Spesialrapport: Ukraina

En oversikt over russisk cyberangrepsaktivitet i Ukraina

Denne midlertidige rapporten viser cyberaktiviteten Microsoft har observert som en del av krigen i Ukraina, og arbeidet vi har gjort i samarbeid med ukrainske cybersikkerhetsmyndigheter og virksomheter i privat sektor, for å beskytte mot cyberangrep. Microsofts pågående daglige engasjement etablerer at cyberkomponenten i Russlands angrep på Ukraina har vært destruktivt og nådeløst. Formålet med denne rapporten er å gi innsikt i omfanget, skalaen og metodene for Russlands bruk av cyberfunksjoner, som en del av en større «hybrid» krig i Ukraina, for å anerkjenne arbeidet til organisasjoner i Ukraina, som forsvarer mot hardnakkede motstandere, og for å gi strategiske anbefalinger til organisasjoner i hele verden.

Gjennom hele denne konflikten har vi observert at russiske statlige cyberaktører gjennomfører inntrenginger i samspill med kinetisk militær handling.

Minst seks russiske avansert vedvarende trussel (APT)-aktører og andre ikke-tilskrevne trusler har gjennomført destruktive angrep, spionasjeoperasjoner, eller begge, mens russiske militærmakter angriper landet fra land, luft og hav. Det er uklart om datanettverksoperatører og fysiske krefter uavhengig streber etter et felles sett med prioriteringer eller koordinerer aktivt. Sammen arbeider imidlertid de cyberrelaterte og kinetiske handlingene for å avbryte eller degradere ukrainske myndigheter og militære funksjoner og undergrave offentlighetens tillit til disse institusjonene.

Destruktive angrep har vært en fremtredende komponent i russiske cyberoperasjoner under konflikten.

En dag før den militære invasjonen startet operatører tilknyttet GRU, Russlands militære informasjonstjeneste, destruktive wiperangrep på hundrevis av systemer hos de ukrainske myndighetene og organisasjoner knyttet til IT, energi og økonomi. Siden da har aktiviteten vi har observert, inkludert forsøk på å ødelegge, avbryte eller infiltrere nettverk hos offentlige etater og en rekke kritiske infrastrukturorganisasjoner, som russiske militærmakter i noen tilfeller har rettet seg mot med bakkeangrep og missilnedslag. Disse nettverksoperasjonene har til tider både degradert funksjonene til målrettede organisasjoner, men også forsøkt å avbryte innbyggernes tilgang til pålitelig informasjon og livsviktige tjenester, og svekke tilliten til de som styrer landet.

Basert på russiske militære mål for informasjonskrigføring, har disse handlingene sannsynligvis som mål å undergrave Ukrainas politiske vilje og evne til å fortsette kampen, og samtidig legge til rette for innsamling av informasjon som kan gi taktiske eller strategiske fordeler for russiske styrker. Gjennom engasjementet med kunder i Ukraina har vi observert at Russlands dataaktiverte arbeid har hatt innvirkning når det gjelder tekniske avbrudd i tjenester, og forårsaket et kaotisk informasjonsmiljø, men Microsoft klarer ikke å evaluere den større strategiske effekten.

Cybermotstandsdyktighet Nasjonalstat Spesialrapport Trusselaktører 

Relaterte artikler

Beskyttelse av Ukraina: Tidlige erfaringer fra cyberkrigen

De nyeste funnene i det pågående arbeidet innen trusselinformasjon i krigen mellom Russland og Ukraina, og en rekke konklusjoner fra de første fire månedene, forsterker behovet for kontinuerlige og nye investeringer innen teknologi, data og partnerskap for å hjelpe myndigheter, selskaper, ikke-statlige organisasjoner og universiteter.

Mer informasjon

Økende cybertrusler som svar på utvidet IoT/OT-tilkobling

I den nyeste rapporten utforsker vi hvordan økt ioT/OT-tilkobling fører til større og mer alvorlige sårbarheter som organiserte trusselaktører kan utnytte.

Mer informasjon

Cyber Signals utgave 2: Utpressingsøkonomi

Hør om utviklingen innen løsepengevirus-som-en-tjeneste fra frontlinjeeksperter. Fra programmer og nyttelaster til tilgangsmeglere og partnere – lær om verktøyene, taktikkene og målene cyberkriminelle foretrekker, og få veiledning for å få hjelp til å beskytte organisasjonen.

Mer informasjon