五眼联盟网络安全当局针对俄罗斯发布联合网络安全警告

2022年4月20日，五眼联盟国家（美国、英国、加拿大、澳大利亚、新西兰情报共享联盟，以下或简称“五眼联盟”）网络安全当局发布标题为《俄罗斯国家支持的和犯罪团体的网络安全威胁（Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructures）》的联合网络安全警告（Joint Cybersecurity Advisory，以下简称“警告”)，旨在提醒关键基础设施组织，俄罗斯可能会支持更多的恶意网络活动反击其受到的前所未有的经济制裁和美国及其盟友对乌克兰提供的物质支持。

警告指出，情报显示俄罗斯政府在不断探索潜在的网络攻击选项，俄罗斯国家支持的网络行动不仅包括分布式拒绝服务攻击 (DDoS)，也包括更早的针对乌克兰政府和关键基础设施部署的破坏性恶意软件。不仅如此，一些网络犯罪组织近期公开表示支持俄罗斯政府。这些俄罗斯阵营的网络犯罪团体或威胁称以网络行动回击针对俄罗斯政府或人民的网络攻击，或声称要对那些向乌克兰提供物资支持的国家和组织开展网络行动。还有一些网络犯罪团体有可能为了配合俄罗斯的军事进攻，对乌克兰网站进行了破坏性攻击。

为此，五眼联盟网络安全当局敦促关键基础设施网络防御者在识别恶意网络活动方面恪尽职守、加强防范，积极应对潜在网络威胁（包括破坏性恶意软件、勒索软件、DDoS攻击和网络间谍活动）并缓冲其带来的影响。

五眼联盟网络安全当局认为网络安全威胁主要来源于俄罗斯国家支持的网络行动、俄罗斯阵营的网络威胁团体和俄罗斯阵营的网络犯罪团体。

俄罗斯国家支持的网络行动

俄罗斯国家支持的网络行为者已经充分展示了其网络攻击能力，比如：开发并保持长期持续的网络访问；窃取敏感数据；部署破坏性恶意软件干扰关键工业控制系统和操作技术系统的运行。他们过往曾针对乌克兰政府和关键基础设施组织部署BlackEnergy和NotPetya这样的破坏性恶意软件，近期又对乌克兰相关组织实施了DDoS攻击。

俄罗斯国家支持的网络行动主要源于以下五个政府和军事组织的网络威胁行为者：俄罗斯联邦安全局 (FSB)所属的第16中心和第18中心；俄罗斯外国情报局 (SVR)；俄罗斯总参谋部情报总局(GRU，格鲁乌)所属第85特种服务中心 (GTsSS)；俄罗斯总参谋部情报总局特种技术中心 (GTsST)；和俄罗斯国防部所属中央化学与力学研究所 (TsNIIKhM)。警告对上述俄罗斯部门的网络行动类型、特点、攻击目标、技术手段、曾经实施过的网络行动进行了列举分析。

俄罗斯阵营的网络威胁团体

除了上述高持续性威胁（APT）组织之外，产业界认为PRIMITIVE BEAR和VENOMOUS BEARA也是俄罗斯国家支持的ATP组织，但五眼联盟网络安全当局没有将其归咎于俄罗斯政府。

根据行业报告，PRIMITIVE BEAR至少从2013年就开始针对乌克兰政府、军队和执法机构，利用大规模鱼叉式钓鱼活动来投递定制恶意软件。VENOMOUS BEAR则历来针对北约国家政府、国防承包商及其他具有情报价值的组织。

俄罗斯阵营的网络犯罪团体

网络犯罪团体通常是经济驱动的网络行为者，试图利用人类弱点或安全漏洞直接盗窃金钱或向受害者勒索钱财。这些团体对全球关键基础设施组织构成持续性威胁。

二月份俄乌武装冲突以来，一些网络犯罪组织已独立公开表示支持俄罗斯政府或人民，或威胁以网络行动反击针对俄罗斯的攻击或为乌克兰提供物资支持的行为。俄罗斯阵营的网络犯罪集团主要通过部署勒索软件及实施DDoS攻击对关键基础设施组织形成威胁。根据行业和开源报告，五眼联盟网络安全当局评估The CoomingProject、Killnet 、MUMMY SPIDER、SALTY SPIDER 、SCULLY SPIDER、SMOKEY SPIDER、WIZARD SPIDER、The Xaknet Team等俄罗斯阵营的网络犯罪团体将威胁到关键基础设施组织。警告也对上述团体的主要网络活动类型、方法、工具、攻击目标进行了分析。

缓解措施

该警告敦促关键基础设施组织立即:1）更新软件，包括操作系统、应用程序及固件；2）强制执行多重要素认证（MFA），使用高强度密码；3) 使用远程桌面协议（RDP）和其他潜在风险服务时，密切监控并确保安全；4）提升用户防范意识，警惕针对性的社会工程和鱼叉式网络钓鱼活动，通过这些措施提升网络安全防御能力，应对网络安全威胁。

为了进一步预防和缓解来自俄罗斯国家支持的或犯罪分子的网络威胁，五眼联盟网络安全当局还给出了1）预防网络安全事件；2）加强身份识别和访问管理；3）强化保护性控制和架构；4）完善漏洞和配置管理四个方面的具体措施清单，为关键基础设施组织强化网络安全防范给出指引。

网络安全事件应对

五眼联盟网络安全当局敦促关键基础设施组织的网络防御者在识别恶意活动时谨慎处理。当检测到潜在APT或勒索软件时应当以官方推荐的方式应对，并向适当的网络和执法机构报告网络安全事件。当局强烈反对向犯罪分子支付赎金，因为支付赎金将会鼓励对手发起更多攻击，刺激更多地犯罪分子投放勒索软件及资助非法活动，且赎金并不能保证受害者的文件得以恢复。

俄乌武装冲突以来，以北约和欧盟为首的各国对俄罗斯展开全方位制裁，俄罗斯方面也宣布了一系列反制措施。利益攸关方力求推动舆论导向，产生的海量信息使战争局势扑朔迷离。有观点认为，俄乌冲突中，双方实施的网络攻击活动并没有预测地那样活跃，而在信息活动（information campaign）领域各方却发生了更为激烈的交锋。当前，俄乌冲突的进程仍不明朗，五眼联盟网络安全当局在此背景之下，向所属国家关键基础设施组织发出网络安全预警，认为俄罗斯方面将开展更多的恶意网络活动作为反报措施，反应了其对网络安全态势的感知预判。（吴晓莉）

声明：本文来自苏州信息安全法学所，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。