俄烏沖突自 2022年2月24日爆發(fā)以來目前已進(jìn)入第二年。隨著戰(zhàn)爭的推進(jìn)，俄方開展的網(wǎng)絡(luò)攻擊行動和網(wǎng)絡(luò)認(rèn)知戰(zhàn)行動也在不斷演進(jìn)和變化。最近，國外多個(gè)智庫和專業(yè)威脅情報(bào)分析團(tuán)隊(duì)對俄方一年來開展的網(wǎng)絡(luò)行動進(jìn)行了分析與總結(jié)，發(fā)布了多份相關(guān)報(bào)告，主要包括：2 月 16 日，谷歌威脅分析小組（TAG）發(fā)布《戰(zhàn)爭迷霧：烏克蘭沖突如何改變網(wǎng)絡(luò)威脅格局》報(bào)告；3 月 15 日，微軟公司發(fā)布題為《一年來俄羅斯在烏克蘭境內(nèi)開展的混合戰(zhàn)爭》簡報(bào)；4 月 17 日，德國科學(xué)與政治基金會（SWP）發(fā)布題為《俄羅斯針對烏克蘭戰(zhàn)爭中的網(wǎng)絡(luò)行動：迄今為止的運(yùn)用情況、局限和經(jīng)驗(yàn)教訓(xùn)》的報(bào)告；4 月 18 日，谷歌旗下網(wǎng)絡(luò)安全公司曼迪昂特發(fā)布《2023 年趨勢報(bào)告》，其中重點(diǎn)分析了俄羅斯針對烏克蘭開展的網(wǎng)絡(luò)行動以及圍繞俄烏戰(zhàn)爭開展的信息操作情況，等等。上述報(bào)告的內(nèi)容，對于觀察和研究在混合戰(zhàn)爭中網(wǎng)絡(luò)作戰(zhàn)的樣式、影響力等方面有較大的參考價(jià)值。

一、主要發(fā)現(xiàn)

關(guān)于俄羅斯政府支持的攻擊者、信息行動和網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)威脅行為者，谷歌報(bào)告有以下新發(fā)現(xiàn)：

1　俄試圖在網(wǎng)絡(luò)空間獲得決定性戰(zhàn)時(shí)優(yōu)勢

這包括各組織的重點(diǎn)轉(zhuǎn)向?yàn)蹩颂m政府、軍事和民用基礎(chǔ)設(shè)施，破壞性攻擊急劇增加，針對北約國家的魚叉式網(wǎng)絡(luò)釣魚活動激增，旨在促進(jìn)俄羅斯多個(gè)目標(biāo)的網(wǎng)絡(luò)行動有所增加。例如，觀察到威脅行為者通過黑客攻擊和泄露敏感信息來推進(jìn)特定的敘事。

在戰(zhàn)爭爆發(fā)前夕，俄羅斯政府支持的攻擊者從 2021 年開始加強(qiáng)了網(wǎng)絡(luò)行動。相比 2020 年，俄羅斯對烏克蘭用戶的攻擊在 2022 年增加了 250%。

同期，對北約國家用戶的攻擊增加了 300%以上。

2022 年，俄羅斯政府支持的攻擊者針對烏克蘭用戶的攻擊次數(shù)超過針對任何其他國家。雖然這些攻擊者主要針對烏克蘭政府和軍事實(shí)體，但也顯示出對關(guān)鍵基礎(chǔ)設(shè)施、公用事業(yè)和公共服務(wù)以及媒體和信息空間的強(qiáng)烈關(guān)注。曼迪昂特觀察到 2022 年前 4 個(gè)月在烏克蘭發(fā)生的破壞性網(wǎng)絡(luò)攻擊較過去 8 年更具破壞性，攻擊在戰(zhàn)爭開始時(shí)達(dá)到頂峰。雖然在那段時(shí)間后也發(fā)現(xiàn)了重大活動，但與 2022 年 2 月的第一波攻擊相比，攻擊的步伐放緩并且協(xié)調(diào)性似乎較差。具體而言，破壞性攻擊通常在攻擊者獲得或重新獲得訪問權(quán)限后更快地發(fā)生，通常通過滲透的邊緣基礎(chǔ)設(shè)施進(jìn)行。許多行動表明俄羅斯聯(lián)邦武裝力量總參謀部情報(bào)總局（GRU）試圖在活動的每個(gè)階段平衡訪問、收集和破壞的競爭優(yōu)先級。

2　俄開展全方位信息行動塑造公眾對戰(zhàn)爭的看法

這些行動具有三個(gè)目標(biāo)：

· 削弱烏克蘭政府的權(quán)威

· 斷絕對烏克蘭的國際支持

· 保持俄羅斯國內(nèi)對戰(zhàn)爭的支持

與沖突中的關(guān)鍵事件相關(guān)的活動激增，例如俄羅斯的集結(jié)、入侵和部隊(duì)動員。谷歌開展工作，應(yīng)對這些“違反”谷歌政策的活動并阻斷公開和秘密的信息活動，但繼續(xù)遇到規(guī)避政策的持續(xù)強(qiáng)烈企圖。谷歌阻斷的俄方秘密信息行動主要集中在維持俄國內(nèi)對烏克蘭“特別軍事行動”的支持，超過 90％的實(shí)例是俄語。

3　俄烏沖突導(dǎo)致東歐網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)顯著轉(zhuǎn)變

一些團(tuán)體因政治忠誠和地緣政治而分裂，而另一些團(tuán)體則失去了重要的操作者，這將影響對這些團(tuán)體的看法以及對其能力的傳統(tǒng)理解。勒索軟件生態(tài)系統(tǒng)呈現(xiàn)專業(yè)化趨勢，該生態(tài)系統(tǒng)混合了不同行為者的策略，使得追蹤溯源變得更加困難。俄烏戰(zhàn)爭也由谷歌預(yù)期會發(fā)生但未看到的情況來定義。例如，谷歌沒有觀察到針對烏克蘭境外關(guān)鍵基礎(chǔ)設(shè)施的攻擊激增。

谷歌威脅分析小組（TAG）還發(fā)現(xiàn)，與出于經(jīng)濟(jì)動機(jī)的威脅行為者密切相關(guān)的策略被部署在目標(biāo)通常與政府支持的攻擊者相關(guān)的活動中。2022 年9 月，TAG 報(bào)告了一個(gè)威脅行為者，其活動與烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT-UA）的 UAC-0098 重疊，該威脅行為者過去曾投放 IcedID 銀行木馬，該木馬會導(dǎo)致人為操作的勒索軟件攻擊。谷歌評估 UAC-0098 的一些成員是前 Conti 組織成員，將他們的技術(shù)重新用于針對烏克蘭。

二、網(wǎng)絡(luò)行動的演變

一年來，俄羅斯圍繞俄烏戰(zhàn)爭開展了廣泛的信息行動，類型包括網(wǎng)絡(luò)支持的信息操作、利用不真實(shí)的賬戶網(wǎng)絡(luò)在在線媒體上推廣捏造內(nèi)容的活動等。俄羅斯虛假信息活動具有雙重目的：一方面在戰(zhàn)術(shù)上響應(yīng)或塑造當(dāng)?shù)厥录涣硪环矫嬖趹?zhàn)略上影響不斷變化的地緣政治格局。谷歌報(bào)告將俄羅斯網(wǎng)絡(luò)行動演變分為五大主要階段：

1　第一階段：戰(zhàn)前的戰(zhàn)略性網(wǎng)絡(luò)間諜活動和預(yù)先部署（2019 年至2022 年 2 月）

報(bào)告稱，俄羅斯威脅組織 UNC2589 于 2022 年 1 月使用 PAYWIPE（又名WHISPERGATE）針對烏克蘭實(shí)體開展了破壞性攻擊，目的是動搖烏克蘭民眾對政府的信任，并破壞對抵御俄羅斯軍事行動的支持，從而為武裝沖突的“信息領(lǐng)域”做好準(zhǔn)備。之后，UNC2589 又攻擊了烏克蘭關(guān)鍵基礎(chǔ)設(shè)施，對金融機(jī)構(gòu)也進(jìn)行了分布式拒絕服務(wù)（DDoS）攻擊。

俄羅斯聯(lián)邦武裝力量總參謀部情報(bào)總局（GRU）所屬威脅組織在戰(zhàn)前廣泛開展?jié)B透活動并進(jìn)行預(yù)部署，以便在戰(zhàn)爭開始后利用訪問權(quán)限開展破壞性行動。2022 年 2 月下旬，由 GRU 支持的威脅組織 APT28 重新激活了休眠的 2019 年 EMPIRE 感染，以在環(huán)境中橫向移動并使用 SDELETE 實(shí)用程序從受感染系統(tǒng)中刪除文件和目錄。在另一個(gè)案例中，APT28 以 VPN 為目標(biāo)獲取訪問權(quán)限，并在 2021 年 4 月向多名受害者部署了惡意軟件植入程序FREETOW。至少在一個(gè)案例中，攻擊者在站穩(wěn)腳跟后一直處于休眠狀態(tài)，直到在戰(zhàn)爭第二階段期間于2022年2月和3月開展了一系列惡意擦除攻擊。自戰(zhàn)爭開始以來，APT28 一直是俄羅斯在烏克蘭最活躍的活動集群，并且將破壞性網(wǎng)絡(luò)攻擊置于在烏克蘭的間諜活動之上。

2　第二階段：初始破壞性網(wǎng)絡(luò)行動和軍事行動（2022 年 2 月至2022 年 4 月）

俄羅斯威脅行為者利用惡意擦除軟件對烏克蘭開展破壞性網(wǎng)絡(luò)攻擊，從而支持俄羅斯的軍事行動。APT28 采用名為“邊緣生存”的新手法，“邊緣生存”已成為戰(zhàn)時(shí) GRU 行動的關(guān)鍵部分。自戰(zhàn)爭爆發(fā)以來，GRU 一直試圖針對烏克蘭境內(nèi)的關(guān)鍵服務(wù)和組織進(jìn)行連續(xù)且?guī)缀醪婚g斷的網(wǎng)絡(luò)間諜和破壞活動。這種對目標(biāo)組織的訪問和行動的平衡依賴于對路由器和其他互聯(lián)網(wǎng)連接設(shè)備等邊緣基礎(chǔ)設(shè)施的滲透。在破壞性行為導(dǎo)致無法直接訪問端點(diǎn)的情況下，通過遭滲透邊緣設(shè)備可繼續(xù)重新進(jìn)入網(wǎng)絡(luò)。由于大多數(shù)端點(diǎn)檢測和響應(yīng)技術(shù)未涵蓋此類設(shè)備，因此防御者也更難檢測到對這些路由器的滲透。

俄羅斯威脅行動者還嘗試?yán)靡郧搬槍た叵到y(tǒng)的惡意軟件變種攻擊烏克蘭電力系統(tǒng)。俄羅斯情報(bào)機(jī)構(gòu)利用虛假身份開展信息泄露活動；俄羅斯威脅行為者在網(wǎng)絡(luò)媒體上宣揚(yáng)網(wǎng)絡(luò)攻擊活動，從而達(dá)到對外宣傳俄羅斯利益和對內(nèi)宣揚(yáng)支持戰(zhàn)爭輿論的雙重目的。在對針對烏克蘭政府組織網(wǎng)絡(luò)的活動進(jìn)行調(diào)查期間，曼迪昂特發(fā)現(xiàn)了在俄羅斯單位于 2022 年初物理訪問該網(wǎng)絡(luò)后發(fā)生滲透的證據(jù)。曼迪昂特追蹤為 UNC3762 的攻擊者使用此物理訪問進(jìn)行網(wǎng)絡(luò)偵察，獲取憑據(jù)，并使用遠(yuǎn)程桌面和 Web shell 橫向移動。UNC3762 還利用 PROXYSHELL 漏洞鏈（CVE-2021-34473、CVE-2021-34523、CVE -2021-31207），部署 THRESHGO 惡意軟件，并從環(huán)境中竊取數(shù)據(jù)。

3　第三階段：持續(xù)瞄準(zhǔn)和攻擊（2022 年 5 月至 2022 年 7 月）

俄羅斯針對烏克蘭的網(wǎng)絡(luò)行動的節(jié)奏和類型發(fā)生變化：攻擊者繼續(xù)嘗試發(fā)起惡意擦除攻擊，攻擊的速度更快但協(xié)調(diào)性有所降低；俄羅斯支持的威脅行為者開展周期性“訪問采集—破壞行動”，在攻擊浪潮間隔期間嘗試開展訪問和采集操作，同時(shí)還致力于標(biāo)準(zhǔn)化其破壞性操作。

GRU 還從使用多種不同的惡意擦除軟件轉(zhuǎn)變?yōu)樵诳焖僦苻D(zhuǎn)操作中嚴(yán)重依賴 CADDYWIPER 及其變體來對目標(biāo)組織開展擦拭操作。總體而言，GRU繼續(xù)瞄準(zhǔn)并利用邊緣基礎(chǔ)設(shè)施來獲得對戰(zhàn)略目標(biāo)的訪問權(quán)。一旦進(jìn)入環(huán)境，GRU 集群就會利用 IMPACKET 和公開可用的后門來維持立足。曼迪昂特還觀察到另一個(gè) GRU 集群 UNC3810，它展示了在 Linux 系統(tǒng)上開展攻擊和操作的熟練程度。UNC3810 在很大程度上利用了 GoGetter 和 Chisel 等代理工具來維持訪問并在目標(biāo)環(huán)境中橫向移動。

4　第四階段：保持立足點(diǎn)以獲取戰(zhàn)略優(yōu)勢（2022 年 8 月至 2022年 9 月）

GRU 所屬威脅組織停止了針對烏克蘭的破壞性活動，但與俄羅斯聯(lián)邦安全局（FSB）相關(guān)網(wǎng)絡(luò)威脅組織開始浮出水面。其中，Armageddon 對烏克蘭四個(gè)不同政府實(shí)體開展攻擊活動，Armageddon 是一個(gè)與俄羅斯有聯(lián)系的威脅行為者，專門針對烏克蘭目標(biāo)，收集有關(guān)烏克蘭國家安全和執(zhí)法實(shí)體的信息以支持俄羅斯的國家利益。從 Armageddon 觀察到的行動范圍與該組織過去幾年開展的眾多活動一致。

此外，Turla 針對烏克蘭某政府機(jī)構(gòu)開展?jié)B透活動。Turla 是一個(gè)總部位于俄羅斯的網(wǎng)絡(luò)間諜行為者，自 2006 年以來一直活躍，以針對外交、政府和國防實(shí)體而聞名。曼迪昂特確定了可追溯到 2021 年底的一次滲透，該滲透針對烏克蘭某政府機(jī)構(gòu)，符合 Turla 的策略、技術(shù)和程序。

5　第五階段：破壞性攻擊的新節(jié)奏（2022 年 10 月至 2022 年 12月）

此階段的特點(diǎn)是俄羅斯針對烏克蘭的破壞性網(wǎng)絡(luò)攻擊“死灰復(fù)燃”。新的攻擊類似于前幾個(gè)階段的破壞性攻擊，但由使用惡意擦除軟件轉(zhuǎn)向使用勒索軟件，表明 GRU 正在轉(zhuǎn)換攻擊工具且沒有資源來編寫或修改自定義惡意軟件。配合俄羅斯針對烏克蘭能源基礎(chǔ)設(shè)施開展更廣泛軍事打擊行動，GRU 對烏克蘭能源部門開展了破壞性網(wǎng)絡(luò)攻擊行動。

三、網(wǎng)絡(luò)行動趨勢

自 2023 年 1 月以來，微軟觀察到俄羅斯的網(wǎng)絡(luò)威脅活動正在調(diào)整，重點(diǎn)增強(qiáng)對烏克蘭及其合作伙伴的民用和軍事資產(chǎn)的破壞性和情報(bào)收集能力。

除了眾多破壞性的雨刷攻擊之外，隨著戰(zhàn)爭的推進(jìn)，俄羅斯威脅活動出現(xiàn)了三種趨勢，有可能影響俄羅斯未來網(wǎng)絡(luò)行動的進(jìn)展：

1　使用勒索軟件作為可否認(rèn)的破壞性武器

隸屬于GRU 的一個(gè)名為 Iridium的威脅組織正在重新準(zhǔn)備一場新的破壞性行動，可能測試更多的勒索軟件類的功能，部署惡意軟件攻擊潮，針對烏克蘭境外的供應(yīng)線上起著關(guān)鍵作用的組織進(jìn)行破壞性攻擊。Iridium 部署了 Caddywiper 和 FoxBlade wiper 惡意軟件來破壞涉及發(fā)電、供水和人員和貨物運(yùn)輸?shù)慕M織網(wǎng)絡(luò)的數(shù)據(jù)；部署了新穎的 Prestige 勒索軟件，針對波蘭和烏克蘭的多個(gè)物流和運(yùn)輸部門網(wǎng)絡(luò)，2022 年 10 月份的 Prestige 事件可能代表了俄羅斯網(wǎng)絡(luò)攻擊戰(zhàn)略的慎重轉(zhuǎn)變，反映出俄羅斯愿意使用其網(wǎng)絡(luò)武器攻擊烏克蘭以外的機(jī)構(gòu)，以支持在烏克蘭戰(zhàn)爭；同時(shí)還部署了一款新的名為 Sullivan 勒索軟件，至少有三個(gè)變種，其模塊化功能在不斷迭代和精化，以逃避檢測和緩解措施，并摧毀網(wǎng)絡(luò)系統(tǒng)，篡改反惡意軟件產(chǎn)品，使 Sullivan更難被發(fā)現(xiàn)。

2　通過多種方式獲得初始訪問

在整個(gè)沖突期間，俄羅斯威脅行為體利用了多樣化的工具包，在技術(shù)層面上，常見的戰(zhàn)技術(shù)包括：開發(fā)面向互聯(lián)網(wǎng)的應(yīng)用程序、非法后門軟件和無處不在的魚叉式釣魚。Iridium 用 Microsoft Office 的非法后門版本來訪問烏克蘭的目標(biāo)組織，同時(shí)還負(fù)責(zé)將武器化的 Windows 10 版本上傳到烏克蘭論壇以訪問烏克蘭政府和其他敏感組織；DEV-0586 威脅行為體利用Confluence 服務(wù)器訪問烏克蘭組織，隨后這些組織受到了 Whispergate 雨刷惡意軟件或其他網(wǎng)絡(luò)行動的影響；STRONTIUM 威脅行為體利用公開的漏洞來破壞微軟的交換服務(wù)器，濫用在線交換來獲得對中歐政府以及運(yùn)輸部門等組織的訪問權(quán)。2022 年末，Iridium 向?yàn)蹩颂m以及羅馬尼亞、立陶宛、意大利、英國和巴西等國的眾多組織發(fā)送了魚叉式釣魚電子郵件，其中包含針對 Zimbra 服務(wù)器中 CVE-2022—41352 的惡意有效載荷。目標(biāo)部門包括信息技術(shù)、能源、救災(zāi)、金融、媒體和難民援助，等等。俄羅斯的威脅行為體也在積極濫用技術(shù)信任關(guān)系，針對信息技術(shù)提供商在不立即觸發(fā)警報(bào)的情況下接近下游更敏感的目標(biāo)。STRONTIUM 和 KRYPTON 都試圖訪問波蘭的一家 IT 提供商；NOBELIUM 經(jīng)常試圖通過首先破壞云解決方案來破壞世界各地的外交組織和外交政策智囊團(tuán)，并操縱為這些組織服務(wù)的服務(wù)提供商。

3　開展全球網(wǎng)絡(luò)影響力行動

在發(fā)起網(wǎng)絡(luò)攻擊活動的同時(shí)，俄羅斯相關(guān)機(jī)構(gòu)正在開展全球網(wǎng)絡(luò)影響力行動，以支持他們的戰(zhàn)爭。這些活動將克格勃幾十年來的策略與新的數(shù)字技術(shù)和互聯(lián)網(wǎng)相結(jié)合，為對外影響力行動提供更廣闊的地理范圍、更大的數(shù)量、更精確的目標(biāo)以及更快的速度和敏捷性。尤其是在參與者極具耐心和堅(jiān)持不懈的情況下，這些網(wǎng)絡(luò)影響力行動幾乎完美地利用了民主社會長期以來的開放和當(dāng)今時(shí)代特征的公眾兩極分化特點(diǎn)。隨著俄烏戰(zhàn)爭沖突的持續(xù)，俄羅斯機(jī)構(gòu)將其網(wǎng)絡(luò)影響力行動的重點(diǎn)放在四個(gè)不同的受眾上。一是他們以俄羅斯民眾為目標(biāo)，目的是維持對戰(zhàn)爭的支持。二是他們以烏克蘭人為目標(biāo)，目的是削弱對該國抵御俄羅斯襲擊的意愿和能力的信心。三是他們以美國和歐洲人民為目標(biāo)，目的是破壞西方團(tuán)結(jié)并轉(zhuǎn)移對俄羅斯軍事戰(zhàn)爭罪行的批評。四是他們開始以不結(jié)盟國家的人民為目標(biāo)，這可能是為了維持他們在聯(lián)合國和其他機(jī)構(gòu)所獲得的支持力。隨著戰(zhàn)爭的進(jìn)展，俄羅斯的影響力行動還出現(xiàn)了另外幾種趨勢。其中一個(gè)自戰(zhàn)爭開始以來俄羅斯所采用的新興戰(zhàn)術(shù)是：將信息空間中的網(wǎng)絡(luò)行為者和黑客組織之間建立聯(lián)系。

四、未來展望

展望未來，俄網(wǎng)絡(luò)空間作戰(zhàn)將呈現(xiàn)三大趨勢：一是俄政府支持的攻擊者將繼續(xù)對烏克蘭和北約伙伴開展網(wǎng)絡(luò)攻擊，以進(jìn)一步實(shí)現(xiàn)俄戰(zhàn)略目標(biāo)；二是俄將增加對烏以及北約伙伴的中斷性和破壞性攻擊，以應(yīng)對戰(zhàn)場形勢從根本上向利烏的態(tài)勢發(fā)展；三是俄將繼續(xù)加快信息行動的步伐和范圍以實(shí)現(xiàn)其目標(biāo)，尤其是在國際資助、軍事援助、國內(nèi)公投等關(guān)鍵時(shí)刻。為此，微軟團(tuán)隊(duì)認(rèn)為應(yīng)采取協(xié)調(diào)和全面的戰(zhàn)略，以加強(qiáng)對俄羅斯全方位網(wǎng)絡(luò)破壞、間諜活動和網(wǎng)絡(luò)影響力行動的防御。

俄烏沖突具備明顯的“混合戰(zhàn)爭”特點(diǎn)，網(wǎng)絡(luò)補(bǔ)充了傳統(tǒng)的戰(zhàn)爭形式，除高強(qiáng)度軍事沖突外，還包括網(wǎng)絡(luò)攻擊、輿論攻擊、信息對抗、封鎖制裁等非常規(guī)、非對稱作戰(zhàn)。從俄烏沖突演進(jìn)過程可以發(fā)現(xiàn)，在現(xiàn)代戰(zhàn)爭開局階段實(shí)施高強(qiáng)度的網(wǎng)絡(luò)信息戰(zhàn)已成為首選項(xiàng)，關(guān)鍵信息基礎(chǔ)設(shè)施也成為網(wǎng)絡(luò)戰(zhàn)的重點(diǎn)攻擊對象，而輿論信息戰(zhàn)的全程運(yùn)用使雙方博弈“白熱化”，已成為決定網(wǎng)絡(luò)信息戰(zhàn)成敗的殺手锏，在未來的武裝沖突中，網(wǎng)絡(luò)作戰(zhàn)將繼續(xù)發(fā)揮不可或缺的作用。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時(shí)與我們聯(lián)系，我們會在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明