0
0
SETOR 2022 – Toronto – Os primeiros tiros na guerra cibernética Rússia-Ucrânia foram disparados virtualmente em 23 de fevereiro, quando ataques destrutivos foram lançados contra organizações um dia antes de as tropas militares russas entrarem na Ucrânia. A Microsoft estava figurativamente “lá”, observando os desenvolvimentos – e seus pesquisadores ficaram imediatamente preocupados.
A gigante da tecnologia tinha sensores pré-posicionados em várias redes públicas e privadas no país, instalados em conjunto com equipes de recuperação de incidentes ucranianas após ataques cibernéticos anteriores. Eles ainda estavam funcionando e captaram uma grande quantidade de atividades preocupantes, como uma bola de neve, enquanto o exército russo se acumulava na fronteira.
“Vimos ataques contra pelo menos 200 sistemas governamentais diferentes começando a ser executados em diferentes áreas que detectamos na Ucrânia”, disse John Hewie, oficial de segurança nacional da Microsoft Canadá, subindo ao palco do SecTor 2022 esta semana em Toronto, em uma sessão intitulada ” Defendendo a Ucrânia: primeiras lições da guerra cibernética .”
Ele acrescentou: “Nós também já estabelecemos uma linha de comunicação com altos funcionários ucranianos em todo o governo e também organizações na Ucrânia – e pudemos compartilhar informações sobre ameaças de um lado para o outro”.
O que emergiu de todas essas informações inicialmente foi que a onda de ataques cibernéticos visava agências governamentais, antes de passar para o setor financeiro, depois para o setor de TI, antes de se concentrar especificamente em data centers e empresas de TI que apoiam agências governamentais no país. Mas aquilo foi só o inicio.
Guerra cibernética: danos físicos ameaçadores
À medida que a guerra prosseguia, a imagem cibernética piorava, porque a infraestrutura e os sistemas críticos usados para apoiar o esforço de guerra acabaram na mira .
Logo após o início da invasão física, a Microsoft descobriu que também era capaz de correlacionar ataques cibernéticos no setor de infraestrutura crítica com eventos cinéticos. Por exemplo, enquanto a campanha russa se movia pela região de Donbas em março, os pesquisadores observaram ataques coordenados de limpadores contra sistemas de logística de transporte usados para movimentação militar e entrega de ajuda humanitária.
E atacar instalações nucleares na Ucrânia com atividade cibernética para suavizar um alvo antes de incursões militares é algo que os pesquisadores da Microsoft têm visto consistentemente ao longo da guerra.
“Havia essa expectativa de que teríamos um grande evento do tipo NotPetya que se espalharia pelo resto do mundo, mas isso não aconteceu”, observou Hewie. Em vez disso, os ataques foram muito personalizados e direcionados a organizações de uma forma que restringiu seu escopo e escala — por exemplo, usando contas privilegiadas e usando a Diretiva de Grupo para implantar o malware.
“Ainda estamos aprendendo e tentando compartilhar algumas informações sobre o escopo e a escala das operações que estão envolvidas lá e como elas estão aproveitando o digital de maneiras significativas e preocupantes”, disse ele.
Uma cornucópia de APTs perigosos em campo
A Microsoft relatou consistentemente o que viu no conflito Rússia-Ucrânia, em grande parte porque seus pesquisadores sentiram que “os ataques que estavam acontecendo lá estavam sendo amplamente subnotificados”, disse Hewie.
Ele acrescentou que vários dos jogadores que têm como alvo a Ucrânia são conhecidos como ameaças persistentes avançadas (APTs) patrocinadas pela Rússia que provaram ser extremamente perigosas, tanto do ponto de vista da espionagem quanto em termos de interrupção física de ativos, que ele chama de conjunto de capacidades “assustadoras”.
“O Strontium, por exemplo, foi responsável pelos ataques DNC em 2016; eles são bem conhecidos por nós em termos de phishing, controle de contas – e fizemos atividades de interrupção em sua infraestrutura”, explicou ele. “Depois há o Iridium, também conhecido como Sandworm, que é a entidade atribuída a alguns dos ataques anteriores [Black Energy] contra a rede elétrica na Ucrânia , e eles também são responsáveis pelo NotPetya. Este é um ator muito sofisticado, na verdade especializado em visando sistemas de controle industrial.”
Entre outros, ele também chamou a Nobelium, o APT responsável pelo ataque à cadeia de suprimentos da SolarWinds . “Eles estiveram envolvidos em bastante espionagem não apenas contra a Ucrânia, mas contra as democracias ocidentais que apoiaram a Ucrânia ao longo deste ano”, disse Hewie.
Conclusões Políticas do Ciberconflito Rússia-Ucrânia
Os pesquisadores não têm uma hipótese de por que os ataques permaneceram tão restritos, mas Hewie observou que as ramificações políticas da situação devem ser vistas como muito, muito amplas. Mais importante ainda, está claro que é imperativo estabelecer normas para o engajamento cibernético daqui para frente.
Isso deve tomar forma em três áreas distintas, começando com uma “Convenção de Genebra digital”, disse ele: “O mundo é desenvolvido em torno de normas para armas químicas e minas terrestres, e devemos aplicar isso ao comportamento apropriado no ciberespaço por atores do estado-nação .”
A segunda parte desse esforço está em harmonizar as leis de crimes cibernéticos – ou defender que os países desenvolvam leis de crimes cibernéticos em primeiro lugar. “Dessa forma, há menos portos seguros para essas organizações criminosas operarem com impunidade”, explica.
Em terceiro lugar, e mais amplamente falando, defender a democracia e o processo de votação para países democráticos tem ramificações importantes para o ciberespaço, porque permite que os defensores tenham acesso a ferramentas, recursos e informações apropriados para interromper ameaças.
“Você viu a Microsoft fazendo operações cibernéticas ativas, com o apoio de litígios civis criativos, com parceria com autoridades e muitos membros da comunidade de segurança – coisas como Trickbot ou Emotet e outros tipos de atividades de interrupção”, de acordo com Hewie, todos possível porque os governos democráticos não mantêm as informações em segredo. “Esse é o quadro mais amplo.”
Outra vantagem está no lado da defesa; a migração para a nuvem deve começar a ser vista como uma peça crítica de defesa da infraestrutura crítica durante a guerra cinética. Hewie apontou que a defesa ucraniana é complicada pelo fato de que a maior parte da infraestrutura é executada no local, não na nuvem.
“E por mais que eles sejam provavelmente um dos melhores países em termos de defesa contra ataques russos ao longo de vários anos, eles ainda estão fazendo as coisas no local, então é como um combate corpo a corpo”. disse Hewie. “É bastante desafiador.”
FONTE: DARK READING