2023年以來，谷歌的威脅分析小組（TAG）一直在監(jiān)測俄羅斯針對烏克蘭專門制定的基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊行動。谷歌報告稱，從2023年1月到3月，烏克蘭受到的網(wǎng)絡(luò)釣魚攻擊中，有約60%來自俄羅斯。

在大多數(shù)情況下，攻擊活動的目標包括收集情報，破壞行動，以及通過Telegram泄露敏感數(shù)據(jù)，主要為了達成破壞烏克蘭信息的目的。

活躍在烏克蘭的三大威脅組織

谷歌TAG列出了一份名單，其中包括三個俄羅斯和白俄羅斯的威脅者，他們都在今年第一季度對烏克蘭進行過一系列網(wǎng)絡(luò)攻擊行動。

第一個是Sandworm，被谷歌稱為 FrozenBarents，自2022年11月以來，該組織對幾乎整個歐洲能源部門都實施了攻擊，這其中影響最大的就是里海管道財團（CPC）系統(tǒng)受損事件。

CPC釣魚網(wǎng)站頁面（來源：谷歌）

Sandworm最近還利用一個詐騙性質(zhì)的烏克蘭國防工業(yè)網(wǎng)站對烏克蘭國防工業(yè)的工人、Ukr.net平臺的用戶，以及烏克蘭Telegram發(fā)起了多次釣魚活動。

詐騙性質(zhì)的烏克蘭國防公司的網(wǎng)站（來源：谷歌）

該威脅組織還創(chuàng)建了多個在線的用戶，在YouTube和Telegram上傳播虛假信息，通常還會泄露他們通過網(wǎng)絡(luò)釣魚或網(wǎng)絡(luò)入侵竊取的部分數(shù)據(jù)。

Telegram的釣魚頁面（來源：谷歌）

另一個高度活躍的俄羅斯威脅組織是APT28, 谷歌將其稱為FrozenLake。在2023年2月至3月期間，APT28向烏克蘭人頻繁發(fā)送了非常多的網(wǎng)絡(luò)釣魚郵件。

此外，黑客還在烏克蘭政府網(wǎng)站上使用反射跨站點腳本(XSS)，將訪問者重定向到網(wǎng)絡(luò)釣魚頁面。

XSS重定向后受害者所處的釣魚頁面（來源：谷歌）

本周，英國NCSC、FBI、NSA和CISA聯(lián)合發(fā)布聲明稱APT28正在入侵思科路由器，并安裝定制的惡意軟件。

谷歌報告中提到的第三個威脅組織是Pushcha，有消息稱該組織總部設(shè)在白俄羅斯。近期Pushcha發(fā)起了針對烏克蘭網(wǎng)絡(luò)郵件提供商的入侵活動，比如“i”。Ua”和“meta”，該組織試圖通過建立虛假網(wǎng)站來竊取用戶的憑據(jù)信息等。

由Pushcha創(chuàng)建的虛假電子郵件登錄網(wǎng)站（來源：谷歌）

Gmail和Workspace的目標用戶將收到警報

谷歌的報告中還提到了YouTube和Blogger平臺上的一些錯誤信息。2023年第一季度，TAG 觀察到隸屬于互聯(lián)網(wǎng)研究機構(gòu)（IRA）的人在YouTube等谷歌產(chǎn)品上發(fā)布了包括評論和互贊視頻等內(nèi)容。

IRA (Glavset)是一家與瓦格納集團(Wagner Group)的所有者普里戈津(Y. Prigozhin)有關(guān)聯(lián)的俄羅斯公司，專門從事在線宣傳的相關(guān)工作，其運營決策受到俄羅斯政治利益的影響。

谷歌報道稱，該網(wǎng)站一直在觀察并屏蔽與共和軍有關(guān)的賬戶，因為這些賬戶會制作一些與烏克蘭戰(zhàn)爭相關(guān)的視頻內(nèi)容，并發(fā)布到Y(jié)ouTube上，以達到向俄羅斯民眾宣傳相關(guān)新聞的目的。目前，所有與上述活動相關(guān)的網(wǎng)站都被谷歌添加到了“安全瀏覽”的黑名單中，而Gmail和Workspace的目標用戶則會直接收到有關(guān)惡意通信的警報。