下面盘点了4月份以来,关于俄乌网络对抗的最新进展情况,以飨读者。
俄罗斯在战争期间广泛开展网络攻击
4月27日,美国微软公司于27日发布报告称,至少有六个受俄罗斯政府支持的黑客组织对乌克兰目标发动了近240次网络行动,造成乌克兰数十家组织的数据发生损坏,并导致乌克兰的信息环境陷入混乱。
微软称俄方黑客组织早在2021年3月就已为冲突做好准备,包括潜伏进乌方网络,以便收集战略和战场情报或协助日后的破坏性攻击。而在战争爆发后,近一半的破坏性网络攻击以关键基础设施为目标,很多时候都与导弹轰炸等物理攻击同时实施的。微软表示,截至4月8日,至少有八种不同的恶意软件被用于近40次破坏性网络攻击,导致乌克兰数十家组织的数百套系统出现永久性文件损坏。微软还声称,俄罗斯的网络攻击不仅削弱了目标组织的机能,还试图破坏乌克兰公民获得可靠信息和关键生活服务的途径,并动摇对乌克兰领导层的信心。
俄乌冲突推动DDoS攻击创历史新高
2022年4月26日,卡巴斯基的一份调查报告显示,自2月份以来,围绕俄乌争端导致的DDoS 攻击达到了空前的规模,使DDoS攻击数量突破了历史最高水平。
与 2021 年第四季度相比,2022 年第一季度的分布式拒绝服务 (DDoS) 攻击增加了 46%,报告显示,大部分攻击被用于针对俄罗斯。同时,DDoS 攻击的持续时间也比去年要长,几乎是2021年末的80倍。报告例举了上季度的一个例子,攻击者建立了一个类似于流行的益智游戏“2048”的网站,使对俄罗斯网站的攻击更像是一种招募他人发动额外攻击的游戏。
卡巴斯基安全专家亚历山大·古特尼科夫在一份声明中表示,DDoS攻击的上升趋势在很大程度上受到地缘政治局势的影响,非常不寻常的是 DDoS 攻击的持续时间很长,持续了数天甚至数周,表明攻击背后有政治因素推动。
匿名者泄露了5.8 TB的俄罗斯数据
2022年4 月 24 日,自从对俄罗斯宣布“网络战争”,匿名者现在已经发布了大约5.8 TB的俄罗斯数据。
匿名者在俄罗斯入侵乌克兰后对俄罗斯发起的#OpRussia攻击继续获得成功,其声称通过DDoSecrets发布了大约5.8 TB的俄罗斯数据。匿名者发誓要发布更多属于俄罗斯企业和政府的数据,包括一家商业银行在内的组织的数据。
俄罗斯国家赞助的关键基础设施面临的犯罪网络威胁
4月20日,美国,澳大利亚,加拿大,新西兰和英国的网络安全当局发布了一份联合网络安全咨询(CSA),警告组织俄罗斯入侵乌克兰可能会使该地区内外的组织面临俄罗斯国家赞助的网络行为者或与俄罗斯结盟的网络犯罪集团增加的恶意网络活动。
《联合CSA:俄罗斯国家赞助的关键基础设施犯罪网络威胁》,由联合网络防御合作组织的行业成员撰写,概述了俄罗斯国家赞助的高级持续性威胁组织,俄罗斯联盟的网络威胁团体和俄罗斯联盟的网络犯罪团体,以帮助网络安全社区防范可能的网络威胁。美国、澳大利亚、加拿大、新西兰和英国网络安全当局敦促关键基础设施网络防御者按照联合 CSA 中的建议,通过加强其网络防御来准备和缓解潜在的网络威胁。
与俄罗斯有联系的Shuckworm船员加大了对乌克兰的袭击
4月20日,一个与俄罗斯有联系的威胁组织自2014年首次出现以来几乎完全针对乌克兰,正在该国境内的系统上部署其恶意软件有效载荷的多种变体。
根据赛门铁克的威胁猎人团队的说法,Shuckworm团伙 - 也称为世界末日和Gamaredon - 正在使用其Pterodo后门的至少四种不同变体,这些后门旨在执行类似的任务,但与不同的命令和控制(C2)服务器进行通信。
“使用多种变体的最可能原因是,它可能提供一种在受感染的计算机上保持持久性的基本方法,” “如果一个有效载荷或[C2]服务器被检测到并阻止,攻击者可以回退到另一个有效载荷或[C2]服务器,并推出更多新变体来补偿。
盟国网络当局警告“不断发展的情报”指向即将到来的俄罗斯网络攻击
4月20日,美国联邦机构、盟国网络当局和工业界今天发布了迄今为止最严厉的警告,随着乌克兰战争进入第56天,俄罗斯针对私营企业和公共基础设施目标的网络攻击可能会增加。
网络安全和基础设施安全局(CISA)与联邦调查局,国家安全局以及澳大利亚,加拿大,新西兰和英国的网络安全当局一起发布了联合咨询,因为俄罗斯网络组织针对乌克兰地区内外的关键基础设施的威胁增加。
该通报指出了最近俄罗斯国家赞助的网络行动,包括分布式拒绝服务攻击,对乌克兰政府组织使用恶意软件以及网络犯罪集团最近对俄罗斯政府的公开承诺。
俄罗斯 Gamaredon APT 继续瞄准乌克兰
4月20日,与E有关的Gamaredon APT 组织(又名 Armageddon、Primitive Bear 和 ACTINIUM)继续以W为目标,并且正在使用自定义 Pterodo后门(又名Pteranodon)的新变种。
微软表示,自 2021 年 10 月以来,该网络间谍组织是最近一系列针对乌克兰实体和与乌克兰事务相关的组织的鱼叉式网络钓鱼攻击的幕后黑手。Gamaredon 至少从 2014 年开始就在乌克兰发起网络间谍活动。赛门铁克的研究人员透露,APT 组织在最近的攻击中使用了至少四种自定义 Pteredo 后门的变体。
五眼联盟警告与俄罗斯有关的威胁行为者的攻击
4月20日,五眼联盟的网络安全机构(美国、澳大利亚、加拿大、新西兰和英国)发布了 联合咨询 警告,警告与俄罗斯有关的威胁行为者对关键基础设施进行的网络攻击和犯罪网络威胁。
该警报警告组织,俄罗斯入侵乌克兰可能会导致整个欧洲的溢出效应。情报机构表示,与俄罗斯有关的 APT 组织正在探索潜在网络攻击的选项。
“不断变化的情报表明,俄罗斯政府正在探索潜在网络攻击的选项(更多信息请参见 2022 年 3 月 21 日美国总统拜登 的声明)。最近俄罗斯国家支持的网络行动包括 分布式拒绝服务 (DDoS) 攻击,而较早的行动包括 针对乌克兰政府和关键基础设施组织部署破坏性恶意软件。” “此外,一些网络犯罪组织最近公开承诺支持俄罗斯政府。”
俄罗斯科学家称他们有一个新系统来监控对俄罗斯互联网的攻击
4 月12日,随着俄罗斯对乌克兰城市的炮火袭击,来自世界各地的网络攻击者一直以拒绝服务攻击为目标,瞄准俄罗斯媒体、加密货币服务和零售品牌。一群俄罗斯科学家表示,他们已经开发出一种新工具来阻止此类攻击——但即便如此,也表明严厉的经济制裁正在改变俄罗斯的生活。
萨马拉大学的工程师开发了一种名为 NetTestBox 的工具来监控进出俄罗斯的互联网流量。俄罗斯《消息报》周一发表的一篇文章称,“系统获得的信息使您可以跟踪未经授权的数据泄露,查看哪些流量通过外国渠道,因此容易受到外部关闭的影响。” (与大多数俄罗斯媒体一样,该网站是国家控制的。)
乌克兰人说,俄罗斯黑客企图破坏电网
4 月 12 日,乌克兰政府表示,乌克兰政府击退了俄罗斯的网络攻击,该攻击摧毁多个变电站和为 200 万人服务的电网的其他部分。
Victor Zhora 说,俄罗斯军事情报黑客组织Sandworm是2016 年臭名昭著的乌克兰电网黑客攻击背后的一个多产且持续的行动,它使用了 2016 年事件中使用的“更先进和更复杂”的“ Industroyer ”恶意软件版本,乌克兰国家特殊通信和信息保护局副局长周二在与记者的简报会上。
斯洛伐克网络安全公司 ESET 和微软的分析师帮助乌克兰政府应对此次攻击。ESET 周二发布了对恶意软件的分析,将其称为“Industroyer2”。研究人员表示,他们相信它能够控制特定的工业控制系统,以切断不明电气设施的电力。
除了 Industroyer2,ESET 研究人员报告称,看到 Sandworm 部署了几个针对电气基础设施的破坏性恶意软件系列,这可能是为了混淆对破坏性黑客活动的任何分析并使系统无法运行和不可恢复的努力的一部分。
匿名者黑客入侵俄罗斯文化部
4月11日, 数据泄露服务 DDoSecrets平台公布了超过从俄罗斯政府窃取的700 GB 的数据,其中包括超过 500,000 封电子邮件。
该转储包括三个数据集,最大的一个与文化部有关,为 446 GB(包含 230,000 封电子邮件),负责国家有关艺术、电影摄影、档案、版权、文化遗产和审查的政策。通过 DDoSecrets 平台收集的其他数据包括布拉戈维申斯克市政府150 GB及特维尔州长办公室 116 GB数据。匿名者黑客继续威胁那些仍在俄罗斯运营并与莫斯科开展业务的公司和金融组织。匿名者黑客发送给意大利联合圣保罗银行的消息,该银行宣布自乌克兰战争开始以来已停止向俄罗斯和白俄罗斯同行提供所有新的融资,并已停止对俄罗斯和白俄罗斯金融工具的投资。
微软抢占俄罗斯域名,瞄准乌克兰
4月8日, 科技巨头微软表示,它已经控制了属于俄罗斯GRU相关,国家赞助的威胁组织Strontium的七个域名。微软表示,该组织也被称为APT28和Fancy Bear,利用这些域名瞄准乌克兰机构,如其媒体组织,并且还有美国和欧盟的政府实体和决策者。微软负责客户安全和信任的公司副总裁汤姆·伯特(Tom Burt)在上周四发表的一篇博客文章中说:“4月6日,我们获得了一项法院命令,授权我们控制Strontium用来进行这些攻击的七个互联网域。此后,我们将这些域重定向到由Microsoft控制的天坑,使我们能够减轻Strontium当前对这些域的使用,并启用受害者通知。根据微软的说法,Strontium正试图在其目标系统中建立持久访问或建立后门。伯特说,此举的目的可能是为俄罗斯对乌克兰的实际入侵提供战术支持,并泄露敏感信息。
情报机构加速使用商业空间图像来支持乌克兰
4月7日,自从俄罗斯入侵乌克兰之前,太空图像、遥感和通信卫星就一直在向公众提供信息,并帮助乌克兰军队和平民保持联系。由于与商业行业的合作伙伴关系,美国情报界能够迅速利用这些能力来增强其对该地区的支持,并加速几项正在进行的采购工作以提高计划采购的能力。
美国国家地理空间情报局商业和商业运营主管大卫·高蒂尔在太空研讨会上表示,随着俄罗斯准备入侵的迹象越来越明显,该机构努力将其商业光电图像的购买量增加一倍。
高蒂尔和他的团队开始积极行动,将乌克兰的分析师与公司直接联系起来,以便更快地提供服务。他指出,目前正在加快收购一些“新的、未经检验的商业服务”,以可以支持人道主义援助工作。
微软删除了用于攻击乌克兰的 APT28 域
4月7日,微软在摧毁了7 个用作攻击基础设施的域后,成功阻止了由俄罗斯 APT28 黑客组织协调的针对乌克兰目标的攻击。
与俄罗斯军事情报机构 GRU 相关联的 Strontium(也被称为 Fancy Bear 或 APT28)使用这些域来针对多个乌克兰机构,包括媒体组织。这些域名还被用于攻击涉及外交政策的美国和欧盟政府机构和智囊团。
俄罗斯石油巨头 Gazprom Neft 的网站遭黑客攻击
4月7日, 俄罗斯国家天然气公司 Gazprom 的石油部门 Gazprom Neft 的网站因涉嫌黑客攻击而被迫下线,这是俄罗斯入侵乌克兰后,其政府相关网站最新遭遇的黑客攻击。Gazprom Neft 是俄罗斯第三大石油生产商,它是俄罗斯天然气工业股份公司的子公司。上个月,据称有多个乌克兰新闻网站遭到了俄罗斯的黑客攻击,并向访问者展示了“Z”符号。乌克兰国家特别通信和信息保护局也证实了这一事件,并将责任归咎于俄罗斯国家支持的行为者。
乌克兰发现与俄罗斯相关"世界末日"网络钓鱼攻击
4月5日,乌克兰计算机应急响应小组(CERT-UA)发现了新型网络钓鱼攻击,这些攻击归因于名为“世界末日(Gamaredon)”的俄罗斯威胁组织。该组织自2014年以来一直以乌克兰为目标,被认为是俄罗斯联邦安全局(FSB)的一部分。根据乌克兰特勤局2021年11月发布的详细技术报告,“世界末日”已对该国1500个关键实体发起了至少5000次网络攻击。乌克兰军队此前已经确定了世界末日网络部队的成员,暴露了他们的工具集,并将定制恶意软件的开发工作追踪到俄罗斯黑客论坛。
“世界末日”以乌克兰为攻击目标,向该国政府机构分发有关“俄罗斯联邦战犯信息”的电子邮件;“世界末日”二以欧盟政府为攻击目标,向政府官员发送名为“Assistance”和“
Necessary_military_assistance”的压缩文件。这些恶意电子邮件试图使用以乌克兰战争为主题的诱饵来欺骗收件人,并使用以间谍活动为重点的恶意软件感染目标系统。
