Cuộc chiến ở Ukraine không theo đúng tiến trình mong đợi của nó. Quân đội Nga không chỉ đơn giản hành quân khắp đất nước, và cuộc xâm lược là không đi cùng bởi sự gia tăng lớn các hoạt động không gian mạng nhằm vào cơ sở hạ tầng quan trọng của Ukraine.
Tất cả điều này có thể thay đổi trong chốc lát - nhưng hiện tại, xung đột Nga / Ukraine có khả năng xác định lại mối quan hệ giữa chiến tranh động học và chiến tranh mạng. Nó bắt đầu như dự kiến: sự gia tăng sức mạnh quân sự ở biên giới và sự gia tăng các hoạt động không gian mạng chống lại Ukraine được thiết kế để chuẩn bị chiến trường.
Các hoạt động không gian mạng đó vẫn tiếp tục nhưng không leo thang đến mức như mong đợi. Phần mềm độc hại phá hoại mới đã được phát hiện trên các máy tính của Ukraine, nhưng phần lớn chúng đều là mục tiêu và bản thân chúng không được thiết kế để gây ra thiệt hại cơ sở hạ tầng trên diện rộng. Họ bắt đầu với Cổng Thì Thầm được phát hiện bởi Microsoft vào tháng Giêng, nhưng đã được theo dõi bởi Kín Khăn Lau, IsaacGạt Nướcvà FoxBlade (mặc dù có một số gợi ý rằng HermeticWiper và FoxBlade là những tên riêng biệt cho cùng một phần mềm độc hại).
Hiện tại không có bằng chứng công khai nào cho thấy những phần mềm độc hại này là hoạt động của nhà nước - nhưng có vẻ như có khả năng xảy ra. Wipers không cung cấp cho các băng nhóm tội phạm một phương thức kiếm tiền dễ dàng. Mặc dù chúng có thể được phát triển và sử dụng bởi các tin tặc 'yêu nước' với mong muốn thúc đẩy mục tiêu của riêng mình, nhưng tất cả những ví dụ này đã được phát triển tốt trước cuộc xung đột.
Tất nhiên, vẫn có thể xảy ra tình trạng leo thang. Tim Kosiba (hiện là Giám đốc điều hành tại Bracket f, một công ty thuộc sở hữu của [đã biên tập lại], nhưng một cựu giám đốc kỹ thuật tại Bộ Tư lệnh Không gian mạng Hoa Kỳ) đã nói với Bảo mật. Nhưng tại sao nó vẫn chưa, ít nhất là cho đến thời điểm viết bài này, vẫn còn là một bí ẩn.
Nếu bạn muốn đưa một quốc gia đến đầu gối ẩn dụ của nó, con đường nhanh nhất có thể là thông qua phân phối quyền lực của nó. Lou Steinberg, người sáng lập và đối tác quản lý của CTM Insights, giải thích: “Làm gián đoạn nguồn điện và bạn có thể bị ảnh hưởng tức thì và trở nên tồi tệ hơn theo thời gian. “Không có điện, thức ăn sẽ thối rữa. Thuốc men hư hỏng. Các trạm xăng không thể vận hành máy bơm, vì vậy nhiên liệu cho xe tải bị kẹt trong các bể chứa dưới lòng đất. Không có xe tải nghĩa là không có thực phẩm và thuốc thay thế. Các nhà máy xử lý nước và nước thải ngừng hoạt động. Người chết."
Nga đã thử nghiệm các hoạt động không gian mạng chống lại quyền lực Ukraine ở 2015 và muộn 2016. Vào năm 2022, nó đã chọn một con đường khác - nó chiếm được nhà máy điện hạt nhân Zaporizhzhia thông qua hành động quân sự. Chúng tôi không biết liệu điều này là do nó không thể phá hủy hoạt động của nhà máy thông qua các phương tiện mạng, hay liệu nó là một phần của động cơ rộng lớn hơn để chiếm Ukraine (điều này sẽ yêu cầu để lại phần lớn cơ sở hạ tầng hoạt động) hay phá hủy Ukraine (điều này sẽ không yêu cầu một cơ sở hạ tầng hoạt động).
Đây là vấn đề chính mà chúng tôi gặp phải khi hiểu được việc sử dụng không gian mạng hiện tại và tiềm năng trong tương lai trong cuộc chiến này. Không thể đoán già đoán non về kế hoạch của Putin (nếu có) hoặc động cơ (có thể thay đổi bất cứ lúc nào).
Tuy nhiên, điều rõ ràng là toàn cầu đang bị đe dọa bởi một thứ gì đó có thể bắt đầu như một cuộc chiến tranh mạng lan rộng toàn cầu và lan sang một cuộc chiến tranh toàn cầu và thậm chí cả hạt nhân. Hai cách chính mà điều này có thể xảy ra là phản ứng của Nga đối với các lệnh trừng phạt của phương Tây và / hoặc tác động của hoạt động không kiểm soát của các tin tặc 'yêu nước' phi nhà nước ở cả hai bên.
Hình phạt
Các biện pháp trừng phạt là một hành động cân bằng tinh tế. Họ phải đủ cứng rắn để làm tổn thương bên kia mà không cứng rắn đến mức gây thiệt hại tương đương cho thị trường nhà và làm mất đi sự ủng hộ của công chúng. Các biện pháp trừng phạt do phương Tây dẫn đầu hiện nay rất cứng rắn và có thể được thực hiện khó khăn hơn nếu chúng không có tác dụng.
Viện Nghiên cứu Chiến lược Quốc tế (IISS) cho rằng Putin đã mắc một sai lầm chiến lược lớn khi xâm lược Ukraine. Ông ấy đánh giá thấp sự phản kháng của người Ukraine, ông ấy đánh giá quá cao sự hỗ trợ trong nước, và ông ấy đã đoàn kết toàn cầu lên án và trừng phạt chống lại Nga.
Nigel Gould-Davies, chuyên gia cấp cao về Nga và Âu-Á tại IISS, viết: “Putin đã đánh giá thấp sự gắn kết và quyết tâm của phương Tây một cách tệ hại. “Nga hiện phải đối mặt với một loạt các biện pháp trừng phạt chưa từng có đối với một nền kinh tế lớn, đặc biệt là việc đóng băng tài sản của ngân hàng trung ương. Chính sách của Đức đã trải qua một cơn địa chấn: việc đình chỉ đường ống dẫn khí đốt Nord Stream 2, loại trừ các thực thể của Nga khỏi SWIFT và quyết định lịch sử gửi vũ khí tới Ukraine ”.
Mối quan tâm là phản ứng có thể xảy ra của Putin đối với các lệnh trừng phạt này. Vào thứ Bảy ngày 5 tháng 2022 năm XNUMX, ông tuyên bố rằng các lệnh trừng phạt của phương Tây đang làm tê liệt 'giống như một lời tuyên chiến'. Khi được hỏi điều gì có thể khiến Nga chỉ đạo các hoạt động không gian mạng chống lại cơ sở hạ tầng quan trọng của Mỹ và các nước NATO, hầu hết các nhà quan sát đều trả lời bằng 'các lệnh trừng phạt mà ông cho là quá khắc nghiệt'.
Đây là một điều đáng lo ngại. Các nhà quan sát an ninh đã cảnh báo trong nhiều năm rằng các quốc gia đối địch, bao gồm cả Nga, đã và đang khảo sát và nhúng mình vào cơ sở hạ tầng quan trọng của Hoa Kỳ và châu Âu 'đề phòng'. Nỗi sợ hãi này càng tăng lên bởi tiềm năng chưa được biết đến rằng các tổ chức nhà nước Nga có thể đã sử dụng các cuộc tấn công SolarWinds và lỗ hổng Log4j vào năm ngoái. Điều nguy hiểm là Putin có thể cảm thấy rằng thời điểm 'đề phòng' đã đến - đặc biệt nếu các lệnh trừng phạt nghiêm khắc đến mức ông cảm thấy mình không còn gì để mất.
Tuy nhiên, Andras Toth-Czifra, nhà phân tích cấp cao của Bộ phận tình báo toàn cầu tại Flashpoint, cho rằng chính sách trừng phạt của phương Tây sẽ tấn công Nga quá mạnh và nhanh đến mức khả năng phản ứng chính trị của Putin bị suy giảm. Ông nói: “Có vẻ như chiến lược trừng phạt nhằm mục đích thu được kết quả nhanh chóng hoặc thúc đẩy một sự thay đổi chính sách nhanh chóng và triệt để ở Nga, dựa trên sự bất mãn của xã hội và những rạn nứt của giới tinh hoa mà các biện pháp này sẽ trở nên trầm trọng hơn. Bảo mật. “Nguy cơ Tổng thống Nga phản ứng theo cách không đối xứng và leo thang là hiện hữu, tuy nhiên, sự ủng hộ trong nước đối với cuộc chiến ở Ukraine rất mỏng và có khả năng suy yếu hơn nữa khi quân đội Nga và nền kinh tế Nga chịu tổn thất nặng nề.”
Tiến sĩ Danny Steed, giảng viên về an ninh mạng tại Đại học Cranfield, cũng có quan điểm tương tự. Ông cảnh báo: “Điều cần phải quan tâm lớn đối với các quốc gia phương Tây là cách Nga có thể triển khai các phương tiện mạng như một biện pháp chống lại các nỗ lực như trừng phạt. “Với việc phương Tây rõ ràng không ủng hộ phản ứng quân sự của chính họ, việc sử dụng các biện pháp trừng phạt có thể dẫn đến các cuộc tấn công mạng nhằm vào các nền kinh tế phương Tây như một phản ứng của Nga”.
Cho đến nay, có vẻ như các cơ quan phương Tây đã kiềm chế các hoạt động không gian mạng trực tiếp chống lại Nga để đối phó với cuộc xâm lược Ukraine. Liệu điều này có thể được duy trì nếu Nga gây ra thiệt hại lớn, chẳng hạn như Mỹ bằng các cuộc tấn công nhằm vào CNI? Điều đó khó có thể xảy ra. Tất cả các quốc gia 'phương Tây' có khả năng tấn công mạng - đặc biệt là Mỹ, Anh, Australia và có thể cả Israel sẽ buộc phải đáp trả. Đó là sự leo thang, và không biết nó có thể dẫn đến đâu.
Hoạt động của hacker yêu nước không được kiểm soát
Các lệnh trừng phạt không phải là nguyên nhân tiềm ẩn duy nhất dẫn đến sự leo thang của các hành động thù địch ngoài biên giới Ukraine. Có vẻ như các tổ chức nhà nước Nga đang nỗ lực nhắm mục tiêu các hoạt động của họ và ngăn chặn phần mềm độc hại của họ thoát ra thế giới rộng lớn hơn như Notpyetya đã làm vào năm 2017. Tương tự, các cơ quan phương Tây dường như đang nỗ lực để kiểm soát các hoạt động không gian mạng của chính họ. Tuy nhiên, các băng nhóm tội phạm và tin tặc cá nhân không có cùng mức độ kỷ luật cũng như kỹ năng để đảm bảo rằng hành động của chúng sẽ không làm tình hình leo thang. Và những băng nhóm và cá nhân này đang nhanh chóng đứng về phe trong cuộc xung đột.
Nhóm Anonymous là một trong những nhóm đầu tiên. Nó công bố trên Twitter vào ngày 24 tháng XNUMX, "Tập thể Anonymous chính thức tham gia vào cuộc chiến tranh mạng chống lại chính phủ Nga." Nguồn cấp dữ liệu Twitter của nó hiện đầy những tuyên bố về các vụ hack và các cuộc tấn công DDOS thành công cũng như rò rỉ thông tin nhạy cảm từ các trang tin tức và chính phủ của Nga.
Conti là một trong những băng nhóm tội phạm đầu tiên sát cánh với Nga - nhưng một bước ngoặt cho thấy sự phức tạp của tình hình. Vào ngày 27 tháng 2022 năm XNUMX, Conti đã đưa ra một cảnh báo, "Chúng tôi sẽ sử dụng các nguồn lực của mình để đáp trả nếu hạnh phúc và sự an toàn của các công dân hòa bình bị đe dọa do hành động xâm lược mạng của Mỹ."
Calvin Gan, Giám đốc cấp cao tại đơn vị phòng thủ chiến thuật của F-Secure, nhận xét: “Từ lâu người ta đã biết rằng các nhóm ransomware thường có các nhà phát triển ở cả Nga và Ukraine, và lập trường mạnh mẽ này của Conti đã dẫn đến việc các thành viên Ukraine của họ bị rò rỉ thông tin nội bộ”. Thông tin rò rỉ về Conti đã được các thành viên Ukraine đăng lên Twitter, bắt đầu từ ngày hôm sau 'cảnh báo' và tiếp tục cho đến ngày hôm nay.
Các nhà cung cấp bảo mật đang gấp rút phân tích những rò rỉ này. Malwarebytes cảnh báo rằng sẽ mất một khoảng thời gian, nhưng nhận xét, “Những gì chúng tôi đã biết là có thông tin cực kỳ giá trị về nhóm Conti ransomware, đặc biệt là về cách họ hoạt động như một tổ chức và cách họ nhắm mục tiêu nạn nhân của họ. Mặc dù Conti khá tháo vát và có thể sẽ phục hồi, nhưng chắc chắn những vụ rò rỉ này sẽ khiến họ tốn rất nhiều tiền và có thể khiến họ lo sợ về việc nhận dạng cá nhân của họ ”.
Vào ngày 4 tháng 2022 năm 888, Flashpoint báo cáo rằng trang web Diễn đàn Đột kích ngầm - nổi tiếng với những vụ rò rỉ cơ sở dữ liệu lớn - đã biến mất một cách bí ẩn. Chưa có tuyên bố nào về trách nhiệm, nhưng Flashpoint lưu ý rằng ngày càng có nhiều người ủng hộ Ukraine. Vào ngày cuộc xâm lược bắt đầu, một trong những quản trị viên ('tranh luận') đã tuyên bố trang web sẽ cấm tất cả người dùng cố gắng kết nối từ địa chỉ IP của Nga. Một ngày sau, Kozak800 bị rò rỉ cơ sở dữ liệu thuộc một dịch vụ chuyển phát nhanh của Nga. Nó chứa 888 triệu bản ghi bao gồm tên đầy đủ, địa chỉ email và số điện thoại. KozakXNUMX cho biết vụ rò rỉ cơ sở dữ liệu là hậu quả của việc Nga xâm lược Ukraine (Cossacks là một đội kỵ binh lâu đời nổi tiếng có quan hệ chặt chẽ với Ukraine).
Vào ngày 26 tháng 2022 năm XNUMX, Mykhailo Fedorov (Bộ trưởng chuyển đổi kỹ thuật số của Ukraine) công bố việc tuyển dụng một đội quân CNTT tư nhân.
Đội quân CNTT dân sự mới này được chỉ đạo thông qua Telegram. Tại thời điểm viết bài này, tài khoản Telegram có 35,483 người đăng ký. Hầu hết sẽ là các nhà nghiên cứu, nhà báo và các nhân viên chính phủ - nhưng có một điều ít nghi ngờ là sẽ có nhiều nhà phát triển tư nhân và tin tặc muốn liên minh với Ukraine.
Ngoài các cá nhân, các nhóm mạng được biết đến cũng đứng về phe trong cuộc xung đột. Một nhân vật được gọi là CyberKnow đã theo dõi sự phát triển này. Bản cập nhật mới nhất của anh ấy (hoặc cô ấy) là công bố vào ngày 4 tháng 2022 năm XNUMX, với nhận xét, "Điều này đang cố gắng nắm bắt không gian chiến đấu mạng có thể trông như thế nào trong bất kỳ cuộc xung đột nào."
Các màu đỏ và vàng biểu thị các liên kết cơ bản. CyberKnow cho biết: “Các nhóm ở Orange hiện không hoạt động trên Twitter - họ đã đóng hồ sơ của mình hoặc đóng cửa”. Tuy nhiên, điều rõ ràng là cuộc chiến Nga / Ukraine đang có tác động rất phân cực giữa các tội phạm mạng.
Điều nguy hiểm là các nhóm này không được kiểm soát tập trung, và không có kỷ luật, cũng như rất có thể là kỹ năng, của các tác nhân nhà nước. Không thể bỏ qua khả năng các nhóm độc lập này tấn công trực tiếp vào cơ sở hạ tầng quan trọng của phía bên kia hoặc tình cờ rò rỉ phần mềm độc hại phá hoại như cần gạt nước bên ngoài ranh giới địa lý của vùng chiến sự.
Một số nhóm này có thể tin rằng họ được bảo vệ bởi cái gọi là tính phi quy kết của internet. Đây là một sự nguỵ biện. Các cơ quan tình báo phương Tây biết rõ các nhóm này là ai, hoạt động ở đâu và làm gì. Tuy nhiên, niềm tin sai lầm của họ có thể cám dỗ họ tham gia vào các cuộc tấn công phá hoại nhằm vào các cơ sở hạ tầng quan trọng của quân đội và dân sự Hoa Kỳ / NATO. Đây là một tiềm năng lớn cho sự leo thang của hoạt động mạng. Cách các chính phủ phương Tây phản ứng với các cuộc tấn công như vậy - nếu chúng xảy ra - sẽ rất quan trọng.
Đó rõ ràng là một mối đe dọa mà các cường quốc phương Tây hiểu rõ và ít nhất có thể mong đợi một phần. “Phần mềm độc hại phá hoại có thể đe dọa trực tiếp đến hoạt động hàng ngày của tổ chức, ảnh hưởng đến tính khả dụng của các tài sản và dữ liệu quan trọng” công bố CISA. “Các cuộc tấn công mạng gây rối hơn nữa nhằm vào các tổ chức ở Ukraine có khả năng xảy ra và có thể vô tình tràn sang các tổ chức ở các nước khác. Các tổ chức nên nâng cao cảnh giác và đánh giá khả năng của mình bao gồm lập kế hoạch, chuẩn bị, phát hiện và ứng phó cho một sự kiện như vậy. "
Tại Vương quốc Anh, Lindy Cameron, giám đốc điều hành Trung tâm An ninh mạng Quốc gia của GCHQ, cho biết: “Trong một thế giới phụ thuộc quá nhiều vào tài sản kỹ thuật số, khả năng phục hồi trên không gian mạng là quan trọng hơn bao giờ hết… Vương quốc Anh đang tiến gần đến cuộc khủng hoảng ở Ukraine hơn bạn nghĩ… Nếu tình hình tiếp tục xấu đi, chúng ta có thể thấy các cuộc tấn công mạng gây ra hậu quả quốc tế, cho dù có cố ý hay không ”.
Phản ứng của công ty đối với tình hình
Bất kỳ công ty nào ở bất kỳ đâu trên thế giới tự coi mình là quá nhỏ hoặc quá vô hại để có thể gặp rủi ro từ sự lan tỏa không gian mạng từ cuộc chiến này nên xem xét lại. Tốc độ lan truyền của NotPetya trên khắp thế giới và bản chất bừa bãi của các nạn nhân của nó phải là một lời cảnh báo. Không có gì chắc chắn rằng hành động gây hấn mạng sẽ lan rộng ra ngoài Nga / Ukraine, nhưng đó là một khả năng khác biệt.
Tất cả các tổ chức nên chuẩn bị tốt và nhanh nhất có thể. Đó là những điều cơ bản là cấp thiết nhất - bắt đầu với một lực lượng lao động hiểu biết và có nhận thức. Mỗi nhân viên có nhận thức về không gian mạng là một bức tường lửa của con người.
Ngoài ra, tất cả các bản vá lỗi phải được cập nhật càng nhanh càng tốt. Các ứng dụng chống phần mềm độc hại phải được duy trì ở phiên bản mới nhất có thể và được thiết lập để thực hiện quét tự động thường xuyên.
Và, nếu chưa được triển khai, MFA nên được cài đặt và kích hoạt càng sớm càng tốt.
Sản phẩm liên quan: Nga, Ukraine và Nguy cơ xảy ra chiến tranh mạng toàn cầu
Sản phẩm liên quan: Nga và Ukraine - Cuộc chiến trong không gian mạng
Sản phẩm liên quan: Nói chuyện về chiến tranh mạng toàn cầu với Anton Shingarev của Kaspersky Lab
Sản phẩm liên quan: Trò chuyện Chiến tranh mạng Vương quốc Anh với Ngài David Omand
Kevin Townsend là Cộng tác viên cấp cao tại SecurityWeek. Ông đã viết về các vấn đề công nghệ cao kể từ trước khi Microsoft ra đời. Trong 15 năm qua, ông chuyên về an ninh thông tin; và đã có hàng nghìn bài báo được xuất bản trên hàng chục tạp chí khác nhau - từ The Times và Financial Times đến các tạp chí máy tính hiện tại và lâu đời.
tags:
- Coinsmart. Sàn giao dịch Bitcoin và tiền điện tử tốt nhất Châu Âu.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. TRUY CẬP MIỄN PHÍ.
- CryptoHawk. Radar Altcoin. Dùng thử miễn phí.
- Nguồn: https://www.securityweek.com/russia-ukraine-threat-local-cyber-operations-escalating-global-cyberwar
