הגנה על אוקראינה: לקחים מוקדמים ממלחמת הסייבר

לא במפתיע, רוסיה תקפה את מרכז הנתונים הממשלתי של אוקראינה במתקפת טילי שיוט מוקדמת, ושרתים מקומיים אחרים היו חשופים באופן דומה למתקפות של נשק קונבנציונלי. רוסיה תקפה גם רשתות מחשבים מקומיות במתקפות wiper (מחיקה) ההרסניות שלה. אך ממשלת אוקראינה שימרה בהצלחה את הפעילות האזרחית והצבאית שלה על-ידי פעולות מהירות להוצאת התשתית הדיגיטלית שלה לענן הציבורי, שם היא מתארחת במרכזי נתונים ברחבי אירופה.

העברה זו דרשה צעדים בהולים ויוצאי דופן ברחבי המגזר הטכנולוגי, כולל על-ידי Microsoft. לצד העבודה החיונית של המגזר הטכני, חשוב גם לחשוב על הלקחים ארוכי הטווח שמגיעים מפעולות אלה.

מכיוון שפעילות סייבר אינה גלויה לעין בלתי מזוינת, קשה יותר לעיתונאים ואפילו לאנליסטים צבאיים רבים לעקוב אחריה. Microsoft ראתה את הצבא הרוסי מפעיל גלים רבים של מתקפות סייבר הרסניות נגד 48 סוכנויות וארגונים אוקראיניים. הן ניסו לחדור לתחומי רשת באמצעות פגיעה ראשונית במאות מחשבים ולאחר מכן הפצת תוכנה זדונית שתוכננה להשמיד את התוכנה ואת הנתונים באלפי מחשבים אחרים.

טקטיקת הסייבר הרוסית במלחמה הייתה שונה מזו שננקטה במתקפת NotPetya על אוקראינה בשנת 2017. באותה מתקפה נעשה שימוש בתוכנה הזדונית ההרסנית wormable שהייתה יכולה לדלג מתחום מחשב אחד לשני וכך לחצות גבולות למדינות אחרות. בשנת 2022 רוסיה נזהרה להגביל את תוכנת wiper ההרסנית לתחומי רשת ספציפיים באוקראינה עצמה. אבל המתקפות ההרסניות האחרונות והנוכחיות עצמן היו מתוחכמות ונפוצות יותר ממה שמופיע בדוחות רבים. והצבא הרוסי ממשיך להתאים מתקפות הרסניות אלה לצורכי המלחמה המשתנים, כולל באמצעות שילוב של מתקפות סייבר שימוש בנשק קונבנציונלי.

בין ההיבטים המכריעים של מתקפות הרסניות אלה עד כה היו העוצמה וההצלחה היחסית של הגנות סייבר. אמנם הן לא מושלמות וחלק מהמתקפות ההרסניות הצליחו, הגנות סייבר אלה הוכיחו את עצמן כחזקות יותר מיכולות הסייבר ההתקפיות. זה משקף שני טרנדים חשובים ועדכניים. ראשית, ההתקדמות בבינת האיומים, כולל השימוש בבינה מלאכותית, עזרה לאפשר זיהוי יעיל יותר של מתקפות אלה. שנית, הגנה על נקודות קצה המחוברות לאינטרנט איפשרה להפיץ קוד תוכנה להגנה במהירות, גם לשירותי ענן וגם למכשירי מחשוב מחוברים אחרים כדי לזהות ולהשבית את התוכנה הזדונית. החדשנות המתמשכת שבתקופת המלחמה והאמצעים שנקטה ממשלת אוקראינה חיזקו עוד יותר את ההגנה הזו. אבל כדי לשמר את היתרון ההגנתי הזה יהיה ככל הנראה צורך להתמיד בערנות ובחדשנות.

ב- Microsoft זיהינו פעילויות רוסיות לחדירה לרשתות ב- 128 ארגונים ב- 42 מדינות מחוץ לאוקראינה. בעוד שארצות הברית מהווה מטרה מספר אחת למתקפות של רוסיה, פעילות זו התמקדה גם בפולין, שבה מתואם חלק רב מהאספקה הלוגיסטית של סיוע צבאי והומניטרי. הפעילות הרוסית תקפה גם מדינות בלטיות ובחודשיים האחרונה הייתה עלייה בפעילות דומה שתקפה רשתות מחשבים בדנמרק, בנורווגיה, בפינלנד, בשוודיה ובטורקיה. ראינו גם עלייה במתקפות דומות על משרדי החוץ של מדינות NATO אחרות.

המתקפות הרוסיות התמקדו גם בממשלות, בפרט בין חברות ב- NATO. אבן בין המטרות היו גם צוותי חשיבה, ארגונים הומניטריים, חברות IT וספקי אנרגיה ותשתיות חיוניות אחרות. מאז תחילת המלחמה, 29 אחוזים מהמתקפות הרוסיות שזיהינו היו מוצלחות. רבע מהחדירות המוצלחות האלה הובילו לחילוץ מאומת של נתוני ארגון, למרות שכפי שמוסבר בדוח, זו ככל הנראה המעטה בהערכת מידת ההצלחה הרוסית.

החשש העיקרי שלנו נותר לגבי המחשבים הממשלתיים הפועלים באופן מקומי, יותר מאשר המחשבים בענן. עובדה זו משקפת את המצב הנוכחי והגלובלי של ריגול סייבר התקפי ושל אמצעי סייבר הגנתיים. כפי שהומחש בתקרית SolarWinds לפני 18 חודשים, לסוכנויות המודיעין הרוסיות יש יכולות מתוחכמות במיוחד לשתילת קוד ולניהול פעילות כאירוע מתמיד מתקדם (APT) שיכול להשיג ולחלץ מידע רגיש מרשת על בסיס מתמשך. מאז חלה התקדמות משמעותית באמצעי הגנה, אבל היישום של פיתוחים אלה נותר פחות שווה בממשלות באירופה מאשר בארצות הברית. כתוצאה מכך, נותרות נקודות תורפה משמעותיות בהגנה הקולקטיבית.

פעולות אלה משלבות טקטיקות שפותחו על-ידי הקג"ב במשך עשורים רבים עם טכנולוגיות דיגיטליות חדשות ואינטרנט כדי להעניק לפעילות ההשפעה במדינות זרות תפוצה גיאוגרפית רחבה יותר, נפח רב יותר, מיקוד מדויק יותר ומהירות וזריזות גבוהות יותר. לרוע המזל, עם תחכום ותכנון מספקים, פעולות השפעת סייבר אלה נמצאות בעמדה טובה לניצול הפתיחות ארוכת השנים של חברות דמוקרטיות והקיטוב החברתי האופייני לזמננו.

עם התקדמות המלחמה באוקראינה, הסוכנויות הרוסיות ממקדות את פעילות השפעת הסייבר שלהן בארבע קהלים מובחנים. הן מתמקדות באוכלוסיה הרוסית במטרה להשיג תמיכה במאמץ המלחמתי. הן מתמקדות באוכלוסיה באוקראינה במטרה לערער את בטחון הציבור ברצון וביכולת של המדינה לעמוד במתקפות הרוסיות. הן מתמקדות באוכלוסיות האמריקאיות והאירופיות במטרה לפגוע באחדות המערבית ולהסיט את הביקורת מפשעי המלחמה הרוסיים. והן מתחילות להתמקד באוכלוסיות במדינות שלא מזוהות עם אחד הצדדים, בין היתר כדי להבטיח את תמיכן באו"ם ובפורומים אחרים.

הפעילות הרוסית להשפעת סייבר מסתמכות על טקטיקות שפותחו לפעילויות סייבר אחרות ומחוברות אליהן. בדומה לצוותי APT שעובדים בתוך שירותי המודיעין הרוסיים, צוותי Advance Persistent Manipulator ‏(APM) המשויכים לסוכנויות ממשלתיות רוסיות פועלים באמצעות רשתות חברתיות ופלטפורמות דיגיטליות. הם מכוננים נרטיבים שקריים בדומה להפצת תוכנות זדוניות וקוד תוכנה אחר. לאחר מכן הם משיקים 'דיווח' נרחב וסימולטני של נרטיבים אלה מאתרים שמנוהלים על-ידי ממשלות ומושפעים על-ידן ומגבירים את הנרטיבים האלה באמצעות כלי טכנולוגיה שנועדו לנצל את שירותי המדיה החברתית. בין הדוגמאות האחרונות לכך עומדים נרטיבים על מעבדות ביולוגיות באוקראינה ומאמצים רבים להסתיר את המתקפות הצבאיות נגד מטרות אזרחיות באוקראינה.

כחלק מיוזמה חדשה ב- Microsoft, אנחנו נעזרים בבינה מלאכותית, בכלים אנליטיים חדשים, בערכות נתונים רחבות יותר ובצוות מומחים שהולך ומתרחב כדי לעקוב אחר איום סייבר זה ולחזות אותו. בעזרת יכולות חדשות אלה, אנחנו מעריכים שפעולות השפעת הסייבר הרוסיות הצליחו להגביר את הפצת הפרופגנדה הרוסית לאחר תחילת המלחמה ב- 216 אחוזים באוקראינה וב- 82 אחוזים בארצות הברית.

פעולות רוסיות מתמשכות אלה מתבססות על המאמצים המתוחכמים האחרונים להפיץ נרטיבים שקריים בנוגע לנגיף הקורונה במדינות מערביות רבות. הן כללו פעולות השפעת סייבר במימון המדינה בשנת 2021 להרתעת הציבור מהתחסנות באמצעות דיווחים באינטרנט בשפה אנגלית, תוך עידוד מקביל של התחסנות דרך אתרים בשפה רוסית. במהלך ששת החודשים האחרונים, פעולות דומות של השפעת סייבר רוסית חתרו להצית התנגדות למדיניות בנושא מגפת הקורונה בניו זילנד ובקנדה.

אנחנו נמשיך להרחיב את העבודה של Microsoft בתחום זה בשבועות ובחודשים הבאים. זה כולל צמיחה פנימית, ודרך ההסכם שעליו הכרזנו בשבוע שעבר לרכישת Miburo Solutions, חברה מובילה לניתוח ומחקר של איומי סייבר המתמחה בזיהוי של פעילויות השפעת סייבר זרות ותגובה אליהן.

אנחנו חוששים שפעילויות רוסיות רבות להשפעת סייבר מתבצעות כבר חודשים ללא זיהוי, ניתוח או דיווח ציבורי ראויים. לפעילויות אלה השפעה הולכת וגוברת על טווח רחב של מוסדות חשובים במגזר הציבורי ובמגזר הפרטי. וככל שהמלחמה באוקראינה אורכת, כך סביר שפעולות אלה יהיו חשובות יותר עבור אוקראינה עצמה. הסיבה לכך היא שמלחמה ארוכה יותר תדרוש לשמור על תמיכת הציבור מפני האתגר הבלתי נמנע של תשישות הולכת וגוברת. עובדה זו צריכה להוסיף דחיפות לחשיבות של חיזוק ההגנות המערביות כנגד סוגים אלה של מתקפות השפעת סייבר זרות.

כפי שממחישה המלחמה באוקראינה, למרות שיש הבדלים בין איומים אלה, הממשלה הרוסית לא מיישמת אותם כמאמצים נפרדים ואנחנו לא צריכים לחלק אותם לתחומים אנליטיים נפרדים. בנוסף, אסטרטגיות הגנתיות חייבות להביא בחשבון את התיאום של פעולות סייבר אלה עם מבצעים צבאיים קינטיים כפי שנראה באוקראינה.

יש צורך בפיתוחים חדשים כדי להדוף איומי סייבר אלה, והם תלויים בארבעת העקרונות הנפוצים שלנו – ולפחות ברמה הגבוהה – באסטרטגיה נפוצה. עקרון ההגנה הראשון צריך להכיר בכך שאיומי הסייבר הרוסיים מתבצעים על-ידי קבוצה משותפת של גורמים בתוך ממשלת רוסיה ומחוצה לה ומסתמכים על טקטיקות דיגיטליות דומות. כתוצאה מכך, יהיה צורך בהתקדמות בטכנולוגיה דיגיטלית, בבינה מלאכותית ובנתונים כדי להדוף אותם. בהתאם לכך, עקרון שני צריך להכיר בכך שלא בדומה לאיומים המסורתיים מהעבר, תגובות הסייבר חייבות להסתמך על שיתוף פעולה רחב יותר של המגזר הציבורי והמגזר הפרטי. והעקרון השלישי צריך לאמץ את הצורך בשיתוף פעולה רב-צידי הדוק ומשותף בין ממשלות על מנת להגן על חברות פתוחות ודמוקרטיות. עקרון ההגנה הרביעי והאחרון צריך לתמוך בביטוי חופשי ולמנוע צנזור בחברות דמוקרטיות, גם לנוכח הצורך בצעדים חדשים כדי להתמודד עם הטווח המלא של איומי הסייבר, הכוללים פעילות השפעת סייבר.

תגובה יעילה חייבת להסתמך על עקרונות אלה עם ארבעת עמודי תווך אסטרטגיים. עמודי תווך אלה צריכים להגביר את היכולות הקולקטיביות (1) לזהות איומי סייבר זרים, (2) להגן מפניהם, (3) לשבש (4) ולהדוף אותם. גישה זו כבר משתקפת במאמצים קולקטיביים רבים לטיפול במתקפות סייבר הרסניות ובריגול על בסיס סייבר. עקרונות אלה חלים גם על העבודה החיונית והמתמשכת הנדרשת להתמודדות עם מתקפות של תוכנת כופר. אנחנו זקוקים עכשיו לגישה דומה ומקיפה עם יכולות והגנות חדשות כדי להילחם בפעילויות רוסיות של השפעת סייבר.

כפי שמפורט בדוח זה, המלחמה באוקראינה מציגה לא רק לקחים אלא גם קריאה לפעולה לאמצעים אפקטיביים שיהיו חיוניים להגנה על עתיד הדמוקרטיה. כחברה, אנחנו מחויבים לתמוך במאמצים אלה, כולל באמצעות השקעות שוטפות והשקעות חדשות בטכנולוגיה, בנתונים ובשותפויות שיתמכו בממשלות, בחברות, בארגונים שאינם ממשלתיים ובאוניברסיטאות.

למידע נוסף יש לקרוא את הדוח המלא.