Defender a Ucrânia: Primeiras Lições da Guerra Cibernética

A Rússia, sem surpresa, visou o datacenter governamental da Ucrânia num ataque antecipado de mísseis cruzeiro, e outros servidores no local estavam similarmente vulneráveis a ataques de armas convencionais. A Rússia também direcionou os seus ataques destrutivos “wiper” para redes de computador no local. Mas o governo da Ucrânia manteve com êxito as operações civis e militares ao agir rapidamente para desembolsar a sua infraestrutura digital para a cloud pública, onde tem estado alojada em datacenters em toda a Europa.

Isto envolveu passos urgentes e extraordinários do setor de tecnologia, incluindo da Microsoft. Embora o trabalho do sector de tecnologia tenha sido vital, também é importante pensar sobre as lições duradouras que resultam destes esforços.

Uma vez que as ciberatividades são invisíveis ao olho nu, são mais difíceis para jornalistas e até para muitos analistas militares monitorizarem. A Microsoft viu as forças armadas russas lançar múltiplas vagas de ciberataques destrutivos contra 48 agências e empresas ucranianas distintas. Estes procuraram penetrar domínios de rede ao comprometer inicialmente centenas de computadores e, depois, espalhar malware desenhado para destruir o software e dados em milhares de outros.

As táticas cibernéticas russas na guerra têm diferido daquelas implementadas no ataque de NotPetya contra a Ucrânia em 2017. Esse ataque utilizou malware destrutivo “wormable” que podia saltar de um domínio de computador para outro e, assim, atravessar fronteiras para outros países. A Rússia tem sido cuidadosa em 2022 para limitar “software wiper” destrutivo a domínios de rede específicos dentro da própria Ucrânia. Mas os próprios ataques destrutivos recentes e em curso têm sido sofisticados e mais amplos do que muitos relatórios reconhecem. E as forças armadas russas continuam a adaptar estes ataques destrutivos a necessidades bélicas em constante alteração, incluindo ao associar ciberataques com a utilização de armas convencionais.

Um aspeto determinante destes ataques destrutivos até agora tem sido a força e o êxito relativo das ciberdefesas. Embora sem serem perfeitas, e alguns ataques destrutivos tiveram êxito, estas ciberdefesas mostraram-se mais fortes do que as capacidades cibernéticas ofensivas. Isto reflete duas tendências importantes e recentes. Primeiro, os avanços em informações sobre ameaças, incluindo a utilização de inteligência artificial, ajudaram a tornar possível detetar estes ataques mais eficazmente. E segundo, a proteção de pontos finais ligados pela Internet tornou possível distribuir código de software protetor rapidamente, tanto para serviços cloud como para outros dispositivos de computação ligados, para identificar e desativar este malware. As inovações e medidas durante a guerra no governo ucraniano fortaleceram ainda mais esta proteção. Mas vigilância e inovação contínuas serão provavelmente necessárias para sustentar esta vantagem defensiva.

Na Microsoft, detetámos iniciativas russas de intrusão em redes em 128 organizações em 42 países fora da Ucrânia. Embora os Estados Unidos tenham sido o alvo número um da Rússia, esta atividade também priorizou a Polónia, onde muita da entrega logística de ajuda militar e humanitária está a ser coordenada. As atividades russas também visaram os países bálticos, e durante os últimos dois meses tem havido um aumento em atividade semelhante a visar redes de computador na Dinamarca, na Noruega, na Finlândia, na Suécia e na Turquia. Também vimos um aumento de atividade semelhante a visar os ministérios dos negócios estrangeiros de outros países da OTAN.

A Rússia tem priorizado governos, especialmente entre membros da OTAN, como alvos. Mas a lista de alvos também incluiu equipas de especialistas, organizações humanitárias, empresas de TI e fornecedores de energia e outra infraestrutura crítica. Desde o começo da guerra, a escolha de alvos russa que identificámos tem tido êxito 29 por cento das vezes. Um quarto destas intrusões com êxito levou a extração não autorizada confirmada de dados de uma organização, embora, como é explicado no relatório, estes números provavelmente fiquem aquém do êxito russo real.

A nossa principal preocupação continua a ser sobre computadores governamentais em execução no local em vez de na cloud. Isto reflete o estado atual e global da ciberespionagem ofensiva e da ciberproteção defensiva. Como o incidente da SolarWinds demonstrou há 18 meses, as agências de inteligência da Rússia têm capacidades extremamente sofisticadas para implantar código e operar como Ameaça Avançada Persistente (APT que pode obter e transferir informações confidenciais de uma rede de forma contínua. Tem havido avanços substanciais na proteção defensiva desde essa altura, mas a implementação destes avanços continua mais desequilibrada em governos europeus do que nos Estados Unidos. Como resultado, fraquezas defensivas coletivas significativas mantêm-se.

Estas combinam táticas desenvolvidas pelo KGB durante várias décadas com novas tecnologias digitais e a Internet para dar às operações de influência no estrangeiro um alcance geográfico mais amplo, um maior volume, alvos mais precisos e grande velocidade e agilidade. Infelizmente, com planeamento e sofisticação suficientes, estas operações de ciberinfluência estão bem posicionadas para tirar partido da abertura de longa data de sociedades democráticas e da polarização pública que é característica dos tempos atuais.

À medida que a guerra na Ucrânia tem progredido, as agências russas estão a concentrar as suas operações de ciberinfluência em quatro alvos distintos. Estão a visar a população russa com o objetivo de manter o apoio à guerra. Estão a visar a população ucraniana com o objetivo de corroer a confiança na disponibilidade e na capacidade do país de resistir aos ataques russos. Estão a visar as populações americanas e europeias com o objetivo de enfraquecer a união ocidental e desviar críticas aos crimes de guerra das forças armadas russas. E estão a começar a visar populações de países não alinhados, potencialmente, em parte, para manter o apoio dos mesmos na Nações Unidas e noutros foros.

As operações de ciberinfluência baseiam-se e estão ligadas a táticas desenvolvidas para outras ciberatividades. Tal como as equipas de APT que trabalham nos serviços de inteligência russos, as equipas Manipuladoras Persistentes Avançadas (APM) associadas a agências do governo russo agem através de redes sociais e plataformas digitais. Estão a pré-posicionar narrativas falsas de formas semelhantes ao pré-posicionamento de malware e outro código de software. Depois, estão a lançar “notícias” amplas simultâneas destas narrativas desde sites geridos e influenciados pelo governo e a amplificar as narrativas através de ferramentas de tecnologia concebidas para explorar serviços de redes sociais. Exemplos recentes incluem narrativas sobre laboratórios biológicos na Ucrânia e várias iniciativas para ofuscar ataques militares contra alvos civis ucranianos.

Como parte duma nova iniciativa na Microsoft, estamos a utilizar IA, novas ferramentas de análise, conjuntos de dados mais amplos e uma crescente equipa de especialistas para monitorizar e prever esta ciberameaça. Com estas novas capacidades, estimamos que as operações de ciberinfluência russas aumentaram com êxito a propagação de propaganda russa desde o início da guerra em 216 por cento na Ucrânia e 82 por cento nos Estados Unidos.

Estas operações russas contínuas usam esforços sofisticados recentes para espalhar falas narrativas relacionadas com a COVID-19 em vários países ocidentais. Estas incluem operações de ciberinfluência financiadas pelo estado em 2021 que procuravam desencorajar a adoção da vacina em reportagens da Internet em inglês, ao mesmo tempo que encorajavam a utilização da vacina em sites em russo. Durante os últimos seis meses, operações de ciberinfluência russas semelhantes procuraram ajudar a inflamar a oposição pública a políticas relacionadas com a COVID-19 na Nova Zelândia e no Canadá.

Continuaremos a expandir o trabalho da Microsoft nesta área nas semanas e nos meses adiante. Isto inclui crescimento interno e através do acordo que anunciámos na semana passada para adquirir a Miburo Solutions, uma empresa líder em investigação e análise de ciberameaças que se especialize na deteção de e na resposta a operações de ciberinfluência estrangeiras.

Estamos preocupados que muitas operações de ciberinfluência russas atuais decorram atualmente durante meses sem deteção, análise e relatos públicos adequados. Isto afeta cada vez mais uma vasta gama de instituições importantes tanto no setor público como no privado. E quanto mais tempo durar a guerra na Ucrânia, mais importantes se tornarão estas operações para a própria Ucrânia. Isto porque uma guerra mais longa exigirá manter o apoio da população face ao desafio inevitável de maior fadiga. Isto deve acrescentar urgência à importância de fortalecer as defesas ocidentais contra estes tipos de ataques de ciberinfluência.

Como a guerra na Ucrânia demonstra, embora haja diferenças entre estas ameaças, o governo russo não as realiza como esforços separados, e não as devemos colocar em silos analíticos separados. Além disso, as estratégias defensivas têm de considerar a coordenação destas ciberoperações com operações militares cinéticas, como testemunhado na Ucrânia.

São necessários novos avanços para frustrar estas ciberameaças e dependerão de quatro princípios comuns e, pelo menos a um alto nível, uma estratégia comum. O primeiro princípio defensivo deve reconhecer que as ciberameaças russas estão a ser promovidas por um conjunto comum de atores dentro e fora do governo russo e dependem de táticas digitais semelhantes. Como resultado, avanços em tecnologia digital, IA e dados serão necessários para as contrariar. Refletindo isto, um segundo princípio deve reconhecer que, ao contrário das ameaças tradicionais do passado, as respostas cibernéticas têm de contar com maior colaboração pública e privada. Um terceiro princípio deve aceitar a necessidade de colaboração multilateral próxima e comum entre governos para proteger sociedades abertas e democráticas. E um quarto e último princípio defensivo deve apoiar a liberdade de expressão e evitar a censura em sociedades democráticas, mesmo que sejam necessários novos passos para abordar a gama completa de ciberameaças que incluem operações de ciberinfluência.

Uma resposta eficaz tem de se basear nestes princípios com quatro pilares estratégicos. Estes devem aumentar as capacidades coletivas para (1) detetar, (2) defender contra, (3) interromper e (4) desencorajar melhor ciberameaças estrangeiras. Esta abordagem já se reflete em muitos esforços coletivos para abordar ciberataques destrutivos e espionagem cibernética. Também se aplicam ao trabalho crítico e contínuo necessário para abordar ataques de ransomware. Agora precisamos de uma abordagem semelhante e abrangente com novas capacidades e defesas para combater as operações de ciberinfluência russas.

Como discutimos neste relatório, a guerra na Ucrânia proporciona não só lições, mas também um apelo a medidas eficazes que serão vitais para a proteção do futuro da democracia. Enquanto empresa, estamos comprometidos a apoiar estes esforços, incluindo através de investimentos contínuos e novos em tecnologia, dados e parcerias que apoiarão governos, empresas, ONGs e universidades.

Para saber mais, leia o relatório completo.