SECTOR 2022 - טורונטו - היריות הראשונות במלחמת הסייבר בין רוסיה לאוקראינה נורו כמעט ב-23 בפברואר, כאשר התקפות הרסניות נפתחו נגד ארגונים יום לפני כניסת כוחות צבא רוסים לאוקראינה. מיקרוסופט הייתה "שם" באופן פיגורטיבי, והתבוננה בהתפתחויות - והחוקרים שלה היו מודאגים מיד.
לענקית הטכנולוגיה היו במקרה חיישנים שמוצבים מראש בתוך רשתות ציבוריות ופרטיות שונות בארץ, שהותקנו בשיתוף עם צוותי התאוששות מאוקראינים בעקבות מתקפות סייבר קודמות. הם עדיין פעלו, ורשמו טווח רחב של פעילות מדאיגה, כדור שלג כשהצבא הרוסי הצטבר על הגבול.
"ראינו התקפות נגד לפחות 200 מערכות ממשלתיות שונות שמתחילות לפעול באזורים שונים שזיהינו באוקראינה", אמר ג'ון היואי, קצין ביטחון לאומי במיקרוסופט קנדה, עלה לבמה ב-SecTor 2022 השבוע בטורונטו, במושב שכותרתו "הגנה על אוקראינה: לקחים מוקדמים ממלחמת הסייבר".
הוא הוסיף, "כבר הקמנו קו תקשורת עם בכירים אוקראינים ברחבי הממשל וגם ארגונים באוקראינה - והצלחנו לחלוק מודיעין איומים הלוך ושוב".
מה שעלה מכל המידע הזה בהתחלה היה שגל מתקפות הסייבר כוון לסוכנויות ממשלתיות, לפני שעבר למגזר הפיננסי, ואז למגזר ה-IT, לפני שאפס ספציפית על מרכזי נתונים וחברות IT שתומכות בסוכנויות ממשלתיות במדינה. אבל זו הייתה רק ההתחלה.
לוחמת סייבר: מאיימת על פגיעה פיזית
ככל שהמלחמה נמשכה, תמונת הסייבר החמירה, מכיוון שתשתיות ומערכות קריטיות שימשו לתמוך במאמץ המלחמתי הסתיים על הכוונת.
זמן קצר לאחר תחילת הפלישה הפיזית, מיקרוסופט גילתה שהיא מסוגלת לתאם גם התקפות סייבר במגזר התשתיות הקריטיות עם אירועים קינטיים. לדוגמה, כשהמערכה הרוסית נעה באזור דונבאס במרץ, חוקרים צפו בהתקפות מגבים מתואמות נגד מערכות לוגיסטיות תחבורה המשמשות לתנועה צבאית ולהעברת סיוע הומניטרי.
והתמקדות במתקנים גרעיניים באוקראינה בפעילות סייבר כדי לרכך מטרה לפני פלישות צבאיות היא משהו שחוקרים של מיקרוסופט ראו בעקביות לאורך המלחמה.
"הייתה ציפייה שהולכת להיות לנו אירוע גדול דמוי NotPetya שהולך לזלוג לשאר העולם, אבל זה לא קרה", ציין היואי. במקום זאת, ההתקפות הותאמו מאוד ומכוונות לארגונים באופן שהגביל את היקפן וההיקף שלהן - למשל, שימוש בחשבונות מועדפים ושימוש במדיניות קבוצתית כדי לפרוס את התוכנה הזדונית.
"אנחנו עדיין לומדים, ואנחנו מנסים לחלוק מידע על היקף והיקף הפעולות שהיו מעורבות שם וכיצד הם ממנפים את הדיגיטל בדרכים משמעותיות ומטרידות," אמר.
שפע של APTs מסוכן בשטח
מיקרוסופט דיווחה בעקביות על מה שהיא ראתה בסכסוך בין רוסיה לאוקראינה, בעיקר בגלל שהחוקרים שלה חשו ש"ההתקפות שהתרחשו שם קיבלו דיווח נמוך מאוד", אמר היואי.
הוא הוסיף כי כמה מהשחקנים המכוונים לאוקראינה ידועים בחסות רוסיה, איומים מתמשכים מתקדמים (APTs) שהוכחו כמסוכנים ביותר, הן מנקודת מבט של ריגול והן מבחינת ההפרעה הפיזית של נכסים, אותם הוא מכנה מערכת של יכולות "מפחידות".
"סטרונציום, למשל, היה אחראי על התקפות ה-DNC עוד ב-2016; הם מוכרים לנו היטב במונחים של פישינג, השתלטות על חשבון - ועשינו זאת פעילויות שיבוש לתשתית שלהם", הסביר. "ואז יש את אירידיום, הלא הוא תולעת חול, שהיא הישות המיוחסת לכמה מהתקפות המוקדמות של [האנרגיה השחורה] נגד רשת החשמל באוקראינה, והם גם אחראים על NotPetya. מדובר בשחקן מאוד מתוחכם שמתמחה למעשה במיקוד מערכות בקרה תעשייתיות".
בין היתר, הוא קרא גם את נובליום, ה-APT האחראי על התקפת שרשרת האספקה הנישאת על ידי SolarWinds. "הם עסקו בלא מעט ריגול לא רק נגד אוקראינה, אלא נגד דמוקרטיות מערביות שתומכות באוקראינה במהלך השנה הזו", אמר היואי.
מסקנות מדיניות מעימות הסייבר בין רוסיה לאוקראינה
לחוקרים אין השערה מדוע ההתקפות נותרו כל כך צרות, אבל היואי ציין שיש לראות את השלכות המדיניות של המצב כמאוד מאוד רחבות. והכי חשוב, ברור שיש הכרחי לקבוע נורמות למעורבות סייבר קדימה.
זה צריך להתגבש בשלושה תחומים נפרדים, החל מ"אמנת ז'נבה דיגיטלית", אמר: "העולם מפותח סביב נורמות לנשק כימי ומוקשים, ועלינו ליישם זאת על התנהגות הולמת במרחב הווירטואלי של שחקנים במדינות לאום. ."
החלק השני של המאמץ הזה טמון בהרמוניה של חוקי פשעי סייבר - או תמיכה בכך שמדינות יפתחו חוקי פשיעה סייבר מלכתחילה. "כך, יש פחות נמלים בטוחים לארגוני הפשע הללו לפעול ללא עונש", הוא מסביר.
שלישית, ובאופן רחב יותר, להגנה על הדמוקרטיה ותהליך ההצבעה למדינות דמוקרטיות יש השלכות חשובות על הסייבר, מכיוון שהיא מאפשרת למגינים לקבל גישה לכלים, משאבים ומידע מתאימים לשיבוש איומים.
"ראית את מיקרוסופט עושה פעולות סייבר אקטיביות, עם גיבוי של ליטיגציה אזרחית יצירתית, עם שותפות עם רשויות אכיפת החוק ורבים בקהילת האבטחה - דברים כמו טריקוט or עמק וסוגים אחרים של פעילויות שיבוש", על פי הואי, כולם התאפשרו מכיוון שממשלות דמוקרטיות אינן שומרות מידע בסתר. "זו התמונה הרחבה יותר."
טייק אווי נוסף הוא בצד ההגנה; יש להתחיל לראות בהגירת ענן חלק קריטי בהגנה על תשתית קריטית במהלך לוחמה קינטית. היואי ציין שההגנה האוקראינית מסובכת בגלל העובדה שרוב התשתית שם מנוהלת במקום, לא בענן.
"ועד כמה שהן כנראה אחת המדינות הטובות ביותר מבחינת הגנה מפני התקפות רוסיות במשך מספר שנים, הן עדיין עושות בעיקר את הדברים במקום, אז זה כמו קרבות יד ביד." אמר היואי. "זה די מאתגר."
