Microsoft: Kluczowe zasoby Ukrainy ocaliła chmura obliczeniowa

Firma Microsoft opublikowała nowy raport zatytułowany „Defending Ukraine: Early Lessons from the Cyber War”. Opracowanie przedstawia badania przeprowadzone przez zespoły Microsoft ds. wywiadu o zagrożeniach i nauki o danych w celu lepszego zrozumienia krajobrazu zagrożeń w trwającej wojnie w Ukrainie.

W szczególności, raport ujawnia nowe informacje na temat działań Rosji, w tym wzrost penetracji sieci i działań szpiegowskich wśród sojuszniczych rządów, organizacji non-profit i innych organizacji poza Ukrainą.

Nowe oblicze wojny

W raporcie przedstawiono pięć wniosków, które wynikają z pierwszych czterech miesięcy wojny:

Po pierwsze, obrona przed inwazją militarną wymaga obecnie od większości państw zdolności do rozprzestrzeniania i dystrybucji operacji cyfrowych i zasobów danych ponad granicami i w innych krajach.

• Jak zaznacza Microsoft Rosja, co nie było zaskoczeniem, wzięła na cel rządowe centra danych Ukrainy w ramach wczesnego ataku rakietowego, a inne serwery „on premise” również były podatne na ataki z użyciem broni konwencjonalnej. Rosja skierowała również swoje niszczycielskie ataki typu „wiper” na sieci komputerowe znajdujące się na miejscu. Jednak rząd Ukrainy z powodzeniem podtrzymał swoje działania cywilne i wojskowe, działając szybko w celu przeniesienia swojej infrastruktury cyfrowej do chmury publicznej, gdzie została umieszczona w centrach danych w całej Europie.  

Po drugie, ostatnie postępy w dziedzinie wywiadu o zagrożeniach cybernetycznych i ochrony punktów końcowych pomogły Ukrainie oprzeć się wysokiemu odsetkowi niszczycielskich rosyjskich ataków cybernetycznych.

• Ponieważ działania w cyberprzestrzeni są niewidoczne gołym okiem, trudniej jest je śledzić dziennikarzom, a nawet wielu analitykom wojskowym. Firma Microsoft była świadkiem wielu fal niszczycielskich ataków cybernetycznych przeprowadzonych przez rosyjskie wojsko przeciwko 48 różnym ukraińskim agencjom i przedsiębiorstwom. Celem tych ataków było przeniknięcie do domen sieciowych poprzez początkowe przejęcie setek komputerów, a następnie rozprzestrzenianie złośliwego oprogramowania przeznaczonego do niszczenia oprogramowania i danych na tysiącach innych.  
• Rosyjskie taktyki cybernetyczne w tej wojnie różniły się od tych zastosowanych w ataku NotPetya na Ukrainę w 2017 r. W ataku tym wykorzystano destrukcyjne, złośliwe oprogramowanie, które mogło przeskakiwać z jednej domeny komputerowej do drugiej, a tym samym przekraczać granice innych państw.
• W 2022 r. Rosja starała się ograniczyć destrukcyjne oprogramowanie „wiper” do określonych domen sieciowych na terenie samej Ukrainy. Jednak ostatnie i trwające ataki były wyrafinowane i bardziej rozległe, niż wynika to z wielu raportów. Armia rosyjska kontynuuje dostosowywanie tych destrukcyjnych ataków do zmieniających się potrzeb wojennych, w tym poprzez łączenie ataków cybernetycznych z użyciem broni konwencjonalnej.  
• Aspektem definiującym dotychczasowe ataki była siła i względny sukces obrony cybernetycznej. Według raportu, choć nie są one doskonałe i niektóre działania zakończyły się sukcesem, obrona cybernetyczna okazała się silniejsza niż ofensywne zdolności cybernetyczne. Odzwierciedla to dwa ważne i niedawne trendy. Po pierwsze, postępy w dziedzinie analizy zagrożeń, w tym wykorzystanie sztucznej inteligencji, umożliwiły skuteczniejsze wykrywanie ataków. Po drugie, ochrona punktów końcowych podłączonych do internetu umożliwiła szybką dystrybucję kodu oprogramowania ochronnego zarówno do usług w chmurze, jak i innych podłączonych urządzeń komputerowych w celu zidentyfikowania i unieszkodliwienia złośliwego oprogramowania. Innowacje i działania podejmowane w czasie wojny we współpracy z rządem Ukrainy jeszcze bardziej wzmocniły tę ochronę. Jednak aby utrzymać tę przewagę w obronie, prawdopodobnie konieczna będzie ciągła czujność i innowacje.

Czytaj także: MSZ rozbraja rosyjskie kłamstwa: nie będzie deportacji ukraińskich mężczyzn w wieku poborowym

Po trzecie, w miarę jak koalicja państw jednoczy się w obronie Ukrainy, rosyjskie agencje wywiadowcze nasilają penetrację sieci i działania szpiegowskie wymierzone w rządy państw sojuszniczych poza Ukrainą.

• W firmie Microsoft wykryto rosyjskie próby włamania do sieci 128 organizacji w 42 krajach poza Ukrainą. Chociaż Stany Zjednoczone są głównym celem Rosji, działania te objęły również Polskę, gdzie koordynowana jest większość logistycznych dostaw pomocy wojskowej i humanitarnej.
• Działania Rosji były również wymierzone w kraje bałtyckie, a w ciągu ostatnich dwóch miesięcy odnotowano wzrost podobnych działań wymierzonych w sieci komputerowe w Danii, Norwegii, Finlandii, Szwecji i Turcji. Odnotowano również wzrost podobnych działań wymierzonych w ministerstwa spraw zagranicznych innych państw NATO.  
• Celem rosyjskich ataków stały się przede wszystkim rządy, zwłaszcza państw członkowskich NATO. Na liście celów znalazły się jednak także ośrodki analityczne, organizacje humanitarne, firmy informatyczne, dostawcy energii i innej infrastruktury krytycznej. Od początku wojny zidentyfikowane rosyjskie ataki zakończyły się sukcesem w 29 proc. przypadków. Jedna czwarta tych udanych włamań doprowadziła do potwierdzonej eksfiltracji danych organizacji, choć jak wyjaśniono w raporcie, prawdopodobnie zaniża to stopień sukcesu Rosjan.  
• W dalszym ciągu najbardziej niepokoją komputery rządowe działające „w siedzibie”, a nie w chmurze. Odzwierciedla to obecny i globalny stan ofensywnego szpiegostwa cybernetycznego oraz defensywnej ochrony cybernetycznej. Jak pokazał incydent SolarWinds sprzed 18 miesięcy, rosyjskie agencje wywiadowcze dysponują niezwykle wyrafinowanymi możliwościami implantacji kodu i działania jako zaawansowane trwałe zagrożenie (APT), które może na bieżąco pozyskiwać i eksfiltrować poufne informacje z sieci.

Po czwarte, w koordynacji z tymi innymi działaniami cybernetycznymi rosyjskie agencje prowadzą globalne operacje cyberwpływu w celu wsparcia swoich działań wojennych.

• Łączą one taktykę wypracowaną przez KGB na przestrzeni kilku dekad z nowymi technologiami cyfrowymi i Internetem, dzięki czemu zagraniczne operacje wywierania wpływu mają większy zasięg geograficzny, większą skalę, bardziej precyzyjne cele oraz większą szybkość i sprawność. Niestety, przy odpowiednim planowaniu i wyrafinowaniu te operacje cyberwpływu są dobrze przygotowane do wykorzystania długotrwałej otwartości społeczeństw demokratycznych i polaryzacji opinii publicznej, która jest charakterystyczna dla obecnych czasów.
• W miarę postępów wojny w Ukrainie rosyjskie agencje koncentrują swoje operacje cyberwpływu na czterech różnych grupach odbiorców. Celują w ludność rosyjską, aby utrzymać wsparcie dla działań wojennych. Celują w ludność ukraińską, aby podkopać zaufanie do gotowości i zdolności tego kraju do odparcia rosyjskich ataków. Celują w ludność amerykańską i europejską, aby podkopać jedność Zachodu i odeprzeć krytykę rosyjskich zbrodni wojennych. Zaczynają też atakować ludność krajów niezaangażowanych, prawdopodobnie po to, by utrzymać swoje poparcie w ONZ i w innych miejscach.
• W ramach nowej inicjatywy Microsoft wykorzystuje sztuczną inteligencję, nowe narzędzia analityczne, szersze zbiory danych oraz rosnący zespół ekspertów do śledzenia i prognozowania tego cyberzagrożenia. Korzystając z tych nowych możliwości szacuje się, że rosyjskie cybernetyczne operacje wpływu skutecznie zwiększyły rozpowszechnianie rosyjskiej propagandy po rozpoczęciu wojny o 216 proc. w Ukrainie i 82 proc. w Stanach Zjednoczonych.  

Po piąte, wnioski wyciągnięte z Ukrainy wymagają skoordynowanej i kompleksowej strategii wzmocnienia obrony przed pełnym zakresem cybernetycznych działań destrukcyjnych, szpiegostwa i operacji wpływu.

• Jak pokazuje wojna w Ukrainie, choć zagrożenia te różnią się między sobą, rząd rosyjski nie prowadzi ich oddzielnie, i nie powinno się umieszczać ich w oddzielnych silosach analitycznych. Ponadto strategie obronne muszą uwzględniać koordynację tych operacji cybernetycznych z kinetycznymi operacjami wojskowymi, czego świadkiem była Ukraina.  
• Aby udaremnić te cyberzagrożenia, potrzebne są nowe rozwiązania, które będą zależeć od czterech wspólnych zasad i - przynajmniej na wysokim poziomie - wspólnej strategii. W pierwszym założeniu obronnym należy uznać, że rosyjskie zagrożenia cybernetyczne są rozwijane przez wspólną grupę podmiotów wewnątrz i na zewnątrz rządu rosyjskiego i opierają się na podobnych taktykach cyfrowych. W związku z tym, aby im przeciwdziałać, konieczne będą postępy w dziedzinie technologii cyfrowych, sztucznej inteligencji i danych.
• W związku z tym w drugim założeniu należy uznać, że w odróżnieniu od tradycyjnych zagrożeń z przeszłości, reakcje w cyberprzestrzeni muszą opierać się na ściślejszej współpracy sektora publicznego i prywatnego.
• Trzecia zasada powinna uwzględniać potrzebę ścisłej i wspólnej wielostronnej współpracy między rządami w celu ochrony otwartych i demokratycznych społeczeństw.
• Czwarta i ostatnia zasada obronna powinna stać na straży wolności słowa i unikać cenzury w społeczeństwach demokratycznych, nawet jeśli konieczne są nowe kroki w celu rozwiązania pełnego zakresu zagrożeń cybernetycznych, w tym operacji wywierania wpływu w cyberprzestrzeni.

Czytaj także: Rosjanie wyłączają internet na Ukrainie. Kierują ruch do własnych operatorów