В защита на Украйна: Първи поуки от кибервойната

Не е изненадващо, че Русия се насочи към правителствения център за данни на Украйна при ранна атака с крилати ракети, а други сървъри на място също бяха уязвими за атаки с конвенционални оръжия. Русия също така насочи своите разрушителни „уайпър“ атаки към компютърни мрежи на място. Правителството на Украйна обаче успешно осигури своите граждански и военни операции, като действаше бързо и прехвърли цифровата си инфраструктура в публичния облак, където тя се хоства в центрове за данни в цяла Европа.

За целта бяха предприети спешни и извънредни мерки от целия технологичен сектор, включително от Microsoft. Въпреки че работата на технологичния сектор беше жизненоважна, важно е да се помисли и за по-дълготрайните уроци, които произтичат от тези усилия.

Тъй като кибердейностите са невидими с просто око, те са по-трудни за проследяване от журналистите и дори от много военни анализатори. Microsoft е свидетел на това как руските военни предприемат множество вълни от разрушителни кибератаки срещу 48 различни украински агенции и предприятия. Те се опитват да проникнат в мрежови домейни, като първоначално компрометират стотици компютри, а след това разпространяват злонамерен софтуер, предназначен да унищожи софтуера и данните на хиляди други.

Руската кибертактика в тази война се различава от тази, използвана при атаката NotPetya срещу Украйна през 2017 г. При тази атака се използваше деструктивен зловреден софтуер „червей“, който можеше да преминава от един компютърен домейн в друг и по този начин да пресича граници в други държави. През 2022 г. Русия внимаваше да ограничи разрушителния „уайпър софтуер“ до конкретни мрежови домейни в самата Украйна. Но самите неотдавнашни и продължаващи деструктивни атаки са по-сложни и по-широко разпространени, отколкото се признава в много доклади. А руската армия продължава да адаптира тези деструктивни атаки към променящите се военни нужди, включително като съчетава кибератаките с използването на конвенционални оръжия.

Определящ аспект на тези разрушителни атаки досега е силата и относителният успех на киберзащитата. Въпреки че не са съвършени и някои разрушителни атаки са успешни, тези киберзащити се оказаха по-силни от нападателните киберспособности. Това отразява две важни и скорошни тенденции. Първо, напредъкът в разузнаването на заплахите, включително използването на изкуствен интелект, спомогна за по-ефективното откриване на тези атаки. И второ, свързаната с интернет защита на крайни точки направи възможно бързото разпространение на защитен софтуерен код както към облачните услуги, така и към други свързани компютърни устройства, за да се идентифицира и деактивира този зловреден софтуер. Продължаващите военни иновации и мерки, предприети съвместно с украинското правителство, засилиха допълнително тази защита. Но вероятно ще са необходими постоянна бдителност и иновации, за да се поддържа това защитно предимство.

В Microsoft открихме руски усилия за проникване в мрежата на 128 организации в 42 държави извън Украйна. Въпреки че Съединените щати са цел номер едно на Русия, тази дейност е насочена приоритетно и към Полша, където се координира голяма част от логистичните доставки на военна и хуманитарна помощ. Руската дейност е насочена и към балтийските държави, а през последните два месеца се наблюдава увеличаване на подобна дейност, насочена към компютърни мрежи в Дания, Норвегия, Финландия, Швеция и Турция. Наблюдаваме и увеличаване на подобна дейност, насочена към външните министерства на други държави от НАТО.

Руските цели са насочени приоритетно към правителствата, особено сред членовете на НАТО. Но списъкът с цели включва и мозъчни тръстове, хуманитарни организации, ИТ компании, доставчици на енергия и друга критична инфраструктура. От началото на войната идентифицираните от нас руски цели са били успешни в 29% от случаите. Една четвърт от тези успешни нахлувания са довели до потвърдена ексфилтрация на данни на дадена организация, въпреки че, както е обяснено в доклада, това вероятно подценява степента на руския успех.

Продължаваме да сме най-загрижени за правителствените компютри, които работят на място, а не в облака. Това отразява настоящото и глобалното състояние на нападателния кибершпионаж и отбранителната киберзащита. Както показа инцидентът със SolarWinds преди 18 месеца, руските разузнавателни служби разполагат с изключително сложни възможности за имплантиране на код и опериране като усъвършенствана постоянна заплаха (APT), която може постоянно да получава и изнася чувствителна информация от мрежата. Оттогава насам е постигнат значителен напредък в областта на защитните мерки, но прилагането на тези постижения продължава да бъде по-неравномерно в европейските правителства, отколкото в САЩ. В резултат на това продължават да съществуват значителни слабости в колективната защита.

Те съчетават тактики, разработвани от КГБ в продължение на няколко десетилетия, с нови цифрови технологии и интернет, за да осигурят на операциите за чуждестранно влияние по-широк географски обхват, по-голям обем, по-прецизно насочване и по-голяма скорост и гъвкавост. За съжаление, при достатъчно добро планиране и усъвършенстване тези операции за кибервлияние са добре подготвени да се възползват от дългогодишната откритост на демократичните общества и от обществената поляризация, която е характерна за сегашното време.

С напредването на войната в Украйна руските агенции фокусират своите операции за кибервлияние върху четири различни аудитории. Те се насочват към руското население с цел да поддържат подкрепата за военните усилия. Те се насочват към украинското население с цел да подкопаят доверието в готовността и способността на страната да устои на руските атаки. Насочват се към американското и европейското население с цел да подкопаят единството на Запада и да отклонят критиките към военните престъпления на Русия. Те започват да се насочват и към населението на необвързаните страни, потенциално отчасти за да поддържат подкрепата си в ООН и на други места.

Руските операции за влияние в киберпространството се основават на тактики, разработени за други кибердейности, и са свързани с тях. Подобно на APT екипите, които работят в рамките на руските разузнавателни служби, екипите на Advance Persistent Manipulator (APM), свързани с руските правителствени агенции, действат чрез социалните медии и цифровите платформи. Те предварително създават фалшиви разкази по начини, които са подобни на предварителното създаване на злонамерен софтуер и друг софтуерен код. След това те стартират широкомащабно и едновременно „съобщаване“ на тези разкази от управлявани и повлияни от правителството уебсайтове и засилват разказите им чрез технологични инструменти, предназначени за използване на услугите на социалните медии. Сред последните примери са разказите за биолабораториите в Украйна и многобройните усилия за заглушаване на военните нападения срещу украински граждански обекти.

Като част от нова инициатива в Microsoft използваме изкуствен интелект, нови аналитични инструменти, по-широки набори от данни и нарастващ персонал от експерти, за да проследим и прогнозираме тази киберзаплаха. Използвайки тези нови възможности, изчисляваме, че руските операции за кибервлияние успешно са увеличили разпространението на руската пропаганда след началото на войната с 216% в Украйна и с 82% в САЩ.

Тези продължаващи руски операции се основават на неотдавнашните усъвършенствани усилия за разпространение на фалшиви разкази за COVID-19 в множество западни държави. Те включваха спонсорирани от държавата операции за кибервлияние през 2021 г., които имаха за цел да обезкуражат приемането на ваксината чрез англоезични интернет доклади и същевременно да насърчат използването на ваксината чрез рускоезични сайтове. През последните шест месеца подобни руски операции за кибервлияние се опитаха да помогнат за разпалването на обществена опозиция срещу политиките на COVID-19 в Нова Зеландия и Канада.

Ще продължим да разширяваме работата на Microsoft в тази област през следващите седмици и месеци. Това включва както вътрешно разрастване, така и чрез обявеното миналата седмица споразумение за придобиване на Miburo Solutions – водеща компания за анализ и изследване на киберзаплахи, специализирана в откриването и реагирането на чуждестранни операции за кибервлияние.

Обезпокоени сме, че много от настоящите руски операции за кибервлияние понастоящем продължават с месеци без подходящо откриване, анализ или публично докладване. Това все по-често оказва влияние върху широк кръг важни институции както в публичния, така и в частния сектор. И колкото по-дълго продължава войната в Украйна, толкова по-важни вероятно ще стават тези операции за самата Украйна. Това е така, защото една по-дълга война ще изисква поддържане на обществената подкрепа от неизбежното предизвикателство на по-голямата умора. Това трябва да придаде още по-голяма спешност на значението на укрепването на западните защити срещу този вид чуждестранни атаки за кибервлияние.

Както показва войната в Украйна, макар и да има различия между тези заплахи, руското правителство не ги преследва като отделни усилия и ние не трябва да ги поставяме в отделни аналитични комплекси. Освен това отбранителните стратегии трябва да отчитат координацията на тези кибероперации с кинетични военни операции, както стана ясно в Украйна.

Необходими са нови постижения за осуетяване на тези киберзаплахи и те ще зависят от четири общи принципа и – поне на високо ниво – от обща стратегия. Първият отбранителен принцип трябва да признае, че руските киберзаплахи се развиват от общ набор от участници в и извън руското правителство и разчитат на сходни цифрови тактики. В резултат на това за противодействието им ще е необходим напредък в областта на цифровите технологии, изкуствения интелект и данните. Отразявайки това, вторият принцип следва да признае, че за разлика от традиционните заплахи от миналото, отговорите на киберзаплахите трябва да разчитат на по-широко публично и частно сътрудничество. Третият принцип следва да обхване необходимостта от тясно и общо многостранно сътрудничество между правителствата за защита на отворените и демократични общества. Четвъртият и последен защитен принцип следва да подкрепя свободата на изразяване и да избягва цензурата в демократичните общества, дори когато са необходими нови стъпки за справяне с пълния набор от киберзаплахи, които включват операции за кибервлияние.

Ефективният отговор трябва да се основава на тези постулати с четири стратегически стълба. Те трябва да увеличат колективните способности за по-добро (1) откриване, (2) защита срещу, (3) разрушаване и (4) възпиране на чуждестранни киберзаплахи. Този подход вече е отразен в много колективни усилия за справяне с разрушителни кибератаки и кибершпионаж. Те са приложими и към критичната и постоянна работа, необходима за справяне с атаките с рансъмуер. Сега се нуждаем от подобен и всеобхватен подход с нови възможности и защити за борба с руските операции за кибервлияние.

Както е разгледано в настоящия доклад, войната в Украйна предоставя не само поуки, но и призив за действие за ефективни мерки, които ще бъдат от жизненоважно значение за защитата на бъдещето на демокрацията. Като компания ние се ангажираме да подкрепим тези усилия, включително чрез текущи и нови инвестиции в технологии, данни и партньорства, които ще подкрепят правителства, компании, неправителствени организации и университети.

За да научите повече, прочетете пълния отчет .