SEKTÖR 2022 — Toronto — Rusya-Ukrayna siber savaşındaki ilk atışlar, Rus askeri birliklerinin Ukrayna’ya hareketinden bir gün önce örgütlere karşı yıkıcı saldırıların başlatıldığı 23 Şubat’ta neredeyse ateşlendi. Microsoft mecazi anlamda “oradaydı”, gelişmeleri izliyordu ve araştırmacıları hemen endişelendi.
Teknoloji devi, önceki siber saldırıların ardından Ukraynalı olay kurtarma ekipleriyle birlikte kurulan, ülkedeki çeşitli kamu ve özel ağlarda önceden konumlandırılmış sensörlere sahip oldu. Hala çalışıyorlardı ve Rus ordusu sınırda yığılırken geniş bir yelpazede ilgili, kartopu faaliyeti aldılar.
Bu hafta Toronto’da SecTor 2022’de sahne alan Microsoft Kanada ulusal güvenlik görevlisi John Hewie, “Ukrayna’da tespit ettiğimiz farklı alanlarda çalışmaya başlayan en az 200 farklı hükümet sistemine yönelik saldırılar gördük” dedi. “Ukrayna’yı Savunmak: Siber Savaştan Erken Dersler“
“Ayrıca hükümet ve ayrıca Ukrayna’daki kuruluşlar arasında üst düzey Ukraynalı yetkililerle bir iletişim hattı kurduk ve tehdit istihbaratını ileri geri paylaşabildik” diye ekledi.
Tüm bu istihbaratlardan başlangıçta ortaya çıkan şey, siber saldırı dalgasının önce finans sektörüne, ardından da BT sektörüne geçmeden önce devlet kurumlarını hedef almasıydı. Fakat bu sadece bir başlangıçtı.
Siber Savaş: Fiziksel Zarar Tehdidi
Savaş devam ettikçe siber görüntü daha da kötüleşti, çünkü savaş çabalarını desteklemek için kullanılan kritik altyapı ve sistemler, artı işaretinde sona erdi.
Fiziksel istilanın başlamasından kısa bir süre sonra Microsoft, kritik altyapı sektöründeki siber saldırıları da kinetik olaylarla ilişkilendirebildiğini keşfetti. Örneğin, Rus harekatı Mart ayında Donbas bölgesini dolaşırken, araştırmacılar askeri hareket ve insani yardımın teslimi için kullanılan ulaşım lojistik sistemlerine karşı koordineli silme saldırıları gözlemlediler.
Ve askeri saldırılardan önce bir hedefi yumuşatmak için siber faaliyetlerle Ukrayna’daki nükleer tesisleri hedef almak, Microsoft araştırmacılarının savaş boyunca sürekli olarak gördüğü bir şey.
Hewie, “Dünyanın geri kalanına yayılacak olan NotPetya benzeri büyük bir etkinlik yapacağımıza dair bir beklenti vardı, ancak bu olmadı” dedi. Bunun yerine saldırılar, kapsamlarını ve ölçeklerini sınırlayacak şekilde, örneğin ayrıcalıklı hesapların kullanılması ve kötü amaçlı yazılımı dağıtmak için Grup İlkesi’nin kullanılması gibi, çok özel olarak tasarlanmış ve kuruluşlara yöneliktir.
“Hala öğreniyoruz ve orada yer alan operasyonların kapsamı ve ölçeği ve dijitalden nasıl anlamlı ve rahatsız edici şekillerde yararlandıkları hakkında bazı bilgileri paylaşmaya çalışıyoruz” dedi.
Sahadaki Tehlikeli APT’lerin Bereketi
Hewie, Microsoft’un Rusya-Ukrayna ihtilafında gördüklerini sürekli olarak rapor ettiğini, çünkü araştırmacılarının “orada devam eden saldırıların büyük ölçüde eksik bildirildiğini” düşündüklerini söyledi.
Ukrayna’yı hedef alan birkaç oyuncunun, hem casusluk açısından hem de varlıkların fiziksel olarak bozulması açısından son derece tehlikeli olduğu kanıtlanmış, Rusya destekli gelişmiş kalıcı tehditler (APT’ler) olarak bilindiğini ekledi. “korkutucu” yetenekler seti.
“Örneğin, Strontium, 2016’daki DNC saldırılarından sorumluydu; bizim tarafımızdan kimlik avı, hesap ele geçirme konusunda iyi biliniyorlar – ve altyapılarında aksama faaliyetleri yaptık” dedi. “Sonra, daha öncekilerden bazılarına atfedilen varlık olan Kum solucanı olarak da bilinen İridyum var. [Black Energy] Ukrayna’daki elektrik şebekesine yönelik saldırılar ve NotPetya’dan da sorumlular. Bu aslında endüstriyel kontrol sistemlerini hedeflemede uzmanlaşmış çok sofistike bir aktör.”
Diğerlerinin yanı sıra SolarWinds kaynaklı tedarik zinciri saldırısından sorumlu APT olan Nobelium’u da çağırdı. Hewie, “Yalnızca Ukrayna’ya karşı değil, bu yıl boyunca Ukrayna’yı destekleyen Batılı demokrasilere karşı da epeyce casusluk faaliyetinde bulundular” dedi.
Rusya-Ukrayna Siber Çatışmasından Politika Çıkarımları
Araştırmacılar, saldırıların neden bu kadar dar kaldığına dair bir hipoteze sahip değiller, ancak Hewie, durumun politika sonuçlarının çok, çok geniş olarak görülmesi gerektiğine dikkat çekti. En önemlisi, ileriye dönük siber angajman için normlar oluşturma zorunluluğu olduğu açıktır.
Bu, “dijital Cenevre Sözleşmesi” ile başlayarak üç farklı alanda şekillenmeli: “Dünya, kimyasal silahlar ve kara mayınları için normlar etrafında gelişiyor ve bunu, ulus-devlet aktörlerinin siber uzayda uygun davranışlarına uygulamalıyız” dedi. “
Bu çabanın ikinci parçası, siber suç yasalarını uyumlu hale getirmekte ya da ilk etapta ülkelerin siber suç yasaları geliştirmesini savunmakta yatıyor. “Bu şekilde, bu suç örgütlerinin cezasız bir şekilde faaliyet gösterebilecekleri daha az güvenli liman var” diye açıklıyor.
Üçüncüsü ve daha genel olarak konuşursak, demokrasiyi ve demokratik ülkeler için oy verme sürecini savunmanın siber için önemli sonuçları vardır, çünkü savunucuların tehditleri engellemek için uygun araçlara, kaynaklara ve bilgilere erişmelerine izin verir.
Hewie’ye göre, “Microsoft’un yaratıcı hukuk davalarının desteğiyle, kolluk kuvvetleriyle ve güvenlik camiasındaki pek çok kişiyle – Trickbot veya Emotet ve diğer türden kesinti faaliyetleri gibi şeylerle – aktif siber operasyonlar yaptığını gördünüz. mümkün oldu çünkü demokratik hükümetler bilgiyi gizli tutmazlar. “Bu daha geniş resim.”
Bir başka paket servis de savunma tarafında; bulut geçişi, kinetik savaş sırasında kritik altyapıyı savunmanın kritik bir parçası olarak görülmeye başlamalıdır. Hewie, altyapının çoğunun bulutta değil, şirket içinde çalıştırılması nedeniyle Ukrayna savunmasının karmaşık olduğuna dikkat çekti.
“Ve birkaç yıl boyunca Rus saldırılarına karşı savunma açısından muhtemelen en iyi ülkelerden biri olmalarına rağmen, hala işleri çoğunlukla şirket içinde yapıyorlar, bu yüzden göğüs göğüse çarpışma gibi” dedi Hewie. “Oldukça zorlu.”