下面盤點了4月份以來，關(guān)于俄烏網(wǎng)絡(luò)對抗的最新進展情況，以饗讀者。

俄羅斯在戰(zhàn)爭期間廣泛開展網(wǎng)絡(luò)攻擊

4月27日，美國微軟公司于27日發(fā)布報告稱，至少有六個受俄羅斯政府支持的黑客組織對烏克蘭目標發(fā)動了近240次網(wǎng)絡(luò)行動，造成烏克蘭數(shù)十家組織的數(shù)據(jù)發(fā)生損壞，并導(dǎo)致烏克蘭的信息環(huán)境陷入混亂。

微軟稱俄方黑客組織早在2021年3月就已為沖突做好準備，包括潛伏進烏方網(wǎng)絡(luò)，以便收集戰(zhàn)略和戰(zhàn)場情報或協(xié)助日后的破壞性攻擊。而在戰(zhàn)爭爆發(fā)后，近一半的破壞性網(wǎng)絡(luò)攻擊以關(guān)鍵基礎(chǔ)設(shè)施為目標，很多時候都與導(dǎo)彈轟炸等物理攻擊同時實施的。微軟表示，截至4月8日，至少有八種不同的惡意軟件被用于近40次破壞性網(wǎng)絡(luò)攻擊，導(dǎo)致烏克蘭數(shù)十家組織的數(shù)百套系統(tǒng)出現(xiàn)永久性文件損壞。微軟還聲稱，俄羅斯的網(wǎng)絡(luò)攻擊不僅削弱了目標組織的機能，還試圖破壞烏克蘭公民獲得可靠信息和關(guān)鍵生活服務(wù)的途徑，并動搖對烏克蘭領(lǐng)導(dǎo)層的信心。

俄烏沖突推動DDoS攻擊創(chuàng)歷史新高

2022年4月26日，卡巴斯基的一份調(diào)查報告顯示，自2月份以來，圍繞俄烏爭端導(dǎo)致的DDoS 攻擊達到了空前的規(guī)模，使DDoS攻擊數(shù)量突破了歷史最高水平。

與 2021 年第四季度相比，2022 年第一季度的分布式拒絕服務(wù) (DDoS) 攻擊增加了 46%，報告顯示，大部分攻擊被用于針對俄羅斯。同時，DDoS 攻擊的持續(xù)時間也比去年要長，幾乎是2021年末的80倍。報告例舉了上季度的一個例子，攻擊者建立了一個類似于流行的益智游戲“2048”的網(wǎng)站，使對俄羅斯網(wǎng)站的攻擊更像是一種招募他人發(fā)動額外攻擊的游戲。

卡巴斯基安全專家亞歷山大·古特尼科夫在一份聲明中表示，DDoS攻擊的上升趨勢在很大程度上受到地緣政治局勢的影響，非常不尋常的是 DDoS 攻擊的持續(xù)時間很長，持續(xù)了數(shù)天甚至數(shù)周，表明攻擊背后有政治因素推動。

匿名者泄露了5.8 TB的俄羅斯數(shù)據(jù)

2022年4 月 24 日，自從對俄羅斯宣布“網(wǎng)絡(luò)戰(zhàn)爭”，匿名者現(xiàn)在已經(jīng)發(fā)布了大約5.8 TB的俄羅斯數(shù)據(jù)。

匿名者在俄羅斯入侵烏克蘭后對俄羅斯發(fā)起的#OpRussia攻擊繼續(xù)獲得成功，其聲稱通過DDoSecrets發(fā)布了大約5.8 TB的俄羅斯數(shù)據(jù)。匿名者發(fā)誓要發(fā)布更多屬于俄羅斯企業(yè)和政府的數(shù)據(jù)，包括一家商業(yè)銀行在內(nèi)的組織的數(shù)據(jù)。

俄羅斯國家贊助的關(guān)鍵基礎(chǔ)設(shè)施面臨的犯罪網(wǎng)絡(luò)威脅

4月20日，美國，澳大利亞，加拿大，新西蘭和英國的網(wǎng)絡(luò)安全當局發(fā)布了一份聯(lián)合網(wǎng)絡(luò)安全咨詢(CSA)，警告組織俄羅斯入侵烏克蘭可能會使該地區(qū)內(nèi)外的組織面臨俄羅斯國家贊助的網(wǎng)絡(luò)行為者或與俄羅斯結(jié)盟的網(wǎng)絡(luò)犯罪集團增加的惡意網(wǎng)絡(luò)活動。

《聯(lián)合CSA：俄羅斯國家贊助的關(guān)鍵基礎(chǔ)設(shè)施犯罪網(wǎng)絡(luò)威脅》，由聯(lián)合網(wǎng)絡(luò)防御合作組織的行業(yè)成員撰寫，概述了俄羅斯國家贊助的高級持續(xù)性威脅組織，俄羅斯聯(lián)盟的網(wǎng)絡(luò)威脅團體和俄羅斯聯(lián)盟的網(wǎng)絡(luò)犯罪團體，以幫助網(wǎng)絡(luò)安全社區(qū)防范可能的網(wǎng)絡(luò)威脅。美國、澳大利亞、加拿大、新西蘭和英國網(wǎng)絡(luò)安全當局敦促關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)防御者按照聯(lián)合 CSA 中的建議，通過加強其網(wǎng)絡(luò)防御來準備和緩解潛在的網(wǎng)絡(luò)威脅。

與俄羅斯有聯(lián)系的Shuckworm船員加大了對烏克蘭的襲擊

4月20日，一個與俄羅斯有聯(lián)系的威脅組織自2014年首次出現(xiàn)以來幾乎完全針對烏克蘭，正在該國境內(nèi)的系統(tǒng)上部署其惡意軟件有效載荷的多種變體。

根據(jù)賽門鐵克的威脅獵人團隊的說法，Shuckworm團伙 - 也稱為世界末日和Gamaredon - 正在使用其Pterodo后門的至少四種不同變體，這些后門旨在執(zhí)行類似的任務(wù)，但與不同的命令和控制(C2)服務(wù)器進行通信。

“使用多種變體的最可能原因是，它可能提供一種在受感染的計算機上保持持久性的基本方法，” “如果一個有效載荷或[C2]服務(wù)器被檢測到并阻止，攻擊者可以回退到另一個有效載荷或[C2]服務(wù)器，并推出更多新變體來補償。

盟國網(wǎng)絡(luò)當局警告“不斷發(fā)展的情報”指向即將到來的俄羅斯網(wǎng)絡(luò)攻擊

4月20日，美國聯(lián)邦機構(gòu)、盟國網(wǎng)絡(luò)當局和工業(yè)界今天發(fā)布了迄今為止最嚴厲的警告，隨著烏克蘭戰(zhàn)爭進入第56天，俄羅斯針對私營企業(yè)和公共基礎(chǔ)設(shè)施目標的網(wǎng)絡(luò)攻擊可能會增加。

網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)與聯(lián)邦調(diào)查局，國家安全局以及澳大利亞，加拿大，新西蘭和英國的網(wǎng)絡(luò)安全當局一起發(fā)布了聯(lián)合咨詢，因為俄羅斯網(wǎng)絡(luò)組織針對烏克蘭地區(qū)內(nèi)外的關(guān)鍵基礎(chǔ)設(shè)施的威脅增加。

該通報指出了最近俄羅斯國家贊助的網(wǎng)絡(luò)行動，包括分布式拒絕服務(wù)攻擊，對烏克蘭政府組織使用惡意軟件以及網(wǎng)絡(luò)犯罪集團最近對俄羅斯政府的公開承諾。

俄羅斯 Gamaredon APT 繼續(xù)瞄準烏克蘭

4月20日，與E有關(guān)的Gamaredon APT 組織(又名 Armageddon、Primitive Bear 和 ACTINIUM)繼續(xù)以W為目標，并且正在使用自定義 Pterodo后門(又名Pteranodon)的新變種。

微軟表示，自 2021 年 10 月以來，該網(wǎng)絡(luò)間諜組織是最近一系列針對烏克蘭實體和與烏克蘭事務(wù)相關(guān)的組織的魚叉式網(wǎng)絡(luò)釣魚攻擊的幕后黑手。Gamaredon 至少從 2014 年開始就在烏克蘭發(fā)起網(wǎng)絡(luò)間諜活動。賽門鐵克的研究人員透露，APT 組織在最近的攻擊中使用了至少四種自定義 Pteredo 后門的變體。

五眼聯(lián)盟警告與俄羅斯有關(guān)的威脅行為者的攻擊

4月20日，五眼聯(lián)盟的網(wǎng)絡(luò)安全機構(gòu)(美國、澳大利亞、加拿大、新西蘭和英國)發(fā)布了 聯(lián)合咨詢 警告，警告與俄羅斯有關(guān)的威脅行為者對關(guān)鍵基礎(chǔ)設(shè)施進行的網(wǎng)絡(luò)攻擊和犯罪網(wǎng)絡(luò)威脅。

該警報警告組織，俄羅斯入侵烏克蘭可能會導(dǎo)致整個歐洲的溢出效應(yīng)。情報機構(gòu)表示，與俄羅斯有關(guān)的 APT 組織正在探索潛在網(wǎng)絡(luò)攻擊的選項。

“不斷變化的情報表明，俄羅斯政府正在探索潛在網(wǎng)絡(luò)攻擊的選項(更多信息請參見 2022 年 3 月 21 日美國總統(tǒng)拜登 的聲明)。最近俄羅斯國家支持的網(wǎng)絡(luò)行動包括 分布式拒絕服務(wù) (DDoS) 攻擊，而較早的行動包括 針對烏克蘭政府和關(guān)鍵基礎(chǔ)設(shè)施組織部署破壞性惡意軟件。” “此外，一些網(wǎng)絡(luò)犯罪組織最近公開承諾支持俄羅斯政府?！?/p>

俄羅斯科學(xué)家稱他們有一個新系統(tǒng)來監(jiān)控對俄羅斯互聯(lián)網(wǎng)的攻擊

4 月12日，隨著俄羅斯對烏克蘭城市的炮火襲擊，來自世界各地的網(wǎng)絡(luò)攻擊者一直以拒絕服務(wù)攻擊為目標，瞄準俄羅斯媒體、加密貨幣服務(wù)和零售品牌。一群俄羅斯科學(xué)家表示，他們已經(jīng)開發(fā)出一種新工具來阻止此類攻擊——但即便如此，也表明嚴厲的經(jīng)濟制裁正在改變俄羅斯的生活。

薩馬拉大學(xué)的工程師開發(fā)了一種名為 NetTestBox 的工具來監(jiān)控進出俄羅斯的互聯(lián)網(wǎng)流量。俄羅斯《消息報》周一發(fā)表的一篇文章稱，“系統(tǒng)獲得的信息使您可以跟蹤未經(jīng)授權(quán)的數(shù)據(jù)泄露，查看哪些流量通過外國渠道，因此容易受到外部關(guān)閉的影響?！? (與大多數(shù)俄羅斯媒體一樣，該網(wǎng)站是國家控制的。)

烏克蘭人說，俄羅斯黑客企圖破壞電網(wǎng)

4 月 12 日，烏克蘭政府表示，烏克蘭政府擊退了俄羅斯的網(wǎng)絡(luò)攻擊，該攻擊摧毀多個變電站和為 200 萬人服務(wù)的電網(wǎng)的其他部分。

Victor Zhora 說，俄羅斯軍事情報黑客組織Sandworm是2016 年臭名昭著的烏克蘭電網(wǎng)黑客攻擊背后的一個多產(chǎn)且持續(xù)的行動，它使用了 2016 年事件中使用的“更先進和更復(fù)雜”的“ Industroyer ”惡意軟件版本，烏克蘭國家特殊通信和信息保護局副局長周二在與記者的簡報會上。

斯洛伐克網(wǎng)絡(luò)安全公司 ESET 和微軟的分析師幫助烏克蘭政府應(yīng)對此次攻擊。ESET 周二發(fā)布了對惡意軟件的分析，將其稱為“Industroyer2”。研究人員表示，他們相信它能夠控制特定的工業(yè)控制系統(tǒng)，以切斷不明電氣設(shè)施的電力。

除了 Industroyer2，ESET 研究人員報告稱，看到 Sandworm 部署了幾個針對電氣基礎(chǔ)設(shè)施的破壞性惡意軟件系列，這可能是為了混淆對破壞性黑客活動的任何分析并使系統(tǒng)無法運行和不可恢復(fù)的努力的一部分。

匿名者黑客入侵俄羅斯文化部

4月11日， 數(shù)據(jù)泄露服務(wù) DDoSecrets平臺公布了超過從俄羅斯政府竊取的700 GB 的數(shù)據(jù)，其中包括超過 500,000 封電子郵件。

該轉(zhuǎn)儲包括三個數(shù)據(jù)集，最大的一個與文化部有關(guān)，為 446 GB(包含 230,000 封電子郵件)，負責國家有關(guān)藝術(shù)、電影攝影、檔案、版權(quán)、文化遺產(chǎn)和審查的政策。通過 DDoSecrets 平臺收集的其他數(shù)據(jù)包括布拉戈維申斯克市政府150 GB及特維爾州長辦公室 116 GB數(shù)據(jù)。匿名者黑客繼續(xù)威脅那些仍在俄羅斯運營并與莫斯科開展業(yè)務(wù)的公司和金融組織。匿名者黑客發(fā)送給意大利聯(lián)合圣保羅銀行的消息，該銀行宣布自烏克蘭戰(zhàn)爭開始以來已停止向俄羅斯和白俄羅斯同行提供所有新的融資，并已停止對俄羅斯和白俄羅斯金融工具的投資。

微軟搶占俄羅斯域名，瞄準烏克蘭

4月8日， 科技巨頭微軟表示，它已經(jīng)控制了屬于俄羅斯GRU相關(guān)，國家贊助的威脅組織Strontium的七個域名。微軟表示，該組織也被稱為APT28和Fancy Bear，利用這些域名瞄準烏克蘭機構(gòu)，如其媒體組織，并且還有美國和歐盟的政府實體和決策者。微軟負責客戶安全和信任的公司副總裁湯姆·伯特(Tom Burt)在上周四發(fā)表的一篇博客文章中說：“4月6日，我們獲得了一項法院命令，授權(quán)我們控制Strontium用來進行這些攻擊的七個互聯(lián)網(wǎng)域。此后，我們將這些域重定向到由Microsoft控制的天坑，使我們能夠減輕Strontium當前對這些域的使用，并啟用受害者通知。根據(jù)微軟的說法，Strontium正試圖在其目標系統(tǒng)中建立持久訪問或建立后門。伯特說，此舉的目的可能是為俄羅斯對烏克蘭的實際入侵提供戰(zhàn)術(shù)支持，并泄露敏感信息。

情報機構(gòu)加速使用商業(yè)空間圖像來支持烏克蘭

4月7日，自從俄羅斯入侵烏克蘭之前，太空圖像、遙感和通信衛(wèi)星就一直在向公眾提供信息，并幫助烏克蘭軍隊和平民保持聯(lián)系。由于與商業(yè)行業(yè)的合作伙伴關(guān)系，美國情報界能夠迅速利用這些能力來增強其對該地區(qū)的支持，并加速幾項正在進行的采購工作以提高計劃采購的能力。

美國國家地理空間情報局商業(yè)和商業(yè)運營主管大衛(wèi)·高蒂爾在太空研討會上表示，隨著俄羅斯準備入侵的跡象越來越明顯，該機構(gòu)努力將其商業(yè)光電圖像的購買量增加一倍。

高蒂爾和他的團隊開始積極行動，將烏克蘭的分析師與公司直接聯(lián)系起來，以便更快地提供服務(wù)。他指出，目前正在加快收購一些“新的、未經(jīng)檢驗的商業(yè)服務(wù)”，以可以支持人道主義援助工作。

微軟刪除了用于攻擊烏克蘭的 APT28 域

4月7日，微軟在摧毀了7 個用作攻擊基礎(chǔ)設(shè)施的域后，成功阻止了由俄羅斯 APT28 黑客組織協(xié)調(diào)的針對烏克蘭目標的攻擊。

與俄羅斯軍事情報機構(gòu) GRU 相關(guān)聯(lián)的 Strontium(也被稱為 Fancy Bear 或 APT28)使用這些域來針對多個烏克蘭機構(gòu)，包括媒體組織。這些域名還被用于攻擊涉及外交政策的美國和歐盟政府機構(gòu)和智囊團。

俄羅斯石油巨頭 Gazprom Neft 的網(wǎng)站遭黑客攻擊

4月7日， 俄羅斯國家天然氣公司 Gazprom 的石油部門 Gazprom Neft 的網(wǎng)站因涉嫌黑客攻擊而被迫下線，這是俄羅斯入侵烏克蘭后，其政府相關(guān)網(wǎng)站最新遭遇的黑客攻擊。Gazprom Neft 是俄羅斯第三大石油生產(chǎn)商，它是俄羅斯天然氣工業(yè)股份公司的子公司。上個月，據(jù)稱有多個烏克蘭新聞網(wǎng)站遭到了俄羅斯的黑客攻擊，并向訪問者展示了“Z”符號。烏克蘭國家特別通信和信息保護局也證實了這一事件，并將責任歸咎于俄羅斯國家支持的行為者。

烏克蘭發(fā)現(xiàn)與俄羅斯相關(guān)"世界末日"網(wǎng)絡(luò)釣魚攻擊

4月5日，烏克蘭計算機應(yīng)急響應(yīng)小組(CERT-UA)發(fā)現(xiàn)了新型網(wǎng)絡(luò)釣魚攻擊，這些攻擊歸因于名為“世界末日(Gamaredon)”的俄羅斯威脅組織。該組織自2014年以來一直以烏克蘭為目標，被認為是俄羅斯聯(lián)邦安全局(FSB)的一部分。根據(jù)烏克蘭特勤局2021年11月發(fā)布的詳細技術(shù)報告，“世界末日”已對該國1500個關(guān)鍵實體發(fā)起了至少5000次網(wǎng)絡(luò)攻擊。烏克蘭軍隊此前已經(jīng)確定了世界末日網(wǎng)絡(luò)部隊的成員，暴露了他們的工具集，并將定制惡意軟件的開發(fā)工作追蹤到俄羅斯黑客論壇。

“世界末日”以烏克蘭為攻擊目標，向該國政府機構(gòu)分發(fā)有關(guān)“俄羅斯聯(lián)邦戰(zhàn)犯信息”的電子郵件;“世界末日”二以歐盟政府為攻擊目標，向政府官員發(fā)送名為“Assistance”和“

Necessary_military_assistance”的壓縮文件。這些惡意電子郵件試圖使用以烏克蘭戰(zhàn)爭為主題的誘餌來欺騙收件人，并使用以間諜活動為重點的惡意軟件感染目標系統(tǒng)。