對烏克蘭的網絡攻擊被戰略性地用于支持地面戰役,該網絡襲擊在2月份由五個國家支持的高級持續威脅(APT)組織支持開(kāi)始組織實施。根據微軟周三發布的研究,參與這些活動的APT主要由俄羅斯贊助。
本周發布的單獨報告也揭示了與俄羅斯有聯系的APT對烏克蘭數字資(zī)産的網絡攻擊浪潮。微軟研究人員(yuán)認爲,六個與俄羅斯結盟的威脅行爲者進行了237次網絡攻擊操作,其行爲對于平民福利構成威脅,其同時也試圖對烏克蘭目标進行數十次網絡間諜攻擊。
此外(wài),根據微軟客戶安全和信托公司副總裁Tom Burt的一(yī)篇博客文章指出,俄羅斯被認爲在某種“混合戰争”中(zhōng)使用網絡攻擊。他說,這與“針對對平民至關重要的服務和機構的動态軍事行動”有關。Burt在其博客中(zhōng)寫道:這些襲擊不僅破壞了烏克蘭的機構系統,還試圖破壞人們獲得平民賴以生(shēng)存的可靠信息和關鍵生(shēng)活服務的機會,并以此試圖動搖民衆對該國領導層的信心。
與此同時,烏克蘭計算機應急小(xiǎo)組(CERT-UA)的研究人員(yuán)一(yī)直在自己分(fēn)析在戰争前和戰争期間阻礙該國的網絡攻擊。該機構表示僅在2022年第一(yī)季度,它就記錄了802起網絡攻擊,是去(qù)年同期362次的兩倍多。CERT-UA表示,實施這些襲擊主要是五個已知(zhī)的俄羅斯或白(bái)俄羅斯贊助的APT發起。具體(tǐ)來說,這些群體(tǐ)是:世界末日/Garmaredon、UNC1151、Fancy Bear/APT28、AgentTesla/XLoaderPandorahVNC/GrimPlant/GraphSteel。
混合戰争
研究人員(yuán)表示,微軟安全團隊一(yī)直在與烏克蘭政府官員(yuán)以及政府和私營企業網絡安全人員(yuán)密切合作,以識别和補救針對烏克蘭網絡的威脅活動。
據報道,俄羅斯在俄烏戰争開(kāi)始前一(yī)年或2021年3月以來就在網絡空間爲與烏克蘭的陸地沖突做準備。微軟研究人員(yuán)發現,在地面沖突和随後的入侵發生(shēng)之前,已知(zhī)或可疑的威脅組織正每周以兩到三起事件的速度在目标烏克蘭網絡上不斷開(kāi)發和使用惡意軟件或類似破壞性工(gōng)具進行網絡攻擊。在報告中(zhōng)他們認爲:從2月23日至4月8日,微軟團隊看到了近40次離(lí)散破壞性襲擊的證據,而這些襲擊永久摧毀了烏克蘭數十個組織數百個系統中(zhōng)的文件。
甚至在此之前,微軟在1月份就發現了一(yī)次主引導記錄(MBR)雨刷攻擊,并将其命名爲WhisperGate,目标是烏克蘭,試圖永久擾亂全國各地的組織,并将烏克蘭描述爲失敗的國家。雨刮器是破壞性最大(dà)的惡意軟件類型,因爲它們會永久删除和破壞數據和/或系統,給受害者造成巨大(dà)的财務和聲譽損失。
從2月底到3月中(zhōng)旬,随着俄羅斯開(kāi)始實際入侵,另一(yī)系列使用名爲HermeticWiper、IsaacWiper和CaddyWiper的惡意軟件的雨刷攻擊瞄準了烏克蘭的組織。
對關鍵基礎設施的攻擊
微軟在其最新報告中(zhōng)表示,40%以上的對烏克蘭的破壞性襲擊是針對關鍵基礎設施部門的組織,這些部門可能會對政府、軍隊、經濟和國家人民産生(shēng)負面的次生(shēng)影響。此外(wài),32%的破壞性事件也影響了烏克蘭國家、地區和城市各級的政府組織。
研究人員(yuán)寫道:“我(wǒ)(wǒ)們承認存在我(wǒ)(wǒ)們看不到的持續活動,我(wǒ)(wǒ)們估計烏克蘭網絡上至少被部署了八個破壞性惡意軟件集群,包括一(yī)個專門針對工(gōng)業控制系統(ICS)的軟件集群。如果威脅行爲者能夠保持目前的開(kāi)發和部署速度,我(wǒ)(wǒ)們預計随着沖突的繼續,将發現更具破壞性的惡意軟件。”
該報告中(zhōng)列舉了網絡攻擊的詳情包括攻擊的具體(tǐ)時間表和襲擊最初幾周用于支持俄羅斯軍事活動的惡意軟件。除了前面提到的雨刷外(wài),攻擊中(zhōng)部署的其他惡意軟件包括:FoxBlade、DesertBlade、FiberLake、SonicVote和Industroyer2。
網絡襲擊的慣犯
在CERT-UA披露頂級ATP在網絡空間打擊烏克蘭之後,研究公司Recorded Future的The Record更深入地相互研究,以研究其具體(tǐ)隸屬關系和工(gōng)作方式。
Armageddon/Garmaredon是一(yī)個侵略性威脅行爲者,自2014年以來一(yī)直以烏克蘭爲目标,并得到俄羅斯聯邦安全局(FSB)的支持。據研究人員(yuán)稱,在俄羅斯對烏克蘭的戰争期間,該組織使用網絡釣魚攻擊分(fēn)發惡意軟件,這是“Backdoor.Pterodo”惡意軟件有效負載的最新變體(tǐ)。
研究人員(yuán)援引Mandiant的研究表示,UNC1151是一(yī)個與白(bái)俄羅斯結盟的黑客組織,自2016年以來一(yī)直活躍,此前一(yī)直以烏克蘭、立陶宛、拉脫維亞、波蘭和德國的政府機構和私人組織爲目标,并襲擊了白(bái)俄羅斯持不同政見者和記者的網絡電(diàn)子設備。
而自俄羅斯襲擊烏克蘭UNC1151以來,該組織通過傳播MicroBackdoor惡意軟件等方式,一(yī)直與多個烏克蘭政府網站的受襲以及針對烏克蘭軍事人員(yuán)的電(diàn)子郵件和Facebook帳戶的網絡釣魚活動有關。
Fancy Bear/APT 28是一(yī)個知(zhī)名且多産的組織,自2017年以來一(yī)直活躍,并得到俄羅斯軍事情報局(GRU)的支持。這個出于政治動機的團體(tǐ)與旨在影響歐盟和美國選舉以及與攻擊2020年東京奧運會有關的體(tǐ)育當局的活動有關。
研究人員(yuán)表示,2月24日,即俄羅斯襲擊烏克蘭的當天,Fancy Bear襲擊了美國衛星通信提供商(shāng)Viasat在烏克蘭的KA-SAT網絡,使許多烏克蘭人無法訪問互聯網,因此在襲擊開(kāi)始的關鍵時刻無法進行及時有效的通信。
俄羅斯威脅行爲者至少自2014年和2020年以來分(fēn)别使用AgentTesla和XLoader惡意軟件;兩者都用于備受矚目的攻擊。研究人員(yuán)表示,在俄羅斯入侵烏克蘭期間,一(yī)場針對烏克蘭國家組織的惡意電(diàn)子郵件活動使用XLoader作爲其有效載荷,進而針對烏克蘭公民進行了網絡釣魚活動。
研究人員(yuán)表示,Pandora hVNC/GrimPlant/GraphSteel在統一(yī)的“大(dà)象框架”或用同一(yī)語言編寫,并在針對政府組織的網絡釣魚攻擊中(zhōng)充當下(xià)載器和滴管。他們說,在3月份的兩次單獨的惡意網絡釣魚活動中(zhōng),它們被用來攻擊烏克蘭目标,從政府官員(yuán)那裏竊取敏感信息等。
烏克蘭網絡攻擊的曆史
3月,卡巴斯基的全球研究和分(fēn)析團隊(GReAT)概述了其對烏克蘭當前和過去(qù)網絡攻擊的跟蹤。
“未來六個月,烏克蘭的網絡攻擊數量将進一(yī)步增加。雖然目前大(dà)多數攻擊的複雜(zá)性較低——例如DDoS或使用商(shāng)品和低質量工(gōng)具的攻擊——但也存在更複雜(zá)的攻擊,預計還會有更多攻擊,”卡巴斯基研究人員(yuán)寫道。
卡巴斯基報告補充說:“目前的複雜(zá)活動包括使用HermeticWiper,這因其複雜(zá)性而脫穎而出,以及Viasat‘網絡事件’——部分(fēn)網絡中(zhōng)斷影響了烏克蘭和歐洲KA-SAT網絡上固定寬帶客戶的互聯網服務,影響了歐洲3萬多個終端。
本文轉載自安全牛