Защита Украины: Первые уроки кибервойны
Июнь 22, 2022 | Брэд Смит — президент и вице-председатель
Источник: Microsoft
Примечание редактора:
Сегодня компания Microsoft опубликовала новый аналитический отчет «Защита Украины: Ранние уроки кибервойны.
Этот отчет представляет собой исследование, проведенное группами Microsoft по разведке угроз и анализу данных с целью углубления нашего понимания ландшафта угроз в ходе продолжающейся войны в Украине.
В отчете также предлагается ряд уроков и выводов, сделанных на основе собранных и проанализированных данных.
В частности, в отчете раскрывается новая информация об усилиях России, включая рост проникновения в сети и шпионской деятельности среди союзных правительств, некоммерческих и других организаций за пределами Украины.
Мы видим, что эти операции по оказанию иностранного влияния применяются скоординированно, наряду с полным спектром кибернетических деструктивных и шпионских кампаний.
Наконец, в докладе содержится призыв к разработке скоординированной и всеобъемлющей стратегии укрепления коллективной защиты — задача, которая потребует объединения усилий частного сектора, государственного сектора, некоммерческих организаций и гражданского общества.
В предисловии к новому отчету, написанном президентом и вице-председателем Microsoft Брэдом Смитом, ниже приводится дополнительная информация.
Зафиксированная история каждой войны обычно включает в себя рассказ о первых выстрелах и о том, кто был их свидетелем. Каждый рассказ дает представление не только о начале войны, но и о характере эпохи, в которую жили люди.
Историки, рассказывающие о первых выстрелах в Гражданской войне в Америке в 1861 году, обычно описывают ружья, пушки и парусные корабли вокруг форта возле Чарльстона, Южная Каролина.
События развивались по спирали к началу Первой мировой войны в 1914 году, когда террористы на виду у всех на одной из городских улиц Сараево с помощью гранат и пистолета убили эрцгерцога Австро-Венгерской империи.
Потребовалось время до Нюрнбергского военного трибунала, чтобы полностью понять, что произошло у польской границы 25 лет спустя.
В 1939 году нацистские войска СС переоделись в польскую форму и устроили нападение на немецкую радиостанцию.
Адольф Гитлер ссылался на такие нападения, чтобы оправдать вторжение «блицкриг», в ходе которого танки, самолеты и войска уничтожали польские города и гражданское население.
Каждый из этих инцидентов также дает представление о технологиях того времени — технологиях, которые сыграют свою роль в последующей войне и в жизни людей, которые ее пережили.
Война в Украине происходит по этой схеме.
Российские военные пересекли украинскую границу 24 февраля 2022 года, используя войска, танки, самолеты и крылатые ракеты.
Но на самом деле первые выстрелы были сделаны за несколько часов до этого, когда календарь еще показывал 23 февраля.
Это было кибероружие под названием «Foxblade», которое было запущено против компьютеров в Украине.
Отражая технологии нашего времени, те, кто первыми заметили эту атаку, находились на расстоянии в полмира, работая в США в Редмонде, штат Вашингтон.
Как ничто другое, это говорит о важности отступить назад и подвести итоги первых нескольких месяцев войны в Украине, которая была разрушительной для страны с точки зрения разрушений и гибели людей, включая невинных гражданских лиц.
Хотя никто не может предсказать, как долго продлится эта война, уже сейчас очевидно, что она отражает тенденцию, наблюдавшуюся в других крупных конфликтах за последние два столетия.
Страны ведут войны, используя новейшие технологии, а сами войны ускоряют технологические изменения. Поэтому важно постоянно оценивать влияние войны на развитие и использование технологий.
Российское вторжение частично опирается на киберстратегию, которая включает как минимум три отдельных, а иногда и скоординированных усилия — разрушительные кибератаки на территории Украины, проникновение в сети и шпионаж за пределами Украины, а также операции кибервлияния, направленные на людей по всему миру.
Данный отчет содержит обновленную информацию и анализ по каждому из этих направлений и координации между ними. В нем также предлагаются идеи о том, как лучше противостоять этим угрозам в этой войне и после нее, с новыми возможностями для правительств и частного сектора работать лучше вместе.
Кибернетические аспекты нынешней войны выходят далеко за пределы Украины и отражают уникальную природу киберпространства.
Когда страны посылают код в бой, их оружие движется со скоростью света. Глобальные пути Интернета означают, что кибердеятельность стирает большую часть давней защиты, обеспечиваемой границами, стенами и океанами. А сам интернет, в отличие от суши, моря и воздуха, является творением человека и зависит от сочетания государственного и частного секторов в плане владения, эксплуатации и защиты.
Это, в свою очередь, требует новой формы коллективной обороны. В этой войне Россия, крупная кибердержава, противостоит не только альянсу стран. Киберзащита Украины в решающей степени зависит от коалиции стран, компаний и неправительственных организаций.
Теперь мир может начать оценивать ранние и относительные сильные и слабые стороны наступательных и оборонительных кибер-операций.
Где коллективные средства защиты успешно противостоят атакам, а где их не хватает? Какие виды технологических инноваций имеют место? И, что особенно важно, какие шаги необходимы для эффективной защиты от кибератак в будущем? Помимо прочего, важно основывать эти оценки на точных данных и не впадать в необоснованное чувство спокойствия от внешнего восприятия того, что кибервойна в Украине не была такой разрушительной, как некоторые опасались.
Данный отчет предлагает пять выводов, сделанных по итогам первых четырех месяцев войны:
Во-первых, защита от военного вторжения теперь требует от большинства стран способности распределять и распространять цифровые операции и информационные активы через границы и в другие страны.
Неудивительно, что Россия нацелилась на правительственный центр обработки данных Украины в ходе ранней атаки крылатыми ракетами, и другие серверы «на месте» также оказались уязвимы для атак обычным оружием.
Россия также направила свои разрушительные атаки на локальные компьютерные сети. Однако правительство Украины успешно поддержало свои гражданские и военные операции, быстро переведя свою цифровую инфраструктуру в публичное облако, где она была размещена в центрах обработки данных по всей Европе.
Это потребовало срочных и экстраординарных шагов со стороны всего технологического сектора, включая Microsoft. Хотя работа технологического сектора была жизненно важной, важно также подумать о долгосрочных уроках, которые можно извлечь из этих усилий.
Во-вторых, последние достижения в области разведки киберугроз и защиты конечных точек помогли Украине противостоять большому проценту разрушительных российских кибератак.
Поскольку кибер-активность невидима невооруженным глазом, ее сложнее отследить журналистам и даже многим военным аналитикам.
Microsoft видела, как российские военные запустили несколько волн разрушительных кибератак против 48 различных украинских учреждений и предприятий. Эти атаки были направлены на проникновение в сетевые домены путем первоначального поражения сотен компьютеров, а затем распространения вредоносного ПО, предназначенного для уничтожения программного обеспечения и данных на тысячах других компьютеров.
Российская кибертактика в этой войне отличается от той, которая была применена в ходе атаки NotPetya против Украины в 2017 году.
В этой атаке использовались разрушительные вредоносные программы, которые могли переходить из одного компьютерного домена в другой и, следовательно, пересекать границы других стран.
В 2022 году Россия проявила осторожность, чтобы ограничить деструктивное «программное обеспечение для очистки» конкретными сетевыми доменами внутри самой Украины.
Но сами недавние и продолжающиеся деструктивные атаки были изощренными и более масштабными, чем признается во многих отчетах. И российская армия продолжает адаптировать эти разрушительные атаки к изменяющимся военным потребностям, в том числе путем сочетания кибератак с использованием обычных вооружений.
Определяющим аспектом этих разрушительных атак до сих пор была сила и относительный успех киберзащиты. Хотя они не идеальны и некоторые разрушительные атаки были успешными, эти киберзащиты оказались сильнее, чем наступательные кибервозможности.
Это отражает две важные и недавние тенденции.
Во-первых, достижения в области разведки угроз, включая использование искусственного интеллекта, позволили более эффективно обнаруживать эти атаки.
Во-вторых, защита конечных точек, подключенных к Интернету, позволила быстро распространять защитный программный код как в облачных сервисах, так и на других подключенных вычислительных устройствах, чтобы выявить и обезвредить это вредоносное ПО.
Продолжающиеся инновации и меры, принимаемые в военное время совместно с украинским правительством, еще больше укрепили эту защиту. Но для поддержания этого преимущества в обороне, вероятно, потребуется постоянная бдительность и инновации.
В-третьих, поскольку коалиция стран объединилась для защиты Украины, российские спецслужбы активизировали деятельность по проникновению в сети и шпионажу, направленную на правительства союзников за пределами Украины.
Компания Microsoft обнаружила попытки вторжения российских сетевых структур в 128 организаций в 42 странах за пределами Украины.
Хотя Соединенные Штаты были главной целью России, эта деятельность также была направлена на Польшу, где координируется значительная часть логистических поставок военной и гуманитарной помощи. Деятельность России также направлена на страны Балтии, а за последние два месяца возросла активность, направленная на компьютерные сети Дании, Норвегии, Финляндии, Швеции и Турции. Мы также наблюдаем рост аналогичной активности, направленной на министерства иностранных дел других стран НАТО.
Приоритетными целями России были правительства, особенно среди членов НАТО. Но в список целей также вошли аналитические центры, гуманитарные организации, ИТ-компании, поставщики энергии и другой критически важной инфраструктуры.
С начала войны выявленные нами российские атаки были успешными в 29 процентах случаев. Четверть из этих успешных вторжений привела к подтвержденной эксфильтрации данных организации, хотя, как объясняется в отчете, это, вероятно, преуменьшает степень российского успеха.
Мы по-прежнему больше всего обеспокоены правительственными компьютерами, которые работают «на месте», а не в облаке.
Это отражает текущее и глобальное состояние наступательного кибершпионажа и оборонительной киберзащиты.
Как показал инцидент с SolarWinds 18 месяцев назад, российские спецслужбы обладают чрезвычайно сложными возможностями по внедрению кода и работе в качестве передовой постоянной угрозы (APT), которая может получать и удалять конфиденциальную информацию из сети на постоянной основе.
С тех пор были достигнуты значительные успехи в области оборонительной защиты, но внедрение этих достижений остается более неравномерным в европейских правительствах, чем в США. В результате сохраняются значительные недостатки коллективной защиты.
В-четвертых, в координации с другими видами кибердеятельности, российские агентства проводят глобальные операции кибервлияния для поддержки своих военных усилий.
Они сочетают тактику, разработанную КГБ в течение нескольких десятилетий, с новыми цифровыми технологиями и Интернетом, чтобы придать операциям иностранного влияния более широкий географический охват, больший объем, более точное нацеливание, а также большую скорость и маневренность.
К сожалению, при достаточном планировании и изощренности эти операции кибервлияния имеют все шансы воспользоваться давней открытостью демократических обществ и характерной для нашего времени поляризацией общества.
По мере развития войны в Украине российские агентства фокусируют свои операции кибервлияния на четырех различных аудиториях.
- Они нацелены на российское население с целью поддержания поддержки военных действий.
- Они нацелены на украинское население с целью подорвать уверенность в готовности и способности страны противостоять российским атакам.
- Они нацелены на американское и европейское население с целью подорвать единство Запада и отвести критику военных преступлений России.
- И они начинают атаковать население неприсоединившихся стран, возможно, отчасти для того, чтобы поддержать их в Организации Объединенных Наций и на других площадках.
Российские операции по оказанию кибервлияния строятся на основе тактики, разработанной для других видов кибердеятельности, и связаны с ней.
Как и команды APT, работающие в российских разведывательных службах, команды Advance Persistent Manipulator (APM), связанные с российскими правительственными агентствами, действуют через социальные сети и цифровые платформы.
Они предварительно размещают ложные нарративы способами, аналогичными размещению вредоносных программ и другого программного кода. Затем они запускают широкомасштабные и одновременные «репортажи» этих нарративов с управляемых и находящихся под влиянием правительства веб-сайтов и усиливают их с помощью технологических инструментов, разработанных для использования сервисов социальных сетей.
Недавние примеры включают в себя повествования вокруг биолабораторий в Украине и многочисленные усилия по сокрытию военных атак против украинских гражданских объектов.
В рамках новой инициативы Microsoft мы используем ИИ, новые аналитические инструменты, более широкие наборы данных и растущий штат экспертов для отслеживания и прогнозирования этой киберугрозы.
Используя эти новые возможности, мы оцениваем, что российские операции по оказанию кибервлияния успешно увеличили распространение российской пропаганды после начала войны на 216 процентов в Украине и на 82 процента в США.
Эти продолжающиеся российские операции основываются на недавних изощренных усилиях по распространению ложных нарративов COVID во многих западных странах.
К ним относятся спонсируемые государством операции по кибервлиянию в 2021 году, направленные на то, чтобы отговорить от использования вакцин через англоязычные интернет-ресурсы и одновременно поощрить использование вакцин через русскоязычные сайты.
В течение последних шести месяцев аналогичные российские операции кибервлияния были направлены на разжигание общественной оппозиции политике в отношении COVID-19 в Новой Зеландии и Канаде.
В ближайшие недели и месяцы мы продолжим расширять работу Microsoft в этой области.
Это включает как внутренний рост, так и благодаря объявленному нами на прошлой неделе соглашению о приобретении Miburo Solutions, ведущей компании по анализу и исследованию киберугроз, специализирующейся на выявлении и реагировании на иностранные операции кибервлияния.
Мы обеспокоены тем, что многие текущие российские операции кибервлияния в настоящее время проходят месяцами без надлежащего обнаружения, анализа или публичного освещения.
Это все больше влияет на широкий спектр важных учреждений как в государственном, так и в частном секторе.
И чем дольше длится война в Украине, тем более важными эти операции, вероятно, станут для самой Украины.
Это связано с тем, что более длительная война потребует поддержания общественной поддержки в условиях неизбежной усталости. Это должно придать дополнительную актуальность важности укрепления западной защиты от такого рода атак иностранного кибервлияния.
Наконец, уроки Украины требуют скоординированной и всеобъемлющей стратегии по укреплению защиты от всего спектра кибернетических разрушений, шпионажа и операций влияния.
Как показывает война в Украине, хотя между этими угрозами существуют различия, российское правительство не преследует их как отдельные усилия, и мы не должны помещать их в отдельные аналитические силосы. Кроме того, оборонительные стратегии должны учитывать координацию этих кибер-операций с кинетическими военными операциями, как это было показано на Украине.
Для противодействия этим киберугрозам необходимы новые достижения, которые будут зависеть от четырех общих принципов и — по крайней мере, на высоком уровне — общей стратегии.
- Первый оборонительный постулат должен признать, что российские киберугрозы продвигаются единым набором субъектов внутри и вне российского правительства и опираются на схожую цифровую тактику.В результате для противодействия им потребуются достижения в области цифровых технологий, искусственного интеллекта и данных
- В связи с этим второй постулат должен признать, что в отличие от традиционных угроз прошлого, кибер-ответы должны опираться на более тесное сотрудничество государственного и частного секторов.
- Третий постулат должен отражать необходимость тесного и общего многостороннего сотрудничества между правительствами для защиты открытых и демократических обществ.
- Четвертый и последний защитный принцип должен поддерживать свободу слова и избегать цензуры в демократических обществах, даже если необходимы новые шаги для борьбы с полным спектром киберугроз, включающих операции кибервлияния.
Эффективные ответные меры должны опираться на эти постулаты с помощью четырех стратегических столпов.
Они должны повысить коллективные возможности для более эффективного (1) обнаружения, (2) защиты от, (3) разрушения и (4) сдерживания иностранных киберугроз.
Этот подход уже отражен во многих коллективных усилиях по борьбе с разрушительными кибератаками и кибершпионажем. Он также применим к важной и постоянной работе, необходимой для борьбы с атаками на программы-вымогателей.Сейчас нам необходим аналогичный комплексный подход с новыми возможностями и средствами защиты для борьбы с российскими операциями кибервлияния.
Как говорится в этом отчете, война в Украине дает не только уроки, но и призыв к действию для принятия эффективных мер, которые будут жизненно важны для защиты будущего демократии.
Как компания, мы намерены поддерживать эти усилия, в том числе посредством постоянных и новых инвестиций в технологии, данные и партнерства, которые будут поддерживать правительства, компании, НПО и университеты.
Теги: кибер, кибератаки
Источник: Microsoft
Как сообщается на сайте МИД РФ, они (т.е РФ) «обратили внимание на этот Доклад»
8.07.2022 на сайте МИД РФ обнародован ответ заместителя Министра иностранных дел РФ О.В.Сыромолотова на вопрос СМИ об «антироссийском докладе» «Майкрософт»
Ответ замминистра (МИД РФ): Мы обратили внимание на этот материал. Все говорит о том, что доклад состряпан под русофобские установки администрации США или вообще написан под диктовку ее функционеров. В нем – мифы о хакерах, действующих по указке из Москвы. Раскручиваются страшилки о русской угрозе для так называемых «демократий». Компания не утруждает себя предъявлением каких-либо доказательств.
У нас есть веские основания заявлять: «Майкрософт» исполняет заказ Пентагона и спецслужб по взятию под полный контроль всей информационной инфраструктуры Украины и лишению ее какого-либо «цифрового суверенитета». В сущности, компания сама же в этом призналась в упомянутом докладе. Приведу некоторые вскрывшиеся данные.
Прикрываясь обещаниями помочь в укреплении безопасности, Центр анализа угроз «Майкрософт» убедил украинские органы власти предоставить удаленный доступ к их сетям. В частности – через задействование свойства «контролируемый доступ к папке» в приложении для защиты от киберугроз «Майкрософт Дефендер». С помощью сервисов RiskIQ, под предлогом проведения оценки уровня защищенности информационных ресурсов государственных органов Украины, выявлены устройства с незакрытыми («unpatched») известными уязвимостями, которые теперь могут использоваться американцами.
Иными словами, «режим Зеленского» дал американской компании доступ ко всем устройствам связи в стране. Предоставил ей инструменты для слежки, провокаций, осуществления компьютерных атак «под чужим флагом». Судя по всему, пресловутая «ИТ-армия Украины», которая продолжает хвалиться взломами серверов в России, – тоже дело рук «Майкрософт».
В этой структуре, очевидно, рассчитывают на щедрые вливания из выделенных в оборонном бюджете ассигнований на кибервойны (15 млрд долл.). Усиленно принялись реализовывать продвигаемую Западом концепцию политической атрибуции – определение удобного виновного через подтасовку и фальсифицирование данных, без технических или правовых проверок. Последнее никакой компании, разумеется, не под силу, поскольку это – прерогатива компетентных органов государств.
На бездоказательность приведенных в докладе тезисов обратили внимание и западные эксперты, в частности, из университета Джонса Хопкинса. Они раскритиковали выводы «Майкрософт» как несостоятельные.
В общем, компания существенно дискредитировала себя попыткой подыграть конъюнктуре, выслужиться перед американскими властями. Многим странам в мире, пользующимся услугами «Майкрософт», стоит задуматься о том, что она из себя представляет на самом деле. В любой момент этот инструмент агрессивной политики Вашингтона может быть использован для покушения на суверенитет неугодных государств, и такие подрывные действия будут оправданы очередным пропагандистским «опусом».
Источник: сайт МИД РФ
Last Updated on 20.07.2022 by iskova