж не повинні розділяти під час аналізу. Як ми побачили в Україні, захисна стратегія має також брати до уваги взаємозв’язок між кібератаками й фізичними військовими операціями.

Щоб протидіяти цим кіберзагрозам, потрібні нові методи, засновані на чотирьох основоположних принципах, і спільній стратегії принаймні на державному рівні. Перший принцип: визнати, що російські кіберзагрози готує і здійснює об’єднана група суб’єктів усередині й поза межами Росії, які покладаються на подібні цифрові методи. Для боротьби з ними потрібні нові досягнення в галузі технологій, штучного інтелекту й даних. Із вищевказаного випливає другий принцип: реагувати на сучасні кіберзагрози, які відрізняються від традиційних атак, спільними зусиллями державних і приватних організацій. Третій принцип: визнати, що для захисту відкритих демократичних суспільств необхідна тісна співпраця між урядами на багатьох рівнях. Четвертий і останній принцип: заохочувати вільне поширення інформації в демократичних країнах і уникати цензури. Для цього знадобляться нові прийоми захисту від великої кількості загроз, зокрема операцій із кібервпливу.

Ефективне реагування на загрози має базуватися на цих чотирьох основоположних принципах стратегії захисту. Таким чином можна підвищити колективну здатність (1) виявляти іноземні кіберзагрози, (2) захищатися від них, (3) зривати плани зловмисників і (4) запобігати атакам. Цей підхід уже лежить в основі багатьох ефективних заходів для реагування на руйнівні атаки й кібершпіонаж. Крім того, ці прийоми застосовують у непростій роботі з реагування на атаки зловмисними програмами. Нам потрібен схожий комплексний підхід з новими можливостями й захисними прийомами, щоб боротися з російськими операціями з кібервпливу.

Як сказано в цьому звіті, ми маємо не лише засвоїти уроки війни в Україні, а й ефективно працювати над захистом майбутнього демократії. Корпорація Майкрософт рішуче підтримує зусилля в цій сфері, зокрема інвестує в галузі технологій, даних і установлює партнерські зв’язки для підтримки урядів, приватних компаній, громадських організацій і навчальних закладів.

Щоб дізнатися більше, див. повну версію звіту.