對烏克蘭的網(wǎng)絡攻擊被戰(zhàn)略性地用于支持地面戰(zhàn)役，該網(wǎng)絡襲擊在2月份由五個國家支持的高級持續(xù)威脅（APT）組織支持開始組織實施。根據(jù)微軟周三發(fā)布的研究，參與這些活動的APT主要由俄羅斯贊助。

　　本周發(fā)布的單獨報告也揭示了與俄羅斯有聯(lián)系的APT對烏克蘭數(shù)字資產的網(wǎng)絡攻擊浪潮。微軟研究人員認為，六個與俄羅斯結盟的威脅行為者進行了237次網(wǎng)絡攻擊操作，其行為對于平民福利構成威脅，其同時也試圖對烏克蘭目標進行數(shù)十次網(wǎng)絡間諜攻擊。

　　此外，根據(jù)微軟客戶安全和信托公司副總裁Tom Burt的一篇博客文章指出，俄羅斯被認為在某種“混合戰(zhàn)爭”中使用網(wǎng)絡攻擊。他說，這與“針對對平民至關重要的服務和機構的動態(tài)軍事行動”有關。Burt在其博客中寫道：這些襲擊不僅破壞了烏克蘭的機構系統(tǒng)，還試圖破壞人們獲得平民賴以生存的可靠信息和關鍵生活服務的機會，并以此試圖動搖民眾對該國領導層的信心。

　　與此同時，烏克蘭計算機應急小組（CERT-UA）的研究人員一直在自己分析在戰(zhàn)爭前和戰(zhàn)爭期間阻礙該國的網(wǎng)絡攻擊。該機構表示僅在2022年第一季度，它就記錄了802起網(wǎng)絡攻擊，是去年同期362次的兩倍多。CERT-UA表示，實施這些襲擊主要是五個已知的俄羅斯或白俄羅斯贊助的APT發(fā)起。具體來說，這些群體是：世界末日/Garmaredon、UNC1151、Fancy Bear/APT28、AgentTesla/XLoader和Pandora hVNC/GrimPlant/GraphSteel。

　　混合戰(zhàn)爭

　　研究人員表示，微軟安全團隊一直在與烏克蘭政府官員以及政府和私營企業(yè)網(wǎng)絡安全人員密切合作，以識別和補救針對烏克蘭網(wǎng)絡的威脅活動。

　　據(jù)報道，俄羅斯在俄烏戰(zhàn)爭開始前一年或2021年3月以來就在網(wǎng)絡空間為與烏克蘭的陸地沖突做準備。微軟研究人員發(fā)現(xiàn)，在地面沖突和隨后的入侵發(fā)生之前，已知或可疑的威脅組織正每周以兩到三起事件的速度在目標烏克蘭網(wǎng)絡上不斷開發(fā)和使用惡意軟件或類似破壞性工具進行網(wǎng)絡攻擊。在報告中他們認為：從2月23日至4月8日，微軟團隊看到了近40次離散破壞性襲擊的證據(jù)，而這些襲擊永久摧毀了烏克蘭數(shù)十個組織數(shù)百個系統(tǒng)中的文件。

　　甚至在此之前，微軟在1月份就發(fā)現(xiàn)了一次主引導記錄（MBR）雨刷攻擊，并將其命名為WhisperGate，目標是烏克蘭，試圖永久擾亂全國各地的組織，并將烏克蘭描述為失敗的國家。雨刮器是破壞性最大的惡意軟件類型，因為它們會永久刪除和破壞數(shù)據(jù)和/或系統(tǒng)，給受害者造成巨大的財務和聲譽損失。

　　從2月底到3月中旬，隨著俄羅斯開始實際入侵，另一系列使用名為HermeticWiper、IsaacWiper和CaddyWiper的惡意軟件的雨刷攻擊瞄準了烏克蘭的組織。

　　對關鍵基礎設施的攻擊

　　微軟在其最新報告中表示，40%以上的對烏克蘭的破壞性襲擊是針對關鍵基礎設施部門的組織，這些部門可能會對政府、軍隊、經濟和國家人民產生負面的次生影響。此外，32%的破壞性事件也影響了烏克蘭國家、地區(qū)和城市各級的政府組織。

　　研究人員寫道：“我們承認存在我們看不到的持續(xù)活動，我們估計烏克蘭網(wǎng)絡上至少被部署了八個破壞性惡意軟件集群，包括一個專門針對工業(yè)控制系統(tǒng)（ICS）的軟件集群。如果威脅行為者能夠保持目前的開發(fā)和部署速度，我們預計隨著沖突的繼續(xù)，將發(fā)現(xiàn)更具破壞性的惡意軟件?！?/p>

　　該報告中列舉了網(wǎng)絡攻擊的詳情包括攻擊的具體時間表和襲擊最初幾周用于支持俄羅斯軍事活動的惡意軟件。除了前面提到的雨刷外，攻擊中部署的其他惡意軟件包括：FoxBlade、DesertBlade、FiberLake、SonicVote和Industroyer2。

　　網(wǎng)絡襲擊的慣犯

　　在CERT-UA披露頂級ATP在網(wǎng)絡空間打擊烏克蘭之后，研究公司Recorded Future的The Record更深入地相互研究，以研究其具體隸屬關系和工作方式。

　　Armageddon/Garmaredon是一個侵略性威脅行為者，自2014年以來一直以烏克蘭為目標，并得到俄羅斯聯(lián)邦安全局（FSB）的支持。據(jù)研究人員稱，在俄羅斯對烏克蘭的戰(zhàn)爭期間，該組織使用網(wǎng)絡釣魚攻擊分發(fā)惡意軟件，這是“Backdoor.Pterodo”惡意軟件有效負載的最新變體。

　　研究人員援引Mandiant的研究表示，UNC1151是一個與白俄羅斯結盟的黑客組織，自2016年以來一直活躍，此前一直以烏克蘭、立陶宛、拉脫維亞、波蘭和德國的政府機構和私人組織為目標，并襲擊了白俄羅斯持不同政見者和記者的網(wǎng)絡電子設備。

　　而自俄羅斯襲擊烏克蘭UNC1151以來，該組織通過傳播MicroBackdoor惡意軟件等方式，一直與多個烏克蘭政府網(wǎng)站的受襲以及針對烏克蘭軍事人員的電子郵件和Facebook帳戶的網(wǎng)絡釣魚活動有關。

　　Fancy Bear/APT 28是一個知名且多產的組織，自2017年以來一直活躍，并得到俄羅斯軍事情報局（GRU）的支持。這個出于政治動機的團體與旨在影響歐盟和美國選舉以及與攻擊2020年東京奧運會有關的體育當局的活動有關。

　　研究人員表示，2月24日，即俄羅斯襲擊烏克蘭的當天，F(xiàn)ancy Bear襲擊了美國衛(wèi)星通信提供商Viasat在烏克蘭的KA-SAT網(wǎng)絡，使許多烏克蘭人無法訪問互聯(lián)網(wǎng)，因此在襲擊開始的關鍵時刻無法進行及時有效的通信。

　　俄羅斯威脅行為者至少自2014年和2020年以來分別使用AgentTesla和XLoader惡意軟件；兩者都用于備受矚目的攻擊。研究人員表示，在俄羅斯入侵烏克蘭期間，一場針對烏克蘭國家組織的惡意電子郵件活動使用XLoader作為其有效載荷，進而針對烏克蘭公民進行了網(wǎng)絡釣魚活動。

　　研究人員表示，Pandora hVNC/GrimPlant/GraphSteel在統(tǒng)一的“大象框架”或用同一語言編寫，并在針對政府組織的網(wǎng)絡釣魚攻擊中充當下載器和滴管。他們說，在3月份的兩次單獨的惡意網(wǎng)絡釣魚活動中，它們被用來攻擊烏克蘭目標，從政府官員那里竊取敏感信息等。

　　烏克蘭網(wǎng)絡攻擊的歷史

　　3月，卡巴斯基的全球研究和分析團隊（GReAT）概述了其對烏克蘭當前和過去網(wǎng)絡攻擊的跟蹤。

　　“未來六個月，烏克蘭的網(wǎng)絡攻擊數(shù)量將進一步增加。雖然目前大多數(shù)攻擊的復雜性較低——例如DDoS或使用商品和低質量工具的攻擊——但也存在更復雜的攻擊，預計還會有更多攻擊，”卡巴斯基研究人員寫道。

　　卡巴斯基報告補充說：“目前的復雜活動包括使用HermeticWiper，這因其復雜性而脫穎而出，以及Viasat‘網(wǎng)絡事件’——部分網(wǎng)絡中斷影響了烏克蘭和歐洲KA-SAT網(wǎng)絡上固定寬帶客戶的互聯(lián)網(wǎng)服務，影響了歐洲3萬多個終端。