俄烏沖突自 2022年2月24日爆發以來目前已進入第二年。隨著戰爭的推進，俄方開展的網絡攻擊行動和網絡認知戰行動也在不斷演進和變化。最近，國外多個智庫和專業威脅情報分析團隊對俄方一年來開展的網絡行動進行了分析與總結，發布了多份相關報告，主要包括：2 月 16 日，谷歌威脅分析小組（TAG）發布《戰爭迷霧：烏克蘭沖突如何改變網絡威脅格局》報告；3 月 15 日，微軟公司發布題為《一年來俄羅斯在烏克蘭境內開展的混合戰爭》簡報；4 月 17 日，德國科學與政治基金會（SWP）發布題為《俄羅斯針對烏克蘭戰爭中的網絡行動：迄今為止的運用情況、局限和經驗教訓》的報告；4 月 18 日，谷歌旗下網絡安全公司曼迪昂特發布《2023 年趨勢報告》，其中重點分析了俄羅斯針對烏克蘭開展的網絡行動以及圍繞俄烏戰爭開展的信息操作情況，等等。上述報告的內容，對于觀察和研究在混合戰爭中網絡作戰的樣式、影響力等方面有較大的參考價值。

一、主要發現

關于俄羅斯政府支持的攻擊者、信息行動和網絡犯罪生態系統威脅行為者，谷歌報告有以下新發現：

1　俄試圖在網絡空間獲得決定性戰時優勢

這包括各組織的重點轉向烏克蘭政府、軍事和民用基礎設施，破壞性攻擊急劇增加，針對北約國家的魚叉式網絡釣魚活動激增，旨在促進俄羅斯多個目標的網絡行動有所增加。例如，觀察到威脅行為者通過黑客攻擊和泄露敏感信息來推進特定的敘事。

在戰爭爆發前夕，俄羅斯政府支持的攻擊者從 2021 年開始加強了網絡行動。相比 2020 年，俄羅斯對烏克蘭用戶的攻擊在 2022 年增加了 250%。

同期，對北約國家用戶的攻擊增加了 300%以上。

2022 年，俄羅斯政府支持的攻擊者針對烏克蘭用戶的攻擊次數超過針對任何其他國家。雖然這些攻擊者主要針對烏克蘭政府和軍事實體，但也顯示出對關鍵基礎設施、公用事業和公共服務以及媒體和信息空間的強烈關注。曼迪昂特觀察到 2022 年前 4 個月在烏克蘭發生的破壞性網絡攻擊較過去 8 年更具破壞性，攻擊在戰爭開始時達到頂峰。雖然在那段時間后也發現了重大活動，但與 2022 年 2 月的第一波攻擊相比，攻擊的步伐放緩并且協調性似乎較差。具體而言，破壞性攻擊通常在攻擊者獲得或重新獲得訪問權限后更快地發生，通常通過滲透的邊緣基礎設施進行。許多行動表明俄羅斯聯邦武裝力量總參謀部情報總局（GRU）試圖在活動的每個階段平衡訪問、收集和破壞的競爭優先級。

2　俄開展全方位信息行動塑造公眾對戰爭的看法

這些行動具有三個目標：

· 削弱烏克蘭政府的權威

· 斷絕對烏克蘭的國際支持

· 保持俄羅斯國內對戰爭的支持

與沖突中的關鍵事件相關的活動激增，例如俄羅斯的集結、入侵和部隊動員。谷歌開展工作，應對這些“違反”谷歌政策的活動并阻斷公開和秘密的信息活動，但繼續遇到規避政策的持續強烈企圖。谷歌阻斷的俄方秘密信息行動主要集中在維持俄國內對烏克蘭“特別軍事行動”的支持，超過 90％的實例是俄語。

3　俄烏沖突導致東歐網絡犯罪生態系統顯著轉變

一些團體因政治忠誠和地緣政治而分裂，而另一些團體則失去了重要的操作者，這將影響對這些團體的看法以及對其能力的傳統理解。勒索軟件生態系統呈現專業化趨勢，該生態系統混合了不同行為者的策略，使得追蹤溯源變得更加困難。俄烏戰爭也由谷歌預期會發生但未看到的情況來定義。例如，谷歌沒有觀察到針對烏克蘭境外關鍵基礎設施的攻擊激增。

谷歌威脅分析小組（TAG）還發現，與出于經濟動機的威脅行為者密切相關的策略被部署在目標通常與政府支持的攻擊者相關的活動中。2022 年9 月，TAG 報告了一個威脅行為者，其活動與烏克蘭計算機應急響應小組（CERT-UA）的 UAC-0098 重疊，該威脅行為者過去曾投放 IcedID 銀行木馬，該木馬會導致人為操作的勒索軟件攻擊。谷歌評估 UAC-0098 的一些成員是前 Conti 組織成員，將他們的技術重新用于針對烏克蘭。

二、網絡行動的演變

一年來，俄羅斯圍繞俄烏戰爭開展了廣泛的信息行動，類型包括網絡支持的信息操作、利用不真實的賬戶網絡在在線媒體上推廣捏造內容的活動等。俄羅斯虛假信息活動具有雙重目的：一方面在戰術上響應或塑造當地事件；另一方面在戰略上影響不斷變化的地緣政治格局。谷歌報告將俄羅斯網絡行動演變分為五大主要階段：

1　第一階段：戰前的戰略性網絡間諜活動和預先部署（2019 年至2022 年 2 月）

報告稱，俄羅斯威脅組織 UNC2589 于 2022 年 1 月使用 PAYWIPE（又名WHISPERGATE）針對烏克蘭實體開展了破壞性攻擊，目的是動搖烏克蘭民眾對政府的信任，并破壞對抵御俄羅斯軍事行動的支持，從而為武裝沖突的“信息領域”做好準備。之后，UNC2589 又攻擊了烏克蘭關鍵基礎設施，對金融機構也進行了分布式拒絕服務（DDoS）攻擊。

俄羅斯聯邦武裝力量總參謀部情報總局（GRU）所屬威脅組織在戰前廣泛開展滲透活動并進行預部署，以便在戰爭開始后利用訪問權限開展破壞性行動。2022 年 2 月下旬，由 GRU 支持的威脅組織 APT28 重新激活了休眠的 2019 年 EMPIRE 感染，以在環境中橫向移動并使用 SDELETE 實用程序從受感染系統中刪除文件和目錄。在另一個案例中，APT28 以 VPN 為目標獲取訪問權限，并在 2021 年 4 月向多名受害者部署了惡意軟件植入程序FREETOW。至少在一個案例中，攻擊者在站穩腳跟后一直處于休眠狀態，直到在戰爭第二階段期間于2022年2月和3月開展了一系列惡意擦除攻擊。自戰爭開始以來，APT28 一直是俄羅斯在烏克蘭最活躍的活動集群，并且將破壞性網絡攻擊置于在烏克蘭的間諜活動之上。

2　第二階段：初始破壞性網絡行動和軍事行動（2022 年 2 月至2022 年 4 月）

俄羅斯威脅行為者利用惡意擦除軟件對烏克蘭開展破壞性網絡攻擊，從而支持俄羅斯的軍事行動。APT28 采用名為“邊緣生存”的新手法，“邊緣生存”已成為戰時 GRU 行動的關鍵部分。自戰爭爆發以來，GRU 一直試圖針對烏克蘭境內的關鍵服務和組織進行連續且幾乎不間斷的網絡間諜和破壞活動。這種對目標組織的訪問和行動的平衡依賴于對路由器和其他互聯網連接設備等邊緣基礎設施的滲透。在破壞性行為導致無法直接訪問端點的情況下，通過遭滲透邊緣設備可繼續重新進入網絡。由于大多數端點檢測和響應技術未涵蓋此類設備，因此防御者也更難檢測到對這些路由器的滲透。

俄羅斯威脅行動者還嘗試利用以前針對工控系統的惡意軟件變種攻擊烏克蘭電力系統。俄羅斯情報機構利用虛假身份開展信息泄露活動；俄羅斯威脅行為者在網絡媒體上宣揚網絡攻擊活動，從而達到對外宣傳俄羅斯利益和對內宣揚支持戰爭輿論的雙重目的。在對針對烏克蘭政府組織網絡的活動進行調查期間，曼迪昂特發現了在俄羅斯單位于 2022 年初物理訪問該網絡后發生滲透的證據。曼迪昂特追蹤為 UNC3762 的攻擊者使用此物理訪問進行網絡偵察，獲取憑據，并使用遠程桌面和 Web shell 橫向移動。UNC3762 還利用 PROXYSHELL 漏洞鏈（CVE-2021-34473、CVE-2021-34523、CVE -2021-31207），部署 THRESHGO 惡意軟件，并從環境中竊取數據。

3　第三階段：持續瞄準和攻擊（2022 年 5 月至 2022 年 7 月）

俄羅斯針對烏克蘭的網絡行動的節奏和類型發生變化：攻擊者繼續嘗試發起惡意擦除攻擊，攻擊的速度更快但協調性有所降低；俄羅斯支持的威脅行為者開展周期性“訪問采集—破壞行動”，在攻擊浪潮間隔期間嘗試開展訪問和采集操作，同時還致力于標準化其破壞性操作。

GRU 還從使用多種不同的惡意擦除軟件轉變為在快速周轉操作中嚴重依賴 CADDYWIPER 及其變體來對目標組織開展擦拭操作。總體而言，GRU繼續瞄準并利用邊緣基礎設施來獲得對戰略目標的訪問權。一旦進入環境，GRU 集群就會利用 IMPACKET 和公開可用的后門來維持立足。曼迪昂特還觀察到另一個 GRU 集群 UNC3810，它展示了在 Linux 系統上開展攻擊和操作的熟練程度。UNC3810 在很大程度上利用了 GoGetter 和 Chisel 等代理工具來維持訪問并在目標環境中橫向移動。

4　第四階段：保持立足點以獲取戰略優勢（2022 年 8 月至 2022年 9 月）

GRU 所屬威脅組織停止了針對烏克蘭的破壞性活動，但與俄羅斯聯邦安全局（FSB）相關網絡威脅組織開始浮出水面。其中，Armageddon 對烏克蘭四個不同政府實體開展攻擊活動，Armageddon 是一個與俄羅斯有聯系的威脅行為者，專門針對烏克蘭目標，收集有關烏克蘭國家安全和執法實體的信息以支持俄羅斯的國家利益。從 Armageddon 觀察到的行動范圍與該組織過去幾年開展的眾多活動一致。

此外，Turla 針對烏克蘭某政府機構開展滲透活動。Turla 是一個總部位于俄羅斯的網絡間諜行為者，自 2006 年以來一直活躍，以針對外交、政府和國防實體而聞名。曼迪昂特確定了可追溯到 2021 年底的一次滲透，該滲透針對烏克蘭某政府機構，符合 Turla 的策略、技術和程序。

5　第五階段：破壞性攻擊的新節奏（2022 年 10 月至 2022 年 12月）

此階段的特點是俄羅斯針對烏克蘭的破壞性網絡攻擊“死灰復燃”。新的攻擊類似于前幾個階段的破壞性攻擊，但由使用惡意擦除軟件轉向使用勒索軟件，表明 GRU 正在轉換攻擊工具且沒有資源來編寫或修改自定義惡意軟件。配合俄羅斯針對烏克蘭能源基礎設施開展更廣泛軍事打擊行動，GRU 對烏克蘭能源部門開展了破壞性網絡攻擊行動。

三、網絡行動趨勢

自 2023 年 1 月以來，微軟觀察到俄羅斯的網絡威脅活動正在調整，重點增強對烏克蘭及其合作伙伴的民用和軍事資產的破壞性和情報收集能力。

除了眾多破壞性的雨刷攻擊之外，隨著戰爭的推進，俄羅斯威脅活動出現了三種趨勢，有可能影響俄羅斯未來網絡行動的進展：

1　使用勒索軟件作為可否認的破壞性武器

隸屬于GRU 的一個名為 Iridium的威脅組織正在重新準備一場新的破壞性行動，可能測試更多的勒索軟件類的功能，部署惡意軟件攻擊潮，針對烏克蘭境外的供應線上起著關鍵作用的組織進行破壞性攻擊。Iridium 部署了 Caddywiper 和 FoxBlade wiper 惡意軟件來破壞涉及發電、供水和人員和貨物運輸的組織網絡的數據；部署了新穎的 Prestige 勒索軟件，針對波蘭和烏克蘭的多個物流和運輸部門網絡，2022 年 10 月份的 Prestige 事件可能代表了俄羅斯網絡攻擊戰略的慎重轉變，反映出俄羅斯愿意使用其網絡武器攻擊烏克蘭以外的機構，以支持在烏克蘭戰爭；同時還部署了一款新的名為 Sullivan 勒索軟件，至少有三個變種，其模塊化功能在不斷迭代和精化，以逃避檢測和緩解措施，并摧毀網絡系統，篡改反惡意軟件產品，使 Sullivan更難被發現。

2　通過多種方式獲得初始訪問

在整個沖突期間，俄羅斯威脅行為體利用了多樣化的工具包，在技術層面上，常見的戰技術包括：開發面向互聯網的應用程序、非法后門軟件和無處不在的魚叉式釣魚。Iridium 用 Microsoft Office 的非法后門版本來訪問烏克蘭的目標組織，同時還負責將武器化的 Windows 10 版本上傳到烏克蘭論壇以訪問烏克蘭政府和其他敏感組織；DEV-0586 威脅行為體利用Confluence 服務器訪問烏克蘭組織，隨后這些組織受到了 Whispergate 雨刷惡意軟件或其他網絡行動的影響；STRONTIUM 威脅行為體利用公開的漏洞來破壞微軟的交換服務器，濫用在線交換來獲得對中歐政府以及運輸部門等組織的訪問權。2022 年末，Iridium 向烏克蘭以及羅馬尼亞、立陶宛、意大利、英國和巴西等國的眾多組織發送了魚叉式釣魚電子郵件，其中包含針對 Zimbra 服務器中 CVE-2022—41352 的惡意有效載荷。目標部門包括信息技術、能源、救災、金融、媒體和難民援助，等等。俄羅斯的威脅行為體也在積極濫用技術信任關系，針對信息技術提供商在不立即觸發警報的情況下接近下游更敏感的目標。STRONTIUM 和 KRYPTON 都試圖訪問波蘭的一家 IT 提供商；NOBELIUM 經常試圖通過首先破壞云解決方案來破壞世界各地的外交組織和外交政策智囊團，并操縱為這些組織服務的服務提供商。

3　開展全球網絡影響力行動

在發起網絡攻擊活動的同時，俄羅斯相關機構正在開展全球網絡影響力行動，以支持他們的戰爭。這些活動將克格勃幾十年來的策略與新的數字技術和互聯網相結合，為對外影響力行動提供更廣闊的地理范圍、更大的數量、更精確的目標以及更快的速度和敏捷性。尤其是在參與者極具耐心和堅持不懈的情況下，這些網絡影響力行動幾乎完美地利用了民主社會長期以來的開放和當今時代特征的公眾兩極分化特點。隨著俄烏戰爭沖突的持續，俄羅斯機構將其網絡影響力行動的重點放在四個不同的受眾上。一是他們以俄羅斯民眾為目標，目的是維持對戰爭的支持。二是他們以烏克蘭人為目標，目的是削弱對該國抵御俄羅斯襲擊的意愿和能力的信心。三是他們以美國和歐洲人民為目標，目的是破壞西方團結并轉移對俄羅斯軍事戰爭罪行的批評。四是他們開始以不結盟國家的人民為目標，這可能是為了維持他們在聯合國和其他機構所獲得的支持力。隨著戰爭的進展，俄羅斯的影響力行動還出現了另外幾種趨勢。其中一個自戰爭開始以來俄羅斯所采用的新興戰術是：將信息空間中的網絡行為者和黑客組織之間建立聯系。

四、未來展望

展望未來，俄網絡空間作戰將呈現三大趨勢：一是俄政府支持的攻擊者將繼續對烏克蘭和北約伙伴開展網絡攻擊，以進一步實現俄戰略目標；二是俄將增加對烏以及北約伙伴的中斷性和破壞性攻擊，以應對戰場形勢從根本上向利烏的態勢發展；三是俄將繼續加快信息行動的步伐和范圍以實現其目標，尤其是在國際資助、軍事援助、國內公投等關鍵時刻。為此，微軟團隊認為應采取協調和全面的戰略，以加強對俄羅斯全方位網絡破壞、間諜活動和網絡影響力行動的防御。

俄烏沖突具備明顯的“混合戰爭”特點，網絡補充了傳統的戰爭形式，除高強度軍事沖突外，還包括網絡攻擊、輿論攻擊、信息對抗、封鎖制裁等非常規、非對稱作戰。從俄烏沖突演進過程可以發現，在現代戰爭開局階段實施高強度的網絡信息戰已成為首選項，關鍵信息基礎設施也成為網絡戰的重點攻擊對象，而輿論信息戰的全程運用使雙方博弈“白熱化”，已成為決定網絡信息戰成敗的殺手锏，在未來的武裝沖突中，網絡作戰將繼續發揮不可或缺的作用。

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明