Microsoft on julkaissut raportin Venäjän Ukrainaa vastaan käymän sodan kyberhyökkäyksistä osana laajaa hybridisodankäyntiä. Raportti kertoo myös Microsoftin toimista ukrainalaisten ihmisten ja organisaatioiden suojelemiseksi. Tämän tiedon jakaminen on tärkeää, jotta päättäjät ja tietoturvayhteisön toimijat voivat tunnistaa tällaiset hyökkäykset ja suojautua niitä vastaan. Työn perimmäinen päämäärä on suojella siviilejä hyökkäyksiltä, jotka voivat vaikuttaa suoraan heidän elämäänsä ja kriittisiin tietojärjestelmiin pääsyyn.
Jo ennen Venäjän hyökkäyksen alkua ja edelleen jatkuen Microsoft on havainnut ainakin kuuden venäjämielisen kansallisen toimijan käynnistäneen yli 237 Ukrainaan kohdistunutta operaatiota, mukaan lukien jatkuvat hyökkäykset, jotka uhkaavat siviilien hyvinvointia. Hyökkäyksiin on liittynyt myös laaja-alaista vakoilua ja tiedustelutoimintaa. Hyökkäykset ovat paitsi heikentäneet Ukrainan eri instituutioiden järjestelmiä, myös pyrkineet estämään ihmisten pääsyä luotettavan tiedon lähteille ja siviileille tarpeellisten kriittisten palvelujen piiriin. Niillä on pyritty horjuttamaan luottamusta valtion johtoon. On myös havaittu jonkin verran Naton jäsenmaihin kohdistuvaa vakoilutoimintaa sekä väärän informaation levittämistä.
Yhteys fyysisiin operaatioihin
Kuten Microsoftin raportissa todetaan, Venäjän kyberhyökkäyksillä vaikuttaa olevan vahva yhteys maan fyysisiin sotilasoperaatioihin, joiden kohteina ovat siviileille elintärkeät palvelut ja instituutiot. Venäjämieliset toimijat esimerkiksi käynnistivät kyberhyökkäyksiä merkittävää televisioyhtiötä vastaan 1.3., ja samana päivänä Venäjän armeija ilmoitti aikeistaan tuhota ukrainalaisia “valeuutisia levittäviä kohteita” ja suuntasi ohjusiskun TV-torniin Kiovassa. Sodan kolmannella viikolla, 13.3., toinen venäjämielinen toimija varasti dataa ydinturvallisuudesta vastaavalta organisaatiolta viikkoja sen jälkeen, kun Venäjän sotilasjoukot alkoivat ottaa haltuunsa ydinvoimaloita herättäen huolta säteilyaltistuksesta ja tuhoisista ydinonnettomuuksista. Kun Venäjän joukot piirittivät Mariupolin kaupunkia, ukrainalaiset alkoivat saada sähköpostia venäläiseltä näyttelijältä, joka tekeytyi Mariupolin asukkaaksi ja syytti Ukrainan hallitusta kansalaistensa “hylkäämisestä”.
Microsoftin havaitsemat tuhoisat hyökkäykset ovat olleet erityisen huolestuttavia: 32 % näistä hyökkäyksistä on kohdistunut suoraan Ukrainan hallinnon organisaatioihin niin kansallisella, alueellisella kuin paikallisellakin tasolla. Yli 40 % hyökkäyksistä on kohdistunut kriittiseen infrastruktuuriin, ja niillä on saattanut olla Ukrainan hallitukseen, asevoimiin, talouteen ja siviileihin kohdistuvia seurannaisvaikutuksia. Hyökkäyksiä tekevät toimijat käyttävät useita eri tekniikoita päästäkseen käsiksi kohteisiinsa – mukaan lukien tietojenkalastelu, päivittämättömien haavoittuvuuksien hyödyntäminen ja IT-palveluntarjoajien haavoittaminen. Toimijat myös usein muokkaavat haittaohjelmiaan useasti hyökkäysten aikana välttääkseen niiden havaitsemisen. Raportin mukaan tiedostoja ja ohjelmistoja tuhoavien wiper-haittaohjelmahyökkäysten tekijöinä on venäläismielinen toimija, josta Microsoft käyttää nimeä Iridium.
Raportti sisältää myös aikajanan Microsoftin havaitsemista Venäjän kyberoperaatioista. Venäjämieliset toimijat aloittivat sotaan valmistautumisen jo maaliskuussa 2021 lisäämällä Ukrainan tai maan liittolaisten organisaatioita vastaan kohdistettuja toimia murtautua Ukrainan järjestelmiin. Kun Venäjän joukot alkoivat lähestyä Ukrainan rajaa, havaitsimme yrityksiä tunkeutua kohteisiin, joiden avulla hyökkääjät voisivat saada tiedustelutietoa Ukrainan armeijasta ja ulkomaisista kumppaneista. Vuoden 2021 puoliväliin mennessä venäläisten toimet kohdistuivat myös toimitusketjujen järjestelmiin Ukrainassa ja ulkomailla, sillä tavoitteena oli pääsy Ukrainan järjestelmien lisäksi NATO:n jäsenmaiden järjestelmiin. Vuoden 2022 alussa, kun Venäjä oli keskittänyt joukkojaan Ukrainan rajoille eikä kasvavia jännitteitä onnistuttu purkamaan diplomatian keinoin, venäläiset toimijat kohdistivat yhä voimakkaampia wiper-haittaohjelmahyökkäyksiä ukrainalaisiin organisaatioihin. Sodan alettua Venäjä on tukenut armeijansa strategisia ja taktisia tavoitteita kyberhyökkäysten avulla. On todennäköistä, että havaitsemamme hyökkäykset ovat vain murto-osa Ukrainaan kohdistuvista toimista.
Tiivistä yhteistyötä Ukrainan viranomaisten kanssa
Microsoftin tietoturvatiimit ovat tunnistaneet ja torjuneet Ukrainan tietoliikenneverkkoihin kohdistuvia uhkia läheisessä yhteistyössä Ukrainan hallituksen edustajien ja julkishallinnon kyberturvayksiköiden sekä yksityisen sektorin yritysten kanssa. Tämän vuoden tammikuussa Microsoft Threat Intelligence Center (MSTIC) havaitsi wiper-haittaohjelmistoja yli kymmenessä tietoliikenneverkossa Ukrainassa. Varoitimme Ukrainan viranomaisia asiasta ja julkaisimme havaintomme. Tapauksen jälkeen Microsoft loi suojatun viestintäyhteyden Ukrainan keskeisten kyberturvaviranomaisten kanssa varmistaakseen, että yhtiö pystyy toimimaan nopeasti luotettavien kumppanien kanssa auttaakseen Ukrainan valtion virastoja, yrityksiä ja organisaatioita puolustautumaan hyökkäyksiltä. Tähän työhön sisältyy jatkuva uhkiin liittyvien tietojen jakaminen ja tekniset ratkaisut havaittujen haittaohjelmien tuhoamiseksi.
Koska venäläiset toimijat ovat tukeneet sotilaallisia toimia ja linjanneet kyberhyökkäyksensä niiden mukaisesti, me Microsoftilla uskomme, että tällaiset hyökkäykset lisääntyvät edelleen sodan jatkuessa. Venäjän valtiolliset toimijat saattavat ulottaa hyökkäyksiä myös Ukrainan ulkopuolelle kostaakseen niille maille, jotka lisäävät aseellista apua Ukrainalle ja osallistuvat Venäjän hallitukseen kohdistettuihin vastatoimiin. Microsoftin havaintojen mukaan Ukrainassa toimivat venäjänmieliset toimijat osoittavat kiinnostusta tai tekevät kyberhyökkäyksiä organisaatioihin esimerkiksi Baltian maissa ja Turkissa, jotka ovat Naton jäsenmaita ja ovat antaneet Ukrainalle poliittista, humanitääristä tai aseellista tukea.
Eri maiden kyberturvaviranomaisten julkaisemat varoitukset on syytä ottaa vakavasti ja suositellut toimet hyökkäyksiltä suojautumiseksi toteuttaa – etenkin valtion virastoissa ja infrastruktuurin kannalta kriittisissä yrityksissä. Microsoftin raportti sisältää ohjeita ja suosituksia organisaatioille, jotka saattavat joutua venäläisten toimijoiden kohteeksi, sekä teknistä tietoa kyberturvayhteisölle. Seuraamme tilannetta tiiviisti ja julkaisemme jatkossakin tietoa havaituista hyökkäyksistä.
Jos et vielä ole tehnyt seuraavia asioita suosittelemme, että vahvistat välittömästi järjestelmäsi noudattamaan kyberhygienian perusperiaatteita suojautuaksesi ennakoivasti mahdollisilta uhilta:
- Ota käyttöön monivaiheinen käyttäjätunnistus (MFA)
- Pyri antamaan käyttäjille mahdollisimman vähän oikeuksia ja varmista paljon oikeuksia omaavien käyttäjätunnusten tarpeellisuus
- Tarkista kaikki etäkäyttöön liittyvät tunnistautumistavat
- Varmista, että järjestelmiin on asennettu viimeisimmät tietoturvakorjaukset
- Käytä haittaohjelmien torjuntatyökaluja ja suojaudu palvelunestohyökkäyksiltä
- Eristä vanhat heikosti suojatut järjestelmät
- Ota käyttöön keskeisten toimintojen tapahtumien kirjaaminen (lokitus)
Lue lisää Microsoftin havoinnoista Ukrainassa:
• Tutustu raporttiin
• Blogikirjoitus: Disrupting cyberattacks targeting Ukraine
• Ohje organisaatioille: Protecting Exposed Environments