下面为各位读者盘点4月以来俄乌网络对抗的最新动态。俄罗斯在战争期间进行大规模网络攻击4月27日,美国微软公司27日发布报告称,至少有6个得到俄罗斯政府支持的黑客组织针对乌克兰目标发起了近240次网络攻击,造成数十人死亡。乌克兰公司。该组织的数据遭到破坏,并在乌克兰的信息环境中造成混乱。微软表示,俄罗斯黑客组织早在2021年3月就为这场冲突做好了准备,包括潜入乌克兰网络以收集战略和战场情报或协助未来的破坏性攻击。战争爆发后,近一半的破坏性网络攻击都针对关键基础设施,而且多次与导弹轰炸等物理攻击同时进行。微软表示,截至4月8日,在近40起破坏性网络攻击中至少使用了八种不同类型的恶意软件,导致乌克兰数十家组织的数百个系统发生永久性文件损坏。微软还声称,俄罗斯的网络攻击不仅削弱了目标组织的运作,还试图破坏乌克兰公民对可靠信息和关键生活服务的访问,并动摇对乌克兰领导层的信心。俄乌冲突推动DDoS攻击创历史新高2022年4月26日,卡巴斯基调查报告显示,自2月以来,俄乌争端引发的DDoS攻击规模空前,使得DDoS攻击次数突破历史新高历史水平。与2021年第四季度相比,2022年第一季度的分布式拒绝服务(DDoS)攻击增加了46%,报告显示大部分攻击是针对俄罗斯的。同时,DDoS攻击的持续时间也比去年更长,几乎是2021年底的80倍。报告引用了上个季度的一个例子,攻击者建立了一个类似于流行益智游戏“2048”的网站,进行攻击在俄罗斯网站上更像是一种招募其他人进行额外攻击的游戏。卡巴斯基安全专家AlexanderGutnikov在一份声明中表示,DDoS攻击的上升趋势在很大程度上受到地缘政治局势的影响,DDoS攻击持续时间长、持续数天甚至数周的情况非常不寻常,表明背后有政治因素攻击。Anonymous泄露了5.8TB的俄罗斯数据2022年4月24日自从对俄罗斯宣布“网络战争”以来,Anonymous现在已经发布了大约5.8TB的俄罗斯数据。Anonymous在俄罗斯入侵乌克兰后对俄罗斯发起的#OpRussia攻击继续取得成功,声称已通过DDoSecrets释放了大约5.8TB的俄罗斯数据。Anonymous发誓要发布更多属于俄罗斯企业和政府的数据,包括商业银行等组织的数据。对俄罗斯国家支持的关键基础设施的犯罪网络威胁4月20日,美国、澳大利亚、加拿大、新西兰和英国的网络安全当局发布联合网络安全咨询(CSA),警告组织俄罗斯入侵乌克兰可能暴露该地区内外的组织面临俄罗斯国家资助的网络参与者或与俄罗斯结盟的网络犯罪集团的恶意网络活动增加。《联合CSA:俄罗斯国家赞助的关键基础设施犯罪网络威胁》,由联合网络防御伙伴关系的行业成员,概述了俄罗斯国家资助的高级持续性威胁组织、俄罗斯联盟网络威胁组织和俄罗斯联盟网络犯罪组织,以帮助网络安全社区防范可能的网络攻击威胁。美国、澳大利亚、加拿大、新西兰和英国的网络安全当局正在敦促关键基础设施网络防御者按照联合CSA的建议,通过加强网络防御来准备和减轻潜在的网络威胁。与俄罗斯有联系的ShuckwormCrew加强对乌克兰的攻击4月20日,一个与俄罗斯有联系的威胁组织自2014年首次出现以来几乎专门针对乌克兰,正在该国境内的系统上部署其恶意软件,并具有有效的负载变化。据赛门铁克的威胁猎人团队称,Shuckworm团伙——也称为世界末日和Gamaredon——正在使用其Pterodo后门的至少四种不同变体,这些变体旨在执行类似的任务,但使用不同的命令与控制通信(C2)服务器。“使用多个变体的最可能原因是它可能提供一种在受感染计算机上保持持久性的基本方法,”“如果检测到并阻止了有效载荷或[C2]服务器,攻击者可以回退到另一个有效载荷或[C2]]服务器,并推出更多新变种来补偿。盟军网络当局警告“不断发展的情报”指向即将发生的俄罗斯网络攻击4月20日,美国联邦机构、盟国网络当局和工业界今天发布了迄今为止最严厉的警告,可能会增加随着乌克兰战争进入第56天,俄罗斯针对私营企业和公共基础设施目标的网络攻击。网络安全和基础设施安全局(CISA)与联邦调查局、美国国家安全局以及来自澳大利亚、加拿大、新西兰、和英国,因为俄罗斯网络组织针对乌克兰地区及其周边地区关键基础设施的威胁增加。咨询指出最近的R俄罗斯国家资助的攻击,包括分布式拒绝服务攻击、对乌克兰政府组织使用恶意软件,以及网络犯罪集团最近对俄罗斯政府的公开承诺。俄罗斯的GamaredonAPT继续以乌克兰为目标4月20日,与E(又名Armageddon、PrimitiveBear和ACTINIUM)相关的GamaredonAPT组织继续以W为目标,并使用自定义Pterodo后门(又名Pteranodon)的新变体。微软表示,自2021年10月以来,该网络间谍组织是最近针对乌克兰实体和与乌克兰事务有关的组织的一系列鱼叉式网络钓鱼攻击的幕后黑手。Gamaredon至少从2014年开始就在乌克兰开展网络间谍活动。赛门铁克研究人员透露,APT组织在最近的攻击中至少使用了其自定义Pteredo后门的四种变体。五眼联盟警告与俄罗斯有联系的威胁行为者的攻击4月20日,五眼联盟(美国、澳大利亚、加拿大、新西兰和英国)的网络安全机构针对与俄罗斯有联系的威胁行为者网络发出联合咨询警告对关键基础设施的攻击和网络犯罪威胁。该警报警告团体,俄罗斯入侵乌克兰可能导致整个欧洲的溢出效应。情报机构表示,与俄罗斯有联系的APT组织正在探索潜在网络攻击的选项。“不断发展的情报表明俄罗斯政府正在探索潜在网络攻击的选择(有关更多信息,请参阅美国总统乔·拜登2022年3月21日的声明)。最近俄罗斯国家资助的网络行动包括分布式拒绝服务(DDoS)攻击,而早期的行动包括针对乌克兰政府和关键基础设施组织部署破坏性恶意软件。”“此外,一些网络犯罪集团最近公开承诺支持俄罗斯政府。”对俄罗斯互联网的攻击随着4月12日俄罗斯炮击乌克兰城市,来自世界各地的网络攻击者一直以俄罗斯媒体、加密货币服务和零售品牌为目标进行拒绝服务攻击。一群俄罗斯科学家表示,他们已经开发出一种新工具来阻止此类攻击-但即便如此,这也表明严厉的经济制裁正在改变俄罗斯的生活。萨马拉大学的工程师开发了一种名为NetTestBox的工具来监控进出俄罗斯的互联网流量。周一发表的一篇俄罗斯《消息报》文章称,“系统获得的信息可以让你追踪未经授权的数据泄露,查看哪些流量通过国外渠道,因此容易受到外部关闭的影响。”(与大多数俄罗斯媒体一样,该网站是国家控制的。)乌克兰人称俄罗斯黑客试图破坏电网4月12日,乌克兰政府表示击退了俄罗斯的一次网络攻击,该攻击摧毁了为200万人服务的多个变电站和电网的其他部分。VictorZhora表示,俄罗斯军事情报黑客组织Sandworm是2016年臭名昭著的乌克兰电网黑客事件背后的一项多产且持续的行动,它使用了2016年事件中使用的“更先进和复杂”的“Industroyer”恶意软件版本,其副负责人周二,乌克兰国家特殊通信和信息保护局在与记者的简报会上。斯洛伐克网络安全公司ESET和微软的分析师帮助乌克兰政府应对了此次攻击。ESET周二发布了对该恶意软件的分析,将其命名为“Industroyer2”。研究人员表示,他们相信它能够控制特定的工业控制系统,以切断对不明电气装置的供电。除了Industroyer2之外,ESET研究人员还报告说,他们看到Sandworm部署了几个针对电力基础设施的破坏性恶意软件系列,可能是为了混淆对破坏性黑客行为的任何分析,并使系统无法运行和无法恢复。匿名黑客攻击俄罗斯文化部4月11日,数据泄露服务DDoSecrets平台发布了从俄罗斯政府窃取的超过700GB的数据,其中包括超过500,000封电子邮件。转储包括三个数据集,最大的446GB(包含230,000封电子邮件)与文化部有关,文化部负责国家的艺术、电影摄影、档案、版权、文化遗产和审查政策。通过DDoSecrets平台收集的其他数据包括来自布拉戈维申斯克市政府的150GB数据和来自特维尔州长办公室的116GB数据。匿名黑客继续威胁仍在俄罗斯运营并与莫斯科有业务往来的公司和金融组织。匿名黑客向意大利联合圣保罗银行发送的消息,该银行宣布自乌克兰战争开始以来已停止向俄罗斯和白俄罗斯同行提供所有新融资,并停止投资俄罗斯和白俄罗斯金融工具。微软夺取俄罗斯域名,瞄准乌克兰4月8日,科技巨头微软表示,它已经控制了属于俄罗斯与GRU相关、国家支持的威胁组织Strontium的七个域名。微软表示,该组织也被称为APT28和FancyBear,利用这些域名攻击乌克兰媒体机构等机构,以及美国和欧盟政府实体和政策制定者。“4月6日,我们获得了一项法院命令,授权我们控制Strontium对用于执行这些攻击的七个Internet域的使用。我们已将这些域重定向到由Microsoft控制的sinkhole,从而使我们能够减轻Strontium当前对这些域的使用域并启用受害者通知。据微软称,Strontium正试图在其目标系统中建立持久访问或创建后门。Burt表示,此举可能旨在为俄罗斯实际入侵乌克兰和泄露敏感信息提供战术支持。情报机构加速使用商业空间图像支持乌克兰自4月7日俄罗斯入侵乌克兰之前,空间图像、遥感和通信卫星一直在向公众提供信息并帮助乌克兰军队和平民保持联系。这要归功于与商业行业的合作,美国情报界能够迅速占据优势这些能力增强了它对该地区的支持,并加速了几项正在进行的采购工作,以增强项目采购能力,”美国国家地理空间情报局商业和商业运营总监大卫·高捷(DavidGauthier)在空间研讨会上说,随着它变得越来越很明显俄罗斯准备入侵,该机构努力将其商业光电图像的购买量增加一倍。Gauthier和他的团队积极进取,将乌克兰的分析师直接连接到公司,以便更快地提供服务。他指出,目前正在加速收购一些“新的、未经考验的商业服务”,以支持人道主义援助工作。微软删除了用于攻击乌克兰的APT28域4月7日,微软在删除了七个用作攻击基础设施的域后,成功挫败了由俄罗斯黑客组织APT28协调的针对乌克兰目标的攻击。)使用这些域来针对多个乌克兰机构,包括媒体组织。这些域名还被用来攻击美国和欧盟政府机构以及参与外交政策的智囊团。俄罗斯石油巨头俄罗斯天然气工业股份公司网站4月7日遭到黑客攻击,俄罗斯第三大石油生产商俄罗斯国家天然气公司俄罗斯天然气工业股份公司的石油部门俄罗斯天然气工业股份公司网站在最近一次与政府相关的网站遭到黑客攻击后被下线。俄罗斯入侵乌克兰。它是俄罗斯天然气工业股份公司的子公司。上个月,据称几个乌克兰新闻网站遭到俄罗斯黑客攻击,并向其访问者展示了一个“Z”符号。乌克兰国家特殊通信和信息保护局也证实了这一事件,并指责俄罗斯国家支持的行为者。乌克兰发现与俄罗斯有关的“世界末日”网络钓鱼攻击4月5日,乌克兰计算机应急响应小组(CERT-UA)发现了与俄罗斯有关的“Gamaredon”威胁组织发起的新网络钓鱼攻击。该组织自2014年以来一直以乌克兰为目标,据信是俄罗斯联邦安全局(FSB)的一部分。根据乌克兰特勤局2021年11月发布的详细技术报告,“世界末日”已对该国1500个关键实体发起了至少5000次网络攻击。乌克兰军方此前已经确定了世界末日网络部队的成员,向俄罗斯黑客论坛公开了他们的工具集并跟踪定制恶意软件的开发。“世界末日”针对乌克兰,向该国政府机构分发有关“俄罗斯联邦战犯信息”的电子邮件;Necessary_military_assistance”压缩文件。这些恶意电子邮件试图用乌克兰战争主题的诱饵欺骗收件人,并用以间谍活动为重点的恶意软件感染目标系统。
