APT组织攻击乌克兰网络
对乌克兰的网络攻击被战略性地用于支持地面战役,该网络袭击在2月份由五个国家支持的高级持续威胁(APT)组织支持开始组织实施。根据微软周三发布的研究,参与这些活动的APT主要由俄罗斯赞助。
本周发布的单独报告也揭示了与俄罗斯有联系的APT对乌克兰数字资产的网络攻击浪潮。微软研究人员认为,六个与俄罗斯结盟的威胁行为者进行了237次网络攻击操作,其行为对于平民福利构成威胁,其同时也试图对乌克兰目标进行数十次网络间谍攻击。
此外,根据微软客户安全和信托公司副总裁Tom Burt的一篇博客文章指出,俄罗斯被认为在某种“混合战争”中使用网络攻击。他说,这与“针对对平民至关重要的服务和机构的动态军事行动”有关。Burt在其博客中写道:这些袭击不仅破坏了乌克兰的机构系统,还试图破坏人们获得平民赖以生存的可靠信息和关键生活服务的机会,并以此试图动摇民众对该国领导层的信心。
与此同时,乌克兰计算机应急小组(CERT-UA)的研究人员一直在自己分析在战争前和战争期间阻碍该国的网络攻击。该机构表示仅在2022年第一季度,它就记录了802起网络攻击,是去年同期362次的两倍多。CERT-UA表示,实施这些袭击主要是五个已知的俄罗斯或白俄罗斯赞助的APT发起。具体来说,这些群体是:世界末日/Garmaredon、UNC1151、Fancy Bear/APT28、AgentTesla/XLoader和Pandora hVNC/GrimPlant/GraphSteel。
混合战争
研究人员表示,微软安全团队一直在与乌克兰政府官员以及政府和私营企业网络安全人员密切合作,以识别和补救针对乌克兰网络的威胁活动。
据报道,俄罗斯在俄乌战争开始前一年或2021年3月以来就在网络空间为与乌克兰的陆地冲突做准备。微软研究人员发现,在地面冲突和随后的入侵发生之前,已知或可疑的威胁组织正每周以两到三起事件的速度在目标乌克兰网络上不断开发和使用恶意软件或类似破坏性工具进行网络攻击。在报告中他们认为:从2月23日至4月8日,微软团队看到了近40次离散破坏性袭击的证据,而这些袭击永久摧毁了乌克兰数十个组织数百个系统中的文件。
甚至在此之前,微软在1月份就发现了一次主引导记录(MBR)雨刷攻击,并将其命名为WhisperGate,目标是乌克兰,试图永久扰乱全国各地的组织,并将乌克兰描述为失败的国家。雨刮器是破坏性最大的恶意软件类型,因为它们会永久删除和破坏数据和/或系统,给受害者造成巨大的财务和声誉损失。
从2月底到3月中旬,随着俄罗斯开始实际入侵,另一系列使用名为HermeticWiper、IsaacWiper和CaddyWiper的恶意软件的雨刷攻击瞄准了乌克兰的组织。
对关键基础设施的攻击
微软在其最新报告中表示,40%以上的对乌克兰的破坏性袭击是针对关键基础设施部门的组织,这些部门可能会对政府、军队、经济和国家人民产生负面的次生影响。此外,32%的破坏性事件也影响了乌克兰国家、地区和城市各级的政府组织。
研究人员写道:“我们承认存在我们看不到的持续活动,我们估计乌克兰网络上至少被部署了八个破坏性恶意软件集群,包括一个专门针对工业控制系统(ICS)的软件集群。如果威胁行为者能够保持目前的开发和部署速度,我们预计随着冲突的继续,将发现更具破坏性的恶意软件。”
该报告中列举了网络攻击的详情包括攻击的具体时间表和袭击最初几周用于支持俄罗斯军事活动的恶意软件。除了前面提到的雨刷外,攻击中部署的其他恶意软件包括:FoxBlade、DesertBlade、FiberLake、SonicVote和Industroyer2。
网络袭击的惯犯
在CERT-UA披露顶级ATP在网络空间打击乌克兰之后,研究公司Recorded Future的The Record更深入地相互研究,以研究其具体隶属关系和工作方式。
Armageddon/Garmaredon是一个侵略性威胁行为者,自2014年以来一直以乌克兰为目标,并得到俄罗斯联邦安全局(FSB)的支持。据研究人员称,在俄罗斯对乌克兰的战争期间,该组织使用网络钓鱼攻击分发恶意软件,这是“Backdoor.Pterodo”恶意软件有效负载的最新变体。
研究人员援引Mandiant的研究表示,UNC1151是一个与白俄罗斯结盟的黑客组织,自2016年以来一直活跃,此前一直以乌克兰、立陶宛、拉脱维亚、波兰和德国的政府机构和私人组织为目标,并袭击了白俄罗斯持不同政见者和记者的网络电子设备。
而自俄罗斯袭击乌克兰UNC1151以来,该组织通过传播MicroBackdoor恶意软件等方式,一直与多个乌克兰政府网站的受袭以及针对乌克兰军事人员的电子邮件和Facebook帐户的网络钓鱼活动有关。
Fancy Bear/APT 28是一个知名且多产的组织,自2017年以来一直活跃,并得到俄罗斯军事情报局(GRU)的支持。这个出于政治动机的团体与旨在影响欧盟和美国选举以及与攻击2020年东京奥运会有关的体育当局的活动有关。
研究人员表示,2月24日,即俄罗斯袭击乌克兰的当天,Fancy Bear袭击了美国卫星通信提供商Viasat在乌克兰的KA-SAT网络,使许多乌克兰人无法访问互联网,因此在袭击开始的关键时刻无法进行及时有效的通信。
俄罗斯威胁行为者至少自2014年和2020年以来分别使用AgentTesla和XLoader恶意软件;两者都用于备受瞩目的攻击。研究人员表示,在俄罗斯入侵乌克兰期间,一场针对乌克兰国家组织的恶意电子邮件活动使用XLoader作为其有效载荷,进而针对乌克兰公民进行了网络钓鱼活动。
研究人员表示,Pandora hVNC/GrimPlant/GraphSteel在统一的“大象框架”或用同一语言编写,并在针对政府组织的网络钓鱼攻击中充当下载器和滴管。他们说,在3月份的两次单独的恶意网络钓鱼活动中,它们被用来攻击乌克兰目标,从政府官员那里窃取敏感信息等。
乌克兰网络攻击的历史
3月,卡巴斯基的全球研究和分析团队(GReAT)概述了其对乌克兰当前和过去网络攻击的跟踪。
“未来六个月,乌克兰的网络攻击数量将进一步增加。虽然目前大多数攻击的复杂性较低——例如DDoS或使用商品和低质量工具的攻击——但也存在更复杂的攻击,预计还会有更多攻击,”卡巴斯基研究人员写道。
卡巴斯基报告补充说:“目前的复杂活动包括使用HermeticWiper,这因其复杂性而脱颖而出,以及Viasat‘网络事件’——部分网络中断影响了乌克兰和欧洲KA-SAT网络上固定宽带客户的互联网服务,影响了欧洲3万多个终端。
参考及来源:https://threatpost.com/cyberwar-ukraine-military/179421/