Obrona Ukrainy: Wczesne wnioski z cyberwojny

Nie jest zaskoczeniem, że Rosja obrała za cel wczesnego ataku pocisku manewrującego ukraińskie rządowe centrum danych, a inne lokalne serwery były narażone na atak przy użyciu broni konwencjonalnej. Rosja wymierzyła destrukcyjne ataki oprogramowania typu „wiper” w lokalne sieci komputerowe. Ukraiński rząd zdołał jednak podtrzymać operacje cywilne i wojskowe, podejmując szybko działania konieczne, aby rozproszyć swoją cyfrową infrastrukturę w chmurze publicznej, w której jest hostowana w centrach danych w całej Europie.

To wymagało podjęcia pilnych i wyjątkowych kroków przez podmioty całego sektora technologicznego, w tym przez firmę Microsoft. Wysiłek sektora technologicznego był istotny, ale warto też rozpatrzeć wnioski wyniesione z tych działań w dłuższej perspektywie.

Ponieważ aktywności w cyberprzestrzeni nie są widoczne gołym okiem, śledzenie ich przez dziennikarzy, a nawet wielu analityków wojskowych, jest utrudnione. Firma Microsoft widziała, jak rosyjskie wojsko przypuszcza kolejne fale destrukcyjnych cyberataków na 48 odrębnych ukraińskich agencji i przedsiębiorstw. Miały one na celu penetrowanie domen sieci, zaczynając od naruszenia zabezpieczeń setek komputerów, a następnie rozprowadzając złośliwe oprogramowanie, które miało zniszczyć oprogramowanie i dane na tysiącach innych maszyn.

Taktyki rosyjskiego cyberataku zastosowane w czasie wojny różniły się od tych, które wdrożono podczas wymierzonego w Ukrainę ataku NotPetya w 2017 r. Użyto wtedy niszczycielskiego złośliwego oprogramowania z obsługą robaków, które mogło przenosić się z jednej domeny komputerowej do drugiej, a więc także przekraczać granice i rozprzestrzeniać się w innych krajach. W 2022 r. Rosja uważała, aby ograniczyć działanie destrukcyjnego oprogramowania typu „wiper” do określonych domen sieciowych wyłącznie na terenie Ukrainy. Niedawne i bieżące wyniszczające ataki są jednak wyrafinowane i mają o wiele większy zasięg niż wskazuje to wiele raportów. Armia rosyjska nieustannie przystosowuje te destrukcyjne ataki do zmieniających się w związku z wojną potrzeb, między innymi przez łączenie cyberataków z użyciem broni konwencjonalnej.

Do tej pory definiującym aspektem tych ataków była siła i względny sukces mechanizmów cyberobrony. Chociaż nie są doskonałe i kilka ataków odniosło skutek, te mechanizmy cyberobrony wykazały przewagę nad możliwościami cyberoperacji ofensywnych. To odzwierciedla dwa ważne obserwowane od niedawna trendy. Po pierwsze, rozwój analizy zagrożeń, między innymi przy użyciu sztucznej inteligencji, umożliwił skuteczniejsze wykrywanie ataków. Po drugie, ochrona punktu końcowego połączonego z Internetem umożliwia szybkie rozpowszechnianie kodu oprogramowania zabezpieczającego zarówno do usług w chmurze, jak i innych połączonych urządzeń do przetwarzania danych, aby szybko identyfikować i wyłączać złośliwe oprogramowanie. Ciągłe innowacje w czasie wojny i środki podejmowane przez ukraiński rząd wzmacniają tę ochronę jeszcze bardziej. Utrzymanie tej przewagi defensywnej będzie jednak prawdopodobnie wymagać nieustającej czujności i innowacyjności.

Firma Microsoft wykryła próby włamań do sieci ze strony Rosji, które dotyczą 128 organizacji w 42 krajach poza terenem Ukrainy. Chociaż Stany Zjednoczone są dla Rosji celem numer jeden, priorytetem w tych działaniach stała się również Polska, gdzie jest koordynowana znaczna część logistyki dostaw w ramach wsparcia wojskowego i pomocy humanitarnej. Działania Rosji są również wymierzone w kraje bałtyckie, a w ciągu ostatnich dwóch miesięcy zaobserwowano wzrost podobnej aktywności ukierunkowanej na sieci komputerowe w Danii, Norwegii, Finlandii, Szwecji i Turcji. Zauważyliśmy też wzrost podobnej aktywności wymierzonej w ministerstwa spraw zagranicznych pozostałych państw członkowskich NATO.

Rosja priorytetyzuje wśród swoich celów rządy, zwłaszcza państw członkowskich NATO. Lista celów obejmuje też think tanki, organizacje humanitarne, firmy z branży IT oraz dostawców energii i pozostałej krytycznej infrastruktury. Od rozpoczęcia wojny ukierunkowane ataki Rosji, które zidentyfikowaliśmy, powiodły się w 29% przypadków. Jedna czwarta udanych włamań doprowadziła do potwierdzonej eksfiltracji danych organizacji, ale jak wyjaśnia raport, te dane zapewne nie oddają w pełni skali sukcesu odniesionego przez Rosję.

Najbardziej niepokoją nas nadal rządowe komputery działające lokalnie zamiast w chmurze. To odzwierciedla obecny globalny stan ofensywnego cyberszpiegostwa i defensywnej cyberochrony. Jak pokazało zdarzenie SolarWinds sprzed 18 miesięcy, rosyjskie agencje wywiadowcze mają niezwykle wyrafinowane metody zagnieżdżania kodu i działania jako zaawansowane stałe zagrożenie (APT), które może na bieżąco pozyskiwać i eksfiltrować informacje poufne z sieci. Od tamtego czasu nastąpił znaczący rozwój w zakresie ochrony defensywnej, ale stopień wdrażania tych postępów przez europejskie rządy pozostaje zróżnicowany, w przeciwieństwie do Stanów Zjednoczonych. W rezultacie nadal występują znacząco słabe punkty zbiorowej obrony.

Łączą one taktyki rozwijane przez dziesięciolecia przez dawne KGB z nowymi cybertechnologiami i Internetem, aby działania w zakresie wywierania wpływu informacyjnego za granicą miały szerszy zasięg geograficzny i większą intensywność oraz były precyzyjnie wymierzone w cele, szybsze i bardziej elastyczne. Przy odpowiednim planowaniu i dostatecznym zaawansowaniu tych cyberoperacji w zakresie wywierania wpływu mogą one wykorzystywać wieloletnią otwartość społeczeństw demokratycznych i polaryzację opinii publicznej charakterystyczną dla obecnych czasów.

Wraz z rozwojem wojny w Ukrainie rosyjskie agencje koncentrują cyberoperacje w zakresie wywierania wpływu informacyjnego na czterech różnych grupach odbiorców. Ich celem jest podtrzymanie wsparcia ludności rosyjskiej dla działań wojennych. Ich celem jest podważenie zaufania ukraińskiego społeczeństwa w wolę i możliwości kraju stawienia czoła rosyjskim atakom. Są wymierzone w społeczeństwo Ameryki i Europy, aby podważyć jedność Zachodu i odpierać krytykę zbrodni wojennych popełnianych przez wojska rosyjskie. Zaczynają też być kierowane w stronę społeczeństw krajów, które nie należą do koalicji, częściowo w celu potencjalnego utrzymania ich poparcia na forum Organizacji Narodów zjednoczonych i innych forach.

Rosyjskie cyberoperacje w zakresie wywierania wpływu informacyjnego opierają się na taktykach, które powstały na potrzeby innych aktywności w cyberprzestrzeni, i są z nimi powiązane. Podobnie jak zespoły APT działające w ramach rosyjskich służb wywiadowczych zespoły zaawansowanej stałej manipulacji APM (Advance Persistent Manipulator) powiązane z rosyjskimi agencjami rządowymi działają przy użyciu mediów społecznościowych i platform cyfrowych. Rozpowszechniają nieprawdziwą narrację w sposób podobny do rozpowszechniania złośliwego oprogramowania lub innego kodu oprogramowania. Rozpoczynają wtedy szeroko zakrojone, równoczesne „relacjonowanie” oparte na narracji zarządzanych i inspirowanych przez rząd witryn internetowych i wzmacnianie tego przekazu przy użyciu narzędzi technologicznych przeznaczonych do wykorzystywania luk w serwisach społecznościowych. Najnowsze przykłady obejmują narrację dotyczącą laboratoriów biotechnologicznych w Ukrainie i licznych prób zaciemniania informacji na temat ataków wojskowych na ukraińskie cele cywilne.

W ramach nowej inicjatywy firmy Microsoft używamy AI, nowych narzędzi analizy i większych zestawów danych oraz zatrudniamy rzeszę ekspertów, aby śledzić i prognozować to cyberzagrożenie. Na podstawie tych nowych możliwości szacujemy, że rosyjskie cyberoperacje w zakresie wywierania wpływu informacyjnego skutecznie zwiększyły zasięg rosyjskiej propagandy po rozpoczęciu wojny o 216% w Ukrainie i 82% w Stanach Zjednoczonych.

Bieżące operacje Rosji są oparte na wyrafinowanych działaniach, które mają na celu rozpowszechnianie nieprawdziwych informacji dotyczących pandemii COVID-19 w wielu krajach zachodnich. Obejmują one sponsorowane przez państwo cyberoperacje w zakresie wywierania wpływu informacyjnego w 2021 r., które miały za zadanie zniechęcić do przyjmowania szczepionek za pomocą anglojęzycznych relacji internetowych, jednocześnie zachęcając do ich stosowania przez witryny rosyjskojęzyczne. W ciągu ostatnich sześciu miesięcy podobne rosyjskie cyberoperacje w zakresie wywierania wpływu informacyjnego miały pomóc w podsyceniu sprzeciwu opinii publicznej względem zasad dotyczących pandemii COVID-19 w Nowej Zelandii i Kanadzie.

Będziemy dalej rozszerzać zasięg prac firmy Microsoft w tej dziedzinie w nadchodzących tygodniach i miesiącach. Obejmuje to zarówno nasz rozwój wewnętrzny, jak i wynikający z zapowiadanej w zeszłym tygodniu umowy dotyczącej przejęcia firmy Miburo Solutions — wiodącej w dziedzinie badań i analizy cyberzagrożeń oraz specjalizującej się w wykrywaniu cyberoperacji innych państw w zakresie wywierania wpływu i reagowaniu na nie.

Jesteśmy zaniepokojeni, że wiele z bieżących rosyjskich cyberoperacji w zakresie wywierania wpływu trwa miesiącami bez przeprowadzenia właściwego wykrywania, analizy czy publicznego raportowania. To wpływa w coraz większym stopniu na szereg ważnych instytucji w sektorze publicznym, jak i prywatnym. Im dłużej trwa wojna w Ukrainie, tym ważniejsze mogą stać się te operacje dla samej Ukrainy. Trwająca dłużej wojna wymagałaby podtrzymania publicznego poparcia, gdy nieuniknionym wyzwaniem jest coraz większe zmęczenie. To powinno nadać pilny charakter wzmacnianiu mechanizmów obrony Zachodu przeciw tego typu cyberatakom w zakresie wywierania wpływu informacyjnego ze strony innych państw.

Jak pokazuje wojna w Ukrainie, pomimo różnic między tymi zagrożeniami rosyjski rząd nie realizuje ich jako oddzielne działania i my też nie powinniśmy umieszczać ich w różnych silosach analizowanych danych. Dodatkowo strategie obronne muszą uwzględniać koordynowanie tych cyberoperacji z operacjami wojskowymi z użyciem broni kinetycznej, czego jesteśmy świadkami w Ukrainie.

Aby udaremnić te cyberzagrożenia potrzebne są kolejne postępy. Będą one oparte na czterech wspólnych filarach oraz — przynajmniej na najwyższym poziomie — wspólnej strategii. Pierwszy obronny filar powinien mieć na względzie, że cyberzagrożenia ze strony Rosji są rozwijane przez wspólny zbiór aktorów wewnątrz rosyjskiego rządu i poza nim i są oparte na podobnych taktykach. W rezultacie, aby im przeciwdziałać, będą potrzebne postępy w zakresie technologii cyfrowej, AI i danych. W związku z tym drugi filar powinien uwzględniać fakt, że w przeciwieństwie do dawnych tradycyjnych zagrożeń, reakcje na cyberzagrożenia muszą opierać się na silniejszej współpracy sektora publicznego i prywatnego. Trzeci filar powinien obejmować potrzebę nawiązania bliskiej wielostronnej współpracy między rządami, aby chronić otwarte i demokratyczne społeczeństwa. Czwarty i ostatni, defensywny filar powinien utrzymać swobodę wyrażania poglądów i unikać cenzury w demokratycznych społeczeństwach, nawet jeśli wymaga to nowych kroków, aby przeciwdziałać szeregowi zagrożeń, w tym cyberoperacjom w zakresie wywierania wpływu informacyjnego.

Skuteczna reakcja musi być zbudowana na tych założeniach w oparciu o cztery strategiczne filary. To powinno przyczynić się do zwiększenia zbiorowych możliwości lepszego (1) wykrywania cyberzagrożeń obcych państw, (2) obrony przed nimi, (3) ich zakłócania, i (4) zapobiegania im. To podejście jest już odzwierciedlane w wielu zbiorowych wysiłkach w odniesieniu do destrukcyjnych cyberataków i szpiegostwa w cyberprzestrzeni. Mają one też zastosowanie w przypadku bieżących prac o krytycznym znaczeniu dla reagowania na ataki z użyciem oprogramowania ransomware. Potrzebujemy teraz podobnego kompleksowego podejścia z nowymi możliwościami i mechanizmami obrony, aby walczyć z rosyjskimi cyberoperacjami w zakresie wywierania wpływu informacyjnego.

Jak omówiono w tym raporcie, wojna w Ukrainie dostarcza nie tylko wnioski, ale jest wezwaniem do działania — opracowywania skutecznych środków niezbędnych, aby bronić przyszłości demokracji. Jesteśmy zobowiązani jako firma do wspierania tych wysiłków, między innym przez istniejące i nowe inwestycje w technologie, dane i partnerstwa, które będą wspierać rządy, firmy, organizacje pozarządowe i uczelnie.

Aby dowiedzieć się więcej, przeczytaj pełny raport.