Microsoft har släppt en rapport om hur cyberattacker använts i Rysslands krig mot Ukraina som en del av en hybrid krigföring. Rapporten beskriver även Microsofts insatser för att skydda ukrainska medborgare och organisationer.
Vi menar att det är viktigt att dela denna typ av information för att upplysa beslutsfattare och allmänhet om det som sker, och så att andra aktörer inom informationssäkerhet kan fortsätta identifiera och skydda mot liknande attacker, även utanför den omedelbara krigszonen. Det yttersta målet med arbetet är att skydda civila från attacker som direkt kan påverka deras liv och deras tillgång till kritiska informationssystem.
Sedan precis innan den ryska invasionen började har Microsoft sett minst sex pro-ryska nationella aktörer inleda fler än 237 operationer riktade mot Ukraina, inklusive attacker riktade mot civila mål som var kopplade till välfärdstjänster. Attackerna åtföljdes också av omfattande spionage och underrättelseverksamhet. De var inte bara ämnade att bryta ned de institutionella systemen i Ukraina, utan även att störa civilsamhällets åtkomst till tillförlitlig information och kritiska tjänster, och att undergräva förtroendet för statsledningen. Det har också förekommit spionage mot Natos medlemsländer och spridning av felaktig information.
Anslutning till fysiska operationer
Som Microsoft-rapporten påpekar, verkar ryska cyberattacker ha en stark koppling till landets fysiska militära operationer riktade mot tjänster och institutioner som är viktiga för civila. Pro-ryska aktörer inledde till exempel cyberattacker mot ett stort tv-bolag den 1 mars, och samma dag meddelade den ryska militären sin avsikt att förstöra ukrainska ”desinformationsmål” och riktade en missilattack mot TV-tornet i Kiev. Under krigets tredje vecka, den 13 mars, stal en annan pro-rysk aktör data från en kärnsäkerhetsorganisation bara veckor efter att ryska militära styrkor började ta över kärnkraftverk, och väckte oro för strålningsexponering och förödande kärnkraftsolyckor. När ryska trupper omringade staden Mariupol började ukrainare få ett e-postmeddelande från en rysk aktör som utgav sig för att vara en invånare i Mariupol, och som anklagade den ukrainska regeringen för att ”överge” sina medborgare.
32 % av attackerna har riktats direkt mot ukrainska regimorganisationer på nationell, regional och lokal nivå. Mer än 40% av attackerna har varit på kritisk infrastruktur och kan ha haft dominoeffekter på den ukrainska regeringen, väpnade styrkor, ekonomi och civila. Hotaktörerna har använt en mängd olika tekniker för att komma åt sina mål – inklusive nätfiske (phishing), utnyttjande av ouppdaterade sårbarheter och sårbarhet för IT-leverantörer. De har även ändrat sin skadliga kod flera gånger under attackerna för att undvika upptäckt. Enligt rapporten utförs wiper malware-attacker som förstör filer och programvara av en pro-rysk aktör, som Microsoft givit namnet Iridium.
Rapporten innehåller också en tidslinje över ryska cyberoperationer som upptäckts av Microsoft. Redan i mars 2021 började pro-ryska aktörer förbereda sig för krig genom att intensifiera ansträngningarna mot organisationer i eller allierade med Ukraina, för att få ett större fotfäste i ukrainska system. När ryska styrkor började närma sig den ukrainska gränsen, observerade vi försök att tränga igenom mål som skulle kunna förse angriparna med underrättelser från den ukrainska armén och utländska partners. I mitten av 2021 var rysk verksamhet också inriktad på leveranskedjesystem (supply chain) i Ukraina och utomlands, för att få tillgång till inte bara ukrainska system utan även Natos medlemsstaters. I början av 2022, efter att Ryssland hade fokuserat sina styrkor på Ukrainas gränser och inga eskalerande spänningar kunde avvärjas genom diplomati, riktade ryska aktörer allt kraftfullare wiper malware-attacker mot ukrainska organisationer. Sedan krigets början har ryska cyberattacker utplacerats för att stötta militärens strategiska och taktiska ambitioner. Det är sannolikt att de attacker vi har observerat bara är en bråkdel av åtgärderna som satts in mot Ukraina i det pågående kriget.
Nära samarbete med de ukrainska myndigheterna
Microsofts säkerhetsteam har arbetat tillsammans med företrädare för Ukrainas regering och cybersäkerhetsenheter i såväl offentlig förvaltning som privata företag, för att identifiera och bekämpa hot mot Ukrainas telekommunikationsnät. I januari i år upptäckte Microsoft Threat Intelligence Center (MSTIC) skadlig programvara på mer än ett dussin kommunikationsnätverk i Ukraina. Vi larmade de ukrainska myndigheterna och offentliggjorde våra resultat. Efter incidenten upprättade Microsoft en säker kommunikationslänk med viktiga cybersäkerhetsmyndigheter i landet för att vara säkra på att vi kunde agera snabbt tillsammans med betrodda partners för att hjälpa ukrainska myndigheter, företag och organisationer att försvara sig mot attacker. Detta inkluderar kontinuerlig hotdelning och tekniska motåtgärder för att förstöra upptäckt skadlig kod.
Då ryska hotaktörer har reflekterat och stöttat militära åtgärder, tror vi att cyberattacker kommer fortsätta att eskalera allteftersom kriget fortsätter. Ryska statliga aktörer kan också utvidga attackerna utanför Ukraina för att hämnas mot de länder som ökar det väpnade biståndet till Ukraina och vidtar fler straffåtgärder mot den ryska regeringen, som svar på den fortsatta aggressionen. Vi har sett pro-ryska aktörer i Ukraina visa intresse för, eller genomföra cyberoperationer mot, organisationer i de baltiska staterna och Turkiet – Nato-medlemsstater som aktivt har försett Ukraina med politiskt, humanitärt eller väpnat stöd.
De varningar som publiceras av cybersäkerhetsmyndigheter i olika länder bör tas på allvar och rekommenderade åtgärder för att skydda mot attacker bör vidtas – särskilt i myndigheter och infrastrukturkritiska företag. Vår rapport innehåller riktlinjer och rekommendationer för organisationer som kan vara måltavlor för ryska aktörer, samt teknisk information för cybersäkerhetsgemenskapen. Vi kommer att övervaka situationen och fortsätta att publicera information om utvecklingen.
Säkra upp din egen miljö
Om du inte redan har gjort följande rekommenderar vi att du omedelbart bekräftar att ditt system uppfyller de grundläggande principerna för cyberhygien för att proaktivt skydda mot potentiella hot:
- Aktivera multifaktorautentisering av användare (MFA)
- Dela inte ut mer rättigheter än vad som behövs för att en användare skall kunna arbeta.
- Säkerställ att villkorsbaserad åtkomst används i miljön.
- Kontrollera alla autentiseringsmetoder relaterade till fjärråtkomst
- Se till att du har de senaste säkerhetsuppdateringarna installerade på dina system
- Använd antimalware-verktyg för att skydda dig mot överbelastningsattacker
- Isolera gamla dåligt skyddade system
- Aktivera loggning av händelser för nyckelåtgärder
Läs mer om Microsofts observationer i Ukraina
Ta del av rapporten på engelska
Blogginlägg: Störa cyberattacker riktade mot Ukraina (engelska)
Hjälp för organisationer: Skydda utsatta miljöer (engelska)
Event – Circle of Trust – Skydda utsatta miljöer