Oproep tot actie voor effectieve maatregelen te nemen die nodig zijn om de toekomst van onze democratie te beschermen

Gepubliceerd op 23 juni 2022 om 15:32

Rusland voert de cyberspionage tegen bondgenoten van de Verenigde Staten en Oekraïne verder op. Dit meldt Microsoft in het rapport 'Defending Ukraine: Early Lessons from the Cyber War'. Dit rapport vertegenwoordigt onderzoek dat is uitgevoerd door Microsoft's Threat Intelligence en Data Science-teams met als doel Microsoft's begrip van het bedreigingslandschap in de aanhoudende oorlog in Oekraïne aan te scherpen.

Het rapport biedt ook een reeks lessen en conclusies die voortkomen uit de verzamelde en geanalyseerde gegevens. Het rapport onthult met name nieuwe informatie over Russische inspanningen, waaronder een toename van netwerkpenetratie en spionageactiviteiten onder geallieerde regeringen, non-profitorganisaties en andere organisaties buiten Oekraïne.

Dit rapport onthult ook details over geavanceerde en wijdverbreide Russische buitenlandse invloedsoperaties die onder andere worden gebruikt om de westerse eenheid te ondermijnen en hun oorlogsinspanningen te versterken. We zien dat deze operaties met buitenlandse invloed op gecoördineerde wijze van kracht worden, samen met het volledige scala aan cyberdestructieve en spionagecampagnes. Ten slotte roept het rapport op tot een gecoördineerde en alomvattende strategie om de collectieve verdediging te versterken - een taak waarvoor de particuliere sector, de publieke sector, non-profitorganisaties en het maatschappelijk middenveld moeten samenwerken. Het voorwoord van dit nieuwe rapport, geschreven door Microsoft President en Vice-voorzitter Brad Smith, biedt hieronder aanvullende details.

Microsoft meldt het volgende

De geregistreerde geschiedenis van elke oorlog bevat meestal een verslag van de eerste schoten die zijn afgevuurd en wie er getuige van was. Elk verslag geeft niet alleen een glimp van het begin van een oorlog, maar ook van de aard van het tijdperk waarin mensen leefden.

Historici die de eerste schoten in de Amerikaanse burgeroorlog in 1861 bespreken, beschrijven meestal geweren, kanonnen en zeilschepen rond een fort in de buurt van Charleston, South Carolina.

De gebeurtenissen kwamen in een stroomversnelling naar het begin van de Eerste Wereldoorlog in 1914, toen terroristen in het zicht van een stadsstraat in Sarajevo granaten en een pistool gebruikten om de aartshertog van het Oostenrijks-Hongaarse rijk te vermoorden.

Poolse grens 1939

Het zou tot de oorlogsprocessen in Neurenberg duren om volledig te begrijpen wat er 25 jaar later bij de Poolse grens gebeurde. In 1939 voerden nazi-SS-troepen, gekleed in Poolse uniformen, een aanval uit op een Duits radiostation. Adolf Hitler noemde dergelijke aanvallen om een Blitzkrieg-invasie te rechtvaardigen die tanks, vliegtuigen en troepen combineerde om Poolse steden en burgers te overrompelen.

Elk van deze incidenten geeft ook een overzicht van de technologie van die tijd - technologie die een rol zou spelen in de oorlog die volgde en de levens van de mensen die het hebben meegemaakt.

Cyberwapen Floxblade 2022

De oorlog in Oekraïne volgt dit patroon. Het Russische leger stroomde op 24 februari 2022 over de Oekraïense grens met een combinatie van troepen, tanks, vliegtuigen en kruisraketten. Maar de eerste schoten werden in feite uren eerder gelost, toen de kalender nog 23 februari aangaf. Het betrof een cyberwapen genaamd "Foxblade" dat werd gelanceerd tegen computers in Oekraïne. Als afspiegeling van de technologie van onze tijd waren degenen die de aanval als eersten waarnamen, een halve wereld verwijderd, aan het werk in de Verenigde Staten in Redmond, Washington.

Dit illustreert hoe belangrijk het is om een stap terug te doen en de balans op te maken van de eerste maanden van de oorlog in Oekraïne, die verwoestend is geweest voor het land in termen van vernietiging en verlies van mensenlevens, inclusief onschuldige burgers.

Hoewel niemand kan voorspellen hoe lang deze oorlog zal duren, is het al duidelijk dat het een trend weerspiegelt die we de afgelopen twee eeuwen in andere grote conflicten hebben gezien. Landen voeren oorlogen met behulp van de nieuwste technologie, en de oorlogen zelf versnellen de technologische verandering. Het is daarom belangrijk om voortdurend de impact van de oorlog op de ontwikkeling en het gebruik van technologie te beoordelen.

Russische invasie

De Russische invasie is gedeeltelijk afhankelijk van een cyberstrategie die ten minste drie verschillende en soms gecoördineerde inspanningen omvat: destructieve cyberaanvallen in Oekraïne, netwerkpenetratie en spionage buiten Oekraïne, en cyberbeïnvloedingsoperaties gericht op mensen over de hele wereld. Dit rapport geeft een update en analyse op elk van deze gebieden en de onderlinge afstemming. Het biedt ook ideeën over hoe deze dreigingen in deze oorlog en daarna beter het hoofd kunnen worden geboden, met nieuwe kansen voor overheden en het bedrijfsleven om beter samen te werken.

De cyberaspecten van de huidige oorlog reiken tot ver buiten Oekraïne en weerspiegelen het unieke karakter van cyberspace. Wanneer landen code de strijd in sturen, bewegen hun wapens met de snelheid van het licht. De wereldwijde paden van het internet betekenen dat cyberactiviteiten een groot deel van de langdurige bescherming van grenzen, muren en oceanen uitwissen. En het internet zelf is, in tegenstelling tot land, zee en lucht, een menselijke creatie die afhankelijk is van een combinatie van eigendom, exploitatie en bescherming van de publieke en private sector.

Collectieve verdediging

Dit vraagt weer om een nieuwe vorm van collectieve verdediging. Deze oorlog plaatst Rusland, een grote cybermacht, niet alleen tegenover een alliantie van landen. De cyberverdediging van Oekraïne steunt kritisch op een coalitie van landen, bedrijven en NGO's.

De wereld kan nu beginnen met het beoordelen van de vroege en relatieve sterke en zwakke punten van offensieve en defensieve cyberoperaties. Waar zijn collectieve verdedigingen succesvol in het afslaan van aanvallen en waar schieten ze tekort? Welke soorten technologische innovaties vinden er plaats? En, heel belangrijk, welke stappen zijn nodig om in de toekomst effectief te verdedigen tegen cyberaanvallen? Het is onder andere belangrijk om deze beoordelingen te baseren op nauwkeurige gegevens en niet te worden misleid tot een ongerechtvaardigd gevoel van rust door de externe perceptie dat de cyberoorlog in Oekraïne niet zo destructief is geweest als sommigen vreesden.

Vijf conclusies uit de eerste vier maanden van de oorlog

1. Over de grenzen

Ten eerste vereist de verdediging tegen een militaire invasie voor de meeste landen nu het vermogen om digitale operaties en gegevensactiva over de grenzen en naar andere landen uit te betalen en te distribueren. Het is niet verrassend dat Rusland zich richtte op het datacentrum van de Oekraïense regering in een vroege aanval met kruisraketten, en andere "on-premise" servers waren eveneens kwetsbaar voor aanvallen met conventionele wapens.

Rusland richtte ook zijn destructieve "wisser" -aanvallen op lokale computernetwerken. Maar de Oekraïense regering heeft met succes haar civiele en militaire operaties volgehouden door snel te handelen en haar digitale infrastructuur naar de openbare cloud te brengen, waar deze is gehost in datacenters in heel Europa.

Dit heeft geleid tot dringende en buitengewone stappen uit de hele technische sector, ook door Microsoft. Hoewel het werk van de technologiesector van vitaal belang is geweest, is het ook belangrijk om na te denken over de duurzame lessen die uit deze inspanningen kunnen worden getrokken.

 

2. Cyberdreigingsinformatie en eindpuntbescherming

Ten tweede hebben recente vorderingen op het gebied van cyberdreigingsinformatie en eindpuntbescherming Oekraïne geholpen om een hoog percentage destructieve Russische cyberaanvallen te weerstaan. Omdat cyberactiviteiten met het blote oog onzichtbaar zijn, zijn ze voor journalisten en zelfs veel militaire analisten moeilijker te volgen. Microsoft heeft het Russische leger meerdere golven van destructieve cyberaanvallen zien lanceren tegen 48 verschillende Oekraïense instanties en bedrijven. Deze hebben geprobeerd netwerkdomeinen binnen te dringen door aanvankelijk honderden computers te omvatten en vervolgens malware te verspreiden die is ontworpen om de software en gegevens van duizenden anderen te vernietigen.

De Russische cybertactieken in de oorlog verschilden van de tactieken die werden ingezet bij de NotPetya-aanval op Oekraïne in 2017. Bij die aanval werd gebruik gemaakt van "wormbare" destructieve malware die van het ene computerdomein naar het andere kon springen en zo de grens naar andere landen kon overschrijden. Rusland is in 2022 voorzichtig geweest om destructieve "wissersoftware" te beperken tot specifieke netwerkdomeinen in Oekraïne zelf. Maar de recente en voortdurende destructieve aanvallen zelf zijn verfijnd en wijdverbreider dan veel rapporten erkennen. En het Russische leger blijft deze destructieve aanvallen aanpassen aan veranderende oorlogsbehoeften, onder meer door cyberaanvallen te koppelen aan het gebruik van conventionele wapens.

Een bepalend aspect van deze destructieve aanvallen tot nu toe was de kracht en het relatieve succes van cyberverdediging. Hoewel ze niet perfect zijn en sommige destructieve aanvallen succesvol zijn geweest, zijn deze cyberverdedigingsmiddelen sterker gebleken dan offensieve cybercapaciteiten. Dit weerspiegelt twee belangrijke en recente trends. Ten eerste hebben ontwikkelingen op het gebied van bedreigingsinformatie, waaronder het gebruik van kunstmatige intelligentie, het mogelijk gemaakt om deze aanvallen effectiever te detecteren. En ten tweede heeft internet-verbonden eindpuntbeveiliging het mogelijk gemaakt om snel beschermende softwarecode te verspreiden, zowel naar cloudservices als andere verbonden computerapparaten om deze malware te identificeren en uit te schakelen. Voortdurende innovaties in oorlogstijd en maatregelen met de Oekraïense regering hebben deze bescherming verder versterkt.

 

3. Netwerkpenetratie en spionageactiviteiten geallieerde regeringen

Ten derde, terwijl een coalitie van landen is samengekomen om Oekraïne te verdedigen, hebben Russische inlichtingendiensten de netwerkpenetratie en spionageactiviteiten opgevoerd die zich richten op geallieerde regeringen buiten Oekraïne. Bij Microsoft hebben we Russische netwerkinbraakpogingen gedetecteerd bij 128 organisaties in 42 landen buiten Oekraïne. Hoewel de Verenigde Staten het belangrijkste doelwit van Rusland waren, heeft deze activiteit ook prioriteit gegeven aan Polen, waar een groot deel van de logistieke levering van militaire en humanitaire hulp wordt gecoördineerd. Russische activiteiten waren ook gericht op Baltische landen, en in de afgelopen twee maanden is er een toename geweest van soortgelijke activiteiten gericht op computernetwerken in Denemarken, Noorwegen, Finland, Zweden en Turkije. We hebben ook een toename gezien van soortgelijke activiteiten gericht op de ministeries van Buitenlandse Zaken van andere NAVO-landen.

Russische targeting heeft prioriteit gegeven aan regeringen, vooral onder NAVO-leden. Maar de lijst met doelen omvatte ook denktanks, humanitaire organisaties, IT-bedrijven en leveranciers van energie en andere kritieke infrastructuur. Sinds het begin van de oorlog is de Russische beschieting die we hebben geïdentificeerd 29 procent van de tijd succesvol geweest. Een kwart van deze succesvolle inbraken heeft geleid tot bevestigde exfiltratie van de gegevens van een organisatie, hoewel dit, zoals uitgelegd in het rapport, waarschijnlijk de mate van Russisch succes onderschat.

We blijven het meest bezorgd over overheidscomputers die 'on-premise' draaien in plaats van in de cloud. Dit weerspiegelt de huidige en wereldwijde staat van offensieve cyberspionage en defensieve cyberbescherming. Zoals het SolarWinds-incident 18 maanden geleden aantoonde, hebben de Russische inlichtingendiensten uiterst geavanceerde mogelijkheden om code te implanteren en te werken als een Advanced Persistent Threat (APT) die voortdurend gevoelige informatie van een netwerk kan verkrijgen en exfiltreren. Sinds die tijd is er aanzienlijke vooruitgang geboekt op het gebied van defensieve bescherming, maar de implementatie van deze vooruitgang blijft ongelijker in Europese regeringen dan in de Verenigde Staten. Als gevolg hiervan blijven er aanzienlijke collectieve defensieve zwakheden.

 

4. Cyberbeïnvloedingsoperaties

Ten vierde voeren Russische agentschappen in coördinatie met deze andere cyberactiviteiten wereldwijde cyberbeïnvloedingsoperaties uit om hun oorlogsinspanningen te ondersteunen. Deze combineren tactieken die gedurende meerdere decennia door de KGB zijn ontwikkeld met nieuwe digitale technologieën en internet om operaties met buitenlandse invloed een groter geografisch bereik, meer volume, nauwkeurigere targeting en grotere snelheid en behendigheid te geven. Helaas zijn deze cyberbeïnvloedingsoperaties, met voldoende planning en verfijning, goed gepositioneerd om te profiteren van de al lang bestaande openheid van democratische samenlevingen en de publieke polarisatie die kenmerkend is voor de huidige tijd.

Naarmate de oorlog in Oekraïne vordert, richten Russische agentschappen hun cyberbeïnvloedingsoperaties op vier verschillende doelgroepen. Ze richten zich op de Russische bevolking met als doel de steun voor de oorlogsinspanning te behouden. Ze richten zich op de Oekraïense bevolking met als doel het vertrouwen in de bereidheid en het vermogen van het land om Russische aanvallen te weerstaan, te ondermijnen. Ze richten zich op Amerikaanse en Europese bevolkingsgroepen met als doel de westerse eenheid te ondermijnen en kritiek op Russische militaire oorlogsmisdaden af te wenden. En ze beginnen zich te richten op bevolkingsgroepen in niet-gebonden landen, mogelijk gedeeltelijk om hun steun bij de Verenigde Naties en op andere locaties te behouden.

Russische cyberbeïnvloedingsoperaties bouwen voort op en zijn verbonden met tactieken die zijn ontwikkeld voor andere cyberactiviteiten. Net als de APT-teams die binnen de Russische inlichtingendiensten werken, handelen de Advance Persistent Manipulator (APM)-teams van Russische overheidsinstanties via sociale media en digitale platforms. Ze positioneren valse verhalen op een manier die vergelijkbaar is met de pre-positionering van malware en andere softwarecode. Vervolgens lanceren ze een brede en gelijktijdige 'rapportage' van deze verhalen van door de overheid beheerde en beïnvloede websites en versterken ze hun verhalen door middel van technologische hulpmiddelen die zijn ontworpen om sociale-mediadiensten te exploiteren. Recente voorbeelden zijn onder meer verhalen over biolabs in Oekraïne en meerdere pogingen om militaire aanvallen op Oekraïense burgerdoelen te verdoezelen.

Als onderdeel van een nieuw initiatief bij Microsoft gebruiken we AI, nieuwe analysetools, bredere datasets en een groeiend aantal experts om deze cyberdreiging te volgen en te voorspellen. Met behulp van deze nieuwe mogelijkheden schatten we dat Russische cyberbeïnvloedingsoperaties de verspreiding van Russische propaganda na het begin van de oorlog met 216 procent in Oekraïne en 82 procent in de Verenigde Staten hebben vergroot.

Deze lopende Russische operaties bouwen voort op recente geavanceerde inspanningen om valse COVID-verhalen in meerdere westerse landen te verspreiden. Deze omvatten door de staat gesponsorde cyberbeïnvloedingsoperaties in 2021 die de adoptie van vaccins probeerden te ontmoedigen via Engelstalige internetrapporten en tegelijkertijd het gebruik van vaccins via Russischtalige sites aanmoedigden. In de afgelopen zes maanden probeerden vergelijkbare Russische cyberbeïnvloedingsoperaties de publieke oppositie tegen het COVID-19-beleid in Nieuw-Zeeland en Canada aan te wakkeren.

We zullen het werk van Microsoft op dit gebied de komende weken en maanden blijven uitbreiden. Dit omvat zowel interne groei als door de overeenkomst die we vorige week hebben aangekondigd om Miburo Solutions over te nemen, een toonaangevend bedrijf voor analyse en onderzoek van cyberdreigingen dat gespecialiseerd is in de detectie van en reactie op buitenlandse cyberbeïnvloedingsoperaties.

We zijn bezorgd dat veel huidige Russische cyberbeïnvloedingsoperaties momenteel maanden duren zonder goede detectie, analyse of openbare rapportage. Dit heeft in toenemende mate gevolgen voor een breed scala aan belangrijke instellingen in zowel de publieke als de private sector. En hoe langer de oorlog in Oekraïne duurt, hoe belangrijker deze operaties waarschijnlijk zullen worden voor Oekraïne zelf. Dit komt omdat een langere oorlog steun van het publiek zal vereisen tegen de onvermijdelijke uitdaging van grotere vermoeidheid. Dit zou de urgentie moeten vergroten om de westerse verdediging tegen dit soort buitenlandse cyberinvloedaanvallen te versterken.

 

5. Gecoördineerde en alomvattende strategie

Ten slotte vragen de lessen uit Oekraïne om een gecoördineerde en alomvattende strategie om de verdediging tegen het volledige scala van cyberdestructieve, spionage- en beïnvloedingsoperaties te versterken. Zoals de oorlog in Oekraïne illustreert, zijn er verschillen tussen deze bedreigingen, maar de Russische regering streeft ze niet na als afzonderlijke inspanningen en we moeten ze niet in afzonderlijke analytische silo's plaatsen. Bovendien moeten defensieve strategieën rekening houden met de afstemming van deze cyberoperaties met kinetische militaire operaties, zoals in Oekraïne.

Nieuwe ontwikkelingen nodig

Er zijn nieuwe ontwikkelingen nodig om deze cyberdreigingen af te wenden, en deze zullen afhangen van vier gemeenschappelijke principes en - tenminste op een hoog niveau - een gemeenschappelijke strategie.

  • Het eerste defensieve principe zou moeten erkennen dat Russische cyberdreigingen worden bevorderd door een gemeenschappelijke reeks actoren binnen en buiten de Russische regering en afhankelijk zijn van vergelijkbare digitale tactieken. Als gevolg hiervan zullen vorderingen in digitale technologie, AI en data nodig zijn om deze tegen te gaan.
  • Als gevolg hiervan zou een tweede uitgangspunt moeten erkennen dat cyberreacties, in tegenstelling tot de traditionele dreigingen uit het verleden, moeten steunen op meer publieke en private samenwerking.
  • Een derde grondbeginsel zou de noodzaak moeten omarmen van nauwe en gemeenschappelijke multilaterale samenwerking tussen regeringen om open en democratische samenlevingen te beschermen.

Een effectieve respons moet op deze principes voortbouwen met vier strategische pijlers. Deze moeten de collectieve capaciteit vergroten om;

  1. Buitenlandse cyberdreigingen beter te detecteren
  2. Te verdedigen,
  3. Te verstoren en
  4. Af te schrikken

Deze aanpak wordt al weerspiegeld in veel collectieve inspanningen om destructieve cyberaanvallen en cybergebaseerde spionage aan te pakken. Ze zijn ook van toepassing op het kritieke en lopende werk dat nodig is om ransomware-aanvallen aan te pakken. We hebben nu een vergelijkbare en alomvattende aanpak nodig met nieuwe capaciteiten en verdedigingen om Russische cyberbeïnvloedingsoperaties te bestrijden.

Zoals besproken in dit rapport, biedt de oorlog in Oekraïne niet alleen lessen, maar ook een oproep tot actie voor effectieve maatregelen die essentieel zijn voor de bescherming van de toekomst van de democratie. Als bedrijf zetten we ons in om deze inspanningen te ondersteunen, onder meer door voortdurende en nieuwe investeringen in technologie, data en partnerschappen die overheden, bedrijven, NGO's en universiteiten zullen ondersteunen.

Bron: microsoft.com

Microsoft Defending Ukraine Early Lessons From The Cyber War
PDF – 4,3 MB 117 downloads

Meer info over cyberwar 

Bekijk alle vormen en begrippen

 

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.

Meer cyberwar nieuws