微软官方博客今天发表了一篇文章,讲述了俄罗斯对乌克兰的混合战争。微软同时发布了一份报告,详细介绍了该公司在针对乌克兰的混合战争期间观察到的俄罗斯网络攻击的无情和破坏性,以及微软正在采取哪些措施来帮助保护乌克兰人民和组织。文章全文如下:我们认为分享这些信息很重要,这样政策制定者和世界各地的公众都能了解正在发生的事情,并使安全界的其他人能够继续识别和防御这种活动.所有这些工作最终都是为了保护平民免受直接影响他们生活和获得关键服务的攻击。自俄罗斯入侵之前,我们已经看到至少6个与俄罗斯结盟的民族国家行为者对乌克兰采取了超过237次行动,包括威胁平民福祉的持续破坏性袭击。这些破坏性攻击伴随着广泛的间谍和情报活动。这些袭击不仅破坏了乌克兰的政府机构,还试图破坏平民获取可靠信息和关键生活服务的途径,并试图动摇对该国领导层的信心。我们还观察到涉及其他北约成员国的有限间谍活动,以及一些虚假信息活动。正如今天的报告所详述的那样,俄罗斯对网络攻击的使用似乎与其针对对平民至关重要的服务和机构的动态军事行动密切相关,有时甚至直接同步。例如,一名俄罗斯演员于3月1日对一家大型广播公司发起了网络攻击,同一天俄罗斯军方宣布打算摧毁乌克兰所谓的“虚假信息”目标,并对基辅的一座电视塔进行导弹袭击。3月13日,在入侵的第三周,一名单独的俄罗斯演员从一家核安全组织窃取了数据,几周后,俄罗斯军队开始占领该工厂,引发了人们对辐射暴露和灾难性事故的担忧。当俄罗斯军队围攻马里乌波尔市时,乌克兰人开始收到一名冒充马里乌波尔居民的俄罗斯人发来的电子邮件,谎称乌克兰政府“抛弃”了乌克兰公民。我们观察到的破坏性攻击数量接近40次,针对数百个系统,它们尤其令人担忧:32%的破坏性攻击直接针对国家、地区和城市各级的乌克兰政府组织。超过40%的破坏性攻击针对关键基础设施部门的组织,可能对乌克兰政府、军队、经济和平民产生负面的次要影响。参与这些攻击的参与者正在使用各种技术来获得对其目标的初始访问权限,包括网络钓鱼、使用未修补的漏洞以及危害上游IT服务提供商。这些参与者经常在每次部署恶意软件时修改他们的恶意软件以逃避检测。值得注意的是,我们的报告将我们之前披露的“Wiper”恶意软件攻击归因于俄罗斯国家行为者,我们将其称为Iridium。今天的报告还包括我们观察到的俄罗斯网络行动的详细时间表。与俄罗斯结盟的行为者早在2021年3月就开始为冲突进行预部署,升级针对乌克兰境内或与乌克兰结盟的团体的行动,以便在乌克兰体系中获得更大的立足点。当俄罗斯军队开始向乌克兰边境进发时,我们看到他们很难获得初步接触目标的机会,这些目标可以提供有关乌克兰军事和外国伙伴关系的情报。到2021年年中,俄罗斯行为者将目标锁定在乌克兰和国外的供应链供应商,以确保不仅进一步访问乌克兰的系统,而且还侵入北约成员国的计算机。2022年初,当外交努力未能缓解围绕俄罗斯在乌克兰边境的军事集结而加剧的紧张局势时,俄罗斯行为者对乌克兰组织发动了越来越强烈的毁灭性恶意软件攻击。自俄罗斯开始入侵乌克兰以来,俄罗斯就部署了网络攻击来支持军方的战略和战术目标。我们观察到的攻击很可能是针对乌克兰的活动的一小部分。Microsoft安全团队与乌克兰政府官员以及来自政府组织和私营公司的网络安全人员密切合作,以识别和补救针对乌克兰网络的威胁活动。1月份,当Microsoft威胁情报中心(MSTIC)在乌克兰的十多个网络中发现擦除器恶意软件时,我们向乌克兰政府发出警报并公布了我们的发现。在此事件之后,我们与乌克兰主要网络官员建立了安全的通信线路,以确保我们能够与值得信赖的合作伙伴迅速采取行动,帮助乌克兰政府机构、企业和组织抵御攻击。这包括24/7威胁情报共享和部署技术对策以击败观察到的恶意软件。鉴于俄罗斯的威胁行为者一直在模仿和加强军事行动,我们认为随着冲突的加剧,网络攻击将继续升级。俄罗斯国家威胁行为者可能会被命令将其破坏性行动扩大到乌克兰以外,以报复那些决定向乌克兰提供更多军事援助的国家,并对俄罗斯政府采取更多惩罚措施以应对持续的侵略。我们观察到在乌克兰活跃的与俄罗斯结盟的行为者表达了对波罗的海和土耳其团体的兴趣或与他们开展行动——所有北约成员都积极向乌克兰提供政治、人道主义或军事支持。应认真对待CISA和其他美国政府机构以及其他国家/地区的网络官员发出的警报,并应采取建议的防御和恢复措施——尤其是政府机构和关键基础设施企业。我们的报告包括针对可能成为俄罗斯行为者目标的组织的具体建议,以及针对网络安全社区的技术信息。我们将继续提供更新,因为我们观察活动并认为我们可以安全地披露新的发展。
