《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > APT組織攻擊烏克蘭網(wǎng)絡(luò)

APT組織攻擊烏克蘭網(wǎng)絡(luò)

2022-05-11
來(lái)源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室
關(guān)鍵詞: APT 烏克蘭

  對(duì)烏克蘭的網(wǎng)絡(luò)攻擊被戰(zhàn)略性地用于支持地面戰(zhàn)役,該網(wǎng)絡(luò)襲擊在2月份由五個(gè)國(guó)家支持的高級(jí)持續(xù)威脅(APT)組織支持開(kāi)始組織實(shí)施,。根據(jù)微軟周三發(fā)布的研究,,參與這些活動(dòng)的APT主要由俄羅斯贊助。

  本周發(fā)布的單獨(dú)報(bào)告也揭示了與俄羅斯有聯(lián)系的APT對(duì)烏克蘭數(shù)字資產(chǎn)的網(wǎng)絡(luò)攻擊浪潮,。微軟研究人員認(rèn)為,,六個(gè)與俄羅斯結(jié)盟的威脅行為者進(jìn)行了237次網(wǎng)絡(luò)攻擊操作,其行為對(duì)于平民福利構(gòu)成威脅,,其同時(shí)也試圖對(duì)烏克蘭目標(biāo)進(jìn)行數(shù)十次網(wǎng)絡(luò)間諜攻擊,。

  此外,,根據(jù)微軟客戶安全和信托公司副總裁Tom Burt的一篇博客文章指出,俄羅斯被認(rèn)為在某種“混合戰(zhàn)爭(zhēng)”中使用網(wǎng)絡(luò)攻擊,。他說(shuō),,這與“針對(duì)對(duì)平民至關(guān)重要的服務(wù)和機(jī)構(gòu)的動(dòng)態(tài)軍事行動(dòng)”有關(guān)。Burt在其博客中寫(xiě)道:這些襲擊不僅破壞了烏克蘭的機(jī)構(gòu)系統(tǒng),,還試圖破壞人們獲得平民賴(lài)以生存的可靠信息和關(guān)鍵生活服務(wù)的機(jī)會(huì),,并以此試圖動(dòng)搖民眾對(duì)該國(guó)領(lǐng)導(dǎo)層的信心。

  與此同時(shí),,烏克蘭計(jì)算機(jī)應(yīng)急小組(CERT-UA)的研究人員一直在自己分析在戰(zhàn)爭(zhēng)前和戰(zhàn)爭(zhēng)期間阻礙該國(guó)的網(wǎng)絡(luò)攻擊,。該機(jī)構(gòu)表示僅在2022年第一季度,它就記錄了802起網(wǎng)絡(luò)攻擊,,是去年同期362次的兩倍多,。CERT-UA表示,實(shí)施這些襲擊主要是五個(gè)已知的俄羅斯或白俄羅斯贊助的APT發(fā)起,。具體來(lái)說(shuō),,這些群體是:世界末日/Garmaredon、UNC1151,、Fancy Bear/APT28,、AgentTesla/XLoader和Pandora hVNC/GrimPlant/GraphSteel。

  混合戰(zhàn)爭(zhēng)

  研究人員表示,,微軟安全團(tuán)隊(duì)一直在與烏克蘭政府官員以及政府和私營(yíng)企業(yè)網(wǎng)絡(luò)安全人員密切合作,,以識(shí)別和補(bǔ)救針對(duì)烏克蘭網(wǎng)絡(luò)的威脅活動(dòng)。

  據(jù)報(bào)道,,俄羅斯在俄烏戰(zhàn)爭(zhēng)開(kāi)始前一年或2021年3月以來(lái)就在網(wǎng)絡(luò)空間為與烏克蘭的陸地沖突做準(zhǔn)備,。微軟研究人員發(fā)現(xiàn),在地面沖突和隨后的入侵發(fā)生之前,,已知或可疑的威脅組織正每周以?xún)傻饺鹗录乃俣仍谀繕?biāo)烏克蘭網(wǎng)絡(luò)上不斷開(kāi)發(fā)和使用惡意軟件或類(lèi)似破壞性工具進(jìn)行網(wǎng)絡(luò)攻擊,。在報(bào)告中他們認(rèn)為:從2月23日至4月8日,微軟團(tuán)隊(duì)看到了近40次離散破壞性襲擊的證據(jù),,而這些襲擊永久摧毀了烏克蘭數(shù)十個(gè)組織數(shù)百個(gè)系統(tǒng)中的文件,。

  甚至在此之前,微軟在1月份就發(fā)現(xiàn)了一次主引導(dǎo)記錄(MBR)雨刷攻擊,,并將其命名為WhisperGate,,目標(biāo)是烏克蘭,試圖永久擾亂全國(guó)各地的組織,,并將烏克蘭描述為失敗的國(guó)家,。雨刮器是破壞性最大的惡意軟件類(lèi)型,因?yàn)樗鼈儠?huì)永久刪除和破壞數(shù)據(jù)和/或系統(tǒng),,給受害者造成巨大的財(cái)務(wù)和聲譽(yù)損失,。

  從2月底到3月中旬,,隨著俄羅斯開(kāi)始實(shí)際入侵,另一系列使用名為HermeticWiper,、IsaacWiper和CaddyWiper的惡意軟件的雨刷攻擊瞄準(zhǔn)了烏克蘭的組織,。

  對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊

  微軟在其最新報(bào)告中表示,40%以上的對(duì)烏克蘭的破壞性襲擊是針對(duì)關(guān)鍵基礎(chǔ)設(shè)施部門(mén)的組織,,這些部門(mén)可能會(huì)對(duì)政府,、軍隊(duì)、經(jīng)濟(jì)和國(guó)家人民產(chǎn)生負(fù)面的次生影響,。此外,,32%的破壞性事件也影響了烏克蘭國(guó)家、地區(qū)和城市各級(jí)的政府組織,。

  研究人員寫(xiě)道:“我們承認(rèn)存在我們看不到的持續(xù)活動(dòng),,我們估計(jì)烏克蘭網(wǎng)絡(luò)上至少被部署了八個(gè)破壞性惡意軟件集群,,包括一個(gè)專(zhuān)門(mén)針對(duì)工業(yè)控制系統(tǒng)(ICS)的軟件集群,。如果威脅行為者能夠保持目前的開(kāi)發(fā)和部署速度,我們預(yù)計(jì)隨著沖突的繼續(xù),,將發(fā)現(xiàn)更具破壞性的惡意軟件,。”

  該報(bào)告中列舉了網(wǎng)絡(luò)攻擊的詳情包括攻擊的具體時(shí)間表和襲擊最初幾周用于支持俄羅斯軍事活動(dòng)的惡意軟件,。除了前面提到的雨刷外,,攻擊中部署的其他惡意軟件包括:FoxBlade、DesertBlade,、FiberLake,、SonicVote和Industroyer2。

  網(wǎng)絡(luò)襲擊的慣犯

  在CERT-UA披露頂級(jí)ATP在網(wǎng)絡(luò)空間打擊烏克蘭之后,,研究公司Recorded Future的The Record更深入地相互研究,,以研究其具體隸屬關(guān)系和工作方式。

  Armageddon/Garmaredon是一個(gè)侵略性威脅行為者,,自2014年以來(lái)一直以烏克蘭為目標(biāo),,并得到俄羅斯聯(lián)邦安全局(FSB)的支持。據(jù)研究人員稱(chēng),,在俄羅斯對(duì)烏克蘭的戰(zhàn)爭(zhēng)期間,,該組織使用網(wǎng)絡(luò)釣魚(yú)攻擊分發(fā)惡意軟件,這是“Backdoor.Pterodo”惡意軟件有效負(fù)載的最新變體,。

  研究人員援引Mandiant的研究表示,,UNC1151是一個(gè)與白俄羅斯結(jié)盟的黑客組織,自2016年以來(lái)一直活躍,,此前一直以烏克蘭,、立陶宛,、拉脫維亞、波蘭和德國(guó)的政府機(jī)構(gòu)和私人組織為目標(biāo),,并襲擊了白俄羅斯持不同政見(jiàn)者和記者的網(wǎng)絡(luò)電子設(shè)備,。

  而自俄羅斯襲擊烏克蘭UNC1151以來(lái),該組織通過(guò)傳播MicroBackdoor惡意軟件等方式,,一直與多個(gè)烏克蘭政府網(wǎng)站的受襲以及針對(duì)烏克蘭軍事人員的電子郵件和Facebook帳戶的網(wǎng)絡(luò)釣魚(yú)活動(dòng)有關(guān),。

  Fancy Bear/APT 28是一個(gè)知名且多產(chǎn)的組織,自2017年以來(lái)一直活躍,,并得到俄羅斯軍事情報(bào)局(GRU)的支持,。這個(gè)出于政治動(dòng)機(jī)的團(tuán)體與旨在影響歐盟和美國(guó)選舉以及與攻擊2020年?yáng)|京奧運(yùn)會(huì)有關(guān)的體育當(dāng)局的活動(dòng)有關(guān)。

  研究人員表示,,2月24日,,即俄羅斯襲擊烏克蘭的當(dāng)天,F(xiàn)ancy Bear襲擊了美國(guó)衛(wèi)星通信提供商Viasat在烏克蘭的KA-SAT網(wǎng)絡(luò),,使許多烏克蘭人無(wú)法訪問(wèn)互聯(lián)網(wǎng),,因此在襲擊開(kāi)始的關(guān)鍵時(shí)刻無(wú)法進(jìn)行及時(shí)有效的通信。

  俄羅斯威脅行為者至少自2014年和2020年以來(lái)分別使用AgentTesla和XLoader惡意軟件,;兩者都用于備受矚目的攻擊,。研究人員表示,在俄羅斯入侵烏克蘭期間,,一場(chǎng)針對(duì)烏克蘭國(guó)家組織的惡意電子郵件活動(dòng)使用XLoader作為其有效載荷,,進(jìn)而針對(duì)烏克蘭公民進(jìn)行了網(wǎng)絡(luò)釣魚(yú)活動(dòng)。

  研究人員表示,,Pandora hVNC/GrimPlant/GraphSteel在統(tǒng)一的“大象框架”或用同一語(yǔ)言編寫(xiě),,并在針對(duì)政府組織的網(wǎng)絡(luò)釣魚(yú)攻擊中充當(dāng)下載器和滴管。他們說(shuō),,在3月份的兩次單獨(dú)的惡意網(wǎng)絡(luò)釣魚(yú)活動(dòng)中,,它們被用來(lái)攻擊烏克蘭目標(biāo),從政府官員那里竊取敏感信息等,。

  烏克蘭網(wǎng)絡(luò)攻擊的歷史

  3月,,卡巴斯基的全球研究和分析團(tuán)隊(duì)(GReAT)概述了其對(duì)烏克蘭當(dāng)前和過(guò)去網(wǎng)絡(luò)攻擊的跟蹤。

  “未來(lái)六個(gè)月,,烏克蘭的網(wǎng)絡(luò)攻擊數(shù)量將進(jìn)一步增加,。雖然目前大多數(shù)攻擊的復(fù)雜性較低——例如DDoS或使用商品和低質(zhì)量工具的攻擊——但也存在更復(fù)雜的攻擊,預(yù)計(jì)還會(huì)有更多攻擊,,”卡巴斯基研究人員寫(xiě)道,。

  卡巴斯基報(bào)告補(bǔ)充說(shuō):“目前的復(fù)雜活動(dòng)包括使用HermeticWiper,這因其復(fù)雜性而脫穎而出,,以及Viasat‘網(wǎng)絡(luò)事件’——部分網(wǎng)絡(luò)中斷影響了烏克蘭和歐洲KA-SAT網(wǎng)絡(luò)上固定寬帶客戶的互聯(lián)網(wǎng)服務(wù),,影響了歐洲3萬(wàn)多個(gè)終端,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。