När Ryssland gick in i Ukraina för precis ett år sedan föregicks invasionen av en strid ström cyberattacker mot ukrainska mål.

Cyber har fortsatt vara en central komponent i krigföringen, där ryska hackargrupperingar skiftat fokus mot Ukraina och genomfört ihållande attacker mot landets digitala infrastruktur, medan flera västerländska cybersäkerhets- och techbolag slutit upp bakom Ukraina och bistått med programvara, skydd, information och andra tjänster.

Marcus Murray på svenska Truesec, Phil Venables på Google Cloud, Geoff Brown på underrättelsebolaget Recorded Future och Mikko Hyppönen på Withsecure har alla djup insikt i den digitala aspekten av kriget.

Computer Sweden har talat med dem för att ta reda på hur konflikten förändrat såväl cybersäkerheten som hotlandskapet.

Ett par punkter står klart:

  • Kriget har förändrat hela hotlandskapet ur ett cyberperspektiv. Försvarsmakter i väst håller nu på att omdefiniera sina strategier när de vet hur viktig cyberkomponenten är i moderna krig.
  • Ukraina har varit framgångsrika på att försvara sina system. De har sedan 2014 byggt upp erfarenheter som inget annat land när det gäller att skydda sig mot riktiga cyberangrepp. Andra viktiga faktorer har varit väl fungerande informationsdelning och samarbeten, både när det gäller mellan företag och myndigheter och över nationsgränserna.
  • De befarade storskaliga cyberangreppen mot infrastruktur i västländerna har hittills uteblivit. Det kan handla om att Rysslands alla resurser går åt till Ukraina, att de ”sparas” till ett senare skede eller att skyddet varit framgångsrikt. Men det går inte att luta sig tillbaka.

Marcus Murray: ”Hackargrupper aktiva i väst som aldrig förr”

Marcus Murray, grundare av Truesec, berättar att det svenska cybersäkerhetsföretaget under krigets inledning hade en roll i ett arbete som handlade om att säkra information som rörde helt vitala delar av samhället, som passregister, medborgarregister och fastighetsregister. Denna fanns lagrad i datacenter i Kiev, men då de initiala prognoserna var att Ryssland skulle inta huvudstaden på bara några dagar, var det bråttom att få upp uppgifterna i molnet.

– Det handlade om att rädda landets databaser. De där uppgifterna finns inte i några pärmar. Det var lättare sagt än gjort, det är enorma mängder data det handlar om, men det gick.

– En lärdom från det var att den debatt vi har här hemma om vad som är okej att lagra i molnet hamnade i ett helt annat perspektiv, säger han.

Marcus Murray, grundare av Truesec.
Marcus Murray, grundare av Truesec.

Kriget har haft stor inverkan cybersäkerheten generellt och på hela hotlandskapet, fortsätter Marcus Murray. Det här är första gången som cyber är en helt integrerad komponent i krigföringen. Nästan varenda attack i början föregicks av cyberangrepp.

– När Ryssland gick in i Ukraina föregicks det av att de slog ut deras satellitsystem, när de tog över kärnkraftverk hade de redan slagit ut datorerna och så vidare.

Kontentan av detta, fortsätter han, blir att Sveriges och andra försvarsmakter behöver omdefiniera och uppdatera sina försvarsplaner. Nu vet man hur viktigt cyber är i krigföringen, tidigare har man bara kunnat tro.

Ukraina har drabbats av tusental cyberangrepp sedan början av kriget, säger Marcus Murray, alltifrån påverkanskampanjer till sabotage. Men även landets allierade har drabbats, däribland Sverige. Den grupp som kallade sig Anonymous Sudan och som legat bakom en rad överbelastningsattacker mot svenska organisationer de senaste veckorna består av ett nätverk av ryska aktörer som har fokus på Ukraina, säger han.

– De attackerna har utan tvekan en koppling till Sveriges Natoansökan.

Marcus Murray säger att det allt mer fientliga geopolitiska landskapet överlag har inneburit stora förändringar för cybersäkerheten och hotbilden. Gränser har flyttats fram. Ryska hackargrupper har varit aktiva i väst som aldrig förr. Det har i sin tur skapat en motreaktion hos grupper i väst. Sedan flyttar även Kina fram positionerna.

– Det har skett en väldig eskalering från såväl stater som grupper och individer med digital förmåga.

– Det här kommer att fortsätta och öka. Nu diskuterar man i ryska duman om man ska legalisera cyberbrott om de är i linje med ryska intressen. Dessutom innebär sanktionerna att Ryssland måste bygga upp en egen industri på många områden, vilket ökar risken för informationsstölder.

Google: Detta är målet med de ryska informationsoperationerna

Google har bland annat donerat 50 000 Workspace-licenser, flyglarmsystem för Androidtelefoner och försett landet med skydd mot överbelastningsattacker.

När vi tidigare i februari träffade Phil Venables som är informationssäkerhetschef på Google Cloud, berättade han att Googles erfarenheter från året bland annat resulterat i en rapport som företaget genomfört tillsammans med hotanalysteamet på Mandiant – Fog of war: how the Ukraine conflict transformed the cyber threat landscape.

Hur skulle då Phil Venables säga att hotlandskapet förändrats som en följd av kriget?

– Det har ju varit väldigt aggressiva attacker från Ryssland på den ukrainska infrastrukturen under året, och vi har lagt mycket tid på att hjälpa Ukraina försvara sig. Vi har också sett Ryssland attackera olika Nato-länder som stödjer Ukraina.

– Förutom det så har det varit fortsatta ryska desinformationskampanjer som vi måste vara uppmärksamma på. Där kan man säga att det varit mer av samma saker vi sett även tidigare.

Phil Venables, it-säkerhetschef på Google Cloud.
Phil Venables, it-säkerhetschef på Google Cloud.

Ibland talas det om att ransomware-attackerna minskat som en följd av kriget, och att de ryska gängen har fått fokusera på andra saker än att angripa företag i väst?

– Det ligger en del i det. En del av ransomware-gängen har förändrat sina operationer. Men jag tror också att vi kan se viss effekt av sanktionerna runt hur betalningarna sker. Därtill har många organisationer förbättrat sina skydd mot ransomware och blivit bättre på att hålla systemen uppdaterade.

I rapporten konstateras bland annat:

Att ryska statsstödda angripare ”har engagerat sig i en aggressiv, mångsidig ansträngning för att få en avgörande krigsfördel i cyberrymden, ofta med blandade resultat”. Olika grupper har skiftat fokus mot Ukraina och det har skett en dramatisk ökning av destruktiva attacker mot myndigheter, militär och civil infrastruktur. Men även nätfiske-aktiviteter riktad mot Nato-länder har skjutit i höjden och de har också sett en ökning av cyberoperationer där angripare gjort intrång och läckt information för att bygga ett visst narrativ.

Ryssland har också arbetat hårt med informationsoperationer i allt från statsstödd media till hemliga plattformar och konton för att påverka allmänhetens uppfattning om kriget. Målsättningen har varit att undergräva den ukrainska regeringen, spräcka det internationella stödet till landet och upprätthålla ett starkt inhemskt stöd i Ryssland för kriget.

Det konstateras också att invasionen medfört en anmärkningsvärd förändring i det östeuropeiska cyberkriminella ekosystemet ”som sannolikt kommer att få långsiktiga konsekvenser för både samordning mellan kriminella grupper och omfattningen av cyberbrottslighet över hela världen”.

En del grupper har splittrats och andra har förlorat viktiga operatörer, något som påverkar försvararnas etablerade förståelse av deras kapacitet. I ransomware-ekosystemet ser de en trend mot specialisering och att strategier delas mellan olika aktörer, vilket gör det svårare att definiera grupperna.

Före detta medlemmar av den beryktade Conti-gruppen har återanvänt sina tekniker med udden mot Ukraina.

Vad de däremot inte sett är några vågor av attacker mot kritisk infrastruktur utanför Ukraina.

Recorded Future: ”Informationsdelning, samarbete och snabb respons är nycklar i försvaret”

Svenskgrundade Recorded Future har med sin saas-baserade tjänst för underrättelseanalys hjälpt Ukraina med information, donerat programvara och andra tjänster.

Geoff Brown är chef över Global Intelligence Platforms och har lett en stor del av Recorded Futures arbete i Ukraina. Han säger att Ukraina stått inför oupphörliga, ihållande och mångfacetterade attacker inte bara mot kritisk infrastruktur utan mot i stort sett alla sektorer.

– Det har varit ddos-attacker och förstörelse av webbplatser från proryska hacktivistiska grupper, som Killnet, finansiellt motiverade kriminella aktörer som läckt känslig ukrainsk information till Dark web, sofistikerade ATP-attacker mot statliga, militära och elektriska system. Bara för att ta ett par exempel, säger han.

Det finns också exempel på att destruktiva attacker spillt över på angränsande länder, som till exempel vid Acid Rain-attacken som påverkade organisationer i Tyskland.

Geoff Brown säger att kriget i Ukraina har satt fingret på hur viktigt det är med ett kollektivt försvar, inte bara på slagfältet utan även i cyberrymden. Ukraina står som en modell för samarbete mellan cybersäkerhets- och hotintelligensbranschen, statliga och privata partners för att avvärja avancerade och ihållande attacker.

Den kollektiva försvarsstrategin, tillsammans med den erfarenhet som Ukraina skaffat sig åtminstone sedan 2014, har gjort att de på ett framgångsrikt sätt kunnat avvärja dessa attacker.

Recorded Future har hittills inte sett den nivå av störande eller destruktiva statligt stödda cyberattacker mot västerländska eller allierade nationer som de hade befarat. Hotaktörerna har hittills fokuserat på Ukraina även om det varit en del nätfiske-attacker mot västerländska enheter. Men han utesluter heller inte att attackerna kommer, på kort eller längre sikt.

– Vaksamhet och en stark cybersäkerhet kommer att vara nödvändigt för att avskräcka sådana attacker, säger han.

Det är inte helt klarlagt varför det inte kommit några fullvärdiga attacker mot väst från de här grupperna, fortsätter han. En bedömning är att grupperna har begränsade resurser som fått riktas in mot Ukraina.

Andra pekar att grupperna håller på de större attackerna att ha som en reserv för senare. Ytterligare andra framför möjligheten att skyddat varit så pass framgångsrikt att attackerna kunnat avvärjas innan de hunnit ställa till riktigt skada.

Det kan också vara så att attacker sker utan vi vet om det.

– Men vad som är helt klart är att det vore ett misstag att underskatta motståndarna, och alla enheter som har en koppling till Ukraina och deras försvar måste vara extremt vaksamma.

Vilka lärdomar kan man då dra från det gångna året? Geoff Brown säger att en av de viktigaste orsakerna till att Ukrainas cyberförsvar har haft framgång har varit samarbetet med cybersäkerhetsindustrin.

– Den snabba delningen av information, samarbete och snabb respons har gjort så att ukrainska försvarare har kunnat förhindra eller motverka attacker i realtid.

– Kriget har också visat att nationalistisk hacktivism har återuppstått efter ett par lugna år. Att begränsa hacktivistiska attacker genom att placera applikationer bakom en ddos-reducerande plattform, genom phising-utbildning och patchsystem kan åstadkommas utan större svårigheter.

Geoff Brown pekar också på vikten av att arbeta mot desinformation genom utbildningsinsatser och stärka förtroendet för media.

Mikko Hyppönen: Så bör företagen tänka i det nya hotlandskapet

Det har varit ett stökigt år, men inte så stökigt som vi trodde när kriget startade. Det säger Mikko Hyppönen, forskningschef på finländska säkerhetsbolaget Withsecure. Ukraina har utsatts konstant, både av destruktiva attacker och av cyberspionage.

När det gäller attackerna som kommer från ryska staten är det stor skillnad på vilken underrättelse- eller säkerhetstjänst som ligger bakom dem, säger Mikko Hyppönen.

– GRU står för de synliga, bullriga och destruktiva, som Industroyer2, HermeticWiper och troligen KA-SAT-attacken. SVR och FSB flyger under radarn och riktar in sig på underrättelseinsamling och spioneri.

Förutom traditionell radering (wiping) har åtminstone två ransomware-familjer träffat mål inne i Ukraina, fortsätter han.

– Man kan fråga sig varför vi inte sett mer, säger han. Det beror på att kriget var dåligt planerat, även cyberelementen i det.

mikko
Mikko Hyppönen, forskningschef på Withsecure

De flesta operationerna utanför Ukraina har genomförts av ryska, nationalistiska hackare som använt sig av sitt favoritverktyg, ddos, eller överbelastningsattacker, menar Mikko Hyppönen vidare. Han nämner grupper som Noname57, Killnet och Xaknet. Förmodligen även den grupp som kallar sig Anonymous Sudan och som attackerade flera svenska webbplatser i februari.

– De flesta av de här grupperna dök upp från ingenstans när kriget började. Under de första veckorna var det mycket fler enskilda hackargrupperingar som stödde Ukraina än Ryssland, men det har sakta förändrats under året.

Utöver detta nämner Mikko Hyppönen informationsoperationerna. Han ger ett exempel från Finland där det nu närmar sig val och mängden finskspråkiga ryska trollkonton har ökat rejält.

– Favoritämnet är naturligtvis Nato, säger han.

Hur tycker du att företag i Sverige eller Finland ska rusta sig för det nya hotlandskapet?

– De bör göra sina hotbedömningar. Är vi ett möjligt mål för ryska statsstödda hackare? Eller för ryska nationalistiska hackargrupper? Är vi ett mål för kriminella? Svaren på dessa frågor är olika för olika organisationer. Använd era begränsade resurser och budgetar på rätt ställe.