Att försvara Ukraina: Tidiga lärdomar av cyberkriget

Ryssland fokuserade sig föga överraskande mot Ukrainas statliga datacenter i en tidig kryssningsrobotattack, och även andra lokala servrar var på motsvarande sätt sårbara för attacker med konventionella vapen. Ryssland riktade dessutom sina destruktiva rensningsattacker mot lokala datornätverk. Men Ukrainas regering har framgångsrikt kunnat upprätthålla sina civila och militära operationer genom att man agerat snabbt för att distribuera sin digitala infrastruktur till det offentliga molnet, där den har varit värdbaserad i datacenter över hela Europa.

Detta har krävt brådskande och extraordinära steg från hela tekniksektorn, och även från Microsoft. Även om tekniksektorns arbete har varit avgörande, så är det också viktigt att vi begrundar de mer långvariga lärdomar som vi kan dra från dessa ansträngningar.

Eftersom cyberaktiviteter är osynliga för blotta ögat är de svårare att spåra för såväl journalister som många militäranalytiker. Microsoft har sett hur den ryska militären har skickat iväg våg på våg av destruktiva cyberattacker mot 48 distinkta ukrainska myndigheter och företag. Dessa har försökt penetrera nätverksdomäner genom att först angripa hundratals datorer och sedan sprida skadlig programvara som utformats för att förstöra programvara och data på tusentals andra datorer.

Den ryska cybertaktiken i det här kriget skiljer sig från den som användes i NotPetya-attacken mot Ukraina 2017. Den attacken använde sig av ”krälbar” destruktiv skadlig programvara som kunde hoppa från en datordomän till en annan och därmed ta sig över gränserna mellan olika länder. Ryssland har under 2022 varit noga med att begränsa destruktiva rensningsprogram till specifika nätverksdomäner i Ukraina. Men de senaste och pågående destruktiva attackerna har i sig varit sofistikerade och mer utbredda än vad många rapporter anger. Och den ryska armén fortsätter att anpassa dessa destruktiva attacker till krigets föränderliga behov, t.ex. genom att koppla ihop cyberattacker med användningen av konventionella vapen.

En avgörande aspekt i bedömningen av dessa destruktiva attacker hittills har varit cyberförsvarets styrka och relativa framgång. Även om dessa cyberförsvar inte är perfekta, och vissa destruktiva attacker har varit framgångsrika, så har de visat sig vara starkare än offensiva cyberförmågor. Detta visar på två viktiga aktuella trender. För det första har framsteg inom hotinformation, bl.a. tack vare användningen av artificiell intelligens, bidragit till att göra det möjligt att upptäcka dessa attacker på ett mer effektivt sätt. Och för det andra har det Internetanslutna slutpunktsskyddet gjort det möjligt att snabbt distribuera skyddande programvarukod till såväl molntjänster som andra anslutna datorenheter, vilket gör det lättare att identifiera och inaktivera denna skadliga programvara. Innovationer framtvingade av det pågående kriget och åtgärder som den ukrainska regeringen har vidtagit har stärkt detta skydd ytterligare. Men fortsatt vaksamhet och innovation kommer sannolikt att krävas om man ska kunna upprätthålla detta defensiva övertag.

På Microsoft har vi upptäckt ryska nätverksintrång hos 128 organisationer i 42 länder utanför Ukraina. Även om USA har varit Rysslands främsta mål, så har man även prioriterat Polen som mål, eftersom en stor del av den logistiska leveransen av militärt och humanitärt bistånd samordnas därifrån. Ryssland har även riktat sina aktiviteter mot de baltiska länderna, och under de senaste två månaderna har det skett en ökning av liknande aktiviteter riktade mot datornätverk i Danmark, Norge, Finland, Sverige och Turkiet. Vi har också sett en ökning av liknande verksamhet riktad mot andra Nato-länders utrikesministerier.

Ryssland har även riktat in sina attacker mot andra regeringar, i synnerhet bland Natos medlemmar. Men listan över mål omfattar även annat, som tankesmedjor, humanitära organisationer, IT-företag, energileverantörer och andra leverantörer av kritisk infrastruktur. Sedan krigets början har de ryska angrepp vi har identifierat varit framgångsrika under 29 % av tiden. För en fjärdedel av dessa framgångsrika intrång har man kunnat konstatera att organisationens data har exfiltrerats, men, som det påpekas i rapporten, så är detta nog en underskattning eftersom det sannolikt föreligger ett visst mörkertal.

Det som vi fortfarande är mest oroade över är att så många myndighetsdatorer körs lokalt istället för i molnet. Detta återspeglar det aktuella tillståndet globalt när det gäller offensivt cyberspionage och defensivt cyberskydd. Som SolarWinds-incidenten visade för 18 månader sedan, har Rysslands underrättelsetjänster extremt sofistikerade möjligheter att implantera kod och verka som ett avancerat långvarigt hot som på kontinuerlig basis kan tillskansa sig och exfiltrera känslig information från ett nätverk. Sedan dess har det har gjorts betydande framsteg när det gäller defensivt skydd, men implementeringen av dessa framsteg går fortfarande trögt hos vissa regeringar i Europa jämfört med USA. Som en följd av detta kvarstår fortfarande en hel del defensiva svagheter.

Dessa operationer kombinerar taktik som utvecklats av KGB under flera decennier med ny digital teknik och Internet i syfte att ge påverkansoperationerna utomlands en bredare geografisk räckvidd, större volym, mer exakt inriktning och samtidigt göra dem snabbare och smidigare. Med tillräcklig planering och sofistikation är dessa cyberpåverkansoperationer tyvärr väl positionerade när det gäller att dra fördel av den sedan länge etablerade öppenheten i de demokratiska samhällena och den polarisering i den offentliga debatten som är så karakteristisk för vår samtid.

I takt med att kriget i Ukraina har fortskridit, fokuserar de ryska byråerna sina cyberpåverkansoperationer på fyra distinkta målgrupper. Dels riktar de sig mot den ryska befolkningen med målet att upprätthålla stödet till krigsinsatsen. De riktar sig också mot den ukrainska befolkningen med målet att undergräva förtroendet för landets vilja och förmåga att stå emot de ryska attackerna. Sedan riktar sig även mot befolkningarna i USA och Europa med målet att undergräva den västerländska enheten och avleda kritiken mot den ryska militärens krigsförbrytelser. Slutligen har de börjat rikta in sig på befolkningarna i alliansfria länder, delvis för att potentiellt kunna upprätthålla deras stöd i FN i andra sammanhang.

De ryska cyberpåverkansoperationerna utvecklas vidare och är kopplade till taktiker som utvecklats för andra cyberaktiviteter. Liksom APT-teamen som arbetar inom ryska underrättelsetjänster, så agerar teamen för avancerat långvarigt hot, som är kopplade till ryska statliga myndigheter genom sociala medier och digitala plattformar. De förpositionerar falska berättelser på sätt som liknar förpositioneringen av skadlig kod och annan programvarukod. Därefter lanserar de en brett baserad och samtidig "rapportering" av dessa narrativ från statligt hanterade och påverkade webbplatser och förstärker deras narrativ genom tekniska verktyg som utformats för att utnyttja sociala medier. Nya exempel på detta är narrativ kring biolaboratorier i Ukraina och flera försök att skapa oklarhet kring militära attacker riktade mot ukrainska civila mål.

Som en del av ett nytt Microsoft-initiativ använder vi AI, nya analysverktyg, bredare datamängder och en växande personalstab av experter så att vi kan spåra och förutse dessa cyberhot. Genom dessa nya möjligheter uppskattar vi att de ryska cyberpåverkansoperationerna lyckades öka spridningen av rysk propaganda efter det att kriget börjat med 216 % i Ukraina och 82 % i USA.

Dessa pågående ryska operationer bygger på de senaste sofistikerade försöken att sprida falska covid-19-narrativ i flera västländer. Bland dessa märks statligt sponsrade cyberpåverkansoperationer 2021 som försökte propagera mot vaccination i andra länder genom engelskspråkiga internetrapporter, samtidigt som man uppmuntrade till vaccination via ryskspråkiga webbplatser. Under de senaste sex månaderna har liknande ryska cyberpåverkansoperationer försökt väcka allmänhetens motstånd mot den förda covid-19-politiken i Nya Zeeland och Kanada.

Vi kommer att fortsätta utöka Microsofts arbete inom detta område under de kommande veckorna och månaderna. Detta omfattar såväl intern tillväxt och som det avtal vi tillkännagav förra veckan om att förvärva Miburo Solutions, ett ledande cyberhotsanalys- och forskningsföretag som specialiserat sig på identifiering och besvarande av utländska cyberpåverkansoperationer.

Vi är oroade över att många aktuella ryska cyberpåverkansoperationer kan pågå i månader utan att kunna upptäckas, analyseras eller offentlig rapporteras på ett korrekt sätt. Detta påverkar i allt högre grad ett brett spektrum av viktiga institutioner i såväl den offentliga som den privata sektorn. Och ju längre kriget varar i Ukraina, desto viktigare kommer dessa operationer sannolikt att bli också för Ukraina. Anledningen till det är att ju längre kriget pågår desto viktigare blir det att upprätthålla allmänhetens stöd när krigströttheten obönhörligen kommer att infinna sig. Detta borde öka västvärldens vilja att stärka sitt försvar mot de här typerna av utländska cyberpåverkansattacker.

Som kriget i Ukraina illustrerar driver inte den ryska regeringen dessa hot som separata projekt, även om det finns skillnader mellan dem, och vi bör inte heller vi analysera dem åtskilda från varandra. Dessutom måste en defensiva strategin vara att samordna dessa cyberoperationer med kinetiska militära operationer, så som vi har kunnat bevittna i Ukraina.

Nya framsteg för att motverka dessa cyberhot behövs, och hur detta kommer att lyckas beror på fyra allmänna grundsatser och – åtminstone på hög nivå – en gemensam strategi. Den första defensiva grundsatsen bör vara att inse att det ryska cyberhotet utgörs av en gemensam uppsättning aktörer inom och utanför den ryska regeringen som förlitar sig på snarlika digitala taktiker. Därför kommer vi att behöva framstegen inom digital teknik, AI och data för att kunna motverka dem. Som en följd av detta bör den andra grundsatsen vara att erkänna att, till skillnad från vad som gällde för det förflutnas traditionella hot, måste kampen mot cyberhoten förlita sig på ett större offentligt och privat samarbete. En tredje grundsats bör handla om behovet av ett nära och gemensamt multilateralt samarbete mellan regeringar i syfte att skydda det öppna och demokratiska samhället. Och den fjärde och sista defensiva grundsatsen bör vara att upprätthålla yttrandefrihet och undvika censur i demokratiska samhällen, även när nya steg behöver vidtas för att ta itu med hela spektrumet av cyberhot, som exempelvis cyberpåverkansoperationer.

Ett effektivt försvar måste bygga på dessa grundsatser och dess fyra strategiska pelare. Dessa bör öka den kollektiva förmågan att (1) identifiera, (2) försvara sig mot, (3) störa och (4) avskräcka främmande cyberhot. Detta tillvägagångssätt syns redan i många av de kollektiva ansträngningar som gjorts för att ta itu med destruktiva cyberattacker och cyberbaserat spionage. Detta tillvägagångssätt gäller även det viktiga och pågående arbete som krävs för att ta itu med attackerna med utpressningstrojaner. Vi behöver nu ett liknande och heltäckande tillvägagångssätt med nya förmågor och försvar när vi ska bekämpa de ryska cyberpåverkansoperationerna.

Som redan diskuterats i denna rapport ger kriget i Ukraina inte bara lärdomar, utan det utgör även en uppmaning till handling med effektiva åtgärder, vilka kommer att vara avgörande för skyddet av demokratins framtid. Som företag är vi fast beslutna att stödja dessa ansträngningar, bl.a. genom pågående och nya investeringar i teknik, data och partnerskap med syfte att stödja regeringar, företag, icke-statliga organisationer och universitet.

Läs den fullständiga rapporten om du vill veta mer.