對烏克蘭的網(wǎng)絡(luò)攻擊被戰(zhàn)略性地用于支持地面戰(zhàn)役，該網(wǎng)絡(luò)襲擊在2月份由五個(gè)國家支持的高級持續(xù)威脅（APT）組織支持開始組織實(shí)施。根據(jù)微軟周三發(fā)布的研究，參與這些活動(dòng)的APT主要由俄羅斯贊助。

　　本周發(fā)布的單獨(dú)報(bào)告也揭示了與俄羅斯有聯(lián)系的APT對烏克蘭數(shù)字資產(chǎn)的網(wǎng)絡(luò)攻擊浪潮。微軟研究人員認(rèn)為，六個(gè)與俄羅斯結(jié)盟的威脅行為者進(jìn)行了237次網(wǎng)絡(luò)攻擊操作，其行為對于平民福利構(gòu)成威脅，其同時(shí)也試圖對烏克蘭目標(biāo)進(jìn)行數(shù)十次網(wǎng)絡(luò)間諜攻擊。

　　此外，根據(jù)微軟客戶安全和信托公司副總裁Tom Burt的一篇博客文章指出，俄羅斯被認(rèn)為在某種“混合戰(zhàn)爭”中使用網(wǎng)絡(luò)攻擊。他說，這與“針對對平民至關(guān)重要的服務(wù)和機(jī)構(gòu)的動(dòng)態(tài)軍事行動(dòng)”有關(guān)。Burt在其博客中寫道：這些襲擊不僅破壞了烏克蘭的機(jī)構(gòu)系統(tǒng)，還試圖破壞人們獲得平民賴以生存的可靠信息和關(guān)鍵生活服務(wù)的機(jī)會(huì)，并以此試圖動(dòng)搖民眾對該國領(lǐng)導(dǎo)層的信心。

　　與此同時(shí)，烏克蘭計(jì)算機(jī)應(yīng)急小組（CERT-UA）的研究人員一直在自己分析在戰(zhàn)爭前和戰(zhàn)爭期間阻礙該國的網(wǎng)絡(luò)攻擊。該機(jī)構(gòu)表示僅在2022年第一季度，它就記錄了802起網(wǎng)絡(luò)攻擊，是去年同期362次的兩倍多。CERT-UA表示，實(shí)施這些襲擊主要是五個(gè)已知的俄羅斯或白俄羅斯贊助的APT發(fā)起。具體來說，這些群體是：世界末日/Garmaredon、UNC1151、Fancy Bear/APT28、AgentTesla/XLoader和Pandora hVNC/GrimPlant/GraphSteel。

　　混合戰(zhàn)爭

　　研究人員表示，微軟安全團(tuán)隊(duì)一直在與烏克蘭政府官員以及政府和私營企業(yè)網(wǎng)絡(luò)安全人員密切合作，以識別和補(bǔ)救針對烏克蘭網(wǎng)絡(luò)的威脅活動(dòng)。

　　據(jù)報(bào)道，俄羅斯在俄烏戰(zhàn)爭開始前一年或2021年3月以來就在網(wǎng)絡(luò)空間為與烏克蘭的陸地沖突做準(zhǔn)備。微軟研究人員發(fā)現(xiàn)，在地面沖突和隨后的入侵發(fā)生之前，已知或可疑的威脅組織正每周以兩到三起事件的速度在目標(biāo)烏克蘭網(wǎng)絡(luò)上不斷開發(fā)和使用惡意軟件或類似破壞性工具進(jìn)行網(wǎng)絡(luò)攻擊。在報(bào)告中他們認(rèn)為：從2月23日至4月8日，微軟團(tuán)隊(duì)看到了近40次離散破壞性襲擊的證據(jù)，而這些襲擊永久摧毀了烏克蘭數(shù)十個(gè)組織數(shù)百個(gè)系統(tǒng)中的文件。

　　甚至在此之前，微軟在1月份就發(fā)現(xiàn)了一次主引導(dǎo)記錄（MBR）雨刷攻擊，并將其命名為WhisperGate，目標(biāo)是烏克蘭，試圖永久擾亂全國各地的組織，并將烏克蘭描述為失敗的國家。雨刮器是破壞性最大的惡意軟件類型，因?yàn)樗鼈儠?huì)永久刪除和破壞數(shù)據(jù)和/或系統(tǒng)，給受害者造成巨大的財(cái)務(wù)和聲譽(yù)損失。

　　從2月底到3月中旬，隨著俄羅斯開始實(shí)際入侵，另一系列使用名為HermeticWiper、IsaacWiper和CaddyWiper的惡意軟件的雨刷攻擊瞄準(zhǔn)了烏克蘭的組織。

　　對關(guān)鍵基礎(chǔ)設(shè)施的攻擊

　　微軟在其最新報(bào)告中表示，40%以上的對烏克蘭的破壞性襲擊是針對關(guān)鍵基礎(chǔ)設(shè)施部門的組織，這些部門可能會(huì)對政府、軍隊(duì)、經(jīng)濟(jì)和國家人民產(chǎn)生負(fù)面的次生影響。此外，32%的破壞性事件也影響了烏克蘭國家、地區(qū)和城市各級的政府組織。

　　研究人員寫道：“我們承認(rèn)存在我們看不到的持續(xù)活動(dòng)，我們估計(jì)烏克蘭網(wǎng)絡(luò)上至少被部署了八個(gè)破壞性惡意軟件集群，包括一個(gè)專門針對工業(yè)控制系統(tǒng)（ICS）的軟件集群。如果威脅行為者能夠保持目前的開發(fā)和部署速度，我們預(yù)計(jì)隨著沖突的繼續(xù)，將發(fā)現(xiàn)更具破壞性的惡意軟件?！?/p>

　　該報(bào)告中列舉了網(wǎng)絡(luò)攻擊的詳情包括攻擊的具體時(shí)間表和襲擊最初幾周用于支持俄羅斯軍事活動(dòng)的惡意軟件。除了前面提到的雨刷外，攻擊中部署的其他惡意軟件包括：FoxBlade、DesertBlade、FiberLake、SonicVote和Industroyer2。

　　網(wǎng)絡(luò)襲擊的慣犯

　　在CERT-UA披露頂級ATP在網(wǎng)絡(luò)空間打擊烏克蘭之后，研究公司Recorded Future的The Record更深入地相互研究，以研究其具體隸屬關(guān)系和工作方式。

　　Armageddon/Garmaredon是一個(gè)侵略性威脅行為者，自2014年以來一直以烏克蘭為目標(biāo)，并得到俄羅斯聯(lián)邦安全局（FSB）的支持。據(jù)研究人員稱，在俄羅斯對烏克蘭的戰(zhàn)爭期間，該組織使用網(wǎng)絡(luò)釣魚攻擊分發(fā)惡意軟件，這是“Backdoor.Pterodo”惡意軟件有效負(fù)載的最新變體。

　　研究人員援引Mandiant的研究表示，UNC1151是一個(gè)與白俄羅斯結(jié)盟的黑客組織，自2016年以來一直活躍，此前一直以烏克蘭、立陶宛、拉脫維亞、波蘭和德國的政府機(jī)構(gòu)和私人組織為目標(biāo)，并襲擊了白俄羅斯持不同政見者和記者的網(wǎng)絡(luò)電子設(shè)備。

　　而自俄羅斯襲擊烏克蘭UNC1151以來，該組織通過傳播MicroBackdoor惡意軟件等方式，一直與多個(gè)烏克蘭政府網(wǎng)站的受襲以及針對烏克蘭軍事人員的電子郵件和Facebook帳戶的網(wǎng)絡(luò)釣魚活動(dòng)有關(guān)。

　　Fancy Bear/APT 28是一個(gè)知名且多產(chǎn)的組織，自2017年以來一直活躍，并得到俄羅斯軍事情報(bào)局（GRU）的支持。這個(gè)出于政治動(dòng)機(jī)的團(tuán)體與旨在影響歐盟和美國選舉以及與攻擊2020年東京奧運(yùn)會(huì)有關(guān)的體育當(dāng)局的活動(dòng)有關(guān)。

　　研究人員表示，2月24日，即俄羅斯襲擊烏克蘭的當(dāng)天，F(xiàn)ancy Bear襲擊了美國衛(wèi)星通信提供商Viasat在烏克蘭的KA-SAT網(wǎng)絡(luò)，使許多烏克蘭人無法訪問互聯(lián)網(wǎng)，因此在襲擊開始的關(guān)鍵時(shí)刻無法進(jìn)行及時(shí)有效的通信。

　　俄羅斯威脅行為者至少自2014年和2020年以來分別使用AgentTesla和XLoader惡意軟件；兩者都用于備受矚目的攻擊。研究人員表示，在俄羅斯入侵烏克蘭期間，一場針對烏克蘭國家組織的惡意電子郵件活動(dòng)使用XLoader作為其有效載荷，進(jìn)而針對烏克蘭公民進(jìn)行了網(wǎng)絡(luò)釣魚活動(dòng)。

　　研究人員表示，Pandora hVNC/GrimPlant/GraphSteel在統(tǒng)一的“大象框架”或用同一語言編寫，并在針對政府組織的網(wǎng)絡(luò)釣魚攻擊中充當(dāng)下載器和滴管。他們說，在3月份的兩次單獨(dú)的惡意網(wǎng)絡(luò)釣魚活動(dòng)中，它們被用來攻擊烏克蘭目標(biāo)，從政府官員那里竊取敏感信息等。

　　烏克蘭網(wǎng)絡(luò)攻擊的歷史

　　3月，卡巴斯基的全球研究和分析團(tuán)隊(duì)（GReAT）概述了其對烏克蘭當(dāng)前和過去網(wǎng)絡(luò)攻擊的跟蹤。

　　“未來六個(gè)月，烏克蘭的網(wǎng)絡(luò)攻擊數(shù)量將進(jìn)一步增加。雖然目前大多數(shù)攻擊的復(fù)雜性較低——例如DDoS或使用商品和低質(zhì)量工具的攻擊——但也存在更復(fù)雜的攻擊，預(yù)計(jì)還會(huì)有更多攻擊，”卡巴斯基研究人員寫道。

　　卡巴斯基報(bào)告補(bǔ)充說：“目前的復(fù)雜活動(dòng)包括使用HermeticWiper，這因其復(fù)雜性而脫穎而出，以及Viasat‘網(wǎng)絡(luò)事件’——部分網(wǎng)絡(luò)中斷影響了烏克蘭和歐洲KA-SAT網(wǎng)絡(luò)上固定寬帶客戶的互聯(lián)網(wǎng)服務(wù)，影響了歐洲3萬多個(gè)終端。