对乌克兰的网络攻击被战略性地用于支持地面行动,网络攻击是在五个国家支持的高级持续威胁(APT)组织的支持下于2月组织和实施的。根据微软周三发布的研究,参与这些活动的APT主要由俄罗斯赞助。本周发布的另一份报告还揭示了与俄罗斯有关联的APT对乌克兰数字资产发起的一波网络攻击。微软研究人员认为,六名与俄罗斯结盟的威胁行为者进行了237次威胁平民福祉的网络攻击行动,同时还试图对乌克兰目标进行数十次网络间谍攻击。此外,根据微软客户安全与信任副总裁汤姆·伯特(TomBurt)的博客文章,俄罗斯被认为正在某种“混合战争”中使用网络攻击。他说,这与“针对对平民至关重要的服务和机构的动态军事行动”有关。伯特在他的博客中写道:“这些袭击不仅破坏了乌克兰的制度体系,而且还试图破坏人们获取平民所依赖的可靠信息和生命关键服务的途径,并以此来动摇公众对该国领导层的信心”.与此同时,乌克兰计算机应急响应小组(CERT-UA)的研究人员一直在对战前和战时阻碍该国的网络攻击进行自己的分析。该机构表示,仅在2022年第一季度就记录了802起网络攻击,是去年同期362起的两倍多。CERT-UA表示,这些攻击主要是由五个已知的俄罗斯或白俄罗斯赞助的APT实施的。具体来说,这些组是:Doomsday/Garmaredon、UNC1151、FancyBear/APT28、AgentTesla/XLoader和PandorahVNC/GrimPlant/GraphSteel。混合战争研究人员表示,微软安全团队一直在与乌克兰政府官员以及政府和私营行业网络安全人员密切合作,以识别和补救针对乌克兰网络的威胁活动。据报道,在俄乌战争爆发前一年或2021年3月以来,俄罗斯一直在准备与乌克兰在网络空间发生地面冲突。微软研究人员发现,已知或疑似威胁组织正在开发和使用恶意软件或类似的破坏性工具在地面冲突和随后的入侵之前,每周在目标乌克兰网络上发生两到三起事件。网络攻击。在他们的报告中,他们争辩说,从2月23日到4月8日,微软团队看到了近40次离散的破坏性攻击的证据,这些攻击永久地破坏了乌克兰数十个组织的数百个系统上的文件。甚至在此之前,微软在1月份就发现了一次名为WhisperGate的主引导记录(MBR)擦除器攻击,该攻击针对乌克兰,企图永久破坏全国各地的组织,并将乌克兰描绘成一个失败的国家。Wipers是最具破坏性的恶意软件类型,因为它们会永久删除和破坏数据和/或系统,给受害者造成巨大的经济和名誉损失。从2月下旬到3月中旬,随着俄罗斯开始实际入侵,使用名为HermeticWiper、IsaacWiper和CaddyWiper的恶意软件对乌克兰的组织进行了另一系列的擦除器攻击。对关键基础设施的攻击微软在其最新报告中表示,超过40%的针对乌克兰的破坏性攻击是针对关键基础设施部门的组织,这可能对该国政府、军队、经济和人民产生负面的次要后果。影响。此外,32%的破坏性事件还影响了乌克兰国家、地区和城市各级的政府机构。研究人员写道:“承认存在我们没有看到的持续活动,我们估计至少有八个破坏性恶意软件集群部署在乌克兰网络上,其中包括一个专门针对工业控制系统(ICS)的集群。如果威胁参与者能够为了保持目前的开发和部署速度,随着冲突的继续,我们预计会看到更具破坏性的恶意软件。”该报告概述了网络攻击的详细信息,包括攻击的确切时间线和用于支持俄罗斯军事活动的恶意软件攻击的最初几周。除了前面提到的擦除器之外,攻击中部署的其他恶意软件还包括:FoxBlade、DesertBlade、FiberLake、SonicVote和Industroyer2。网络攻击屡犯者在CERT-UA透露顶级ATP在网络空间袭击乌克兰后,研究公司RecordedFuture的TheRecord深入了解彼此,以检查他们的具体从属关系以及他们的工作方式。Armageddon/Garmaredon是一个激进的威胁行为者,自2014年以来一直以乌克兰为目标,并得到俄罗斯联邦安全局(FSB)的支持。据研究人员称,该组织在俄罗斯对乌克兰的战争期间使用网络钓鱼攻击来分发恶意软件,这是“Backdoor.Pterodo”恶意软件负载的最新变体。研究人员援引Mandiant研究称,UNC1151是一个与白俄罗斯结盟的黑客组织,自2016年以来一直活跃,此前曾针对乌克兰、立陶宛、拉脱维亚、波兰和德国的政府机构和私人组织,以及在白俄罗斯发动的袭击。持不同政见者和记者的网络电子产品。自从俄罗斯攻击乌克兰UNC1151以来,该组织与对几个乌克兰政府网站的攻击以及通过传播MicroBackdoor恶意软件等方式针对乌克兰军方人员的电子邮件和Facebook帐户的网络钓鱼活动有关。FancyBear/APT28是一个知名且多产的组织,自2017年以来一直活跃,并得到俄罗斯军事情报局(GRU)的支持。这个出于政治动机的组织与旨在影响欧盟和美国选举的运动以及与袭击2020年东京奥运会有关的体育当局有关。2月24日,就在俄罗斯袭击乌克兰的同一天,FancyBear袭击了美国卫星通信提供商Viasat在乌克兰的KA-SAT网络,导致许多乌克兰人无法上网,无法进行及时高效的通信。至少从2014年和2020年开始,俄罗斯威胁行为者就分别使用了AgentTesla和XLoader恶意软件;两者都被用于高调的攻击。研究人员表示,在俄罗斯入侵乌克兰期间,一场针对乌克兰国家组织的恶意电子邮件活动使用XLoader作为其有效载荷,这反过来又在网络钓鱼活动中针对乌克兰公民。研究人员说,PandorahVNC/GrimPlant/GraphSteel是用统一的“大象框架”或相同的语言编写的,在针对政府组织的网络钓鱼攻击中充当下载器和投放器。他们说,在3月份的两个独立的恶意网络钓鱼活动中,它们被用来攻击乌克兰目标、窃取政府官员的敏感信息等等。乌克兰网络攻击的历史3月,卡巴斯基全球研究与分析团队(GReAT)概述了其对乌克兰当前和过去网络攻击的跟踪。“未来六个月,乌克兰的网络攻击数量将进一步增加。虽然目前大多数攻击的复杂性较低——例如DDoS或使用商品和低质量工具的攻击——但也有更复杂的攻击,预计还会继续。”卡巴斯基研究人员写道:“将会有更多的攻击。”KA-SAT网络在乌克兰和欧洲的客户服务已经影响了欧洲的30,000多个终端。本文翻译自:https://threatpost.com/cyberwar-ukraine-military/179421/如有转载请注明出处。
