研究人員在Telegram上相關(guān)支持烏克蘭的群組中發(fā)現(xiàn)有大量類似攻擊軟件分享，其中有一款名為“Liberator”的軟件，由一個(gè)名為disBalancer的小組制作。Liberator被宣傳為針對俄羅斯宣傳網(wǎng)站執(zhí)行DDoS攻擊。研究人員針對正規(guī)的Liberator工具進(jìn)行分析，發(fā)現(xiàn)沒有明顯惡意的代碼，該程序?qū)嶋H上是一個(gè)DDoS客戶端，在使用時(shí)會對從服務(wù)器下載的目標(biāo)列表發(fā)起攻擊。

研究人員發(fā)現(xiàn)有黑客利用了這部分網(wǎng)民心理，制作并在在Telegram上分發(fā)虛假的Liberator攻擊軟件，實(shí)際上是一種旨在危害不知情用戶的信息竊取程序。惡意軟件會轉(zhuǎn)存用戶各種口令密碼和大量與加密貨幣相關(guān)的信息。這是機(jī)會主義黑客試圖利用烏克蘭支持者發(fā)動(dòng)網(wǎng)絡(luò)入侵的眾多方式之一。此類活動(dòng)可能采取以新聞主題或募捐為主題的釣魚電子郵件、聲稱托管救濟(jì)基金或難民網(wǎng)站的惡意鏈接、偽裝成安全防御或攻擊工具的惡意軟件等形式。

研究人員分析發(fā)現(xiàn)，至少自2021年11月以來，該活動(dòng)背后的參與者一直在分發(fā)信息軟件。據(jù)此推測，這不是俄烏戰(zhàn)爭爆發(fā)后新出現(xiàn)的黑客，而是已經(jīng)出現(xiàn)的黑客利用俄烏戰(zhàn)爭這一輿論熱點(diǎn)開展個(gè)人信息竊取。

本次曝光的惡意軟件偽裝成其他軟件供用戶分發(fā)下載并大量傳播的攻擊手法及技術(shù)并無新穎之處，與常規(guī)的欺騙軟件下載并無二致，都是通過惡意軟件偽裝成其他軟件或者文件鏈接，通過被攻擊者關(guān)注的重要熱點(diǎn)事件來吸引其點(diǎn)擊下載，再通過下載的惡意軟件等來實(shí)現(xiàn)個(gè)人信息或者網(wǎng)絡(luò)情報(bào)收集與竊取。

但這次個(gè)人信息竊取行動(dòng)針對的是俄烏危機(jī)中對烏克蘭持支持立場的網(wǎng)民，且這部分網(wǎng)民試圖通過網(wǎng)絡(luò)DDoS攻擊方式參與到反抗俄羅斯的烏克蘭IT志愿軍中。俄烏危機(jī)以來，以Anonymous組織為代表的民間黑客組織對俄羅斯政府網(wǎng)站等發(fā)動(dòng)了大量襲擊，造成了一定的攻擊效果，起到了很好的輿論宣傳和鼓動(dòng)效果，甚至一度扭轉(zhuǎn)了俄烏網(wǎng)絡(luò)攻防領(lǐng)域一邊倒的態(tài)勢。

通過制作并分發(fā)竊取個(gè)人信息的惡意軟件，欺騙試圖加入到烏克蘭IT志愿軍的上述人員下載，通過此行動(dòng)，獲取掌握上述人員相關(guān)信息，再通過關(guān)聯(lián)擴(kuò)線，分析掌握相關(guān)民間黑客組織信息，研判此類人員背景資料及可能的支持勢力，再適時(shí)公布相關(guān)黑客人員信息，不排除此行為是由俄羅斯支持的黑客組織所為。