Defendendo a Ucrânia: primeiras lições da guerra cibernética

Defendendo a Ucrânia: primeiras lições da guerra cibernética. Relatório representa uma pesquisa realizada pelas equipes de inteligência de ameaças e ciência de dados da Microsoft.

O relatório publicado pela da Microsoft, em 22 de junho, representa uma pesquisa realizada pelas equipes de inteligência de ameaças e ciência de dados da Microsoft com o objetivo de aprimorar nossa compreensão do cenário de ameaças na guerra em andamento na Ucrânia. O relatório também oferece uma série de lições e conclusões resultantes dos dados coletados e analisados. Notavelmente, o relatório revela novas informações sobre os esforços russos, incluindo um aumento na penetração da rede e atividades de espionagem entre governos aliados, organizações sem fins lucrativos e outras organizações fora da Ucrânia. Este relatório também revela detalhes sobre operações sofisticadas e generalizadas de influência estrangeira russa sendo usadas, entre outras coisas, para minar a unidade ocidental e reforçar seus esforços de guerra. Estamos vendo essas operações de influência estrangeira em vigor de forma coordenada, juntamente com toda a gama de campanhas cibernéticas e de espionagem. Por fim, o relatório pede uma estratégia coordenada e abrangente para fortalecer as defesas coletivas – uma tarefa que exigirá a união do setor privado, do setor público, das organizações sem fins lucrativos e da sociedade civil. O prefácio do novo relatório, escrito pelo presidente e vice-presidente da Microsoft, Brad Smith, oferece detalhes adicionais abaixo.

A história registrada de cada guerra normalmente inclui um relato dos primeiros tiros disparados e quem os testemunhou. Cada relato fornece um vislumbre não apenas do início de uma guerra, mas da natureza da época em que as pessoas viviam. 

Os historiadores que discutem os primeiros tiros na Guerra Civil Americana em 1861 geralmente descrevem armas, canhões e veleiros em torno de um forte perto de Charleston, Carolina do Sul.  

Os eventos se aproximaram do início da Primeira Guerra Mundial em 1914, quando terroristas à vista de todos em uma rua da cidade de Sarajevo usaram granadas e uma pistola para assassinar o arquiduque do Império Austro-Húngaro.  

Levaria até os julgamentos de guerra de Nuremberg para entender completamente o que aconteceu perto da fronteira polonesa 25 anos depois. Em 1939, tropas nazistas da SS vestiram uniformes poloneses e encenaram um ataque contra uma estação de rádio alemã. Adolf Hitler citou tais ataques para justificar uma invasão blitzkrieg que combinou tanques, aviões e tropas para invadir cidades e civis poloneses. 

Cada um desses incidentes também fornece um relato da tecnologia da época – tecnologia que desempenharia um papel na guerra que se seguiu e na vida das pessoas que a viveram. 

A guerra na Ucrânia segue esse padrão. Os militares russos atravessaram a fronteira ucraniana em 24 de fevereiro de 2022, com uma combinação de tropas, tanques, aeronaves e mísseis de cruzeiro. Mas os primeiros tiros foram disparados horas antes, quando o calendário ainda dizia 23 de fevereiro. Envolviam uma arma cibernética chamada “Foxblade”, lançada contra computadores na Ucrânia. Refletindo a tecnologia de nosso tempo, aqueles entre os primeiros a observar o ataque estavam a meio mundo de distância, trabalhando nos Estados Unidos em Redmond, Washington. 

Acima de tudo, isso captura a importância de dar um passo atrás e fazer um balanço dos primeiros meses da guerra na Ucrânia, que foi devastadora para o país em termos de destruição e perda de vidas, incluindo civis inocentes. 

Embora ninguém possa prever quanto tempo essa guerra vai durar, já é evidente que ela reflete uma tendência testemunhada em outros grandes conflitos nos últimos dois séculos. Os países travam guerras usando a tecnologia mais recente, e as próprias guerras aceleram a mudança tecnológica. Portanto, é importante avaliar continuamente o impacto da guerra no desenvolvimento e no uso da tecnologia. 

A invasão russa depende em parte de uma estratégia cibernética que inclui pelo menos três esforços distintos e às vezes coordenados – ataques cibernéticos destrutivos na Ucrânia, penetração de rede e espionagem fora da Ucrânia e operações de influência cibernética visando pessoas em todo o mundo. O relatório da Microoft fornece uma atualização e análise sobre cada uma dessas áreas e a coordenação entre elas. Também oferece ideias sobre como combater melhor essas ameaças nesta guerra e além, com novas oportunidades para governos e setor privado trabalharem melhor juntos.  

Os aspectos cibernéticos da guerra atual se estendem muito além da Ucrânia e refletem a natureza única do ciberespaço. Quando os países enviam códigos para a batalha, suas armas se movem na velocidade da luz. Os caminhos globais da internet significam que as atividades cibernéticas apagam grande parte da proteção de longa data fornecida por fronteiras, muros e oceanos. E a própria internet, ao contrário da terra, do mar e do ar, é uma criação humana que depende de uma combinação de propriedade, operação e proteção do setor público e privado.  

Isso, por sua vez, exige uma nova forma de defesa coletiva. Esta guerra coloca a Rússia, uma grande potência cibernética, não apenas contra uma aliança de países. A defesa cibernética da Ucrânia depende criticamente de uma coalizão de países, empresas e ONGs.  

O mundo agora pode começar a avaliar os pontos fortes e fracos iniciais e relativos das operações cibernéticas ofensivas e defensivas. Onde estão as defesas coletivas frustrando com sucesso os ataques e onde estão falhando? Que tipos de inovações tecnológicas estão ocorrendo? E, criticamente, quais etapas são necessárias para se defender efetivamente contra ataques cibernéticos no futuro? Entre outras coisas, é importante basear essas avaliações em dados precisos e não se deixar levar por uma sensação injustificada de tranquilidade com a percepção externa de que a guerra cibernética na Ucrânia não foi tão destrutiva quanto alguns temiam.  

Este relatório oferece cinco conclusões que vêm dos primeiros quatro meses da guerra: 

1. Primeiro, a defesa contra uma invasão militar agora exige para a maioria dos países a capacidade de desembolsar e distribuir operações digitais e ativos de dados através das fronteiras e para outros países. Não surpreendentemente, a Rússia atacou o data center governamental da Ucrânia em um ataque inicial com mísseis de cruzeiro, e outros servidores “on-premise” da mesma forma foram vulneráveis ​​a ataques de armas convencionais. A Rússia também direcionou seus ataques destrutivos de “wiper” em redes de computadores locais. Mas o governo da Ucrânia sustentou com sucesso suas operações civis e militares, agindo rapidamente para usar sua infraestrutura digital na nuvem pública, onde foi hospedada em data centers em toda a Europa.  Isso envolveu medidas urgentes e extraordinárias de todo o setor de tecnologia, inclusive da Microsoft. Embora o trabalho do setor de tecnologia tenha sido vital, também é importante pensar nas lições mais duradouras que vêm desses esforços. 

 

2. Em segundo lugar, avanços recentes em inteligência de ameaças cibernéticas e proteção de endpoints ajudaram a Ucrânia a resistir a uma alta porcentagem de ciberataques russos destrutivos. Como as atividades cibernéticas são invisíveis a olho nu, elas são mais difíceis de serem rastreadas por jornalistas e até mesmo muitos analistas militares. A Microsoft viu os militares russos lançarem várias ondas de ataques cibernéticos destrutivos contra 48 agências e empresas ucranianas distintas. Eles tentaram penetrar nos domínios da rede, compreendendo inicialmente centenas de computadores e, em seguida, espalhando malware projetado para destruir o software e os dados em milhares de outros.  

As táticas cibernéticas russas na guerra diferem daquelas implantadas no ataque NotPetya contra a Ucrânia em 2017. Esse ataque usou malware destrutivo “wormable” que poderia pular de um domínio de computador para outro e, portanto, cruzar fronteiras para outros países. A Rússia foi cuidadosa em 2022 ao confinar o software “wiper” destrutivo a domínios de rede específicos dentro da própria Ucrânia. Mas os próprios ataques destrutivos recentes e contínuos foram sofisticados e mais difundidos do que muitos relatórios reconhecem. E o exército russo continua a adaptar esses ataques destrutivos às necessidades de guerra em constante mudança, inclusive combinando ataques cibernéticos com o uso de armas convencionais.  

Um aspecto definidor desses ataques destrutivos até agora tem sido a força e o sucesso relativo das defesas cibernéticas. Embora não sejam perfeitos e alguns ataques destrutivos tenham sido bem-sucedidos, essas defesas cibernéticas provaram ser mais fortes do que as capacidades cibernéticas ofensivas. Isso reflete duas tendências importantes e recentes. Primeiro, os avanços na inteligência de ameaças, incluindo o uso de inteligência artificial, ajudaram a detectar esses ataques com mais eficácia. E segundo, a proteção de endpoint conectado à Internet tornou possível distribuir código de software de proteção rapidamente tanto para serviços em nuvem quanto para outros dispositivos de computação conectados para identificar e desativar esse malware. Inovações em andamento durante a guerra e medidas com o governo ucraniano fortaleceram ainda mais essa proteção. 

 

3. Terceiro, como uma coalizão de países se uniu para defender a Ucrânia, as agências de inteligência russas intensificaram a penetração da rede e as atividades de espionagem visando governos aliados fora da Ucrânia. A Microsoft detectou esforços de invasão de rede russos em 128 organizações em 42 países fora da Ucrânia. Embora os Estados Unidos tenham sido o alvo número um da Rússia, essa atividade também priorizou a Polônia, onde grande parte da entrega logística de assistência militar e humanitária está sendo coordenada. As atividades russas também têm como alvo os países bálticos e, durante os últimos dois meses, houve um aumento em atividades semelhantes direcionadas a redes de computadores na Dinamarca, Noruega, Finlândia, Suécia e Turquia. Também vimos um aumento em atividades semelhantes direcionadas aos ministérios das Relações Exteriores de outros países da OTAN.  

A segmentação russa priorizou governos, especialmente entre os membros da OTAN. Mas a lista de alvos também inclui think tanks, organizações humanitárias, empresas de TI e fornecedores de energia e outras infraestruturas críticas. Desde o início da guerra, o ataque russo que identificamos foi bem-sucedido em 29% das vezes. Um quarto dessas invasões bem-sucedidas levou à exfiltração confirmada de dados de uma organização, embora, conforme explicado no relatório, isso provavelmente subestime o grau de sucesso russo.  

Continuamos a ser os mais preocupados com computadores governamentais que estão sendo executados “on premisses” em vez de na nuvem. Isso reflete o estado atual e global da espionagem cibernética ofensiva e proteção cibernética defensiva. Como o incidente da SolarWinds demonstrou há 18 meses, as agências de inteligência da Rússia têm recursos extremamente sofisticados para implantar código e operar como uma Ameaça Persistente Avançada (APT) que pode obter e exfiltrar informações confidenciais de uma rede continuamente. Houve avanços substanciais na proteção defensiva desde aquela época, mas a implementação desses avanços permanece mais desigual nos governos europeus do que nos Estados Unidos. Como resultado, permanecem fraquezas defensivas coletivas significativas. 

 

4. Quarto, em coordenação com essas outras atividades cibernéticas, as agências russas estão conduzindo operações globais de influência cibernética para apoiar seus esforços de guerra. Eles combinam táticas desenvolvidas pela KGB ao longo de várias décadas com novas tecnologias digitais e a internet para dar às operações de influência estrangeira um alcance geográfico mais amplo, maior volume, direcionamento mais preciso e maior velocidade e agilidade. Infelizmente, com planejamento e sofisticação suficientes, essas operações de ciberinfluência estão bem posicionadas para aproveitar a longa abertura das sociedades democráticas e a polarização pública característica dos tempos atuais. 

À medida que a guerra na Ucrânia avança, as agências russas estão concentrando suas operações de influência cibernética em quatro públicos distintos. Eles têm como alvo a população russa com o objetivo de sustentar o apoio ao esforço de guerra. Eles têm como alvo a população ucraniana com o objetivo de minar a confiança na disposição e capacidade do país de resistir aos ataques russos. Eles estão visando populações americanas e europeias com o objetivo de minar a unidade ocidental e desviar as críticas aos crimes de guerra militares russos. E eles estão começando a atingir populações em países não alinhados, potencialmente em parte para sustentar seu apoio nas Nações Unidas e em outros locais. 

As operações russas de influência cibernética estão se desenvolvendo e estão conectadas a táticas desenvolvidas para outras atividades cibernéticas. Assim como as equipes de APT que trabalham nos serviços de inteligência russos, as equipes do Advance Persistent Manipulator (APM) associadas a agências governamentais russas atuam por meio de mídias sociais e plataformas digitais. Eles estão pré-posicionando narrativas falsas de maneiras semelhantes ao pré-posicionamento de malware e outros códigos de software. Eles estão então lançando “relatórios” amplos e simultâneos dessas narrativas de sites administrados e influenciados pelo governo e amplificando suas narrativas por meio de ferramentas de tecnologia projetadas para explorar serviços de mídia social. Exemplos recentes incluem narrativas sobre biolaboratórios na Ucrânia e vários esforços para ofuscar ataques militares contra alvos civis ucranianos.  

Como parte de uma nova iniciativa da Microsoft, usando IA, novas ferramentas de análise, conjuntos de dados mais amplos e uma equipe crescente de especialistas para rastrear e prever essa ameaça cibernética. Usando esses novos recursos, a Microsoft estima que as operações russas de influência cibernética aumentaram com sucesso a disseminação da propaganda russa após o início da guerra em 216% na Ucrânia e 82% nos Estados Unidos.  

Essas operações russas em andamento se baseiam em esforços recentes e sofisticados para espalhar narrativas falsas de COVID em vários países ocidentais. Isso incluiu operações de influência cibernética patrocinadas pelo estado em 2021 que buscavam desencorajar a adoção de vacinas por meio de relatórios da Internet em inglês, ao mesmo tempo em que incentivavam o uso de vacinas por meio de sites em russo. Durante os últimos seis meses, operações semelhantes de influência cibernética russa procuraram ajudar a inflamar a oposição pública às políticas da COVID-19 na Nova Zelândia e no Canadá.  

A Microsoft afirma que vai continuar a expandir o trabalho neste campo nas próximas semanas e meses. Isso inclui crescimento interno e por meio do acordo anunciado nas semanas passadas para adquirir a Miburo Solutions, uma empresa líder em análise e pesquisa de ameaças cibernéticas especializada na detecção e resposta a operações de influência cibernética estrangeira. 

A Microsoft se diz preocupada com o fato de que muitas operações russas atuais de influência cibernética passam meses sem detecção, análise ou relatórios públicos adequados. Isso impacta cada vez mais uma ampla gama de instituições importantes nos setores público e privado. E quanto mais a guerra durar na Ucrânia, mais importantes essas operações provavelmente se tornarão para a própria Ucrânia. Isso ocorre porque uma guerra mais longa exigirá o apoio público sustentado do inevitável desafio de maior fadiga. Isso deve aumentar a urgência da importância de fortalecer as defesas ocidentais contra esses tipos de ataques estrangeiros de influência cibernética. 

 

5. Finalmente, as lições da Ucrânia exigem uma estratégia coordenada e abrangente para fortalecer as defesas contra toda a gama de operações cibernéticas destrutivas, espionagem e influência. Como a guerra na Ucrânia ilustra, embora existam diferenças entre essas ameaças, o governo russo não as busca como esforços separados e não devemos colocá-las em silos analíticos separados. Além disso, as estratégias defensivas devem considerar a coordenação dessas operações cibernéticas com as operações militares cinéticas, como testemunhado na Ucrânia.  

São necessários novos avanços para frustrar essas ameaças cibernéticas, e elas dependerão de quatro princípios comuns e — pelo menos em alto nível — de uma estratégia comum. O primeiro princípio defensivo deve reconhecer que as ameaças cibernéticas russas estão sendo promovidas por um conjunto comum de atores dentro e fora do governo russo e contam com táticas digitais semelhantes. Como resultado, serão necessários avanços em tecnologia digital, IA e dados para combatê-los. Refletindo isso, um segundo princípio deve reconhecer que, diferentemente das ameaças tradicionais do passado, as respostas cibernéticas devem contar com uma maior colaboração pública e privada. Um terceiro princípio deve abraçar a necessidade de colaboração multilateral estreita e comum entre os governos para proteger sociedades abertas e democráticas.  

Uma resposta eficaz deve basear-se nestes princípios com quatro pilares estratégicos. Isso deve aumentar as capacidades coletivas para melhor (1) detectar, (2) defender-se, (3) interromper e (4) impedir ameaças cibernéticas estrangeiras. Essa abordagem já se reflete em muitos esforços coletivos para lidar com ataques cibernéticos destrutivos e espionagem cibernética. Eles também se aplicam ao trabalho crítico e contínuo necessário para lidar com ataques de ransomware. Agora precisamos de uma abordagem semelhante e abrangente com novas capacidades e defesas para combater as operações russas de influência cibernética.  

Conforme discutido neste relatório da Microsoft, a guerra na Ucrânia fornece não apenas lições, mas um apelo à ação para medidas eficazes que serão vitais para a proteção do futuro da democracia. Como empresa, a Microsoft se afirma comprometida em apoiar esses esforços, inclusive por meio de novos e contínuos investimentos em tecnologia, dados e parcerias que apoiarão governos, empresas, ONGs e universidades. 

Fonte: Microsoft

Veja também:

 

 

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Hackers apoiados pela Rússia atacam sites lituanos – Neotel Segurança Digital
  2. Defendendo a Ucrânia: primeiras lições da guerra cibernética – Neotel Segurança Digital

Deixe sua opinião!