研究人員在Telegram上相關支持烏克蘭的群組中發(fā)現(xiàn)有大量類似攻擊軟件分享，其中有一款名為“Liberator”的軟件，由一個名為disBalancer的小組制作。Liberator被宣傳為針對俄羅斯宣傳網(wǎng)站執(zhí)行DDoS攻擊。研究人員針對正規(guī)的Liberator工具進行分析，發(fā)現(xiàn)沒有明顯惡意的代碼，該程序實際上是一個DDoS客戶端，在使用時會對從服務器下載的目標列表發(fā)起攻擊。

研究人員發(fā)現(xiàn)有黑客利用了這部分網(wǎng)民心理，制作并在在Telegram上分發(fā)虛假的Liberator攻擊軟件，實際上是一種旨在危害不知情用戶的信息竊取程序。惡意軟件會轉存用戶各種口令密碼和大量與加密貨幣相關的信息。這是機會主義黑客試圖利用烏克蘭支持者發(fā)動網(wǎng)絡入侵的眾多方式之一。此類活動可能采取以新聞主題或募捐為主題的釣魚電子郵件、聲稱托管救濟基金或難民網(wǎng)站的惡意鏈接、偽裝成安全防御或攻擊工具的惡意軟件等形式。

研究人員分析發(fā)現(xiàn)，至少自2021年11月以來，該活動背后的參與者一直在分發(fā)信息軟件。據(jù)此推測，這不是俄烏戰(zhàn)爭爆發(fā)后新出現(xiàn)的黑客，而是已經出現(xiàn)的黑客利用俄烏戰(zhàn)爭這一輿論熱點開展個人信息竊取。

本次曝光的惡意軟件偽裝成其他軟件供用戶分發(fā)下載并大量傳播的攻擊手法及技術并無新穎之處，與常規(guī)的欺騙軟件下載并無二致，都是通過惡意軟件偽裝成其他軟件或者文件鏈接，通過被攻擊者關注的重要熱點事件來吸引其點擊下載，再通過下載的惡意軟件等來實現(xiàn)個人信息或者網(wǎng)絡情報收集與竊取。

但這次個人信息竊取行動針對的是俄烏危機中對烏克蘭持支持立場的網(wǎng)民，且這部分網(wǎng)民試圖通過網(wǎng)絡DDoS攻擊方式參與到反抗俄羅斯的烏克蘭IT志愿軍中。俄烏危機以來，以Anonymous組織為代表的民間黑客組織對俄羅斯政府網(wǎng)站等發(fā)動了大量襲擊，造成了一定的攻擊效果，起到了很好的輿論宣傳和鼓動效果，甚至一度扭轉了俄烏網(wǎng)絡攻防領域一邊倒的態(tài)勢。

通過制作并分發(fā)竊取個人信息的惡意軟件，欺騙試圖加入到烏克蘭IT志愿軍的上述人員下載，通過此行動，獲取掌握上述人員相關信息，再通過關聯(lián)擴線，分析掌握相關民間黑客組織信息，研判此類人員背景資料及可能的支持勢力，再適時公布相關黑客人員信息，不排除此行為是由俄羅斯支持的黑客組織所為。