De verdediging van Oekraïne: Vroege lessen uit de cyberoorlog

Het was geen verrassing dat Rusland het datacentrum van de Oekraïense overheid aanviel in een vroege aanval met een kruisraket. Andere on-premises servers zijn net zo gevoelig voor aanvallen met conventionele wapens. Rusland heeft ook uitvegende aanvallen ('wiper attacks') uitgevoerd, gericht op on-premises computernetwerken. De overheid van Oekraïne heeft echter met succes de civiele activiteiten en militaire operaties in stand gehouden door snel te reageren door de digitale infrastructuur uit te geven in de openbare cloud, waar deze wordt gehost in datacentra in Europa.

Hiervoor zijn dringende en bijzondere stappen genomen vanuit de technische sector, waaronder door Microsoft. Hoewel het werk van de technische sector essentieel is, is het ook belangrijk om na te denken over langdurige lessen die we kunnen trekken uit deze inspanningen.

Omdat cyberactiviteiten onzichtbaar zijn voor het blote oog, zijn ze voor journalisten en zelfs voor vele militaire analisten moeilijker bij te houden. Microsoft heeft het Russische leger meerdere golven vernietigende cyberaanvallen zien starten tegen 48 verschillende Oekraïense instanties en ondernemingen. Deze waren erop uit om netwerkdomeinen te penetreren door initieel honderden computers te compromitteren en vervolgens malware te verspreiden, malware die is ontworpen om de software en gegevens van duizenden anderen te vernietigen.

Russische cybertactieken in de oorlog zijn anders dan de tactieken die werden gebruikt in de NotPetya-aanval tegen Oekraïne in 2017. Deze aanval gebruikte 'wormable' malware, vernietigende malware die van het ene computerdomein naar het andere kan overspringen en daarom de grens naar andere landen kan oversteken. Rusland is in 2022 zorgvuldig geweest om de vernietigende 'wiper'-software (software voor uitvegen) te beperken tot specifieke netwerkdomeinen binnen alleen Oekraïne. De recente en aanhoudende vernietigende aanvallen zijn geavanceerd en wijdverspreider dan veel rapporten erkennen. Het Russische leger gaat daarnaast door met het aanpassen van deze vernietigende aanvallen voor veranderde oorlogsbehoeften, inclusief het combineren van cyberaanvallen met het gebruik van conventionele wapens.

Een belangrijk aspect van deze vernietigende aanvallen tot dusver is de kracht en het relatieve succes van de cyberverdediging. Hoewel deze niet perfect is en sommige vernietigende aanvallen succesvol waren, is de cyberverdediging bewezen sterker dan de offensieve cybermogelijkheden. Dit weerspiegelt twee belangrijke en recente trends. De eerste trend is de ontwikkeling in de bedreigingsinformatie, inclusief het gebruik van kunstmatige intelligentie, waardoor het mogelijk is geworden om deze aanvallen effectiever te kunnen detecteren. De tweede trend is de met het internet verbonden eindpuntbeveiliging, waardoor het mogelijk is geworden om snel beschermende softwarecode te distribueren naar cloudservices en andere verbonden computerapparaten om deze malware te identificeren en uit te schakelen. Voortdurende innovaties in de oorlogstijd en maatregelen van de Oekraïense overheid hebben deze bescherming nog verder versterkt. Aanhoudende waakzaamheid en innovatie zijn waarschijnlijk nodig om dit verdedigende voordeel te behouden.

Bij Microsoft hebben we Russische pogingen tot netwerkinbreuk gedetecteerd bij 128 organisaties in 42 landen buiten Oekraïne. Hoewel de Verenigde Staten doelwit nummer één is in Rusland, staat ook Polen hoog op de lijst voor deze activiteit. In Polen wordt namelijk veel van de logistieke levering van militaire en humanitaire hulp gecoördineerd. Russische activiteiten hebben zich ook gericht op de Baltische staten. In de afgelopen twee maanden is er een toename geweest in soortgelijke activiteiten die gericht zijn op computernetwerken in Denemarken, Noorwegen, Finland, Zweden en Turkije. We hebben ook een toename gezien in soortgelijke activiteiten die gericht zijn op de ministeries van Buitenlandse Zaken van andere NAVO-lidstaten.

Overheden krijgen de prioriteit bij Russische aanvallen, vooral de NAVO-lidstaten. Op de lijst met doelwitten staan ook denktanks, humanitaire organisaties, IT-bedrijven en leveranciers van energie en andere kritieke infrastructuur. Sinds het begin van de oorlog is 29 procent van de geïdentificeerde Russische aanvallen succesvol geweest. Een kwart van deze succesvolle inbraken heeft geleid tot de bevestigde exfiltratie van gegevens van een organisatie, hoewel dit (zoals uitgelegd in het rapport) waarschijnlijk de mate van het Russische succes onderschat.

We blijven het meest bezorgd over computers van overheden die on-premises worden uitgevoerd in plaats van in de cloud. Dit weerspiegelt de huidige en globale staat van offensieve cyberspionage en defensieve cyberbeveiliging. Zoals het SolarWinds-incident 18 maanden geleden heeft gedemonstreerd, hebben de Russische inlichtingendiensten uiterst geavanceerde mogelijkheden om code te implanteren en te werken als een geavanceerde aanhoudende bedreiging (Advanced Persistent Threat, of APT). De APT kan doorlopend gevoelige informatie van een netwerk verkrijgen en exfiltreren. Er zijn sindsdien belangrijke ontwikkelingen in de verdedigende beveiliging, maar de implementatie van deze ontwikkelingen blijft ongelijkmatiger bij Europese overheden dan in de Verenigde Staten. Aanzienlijke zwakke punten in de collectieve verdediging blijven daarom bestaan.

Deze combineren tactieken die gedurende meerdere decennia zijn ontwikkeld door de KGB met nieuwe digitale technologieën en het internet voor buitenlandse beïnvloedingsoperaties met een breder geografisch bereik, een hoger volume, preciezere aanvallen en grotere snelheid en flexibiliteit. Met voldoende planning en geavanceerdheid zijn deze cyberbeïnvloedingsoperaties helaas goed gepositioneerd om te kunnen profiteren van de langdurige openheid van democratische samenlevingen en de publieke polarisering die kenmerkend is van deze tijd.

Nu de oorlog in Oekraïne is gevorderd, focussen Russische instanties hun cyberbeïnvloedingsoperaties op vier verschillende doelgroepen. Ze richten zich op de Russische bevolking met het doel om de steun voor de oorlogsinspanningen te behouden. Ze richten zich op de Oekraïense bevolking met het doel om het vertrouwen te ondermijnen dat het land de Russische aanvallen wil en kan weerstaan. Ze richten zich op de Amerikaanse en Europese bevolkingen met het doel om de eenheid van het Westen te ondermijnen en de kritiek op oorlogsmisdaden door het Russische leger af te buigen. Ze beginnen zich te richten op bevolkingen in niet-geallieerde landen, deels om potentieel hun steun te behouden bij de Verenigde Naties en in andere gelegenheden.

Russische cyberbeïnvloedingsoperaties bouwen zich voort en zijn verbonden met tactieken die zijn ontwikkeld voor andere cyberactiviteiten. Zoals de APT-teams binnen de Russische inlichtingendiensten werken, werken APM-teams (Advanced Persistent Manipulators, of geavanceerde aanhoudende manipulatoren) die zijn gerelateerd aan Russische overheidsinstellingen via sociale media en digitale platformen. Ze plaatsen op voorhand onjuiste verhaallijnen op manieren die vergelijkbaar zijn met het vooraf plaatsen van malware en andere softwarecode. Vervolgens starten ze breedgedragen en gelijktijdige 'verslaggeving' van deze verhaallijnen van door de overheid beheerde en beïnvloede websites. Ze versterken hun verhaallijnen via technologische hulpmiddelen die zijn ontworpen om socialemediaservices te gebruiken. Recente voorbeelden zijn onder andere verhaallijnen over biolabs in Oekraïne en meerdere pogingen om militaire aanvallen tegen Oekraïense burgerdoelen te verhullen.

Als onderdeel van een nieuw initiatief bij Microsoft gebruiken we AI, nieuwe analysehulpmiddelen, bredere gegevenssets en een groeiend aantal experts om deze cyberbedreiging bij te houden en te voorspellen. Met gebruik van deze nieuwe mogelijkheden schatten we dat de Russische cyberbeïnvloedingsoperaties de verspreiding van Russische propaganda na het begin van de oorlog met 216 procent hebben vergroot in Oekraïne en met 82 procent in de Verenigde Staten.

Deze aanhoudende Russische operaties bouwen voort op recente geavanceerde pogingen om onjuiste COVID-19-verhaallijnen te verspreiden in meerdere westerse landen. Deze omvatten door de staat gesponsorde cyberbeïnvloedingsoperaties in 2021 die uit waren op het ontmoedigen van vaccinatie via Engelstalige rapporten op het internet en tegelijkertijd vaccinatie aanmoedigden via Russischtalige sites. Tijdens de afgelopen zes maanden probeerden vergelijkbare Russische cyberbeïnvloedingsoperaties publieke tegenstelling te veroorzaken rondom COVID-19-beleid in Nieuw-Zeeland en Canada.

In de komende weken en maanden blijven we het werk van Microsoft op dit gebied uitbreiden. Dit omvat interne groei en de aankoop van Miburo Solutions, een overeenkomst die we vorige week hebben aangekondigd. Miburo Solutions is een toonaangevend bedrijf in cyberbedreigingsanalyse en -onderzoek en is gespecialiseerd in de detectie van en de reactie op buitenlandse cyberbeïnvloedingsoperaties.

We zijn bezorgd dat veel huidige Russische cyberbeïnvloedingsoperaties al maandenlang plaatsvinden zonder juiste detectie, analyse of openbare melding. Dit heeft steeds meer toenemende impact op een brede reeks belangrijke instanties in zowel de publieke als de private sectoren. Hoe langer de oorlog in Oekraïne duurt, hoe belangrijker deze operaties waarschijnlijk zullen worden voor Oekraïne zelf. Dit is omdat een langere oorlog een openbare steun blijft vereisen voor de onvermijdelijke uitdaging van grotere vermoeidheid. Het belang van het versterken van de westerse verdediging tegen deze typen buitenlandse cyberbeïnvloedingsaanvallen wordt hierdoor urgenter.

Zoals de oorlog in Oekraïne illustreert zijn er wel verschillen tussen de bedreigingen, maar de Russische overheid oefent ze niet uit als afzonderlijke inspanningen, daarom moeten we ze niet afzonderlijk analyseren. Daarnaast moeten verdedigende strategieën de coördinatie overwegen van deze cyberoperaties met kinetische militaire operaties, zoals is waargenomen in Oekraïne.

Nieuwe ontwikkelingen om deze cyberbedreigingen te verijdelen zijn nodig. Deze ontwikkelingen zullen afhankelijk zijn van vier algemene principes en (op een hoog niveau) van een algemene strategie. Het eerste verdedigende principe moet erkennen dat Russische cyberaanvallen worden uitgevoerd door een algemene set actoren binnen en buiten de Russische overheid en dat ze gebaseerd zijn op soortgelijke digitale tactieken. Ontwikkelingen in digitale technologie, AI en gegevens zijn daarom nodig om ze te bestrijden. Een tweede principe moet vervolgens erkennen dat cyberreacties gebaseerd moeten zijn op grotere publieke en private samenwerking, in tegenstelling tot reacties op traditionele bedreigingen in het verleden. Een derde principe moet de behoefte aan nauwe en algemene veelzijdige samenwerking tussen overheden omarmen om open en democratische samenlevingen te beschermen. Een vierde en laatste verdedigend principe moet vrije uiting handhaven en censuur vermijden in democratische gemeenschappen, zelfs als nieuwe stappen nodig zijn om te reageren op het volledige bereik cyberbedreigingen (inclusief cyberbeïnvloedingsoperaties).

Een effectieve reactie moet zijn gebouwd op deze principes met vier strategische pijlers. Deze moeten collectieve mogelijkheden vergroten voor betere (1) detectie, (2) verdediging tegen, (3) verstoring en (4) ontmoediging van buitenlandse cyberbedreigingen. Deze benadering wordt al toegepast in veel collectieve inspanningen om te reageren op vernietigende cyberaanvallen en cyberspionage. Ze zijn ook van toepassing op het kritieke en doorlopende werk dat nodig is om te reageren op ransomware-aanvallen. We hebben nu een vergelijkbare en uitgebreide benadering nodig met nieuwe mogelijkheden en verdediging om Russische cyberbeïnvloedingsoperaties te bestrijden.

Zoals wordt besproken in dit rapport biedt de oorlog in Oekraïne niet alleen lessen. De oorlog biedt ook een oproep tot effectieve maatregelen die essentieel zullen zijn voor de bescherming van de toekomst van de democratie. Als bedrijf zetten we ons in om deze inspanningen te ondersteunen, inclusief via aanhoudende en nieuwe investeringen in technologieën, gegevens en partnerschappen die overheden, bedrijven, NGO's en universiteiten zullen ondersteunen.

Lees het volledige rapport voor meer informatie.