Publikacja firmy Microsoft: „Defending Ukraine: Early Lessons from the Cyber War” (ang. Obrona Ukrainy: wczesne lekcje z cyberwojny) zawiera szereg wniosków wynikających z analizy zagrożeń, które związane są z toczącą się wojną.

Co istotne – z punktu widzenia także Polski – pojawiają się w nim nowe informacje o rosyjskich operacjach wpływu - zwiększeniu skali ataków na systemy, a także działalności szpiegowskiej, prowadzonej nie tylko przez państwo Putina, ale i przez sojusznicze dla Rosji rządy czy organizacje non-profit.

Co więcej, wpływy rosyjskie mają być także wykorzystywane do działań międzynarodowych, których celem jest podważenie jedności Zachodu (w tym NATO) i wzmacniania rosyjskich działań wojennych. Kampanie te mają być skoordynowane, destrukcyjne i mają charakter szpiegowski.

W rapocie wskazano także ważny wniosek: potrzeba kompleksowej strategii wzmocnienia zbiorowej obrony – zjednoczenia sektora publicznego, prywatnego, społeczeństwa i organizacji non-profit.

„Pierwsze strzały” w cyberprzestrzeni

Brad Smith, prezes firmy podsumował najważniejsze wnioski z trwającej cztery miesiące wojny. Zwrócił uwagę – co opisywaliśmy na bieżąco na łamach CyberDefence24.pl – że choć wojna w postaci działań kinetycznych rozpoczęła się 24 lutego br., „strzały” oddano wcześniej – 23 lutego – w cyberprzestrzeni. Wykorzystano do tego cyberbroń „Foxblade” wobec ukraińskich systemów operacyjnych.

„Rosyjska inwazja opiera się częściowo na strategii cybernetycznej, która obejmuje co najmniej trzy odrębne, a czasem skoordynowane działania – niszczycielskie cyberataki na Ukrainie, penetrację sieci, szpiegostwo poza Ukrainą oraz operacje cyberwpływu wymierzone w ludzi na całym świecie. Niniejszy raport zawiera aktualizację i analizę każdego z tych obszarów oraz koordynację między nimi” – ocenia Brad Smith.

Jakie lekcje można wyciągnąć z trwającej wojny?

Szef Microsoft wskazał wnioski, które można wyciągnąć na podstawie czterech miesięcy wojny.

Po pierwsze, obrona przed inwazją wojskową wymaga obecnie od większości krajów możliwości dzielenia się zasobami danych poza granice ich krajów i „przekazywania” ich do innych. Przykład? Ukraiński rząd musiał szybko działać, by przenieść swoją infrastrukturę cyfrową do chmury publicznej, gdzie następnie rozlokowano ją po centrach danych w całej Europie.

Po drugie, Ukraina przetrwała wysoki poziom niszczycielskich, rosyjskich cyberataków. Microsoft miał być świadkiem, jak rosyjska armia przeprowadziła wiele destrukcyjnych cyberataków przeciwko 48 różnym ukraińskim agencjom i przedsiębiorstwom.

Najpierw podejmowano próby przenikania do systemów, by następnie rozprzestrzeniać złośliwe oprogramowanie na tysiącach komputerów. W tym przypadku wykorzystywano wirusa typu wiper, które mogło infekować kolejne domeny, ale – w odróżnieniu od ataku NotPetya z 2017 roku – skupiło się na Ukrainie.

Ataki były jednak znacznie bardziej wyrafinowane, a ich skala większa niż do tej pory przypuszczano. Nadal Rosja łączy też ataki konwencjonalne z cyberatakami.

Co ważne, wykorzystanie sztucznej inteligencji pomogło w wykrywaniu wrogich działń, a ochrona urządzeń końcowych podłączonych do sieci była szybko identyfikowalna, jednak wymagało to – przede wszystkim od rządu ukraińskiego – ciągłej czujności i innowacji.

Po trzecie, rosyjskie agencje wywiadowcze zintensyfikowały swoją działalność szpiegowską, wymierzoną w rządy sojusznicze poza Ukrainą. W Microsoft wykryto rosyjskie próby włamań do sieci w 128 organizacjach w 42 krajach poza Ukrainą. Celem numer jeden były Stany Zjednoczone, ale priorytetowo potraktowano również Polskę z powodu wsparcia wojskowego i humanitarnego dla Ukrainy. Działania rosyjskie były także wycelowane w kraje bałtyckie oraz w Danię, Norwegię, Finlandię, Szwecję i Turcję.

Podobne, destrukcyjne działania były skierowane także w ministerstwa spraw zagranicznych innych krajów NATO. To jednak nie koniec: na celowniku są także think tanki, organizacje humanitarne, firmy IT oraz dostawcy energii i infrastruktury krytycznej z krajów NATO. Działania te były skuteczne w niemal 1/3 przypadków (29 proc.), 1/4 włamań doprowadziła do wycieku danych.

Po czwarte, prowadzone są globalne operacje wpływu, które mają wesprzeć działania wojenne. Łączą one taktyki opracowywane przez KGB przez kilkadziesiąt lat, z nowymi technologiami cyfrowymi i internetem. Cel jest prosty: większy zasięg operacji, precyzyjne targetowanie, większa szybkość i skuteczność. Microsoft ocenił, że „przy wystarczającym planowaniu i wyrafinowaniu, te operacje wpływu są dobrze przygotowane i wykorzystywane do długotrwałej polaryzacji społeczeństw demokratycznych, która jest charakterystyczna dla naszych czasów”.

Rosyjskie agencje w prowadzonych przez siebie kampaniach opierają się na czterech różnych rodzajach odbiorców. To społeczeństwo rosyjskie, które ma nadal popierać tzw. specjalną operację wojskową (jak nazywa wojnę Putin i jego propaganda); społeczeństwo ukraińskie – aby podważyć zaufanie do zdolności ich rządu oraz obniżyć morale oraz społeczeństwo amerykańskie i europejskie – by podważyć jedność Zachodu i zminimalizować krytykę względem rosyjskich zbrodni wojennych.

Rosyjskie operacje wpływu opierają się także na innych działaniach cyber i są z nimi powiązane. Zespoły wykazujące relacje z rosyjskimi agencjami rządowymi działają za pośrednictwem mediów społecznościowych, gdzie propagują fałszywe narracje i uruchamiają szeroko zakrojone rozpowszechnianie fałszywych wiadomości, pochodzących często z oficjalnych stron rządowych lub będących pod ich wpływem. Wzmacniają je przy pomocy technologii.

Microsoft informuje, że do śledzenia tego typu aktywności wykorzystuje sztuczną inteligencję, nowe narzędzia analityczne, większą kadrę ekspertów oraz szersze zbiory danych. Szacują tym samym, że rosyjskie operacje wpływu skutecznie zwiększyły rozprzestrzenianie się rosyjskiej propagandy po rozpoczęciu wojny o 216 proc. na Ukrainie i 82 proc. w Stanach Zjednoczonych.

Firma przypomina też, że całkiem niedawno operacje wpływu skupiały się na sponsorowanych przez państwo rosyjskie antyszczepionkowych kampaniach, których celem było zniechęcenia do ich przyjmowania preparatu przeciwko COVID-19. Podobną taktykę stosowano w tym względzie w Nowej Zelandii i Kanadzie.

By walczyć z operacjami wpływu, Microsoft przejął firmę Miburo Solutions, która specjalizuje się w wykrywaniu i reagowaniu na zagraniczne, fałszywe narracje, o czym informowaliśmy na łamach CyberDefence24.pl.

„Obawiamy się, że wiele obecnych rosyjskich operacji wpływu trwa przez miesiące bez odpowiedniego wykrywania, analizowania lub publicznego raportowania. Ma to coraz większy wpływ na szereg ważnych instytucji, zarówno w sektorze publicznym, jak i prywatnym. A im dłużej trwa wojna w Ukrainie, tym ważniejsze będą prawdopodobnie te operacje dla samej Ukrainy. Dzieje się tak, ponieważ przedłużająca się wojna będzie wymagała utrzymania poparcia społecznego w obliczu nieuniknionego wyzwania, jakim jest >>zmęczenie wojną<<. Powinno to zwiększyć czujność i prowadzić do wzmocnienia zachodniej obrony przed tego typu atakami cybernetycznymi z zagranicy” – wskazał Microsoft.

Prezes firmy podkreślił, że – by udało się zapobiec rosnącym wpływom Rosji w cyberprzestrzeni – potrzebna jest skoordynowana i kompleksowa strategia wzmocnienia obrony przed operacjami cyber, szpiegowskimi oraz wpływu.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].