Beskyttelse af Ukraine: Tidlige erfaringer fra cyberkrigen

Rusland gik ikke overraskende efter Ukraines statslige datacenter i et tidligt krydsermissilangreb, og andre lokale servere var på lignende vis sårbare over for angreb med konventionelle våben. Rusland målrettede også sine destruktive "wiper"-angreb mod lokale computernetværk. Men Ukraines regering har med succes opretholdt deres civile og militære operationer ved hurtigt at overføre deres digitale infrastruktur til den offentlige sky, hvor den har været hostet i datacentre i hele Europa.

Dette har involveret presserende og ekstraordinære skridt fra alle i den teknologiske sektor, herunder Microsoft. Selvom den teknologiske sektors arbejde har være afgørende, er det vigtigt at tænke på den langsigtede læring, der kommer ud af disse indsatser.

Da cyberaktiviteter er usynlige for det blotte øje, er de sværere for journalister og også mange militæranalytikere at spore. Microsoft har set det russiske militær sende flere bølger af destruktive cyberangreb afsted mod 48 forskellige ukrainske bureauer og virksomheder. Disse har haft til hensigt at trænge ind i netværksdomæner ved indledningsvist at kompromittere hundredvis af computere og derefter sprede malware, som er designet til at ødelægge software og data på tusindvis af andre.

Russiske cybertaktikker i krigen har adskilt sig fra dem, der blev anvendt i NotPetya-angreb mod Ukraine i 2017. Angrebet brugte "wormable", destruktiv malware, der kunne hoppe fra ét computerdomæne til et andet og dermed på tværs af grænser ind i andre lande. Rusland har i 2022 været nøje med at begrænse destruktiv "wiper-software" til specifikke netværksdomæner i selve Ukraine. Men selve de nylige og løbende destruktive angreb har været avancerede og mere vidtgående end mange rapporter anerkender. Og den russiske hær tilpasser fortsat disse destruktive angreb til skiftende krigsbehov, herunder ved at koble cyberangreb til brugen af konventionelle våben.

Et definerende aspekt af disse destruktive angreb har indtil videre været styrken og den relative succes ved cyberforsvaret. Selvom det ikke er perfekt, og nogle destruktive angreb har været vellykkede, har dette cyberforsvar vist sig at være stærkere end offensive cyberfunktionaliteter. Dette afspejler to vigtige og nylige tendenser. For det første har fremskridt inden for trusselsefterretning, herunder brugen af kunstig intelligens, hjulpet med at gøre det muligt at registrere disse angreb mere effektivt. For det andet har internetforbundet slutpunktsbeskyttelse gjort det muligt at distribuere beskyttende softwarekode hurtigt til både cloudtjenester og andre forbundne databehandlingsenheder for at identificere og deaktivere denne malware. Løbende innovationer og foranstaltninger under krigen i den Ukrainske regering har styrket denne beskyttelse yderligere. Men fortsat årvågenhed og innovation vil sandsynligvis være nødvendigt for at opretholde denne forsvarsmæssige fordel.

Hos Microsoft har vi registreret russiske indsatser for netværksindtrængning i 128 organisationer i 42 lande uden for Ukraine. Selvom USA har været Ruslands vigtigste mål, har denne aktivitet også prioriteret Polen, hvor meget af den logistiske levering af militær og humanitær hjælp er blevet koordineret. Russiske aktiviteter har også været målrettet mod baltiske lande, og i løbet af de sidste to måneder har der været en stigning i lignende aktivitet, der var målrettet mod computernetværk i Danmark, Norge, Finland, Sverige og Tyrkiet. Vi har også set en stigning i lignende aktivitet, der var målrettet mod udenrigsministerierne i andre NATO-lande.

Russisk målretning har prioriteret regeringer, særligt blandt NATO-medlemmer. Men listen over mål har også inkluderet tænketanke, humanitære organisationer, it-virksomheder og leverandører af energi og anden kritisk infrastruktur. Siden starten af krigen har den russiske målretning, vi har identificeret, været vellykket 29 procent af tiden. En fjerdedel af disse vellykkede indtrængninger har ført til bekræftet eksfiltrering af en organisations data. Som forklaret i rapporten er dette dog sandsynligvis en undervurdering af graden af russisk succes.

Vi er fortsat mest bekymrede for myndighedscomputere, der kører i det lokale miljø frem for i cloudmiljøet. Dette afspejler den aktuelle og globale status for offensiv cyber-e-spionage og defensiv cyber-beskyttelse. Som SolarWinds-hændelsen demonstrerede for 18 måneder siden, har Ruslands efterretningsbureauer ekstremt avanceret funktionalitet til at implantere kode og operere som en avanceret længerevarende trussel (APT), der kan finde og eksfiltrere følsomme oplysninger fra et netværk på løbende basis. Der har været markante fremskridt inden for defensiv beskyttelse siden da, men implementeringen af disse fremskridt er stadig mere ujævne i europæiske regeringer end i USA. Som resultat findes der fortsat væsentlige svagheder i det kollektive forsvar.

Disse kombinerer taktikker, som er udviklet af KGB over flere årtier, hvor nye digitale teknologier og internettet giver udenlandske påvirkningsoperationer en bredere geografisk rækkevidde, større volumen, mere præcis målretning og øget hastighed og fleksibilitet. Med tilstrækkelig planlægning og avancement er disse cyber-påvirkningsoperationer desværre så velplacerede, at de kan drage fordel af den langvarige åbenhed i demokratiske samfund og den offentlige polarisering, som er karakteristisk for vores nuværende tid.

Efterhånden som krigen i Ukraine skrider frem, fokuserer russiske bureauer på deres cyber-påvirkningsoperationer mod fire forskellige målgrupper. De målretter mod den russiske befolkning med et mål om at bevare støtten til krigsindsatsen. De målretter mod den ukrainske befolkning med et mål om at underminere tilliden til landets villighed og evne til at modstå russiske angreb. De målretter mod amerikanske og europæiske befolkninger med et mål om at underminere det vestlige sammenhold og reducere kritikken af de russiske militære krigsforbrydelser. Og de begynder at målrette mod befolkninger i neutrale lande, muligvis delvist for at bevare deres støtte i FN og andre steder.

Russiske cyber-påvirkningsoperationer bygger på og er forbundet med taktikker, der er udviklet til andre cyberaktiviteter. I lighed med APT-teams, der arbejder i russiske efterretningstjenester, agerer APM-teams (Advance Persistent Manipulator), som er knyttet til russiske regeringsbureauer, via sociale medier og digitale platforme. De placerer på forhånd falske narrativer på måder, der ligner den forudgående placering af malware og anden softwarekode. De lancerer derefter bredt baseret og samtidig "rapportering" af disse narrativer fra myndighedsadministrerede og påvirkede websteder og forstærker deres narrativer via teknologiværktøjer, som er designet til at udnytte sociale medietjenester. Nylige eksempler inkluderer narrativer angående biolaboratorier i Ukraine og flere indsatser for at sløre militære angreb mod ukrainske civile.

Som en del af et nyt initiativ hos Microsoft bruger vi kunstig intelligens, nye analyseværktøjer, bredere datasæt og et stigende antal eksperter til at spore og forudsige denne cybertrussel. Ved hjælp af disse nye funktionaliteter estimerer vi, at russiske cyber-påvirkningsoperationer lykkedes med at øge spredningen af russisk propaganda efter krigens start med 216 procent i Ukraine og 82 procent i USA.

Disse løbende russiske operationer bygger på nylige avancerede indsatser for at sprede falske narrativer om COVID-19 i flere vestlige lande. Disse inkluderede statssponsorerede cyber-påvirkningsoperationer i 2021, der forsøgte at afskrække mod vaccination via engelsksprogede rapporter og samtidig opfordre til vaccination via russisksprogede websteder. I løbet af de sidste seks måneder har lignende russiske cyber-påvirkningsoperationer forsøgt at skabe offentlig modstand mod COVID-19-politikker i New Zealand og Canada.

Vi vil fortsat udvide Microsofts arbejde på dette felt i de kommende uger og måneder. Dette inkluderer både intern vækst og via den aftale, vi annoncerede sidste uge, at opkøbe Miburo Solutions, en førende virksomhed inden for analyse og research af cybertrusler, som specialiserer sig i registrering af og respons på udenlandske cyber-påvirkningsoperationer.

Vi er bekymrede over, at mange aktuelle russiske cyber-påvirkningsoperationer i øjeblikket foregår i månedsvis uden korrekt registrering, analyse og offentlig rapportering. Dette påvirker i stigende grad en lang række vigtige institutioner i både den offentlige og private sektor. Og jo længere krigen varer i Ukraine, desto vigtigere bliver disse operationer sandsynligvis for Ukraine selv. Dette skyldes, at en længere krig vil kræve opretholdelse af offentlig støtte, mens trætheden uundgåeligt vil stige, hvilket vil være en udfordring. Dette øger vigtigheden af at styrke det vestlige forsvar mod disse typer af udenlandske cyber-påvirkningsangreb.

Som krigen i Ukraine illustrerer, er der forskelle mellem disse trusler, med den russiske regering forfølger dem ikke som separate indsatser, og vi bør ikke sætte dem i separate analytiske siloer. Derudover skal det i defensive strategier overvejes at koordinere disse cyberoperationer med kinetiske militære operationer, som det er set i Ukraine.

Der er behov for nye fremskridt i forhold til at forhindre disse cybertrusler, og de vil afhænge af fire almindelige principper og – i det mindste på et højt niveau – en fælles strategi. Det første forsvarsprincip bør anerkende, at russiske cybertrusler avanceres af et fælles sæt aktører i og uden for den russiske regering og afhænger af lignende digitale taktikker. Som resultat vil der være behov for fremskridt inden for digital teknologi, kunstig intelligens og data for at modvirke dem. Et andet forsvarsprincip bør anerkende, at til forskel fra tidligere traditionelle trusler, er cyberrespons afhængig af et større offentligt og privat samarbejde. Et tredje forsvarsprincip bør omfavne behovet for tæt og fælles multilateralt samarbejde blandt regeringer for at beskytte åbne og demokratiske samfund. Og et fjerde og endeligt forsvarsprincip bør opretholde ytringsfriheden og undgå censur i demokratiske samfund, også når der er behov for nye tiltag for at håndtere hele spændet af cybertrusler, der inkluderer cyber-påvirkningsoperationer.

Et effektivt respons skal bygge på disse principper med fire strategiske søjler. Disse bør øge de kollektive muligheder for bedre at (1) registrere, (2) forsvare mod, (3) forstyrre og (4) afværge udenlandske cybertrusler. Denne tilgang afspejles allerede i mange kollektive indsatser for at håndtere destruktive cyberangreb og cyberbaseret e-spionage. De er også anvendelige på det vigtige og løbende arbejde, der er nødvendigt for at håndtere ransomwareangreb. Vi har nu brug for en lignende og omfattende tilgang med nye funktionaliteter og forsvar for at bekæmpe russiske cyber-påvirkningsoperationer.

Som det er omtalt i denne rapport, giver krigen i Ukraine ikke kun læring, men er også en opfordring til handling for at oprette effektive foranstaltninger, der vil være afgørende for beskyttelsen af demokratiets fremtid. Som virksomhed er vi forpligtede til at støtte disse indsatser, herunder via løbende og nye investeringer i teknologi, data og partnerskaber, der vil støtte regeringer, virksomheder, NGO'er og universiteter.

Hvis du vil vide mere, kan du læse denfulde rapport.