Nota do editor: A Microsoft publicou hoje o novo relatório de inteligência Defendendo a Ucrânia: Lições iniciais sobre a Guerra Cibernética. Esse relatório apresenta uma pesquisa conduzida pelas equipes de inteligência de ameaças e ciência de dados da Microsoft, com o objetivo de aprofundar nossa compreensão sobre o cenário de ameaças na guerra em curso na Ucrânia. O relatório também oferece uma série de lições e conclusões resultantes dos dados coletados e analisados. O relatório revela novas informações sobre os esforços russos, incluindo um aumento na penetração de redes e atividades de espionagem entre governos aliados, organizações sem fins lucrativos e outras organizações fora da Ucrânia. Esse relatório também revela detalhes sobre operações de influência estrangeira sofisticadas e generalizadas conduzidas pela Rússia que estão sendo usadas, entre outras coisas, para minar a unidade ocidental e reforçar os esforços de guerra russos. Estamos vendo essas operações de influência estrangeira sendo realizadas de forma coordenada, juntamente com toda a gama de campanhas cibernéticas destrutivas e de espionagem. Por fim, o relatório demanda uma estratégia coordenada e abrangente para fortalecer as defesas coletivas – tarefa que exigirá que o setor privado, o setor público, as organizações sem fins lucrativos e a sociedade civil se unam. O prefácio desse novo relatório, escrito pelo Presidente e Vice Chair da Microsoft, Brad Smith, oferece detalhes adicionais abaixo.
A história registrada de cada guerra normalmente inclui um relato dos primeiros tiros disparados e quem os testemunhou. Cada relato fornece um vislumbre não apenas do início de uma guerra, mas da natureza da época em que as pessoas viviam.
Historiadores que discutem os primeiros tiros na Guerra Civil americana em 1861 tipicamente descrevem armas, canhões e veleiros ao redor de um forte perto de Charleston, na Carolina do Sul, EUA.
Vários eventos culminaram no início da Primeira Guerra Mundial, em 1914, quando terroristas, em pleno dia em uma rua da cidade em Sarajevo, usaram granadas e uma pistola para assassinar o arquiduque do Império Austríaco-Húngaro.
Isso nos leva até os julgamentos de guerra de Nuremberg para entender com clareza o que aconteceu perto da fronteira polonesa 25 anos depois desses acontecimentos em 1914. Em 1939, tropas nazistas da SS vestiram uniformes poloneses e iniciaram um ataque contra uma estação de rádio alemã. Adolf Hitler citou tais ataques para justificar uma invasão que combinava tanques, aviões e tropas para invadir cidades e atacar civis poloneses – tática que seria chamada de blitzkrieg, ou guerra-relâmpago.
Cada um desses incidentes também fornece um relato da tecnologia da época — tecnologias que desempenhariam um papel fundamental na guerra que se seguiu e na vida das pessoas que viveram nela.
A guerra na Ucrânia segue esse padrão. Os militares russos cruzaram a fronteira ucraniana em 24 de fevereiro de 2022, com uma combinação de tropas, tanques, aeronaves e mísseis de cruzeiro. Mas os primeiros tiros foram disparados horas antes, quando o calendário ainda mostrava 23 de fevereiro. Eles envolveram uma arma cibernética chamada “Foxblade” que foi lançada contra computadores na Ucrânia. Refletindo a tecnologia do nosso tempo, aqueles entre os primeiros a observar o ataque estavam a meio mundo de distância, trabalhando em Redmond, Washington, nos Estados Unidos.
Tudo isso demonstra a importância de recuar e fazer um balanço dos primeiros meses da guerra na Ucrânia, que tem sido devastadora para o país em termos de destruição e perda de vidas, incluindo civis inocentes.
Embora ninguém possa prever quanto tempo esta guerra vai durar, já é evidente que ela reflete uma tendência observada em outros grandes conflitos nos últimos dois séculos. Os países travam guerras usando a mais recente tecnologia, e as próprias guerras aceleram as mudanças tecnológicas. Por isso, é importante avaliar continuamente o impacto da guerra no desenvolvimento e no uso da tecnologia.
A invasão russa se baseia, em parte, em uma estratégia cibernética que inclui pelo menos três esforços distintos, e às vezes coordenados – ataques cibernéticos destrutivos dentro da Ucrânia, penetração de redes e espionagem fora da Ucrânia e operações de influência cibernética direcionadas a pessoas em todo o mundo. Esse relatório fornece uma atualização e análises sobre cada uma dessas áreas e a coordenação entre elas. Também oferece ideias sobre como combater melhor essas ameaças nesta guerra e além, com novas oportunidades para os governos e o setor privado trabalharem de uma melhor forma juntos.
Os aspectos cibernéticos da guerra atual vão muito além da Ucrânia e refletem a natureza única do ciberespaço. Quando os países enviam códigos para a batalha, suas armas se movem à velocidade da luz. Os caminhos globais da internet significam que as atividades cibernéticas apagam grande parte da proteção de longa data fornecida por fronteiras, muros e oceanos. E a própria internet, ao contrário da terra, do mar e do ar, é uma criação humana que conta com uma combinação de propriedade, operação e proteção por setores público e privado.
Isso, por sua vez, requer uma nova forma de defesa coletiva. Esta guerra coloca a Rússia, uma potência cibernética, não apenas contra uma aliança de países. A defesa cibernética da Ucrânia depende criticamente de uma coalizão de países, empresas e ONGs.
O mundo agora pode começar a avaliar os pontos fortes e fracos, de maneira precoce e relativa, das operações cibernéticas ofensivas e defensivas. Onde as defesas coletivas estão frustrando os ataques, e onde elas estão falhando? Que tipos de inovações tecnológicas estão ocorrendo? E, de um ponto de vista crítico, que medidas são necessárias para nos defendermos efetivamente contra os ataques cibernéticos no futuro? Entre outras coisas, é importante basear essas avaliações em dados precisos e não ser enganado em um sentimento injustificado de tranquilidade a partir da percepção externa de que a guerra cibernética na Ucrânia não tem sido tão destrutiva quanto alguns temiam.
Este relatório oferece cinco conclusões que vêm dos primeiros quatro meses da guerra:
Em primeiro lugar, a defesa contra uma invasão militar agora exige, para a maioria dos países, a capacidade de financiar e distribuir operações digitais e ativos de dados através de fronteiras e em outros países. A Rússia, não surpreendentemente, teve como alvo o data center do governo da Ucrânia em um ataque inicial de mísseis de cruzeiro, e outros servidores “on premise”, da mesma forma, estavam vulneráveis a ataques de armas convencionais. A Rússia também focou seus ataques destrutivos “limpadores” nas redes de computadores locais. Mas o governo da Ucrânia tem sustentado com sucesso suas operações civis e militares, agindo rapidamente para construir sua infraestrutura digital na nuvem pública, hospedada em data centers por toda a Europa.
Isso envolveu passos urgentes e extraordinários de todo o setor de tecnologia, inclusive da Microsoft. Embora o trabalho do setor de tecnologia tenha sido vital, também é importante pensar nas lições mais duradouras que vêm desses esforços.
Em segundo lugar, os recentes avanços na inteligência de ameaças cibernéticas e na proteção de pontos de extremidade ajudaram a Ucrânia a suportar uma alta porcentagem de ataques cibernéticos destrutivos russos. Como as atividades cibernéticas são invisíveis a olho nu, elas são mais difíceis de serem rastreadas por jornalistas, e até mesmo por muitos analistas militares. A Microsoft viu os militares russos lançarem várias ondas de ataques cibernéticos destrutivos contra 48 agências e empresas ucranianas distintas. Esses ataques buscam penetrar em domínios de rede, inicialmente formados por centenas de computadores e, em seguida, espalhar um malware projetado para destruir o software e os dados em milhares de outros sistemas.
As táticas cibernéticas russas na guerra diferem das implantadas no ataque NotPetya contra a Ucrânia em 2017. Esse ataque usou um malware destrutivo “wormable” que poderia saltar de um domínio de computador para outro e, portanto, cruzar fronteiras para outros países. A Rússia tem sido mais cuidadosa em 2022, limitando o “software limpador” destrutivo a domínios de rede específicos dentro da própria Ucrânia. Mas os recentes e contínuos ataques destrutivos em si foram sofisticados e mais difundidos do que muitos relatórios reconhecem. E o exército russo continua a adaptar esses ataques destrutivos às mudanças nas necessidades de guerra, inclusive combinando ataques cibernéticos com o uso de armas convencionais.
Um aspecto definidor desses ataques destrutivos até agora tem sido a força e o relativo sucesso das defesas cibernéticas. Embora não sejam perfeitas, e alguns ataques destrutivos tenham sido bem-sucedidos, essas defesas cibernéticas têm se mostrado mais fortes do que as capacidades cibernéticas ofensivas. Isso reflete duas tendências importantes e recentes. Em primeiro lugar, os avanços na área de inteligência de ameaças, incluindo o uso de inteligência artificial, que ajudaram a tornar possível detectar esses ataques de forma mais eficaz. E segundo, a proteção de ponto de extremidade conectada à Internet tornou possível distribuir rapidamente o código de software de proteção para serviços de nuvem e outros dispositivos de computação conectados para identificar e desativar esse malware. As inovações e medidas em tempo de guerra com o governo ucraniano reforçaram ainda mais essa proteção. Mas a vigilância contínua e a inovação provavelmente serão necessárias para sustentar essa vantagem defensiva.
Em terceiro lugar, à medida que uma coalizão de países se reuniu para defender a Ucrânia, as agências de inteligência russas intensificaram as atividades de penetração e espionagem da rede visando governos aliados fora da Ucrânia. Na Microsoft, detectamos esforços russos de invasão de rede em 128 organizações em 42 países fora da Ucrânia. Embora os Estados Unidos tenham sido o alvo número um da Rússia, esta atividade também priorizou a Polônia, onde grande parte da logística de entrega de assistência militar e humanitária está sendo coordenada. As atividades russas também têm como alvo países bálticos, e nos últimos dois meses houve um aumento da atividade semelhante direcionada às redes de computadores na Dinamarca, Noruega, Finlândia, Suécia e Turquia. Também vimos um aumento nas atividades semelhantes direcionadas aos ministérios das Relações Exteriores de outros países da OTAN.
O exército russo tem priorizado governos, especialmente os membros da OTAN. Mas a lista de alvos também incluiu think tanks, organizações humanitárias, empresas de TI e de energia, entre outros fornecedores críticos de infraestrutura. Desde o início da guerra, os ataques russos identificados foram bem-sucedidos em 29% dos casos. Um quarto dessas invasões bem-sucedidas levou ao vazamento confirmado dos dados de uma organização, embora, como explicado no relatório, esse número provavelmente subestime o grau de sucesso russo.
Nossa maior preocupação continua sendo com os computadores do governo que estão funcionando “on premise”, e não na nuvem. Isso reflete o estado atual e global de espionagem cibernética ofensiva e a proteção cibernética defensiva. Como o incidente da SolarWinds demonstrou há 18 meses, as agências de inteligência russas têm capacidades extremamente sofisticadas para implantar códigos e operar como uma Ameaça Persistente Avançada (APT) que pode obter e vazar informações confidenciais de uma rede continuamente. Houve avanços substanciais na proteção defensiva desde então, mas a implementação desses avanços permanece mais desigual nos governos europeus do que nos Estados Unidos. Como resultado, ainda existem fraquezas defensivas coletivas importantes.
Em quarto lugar, em coordenação com essas outras atividades cibernéticas, as agências russas estão conduzindo operações globais de influência cibernética para apoiar seus esforços de guerra. Elas combinam táticas desenvolvidas pela KGB ao longo de várias décadas com novas tecnologias digitais e internet para dar às operações de influência estrangeira um alcance geográfico mais amplo, maior volume, direcionamento mais preciso e maior velocidade e agilidade. Infelizmente, com planejamento e sofisticação suficientes, essas operações de influência cibernética estão bem-posicionadas para aproveitar a abertura de longa data das sociedades democráticas e a polarização pública que é característica dos tempos atuais.
À medida que a guerra na Ucrânia progride, as agências russas estão concentrando suas operações de influência cibernética em quatro públicos distintos. Elas estão mirando a população russa com o objetivo de sustentar o apoio ao esforço de guerra. Elas estão mirando a população ucraniana com o objetivo de minar a confiança na vontade e na capacidade do país de resistir aos ataques russos. Elas têm como alvo populações americanas e europeias com o objetivo de minar a unidade ocidental e desviar as críticas aos crimes de guerra dos militares russos. E elas estão começando a atingir populações em países não alinhados, potencialmente em parte para fortalecer seu apoio nas Nações Unidas e em outras instituições.
As operações russas de influência cibernética se baseiam em e estão relacionadas a táticas desenvolvidas para outras atividades cibernéticas. Como as equipes de APT que trabalham dentro dos serviços de inteligência russos, equipes do APM (Advance Persistent Manipulator) associadas a agências governamentais russas atuam por meio de redes sociais e plataformas digitais. Eles pré-posicionam falsas narrativas de maneiras semelhantes ao pré-posicionamento de malware e outros códigos de software. Em seguida, eles lançam “coberturas” amplas e simultâneas dessas narrativas a partir de sites gerenciados e influenciados pelo governo, e amplificam suas narrativas por meio de ferramentas tecnológicas projetadas para explorar serviços de redes social. Exemplos recentes incluem narrativas em torno de laboratórios biológicos na Ucrânia e múltiplos esforços para ofuscar ataques militares contra alvos civis ucranianos.
Como parte de uma nova iniciativa na Microsoft, estamos usando a inteligência artificial, novas ferramentas de análises, conjuntos de dados mais amplos e uma equipe crescente de especialistas para rastrear e prever essas ameaças cibernéticas. Usando essas novas capacidades, estimamos que as operações russas de influência cibernética aumentaram com sucesso a disseminação da propaganda russa após o início da guerra em 216% na Ucrânia e 82% nos Estados Unidos.
Estas operações russas em curso baseiam-se em esforços sofisticados recentes para espalhar falsas narrativas sobre COVID em vários países ocidentais. Elas incluíram operações de influência cibernética patrocinadas pelo Estado em 2021, que buscavam desencorajar a adoção de vacinas por meio de relatórios de internet em inglês, ao mesmo tempo em que incentivavam o uso de vacinas em sites em russo. Durante os últimos seis meses, operações similares de influência cibernética russas procuraram inflamar a opinião pública contra as políticas contra a COVID-19 adotadas na Nova Zelândia e no Canadá.
Continuaremos a expandir o trabalho da Microsoft nesse campo durante as próximas semanas e meses. Isso inclui o crescimento interno quanto e o acordo que anunciamos na semana passada para adquirir a Miburo Solutions, uma empresa líder em análises e pesquisas de ameaças cibernéticas especializada na detecção e resposta a operações de influência cibernética estrangeiras.
Estamos preocupados com muitas operações de influência cibernética russas atualmente em execução, que podem se estender por meses sem detecção, análises ou relatórios públicos adequados. Isso impactaria cada vez mais muitas instituições importantes nos setores público e privado. E quanto mais tempo a guerra durar na Ucrânia, mais importantes essas operações provavelmente se tornarão para a própria Ucrânia. Isso ocorre porque uma guerra mais longa exigirá a sustentação do apoio público frente ao inevitável desafio da fadiga. Isso deve aumentar a urgência da importância de fortalecer as defesas ocidentais contra esses tipos de ataques de influência cibernética estrangeira.
Finalmente, as lições da Ucrânia exigem uma estratégia coordenada e abrangente para fortalecer as defesas contra toda a gama de operações cibernéticas destrutivas, de espionagem e de influência. Como ilustra a guerra na Ucrânia, embora existam diferenças entre essas ameaças, o governo russo não as adota como esforços separados, e não devemos colocá-las em silos analíticos separados. Além disso, as estratégias defensivas devem considerar a coordenação dessas operações cibernéticas com operações militares tradicionais, como testemunhado na Ucrânia.
Novos avanços para impedir essas ameaças cibernéticas são necessários, e eles dependerão de quatro princípios comuns, e pelo menos em um alto nível, de uma estratégia comum. O primeiro princípio defensivo deve reconhecer que as ameaças cibernéticas russas estão sendo postas em prática por um conjunto comum de atores dentro e fora do governo russo, que dependem de táticas digitais semelhantes. Como resultado, serão necessários avanços em tecnologias digitais, IA e dados para combatê-los. Refletindo isso, um segundo princípio deve reconhecer que, ao contrário das ameaças tradicionais do passado, as respostas cibernéticas devem contar com uma maior colaboração pública e privada. Um terceiro princípio deve abraçar a necessidade de uma colaboração multilateral próxima e comum entre os governos para proteger as sociedades abertas e democráticas. E um quarto e último princípio defensivo deve defender a liberdade de expressão e evitar a censura nas sociedades democráticas, mesmo que novas medidas sejam necessárias para enfrentar toda a gama de ameaças cibernéticas que incluem as operações de influência cibernética.
Uma resposta eficaz deve se basear nesses princípios com quatro pilares estratégicos. Eles devem aumentar as capacidades coletivas para melhor (1) detectar, (2) defender contra, (3) interromper e (4) deter ameaças cibernéticas estrangeiras. Essa abordagem já se reflete em muitos esforços coletivos para enfrentar ataques cibernéticos destrutivos e espionagem cibernética. Eles também se aplicam ao trabalho crítico e contínuo necessário para lidar com ataques de ransomware. Precisamos agora de uma abordagem semelhante e abrangente, com novas capacidades e defesas, para combater as operações russas de influência cibernética.
Como discutido nesse relatório, a guerra na Ucrânia fornece não apenas lições, mas um apelo à ação por medidas eficazes que serão vitais para a proteção do futuro da democracia. Como companhia, estamos comprometidos em apoiar esses esforços, inclusive por meio de investimentos contínuos e novos em tecnologias, dados e parcerias que apoiarão governos, empresas, ONGs e universidades.
