下面盤點(diǎn)了4月份以來，關(guān)于俄烏網(wǎng)絡(luò)對(duì)抗的最新進(jìn)展情況，以饗讀者。

俄羅斯在戰(zhàn)爭(zhēng)期間廣泛開展網(wǎng)絡(luò)攻擊

4月27日，美國(guó)微軟公司于27日發(fā)布報(bào)告稱，至少有六個(gè)受俄羅斯政府支持的黑客組織對(duì)烏克蘭目標(biāo)發(fā)動(dòng)了近240次網(wǎng)絡(luò)行動(dòng)，造成烏克蘭數(shù)十家組織的數(shù)據(jù)發(fā)生損壞，并導(dǎo)致烏克蘭的信息環(huán)境陷入混亂。

微軟稱俄方黑客組織早在2021年3月就已為沖突做好準(zhǔn)備，包括潛伏進(jìn)烏方網(wǎng)絡(luò)，以便收集戰(zhàn)略和戰(zhàn)場(chǎng)情報(bào)或協(xié)助日后的破壞性攻擊。而在戰(zhàn)爭(zhēng)爆發(fā)后，近一半的破壞性網(wǎng)絡(luò)攻擊以關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)，很多時(shí)候都與導(dǎo)彈轟炸等物理攻擊同時(shí)實(shí)施的。微軟表示，截至4月8日，至少有八種不同的惡意軟件被用于近40次破壞性網(wǎng)絡(luò)攻擊，導(dǎo)致烏克蘭數(shù)十家組織的數(shù)百套系統(tǒng)出現(xiàn)永久性文件損壞。微軟還聲稱，俄羅斯的網(wǎng)絡(luò)攻擊不僅削弱了目標(biāo)組織的機(jī)能，還試圖破壞烏克蘭公民獲得可靠信息和關(guān)鍵生活服務(wù)的途徑，并動(dòng)搖對(duì)烏克蘭領(lǐng)導(dǎo)層的信心。

俄烏沖突推動(dòng)DDoS攻擊創(chuàng)歷史新高

2022年4月26日，卡巴斯基的一份調(diào)查報(bào)告顯示，自2月份以來，圍繞俄烏爭(zhēng)端導(dǎo)致的DDoS 攻擊達(dá)到了空前的規(guī)模，使DDoS攻擊數(shù)量突破了歷史最高水平。

與 2021 年第四季度相比，2022 年第一季度的分布式拒絕服務(wù) (DDoS) 攻擊增加了 46%，報(bào)告顯示，大部分攻擊被用于針對(duì)俄羅斯。同時(shí)，DDoS 攻擊的持續(xù)時(shí)間也比去年要長(zhǎng)，幾乎是2021年末的80倍。報(bào)告例舉了上季度的一個(gè)例子，攻擊者建立了一個(gè)類似于流行的益智游戲“2048”的網(wǎng)站，使對(duì)俄羅斯網(wǎng)站的攻擊更像是一種招募他人發(fā)動(dòng)額外攻擊的游戲。

卡巴斯基安全專家亞歷山大·古特尼科夫在一份聲明中表示，DDoS攻擊的上升趨勢(shì)在很大程度上受到地緣政治局勢(shì)的影響，非常不尋常的是 DDoS 攻擊的持續(xù)時(shí)間很長(zhǎng)，持續(xù)了數(shù)天甚至數(shù)周，表明攻擊背后有政治因素推動(dòng)。

匿名者泄露了5.8 TB的俄羅斯數(shù)據(jù)

2022年4 月 24 日，自從對(duì)俄羅斯宣布“網(wǎng)絡(luò)戰(zhàn)爭(zhēng)”，匿名者現(xiàn)在已經(jīng)發(fā)布了大約5.8 TB的俄羅斯數(shù)據(jù)。

匿名者在俄羅斯入侵烏克蘭后對(duì)俄羅斯發(fā)起的#OpRussia攻擊繼續(xù)獲得成功，其聲稱通過DDoSecrets發(fā)布了大約5.8 TB的俄羅斯數(shù)據(jù)。匿名者發(fā)誓要發(fā)布更多屬于俄羅斯企業(yè)和政府的數(shù)據(jù)，包括一家商業(yè)銀行在內(nèi)的組織的數(shù)據(jù)。

俄羅斯國(guó)家贊助的關(guān)鍵基礎(chǔ)設(shè)施面臨的犯罪網(wǎng)絡(luò)威脅

4月20日，美國(guó)，澳大利亞，加拿大，新西蘭和英國(guó)的網(wǎng)絡(luò)安全當(dāng)局發(fā)布了一份聯(lián)合網(wǎng)絡(luò)安全咨詢(CSA)，警告組織俄羅斯入侵烏克蘭可能會(huì)使該地區(qū)內(nèi)外的組織面臨俄羅斯國(guó)家贊助的網(wǎng)絡(luò)行為者或與俄羅斯結(jié)盟的網(wǎng)絡(luò)犯罪集團(tuán)增加的惡意網(wǎng)絡(luò)活動(dòng)。

《聯(lián)合CSA：俄羅斯國(guó)家贊助的關(guān)鍵基礎(chǔ)設(shè)施犯罪網(wǎng)絡(luò)威脅》，由聯(lián)合網(wǎng)絡(luò)防御合作組織的行業(yè)成員撰寫，概述了俄羅斯國(guó)家贊助的高級(jí)持續(xù)性威脅組織，俄羅斯聯(lián)盟的網(wǎng)絡(luò)威脅團(tuán)體和俄羅斯聯(lián)盟的網(wǎng)絡(luò)犯罪團(tuán)體，以幫助網(wǎng)絡(luò)安全社區(qū)防范可能的網(wǎng)絡(luò)威脅。美國(guó)、澳大利亞、加拿大、新西蘭和英國(guó)網(wǎng)絡(luò)安全當(dāng)局敦促關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)防御者按照聯(lián)合 CSA 中的建議，通過加強(qiáng)其網(wǎng)絡(luò)防御來準(zhǔn)備和緩解潛在的網(wǎng)絡(luò)威脅。

與俄羅斯有聯(lián)系的Shuckworm船員加大了對(duì)烏克蘭的襲擊

4月20日，一個(gè)與俄羅斯有聯(lián)系的威脅組織自2014年首次出現(xiàn)以來幾乎完全針對(duì)烏克蘭，正在該國(guó)境內(nèi)的系統(tǒng)上部署其惡意軟件有效載荷的多種變體。

根據(jù)賽門鐵克的威脅獵人團(tuán)隊(duì)的說法，Shuckworm團(tuán)伙 - 也稱為世界末日和Gamaredon - 正在使用其Pterodo后門的至少四種不同變體，這些后門旨在執(zhí)行類似的任務(wù)，但與不同的命令和控制(C2)服務(wù)器進(jìn)行通信。

“使用多種變體的最可能原因是，它可能提供一種在受感染的計(jì)算機(jī)上保持持久性的基本方法，” “如果一個(gè)有效載荷或[C2]服務(wù)器被檢測(cè)到并阻止，攻擊者可以回退到另一個(gè)有效載荷或[C2]服務(wù)器，并推出更多新變體來補(bǔ)償。

盟國(guó)網(wǎng)絡(luò)當(dāng)局警告“不斷發(fā)展的情報(bào)”指向即將到來的俄羅斯網(wǎng)絡(luò)攻擊

4月20日，美國(guó)聯(lián)邦機(jī)構(gòu)、盟國(guó)網(wǎng)絡(luò)當(dāng)局和工業(yè)界今天發(fā)布了迄今為止最嚴(yán)厲的警告，隨著烏克蘭戰(zhàn)爭(zhēng)進(jìn)入第56天，俄羅斯針對(duì)私營(yíng)企業(yè)和公共基礎(chǔ)設(shè)施目標(biāo)的網(wǎng)絡(luò)攻擊可能會(huì)增加。

網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)與聯(lián)邦調(diào)查局，國(guó)家安全局以及澳大利亞，加拿大，新西蘭和英國(guó)的網(wǎng)絡(luò)安全當(dāng)局一起發(fā)布了聯(lián)合咨詢，因?yàn)槎砹_斯網(wǎng)絡(luò)組織針對(duì)烏克蘭地區(qū)內(nèi)外的關(guān)鍵基礎(chǔ)設(shè)施的威脅增加。

該通報(bào)指出了最近俄羅斯國(guó)家贊助的網(wǎng)絡(luò)行動(dòng)，包括分布式拒絕服務(wù)攻擊，對(duì)烏克蘭政府組織使用惡意軟件以及網(wǎng)絡(luò)犯罪集團(tuán)最近對(duì)俄羅斯政府的公開承諾。

俄羅斯 Gamaredon APT 繼續(xù)瞄準(zhǔn)烏克蘭

4月20日，與E有關(guān)的Gamaredon APT 組織(又名 Armageddon、Primitive Bear 和 ACTINIUM)繼續(xù)以W為目標(biāo)，并且正在使用自定義 Pterodo后門(又名Pteranodon)的新變種。

微軟表示，自 2021 年 10 月以來，該網(wǎng)絡(luò)間諜組織是最近一系列針對(duì)烏克蘭實(shí)體和與烏克蘭事務(wù)相關(guān)的組織的魚叉式網(wǎng)絡(luò)釣魚攻擊的幕后黑手。Gamaredon 至少?gòu)?2014 年開始就在烏克蘭發(fā)起網(wǎng)絡(luò)間諜活動(dòng)。賽門鐵克的研究人員透露，APT 組織在最近的攻擊中使用了至少四種自定義 Pteredo 后門的變體。

五眼聯(lián)盟警告與俄羅斯有關(guān)的威脅行為者的攻擊

4月20日，五眼聯(lián)盟的網(wǎng)絡(luò)安全機(jī)構(gòu)(美國(guó)、澳大利亞、加拿大、新西蘭和英國(guó))發(fā)布了 聯(lián)合咨詢 警告，警告與俄羅斯有關(guān)的威脅行為者對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行的網(wǎng)絡(luò)攻擊和犯罪網(wǎng)絡(luò)威脅。

該警報(bào)警告組織，俄羅斯入侵烏克蘭可能會(huì)導(dǎo)致整個(gè)歐洲的溢出效應(yīng)。情報(bào)機(jī)構(gòu)表示，與俄羅斯有關(guān)的 APT 組織正在探索潛在網(wǎng)絡(luò)攻擊的選項(xiàng)。

“不斷變化的情報(bào)表明，俄羅斯政府正在探索潛在網(wǎng)絡(luò)攻擊的選項(xiàng)(更多信息請(qǐng)參見 2022 年 3 月 21 日美國(guó)總統(tǒng)拜登 的聲明)。最近俄羅斯國(guó)家支持的網(wǎng)絡(luò)行動(dòng)包括 分布式拒絕服務(wù) (DDoS) 攻擊，而較早的行動(dòng)包括 針對(duì)烏克蘭政府和關(guān)鍵基礎(chǔ)設(shè)施組織部署破壞性惡意軟件。” “此外，一些網(wǎng)絡(luò)犯罪組織最近公開承諾支持俄羅斯政府。”

俄羅斯科學(xué)家稱他們有一個(gè)新系統(tǒng)來監(jiān)控對(duì)俄羅斯互聯(lián)網(wǎng)的攻擊

4 月12日，隨著俄羅斯對(duì)烏克蘭城市的炮火襲擊，來自世界各地的網(wǎng)絡(luò)攻擊者一直以拒絕服務(wù)攻擊為目標(biāo)，瞄準(zhǔn)俄羅斯媒體、加密貨幣服務(wù)和零售品牌。一群俄羅斯科學(xué)家表示，他們已經(jīng)開發(fā)出一種新工具來阻止此類攻擊——但即便如此，也表明嚴(yán)厲的經(jīng)濟(jì)制裁正在改變俄羅斯的生活。

薩馬拉大學(xué)的工程師開發(fā)了一種名為 NetTestBox 的工具來監(jiān)控進(jìn)出俄羅斯的互聯(lián)網(wǎng)流量。俄羅斯《消息報(bào)》周一發(fā)表的一篇文章稱，“系統(tǒng)獲得的信息使您可以跟蹤未經(jīng)授權(quán)的數(shù)據(jù)泄露，查看哪些流量通過外國(guó)渠道，因此容易受到外部關(guān)閉的影響?！? (與大多數(shù)俄羅斯媒體一樣，該網(wǎng)站是國(guó)家控制的。)

烏克蘭人說，俄羅斯黑客企圖破壞電網(wǎng)

4 月 12 日，烏克蘭政府表示，烏克蘭政府擊退了俄羅斯的網(wǎng)絡(luò)攻擊，該攻擊摧毀多個(gè)變電站和為 200 萬人服務(wù)的電網(wǎng)的其他部分。

Victor Zhora 說，俄羅斯軍事情報(bào)黑客組織Sandworm是2016 年臭名昭著的烏克蘭電網(wǎng)黑客攻擊背后的一個(gè)多產(chǎn)且持續(xù)的行動(dòng)，它使用了 2016 年事件中使用的“更先進(jìn)和更復(fù)雜”的“ Industroyer ”惡意軟件版本，烏克蘭國(guó)家特殊通信和信息保護(hù)局副局長(zhǎng)周二在與記者的簡(jiǎn)報(bào)會(huì)上。

斯洛伐克網(wǎng)絡(luò)安全公司 ESET 和微軟的分析師幫助烏克蘭政府應(yīng)對(duì)此次攻擊。ESET 周二發(fā)布了對(duì)惡意軟件的分析，將其稱為“Industroyer2”。研究人員表示，他們相信它能夠控制特定的工業(yè)控制系統(tǒng)，以切斷不明電氣設(shè)施的電力。

除了 Industroyer2，ESET 研究人員報(bào)告稱，看到 Sandworm 部署了幾個(gè)針對(duì)電氣基礎(chǔ)設(shè)施的破壞性惡意軟件系列，這可能是為了混淆對(duì)破壞性黑客活動(dòng)的任何分析并使系統(tǒng)無法運(yùn)行和不可恢復(fù)的努力的一部分。

匿名者黑客入侵俄羅斯文化部

4月11日， 數(shù)據(jù)泄露服務(wù) DDoSecrets平臺(tái)公布了超過從俄羅斯政府竊取的700 GB 的數(shù)據(jù)，其中包括超過 500,000 封電子郵件。

該轉(zhuǎn)儲(chǔ)包括三個(gè)數(shù)據(jù)集，最大的一個(gè)與文化部有關(guān)，為 446 GB(包含 230,000 封電子郵件)，負(fù)責(zé)國(guó)家有關(guān)藝術(shù)、電影攝影、檔案、版權(quán)、文化遺產(chǎn)和審查的政策。通過 DDoSecrets 平臺(tái)收集的其他數(shù)據(jù)包括布拉戈維申斯克市政府150 GB及特維爾州長(zhǎng)辦公室 116 GB數(shù)據(jù)。匿名者黑客繼續(xù)威脅那些仍在俄羅斯運(yùn)營(yíng)并與莫斯科開展業(yè)務(wù)的公司和金融組織。匿名者黑客發(fā)送給意大利聯(lián)合圣保羅銀行的消息，該銀行宣布自烏克蘭戰(zhàn)爭(zhēng)開始以來已停止向俄羅斯和白俄羅斯同行提供所有新的融資，并已停止對(duì)俄羅斯和白俄羅斯金融工具的投資。

微軟搶占俄羅斯域名，瞄準(zhǔn)烏克蘭

4月8日， 科技巨頭微軟表示，它已經(jīng)控制了屬于俄羅斯GRU相關(guān)，國(guó)家贊助的威脅組織Strontium的七個(gè)域名。微軟表示，該組織也被稱為APT28和Fancy Bear，利用這些域名瞄準(zhǔn)烏克蘭機(jī)構(gòu)，如其媒體組織，并且還有美國(guó)和歐盟的政府實(shí)體和決策者。微軟負(fù)責(zé)客戶安全和信任的公司副總裁湯姆·伯特(Tom Burt)在上周四發(fā)表的一篇博客文章中說：“4月6日，我們獲得了一項(xiàng)法院命令，授權(quán)我們控制Strontium用來進(jìn)行這些攻擊的七個(gè)互聯(lián)網(wǎng)域。此后，我們將這些域重定向到由Microsoft控制的天坑，使我們能夠減輕Strontium當(dāng)前對(duì)這些域的使用，并啟用受害者通知。根據(jù)微軟的說法，Strontium正試圖在其目標(biāo)系統(tǒng)中建立持久訪問或建立后門。伯特說，此舉的目的可能是為俄羅斯對(duì)烏克蘭的實(shí)際入侵提供戰(zhàn)術(shù)支持，并泄露敏感信息。

情報(bào)機(jī)構(gòu)加速使用商業(yè)空間圖像來支持烏克蘭

4月7日，自從俄羅斯入侵烏克蘭之前，太空?qǐng)D像、遙感和通信衛(wèi)星就一直在向公眾提供信息，并幫助烏克蘭軍隊(duì)和平民保持聯(lián)系。由于與商業(yè)行業(yè)的合作伙伴關(guān)系，美國(guó)情報(bào)界能夠迅速利用這些能力來增強(qiáng)其對(duì)該地區(qū)的支持，并加速幾項(xiàng)正在進(jìn)行的采購(gòu)工作以提高計(jì)劃采購(gòu)的能力。

美國(guó)國(guó)家地理空間情報(bào)局商業(yè)和商業(yè)運(yùn)營(yíng)主管大衛(wèi)·高蒂爾在太空研討會(huì)上表示，隨著俄羅斯準(zhǔn)備入侵的跡象越來越明顯，該機(jī)構(gòu)努力將其商業(yè)光電圖像的購(gòu)買量增加一倍。

高蒂爾和他的團(tuán)隊(duì)開始積極行動(dòng)，將烏克蘭的分析師與公司直接聯(lián)系起來，以便更快地提供服務(wù)。他指出，目前正在加快收購(gòu)一些“新的、未經(jīng)檢驗(yàn)的商業(yè)服務(wù)”，以可以支持人道主義援助工作。

微軟刪除了用于攻擊烏克蘭的 APT28 域

4月7日，微軟在摧毀了7 個(gè)用作攻擊基礎(chǔ)設(shè)施的域后，成功阻止了由俄羅斯 APT28 黑客組織協(xié)調(diào)的針對(duì)烏克蘭目標(biāo)的攻擊。

與俄羅斯軍事情報(bào)機(jī)構(gòu) GRU 相關(guān)聯(lián)的 Strontium(也被稱為 Fancy Bear 或 APT28)使用這些域來針對(duì)多個(gè)烏克蘭機(jī)構(gòu)，包括媒體組織。這些域名還被用于攻擊涉及外交政策的美國(guó)和歐盟政府機(jī)構(gòu)和智囊團(tuán)。

俄羅斯石油巨頭 Gazprom Neft 的網(wǎng)站遭黑客攻擊

4月7日， 俄羅斯國(guó)家天然氣公司 Gazprom 的石油部門 Gazprom Neft 的網(wǎng)站因涉嫌黑客攻擊而被迫下線，這是俄羅斯入侵烏克蘭后，其政府相關(guān)網(wǎng)站最新遭遇的黑客攻擊。Gazprom Neft 是俄羅斯第三大石油生產(chǎn)商，它是俄羅斯天然氣工業(yè)股份公司的子公司。上個(gè)月，據(jù)稱有多個(gè)烏克蘭新聞網(wǎng)站遭到了俄羅斯的黑客攻擊，并向訪問者展示了“Z”符號(hào)。烏克蘭國(guó)家特別通信和信息保護(hù)局也證實(shí)了這一事件，并將責(zé)任歸咎于俄羅斯國(guó)家支持的行為者。

烏克蘭發(fā)現(xiàn)與俄羅斯相關(guān)"世界末日"網(wǎng)絡(luò)釣魚攻擊

4月5日，烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT-UA)發(fā)現(xiàn)了新型網(wǎng)絡(luò)釣魚攻擊，這些攻擊歸因于名為“世界末日(Gamaredon)”的俄羅斯威脅組織。該組織自2014年以來一直以烏克蘭為目標(biāo)，被認(rèn)為是俄羅斯聯(lián)邦安全局(FSB)的一部分。根據(jù)烏克蘭特勤局2021年11月發(fā)布的詳細(xì)技術(shù)報(bào)告，“世界末日”已對(duì)該國(guó)1500個(gè)關(guān)鍵實(shí)體發(fā)起了至少5000次網(wǎng)絡(luò)攻擊。烏克蘭軍隊(duì)此前已經(jīng)確定了世界末日網(wǎng)絡(luò)部隊(duì)的成員，暴露了他們的工具集，并將定制惡意軟件的開發(fā)工作追蹤到俄羅斯黑客論壇。

“世界末日”以烏克蘭為攻擊目標(biāo)，向該國(guó)政府機(jī)構(gòu)分發(fā)有關(guān)“俄羅斯聯(lián)邦戰(zhàn)犯信息”的電子郵件;“世界末日”二以歐盟政府為攻擊目標(biāo)，向政府官員發(fā)送名為“Assistance”和“

Necessary_military_assistance”的壓縮文件。這些惡意電子郵件試圖使用以烏克蘭戰(zhàn)爭(zhēng)為主題的誘餌來欺騙收件人，并使用以間諜活動(dòng)為重點(diǎn)的惡意軟件感染目標(biāo)系統(tǒng)。