编者按

乌克兰国家特别通信和信息保护局(SSSCIP)5月底发布题为《战争与网络:三年的斗争和全球安全的教训》的报告,深入分析俄罗斯2022年至2024年期间对乌克兰网络攻击的发展演变情况。

报告称,相比于2014至2022年,乌克兰在2022至2024年记录的网络事件数量有所增加,表明俄罗斯运用网络战的力度明显升级;俄罗斯针对乌克兰网络攻击优先事项的转变基于一个假设,即可能对高度依赖电力和网络连接的基本服务造成重大影响;上述认知建基于“网络生态系统中的目标和依赖关系金字塔”,该金字塔从下到上可分为能源、电信以及信息技术三层,上层依赖于下层,下层破坏将对上层产生连锁影响;能源领域是基础层,该层级的中断将导致通信、信息和控制系统中断,以及生命支持系统中断;电信领域是中间层,该层级的通讯中断会导致社会孤立和混乱,在战时会引发民众恐慌、限制信息流通、扰乱社会关系并削弱军事指挥控制,从而损害国家安全;信息技术是最上层,该层级的破坏会导致组织与数据和自动化隔绝,导致支撑经济的组织间信息共享中断,并引发社会紧张局势。

报告称,2022年,俄罗斯联邦加强了其网络活动,将网络行动作为支持其军事行动的重要工具,重点是开展破坏性网络行动,旨在破坏关键基础设施、窃取数据以及施加信息和心理影响;在破坏性网络攻击方面,俄罗斯积极采取破坏关键IT基础设施和瘫痪服务的策略,主要针对能源、电信、政府机构以及交通/物流领域;在网络认知战方面,俄罗斯对乌克兰媒体开展超过200次网络攻击,利用深度造假技术传播虚假信息,还试图干涉信息空间并影响乌克兰国内外的舆论,旨在将网络攻击、心理压力和虚假信息结合起来以实现战略目标。

报告称,2023年,俄罗斯黑客组织的策略从简单的DDOS攻击和大范围机会主义攻击转变为更有针对性的网络活动;俄罗斯黑客开始尝试新的策略,专注于在关键设施中建立立足点,进行秘密情报收集,并利用网络能力评估其动能打击的影响;俄罗斯知名黑客组织在下半年的活动显著减少,一些新的、此前不为人知的黑客组织开始涌现,并采用新颖的策略和技术开展网络攻击;年度关键趋势涉及到通过攻击电信资源来破坏前线和后方的通信、通过网络间谍活动持续搜集情报数据、通过攻击媒体和开展虚假宣传活动来破坏民意并影响舆论、通过以经济利益为目的的网络攻击来破坏金融稳定以及通过泄露数据来加大信息压力;年度攻击策略主要变化涉及重复攻击先前受害者、扩大网络攻击能力以及通过窃取和泄露数据来加强心理战。

报告称,2024年,俄罗斯黑客组织的战略持续演变,网络攻击的重点转向与军事行动直接相关的实体以及支持战争的服务提供商;网络攻击者力求尽可能长时间地保持不被发现,在系统内建立持久立足点,并获取敏感信息以支持俄罗斯的军事行动;俄罗斯黑客展现出了一种专注的攻击方式,通过针对具有战略意义的目标来达成自身目标;年度主要趋势涉及到从发动严重攻击和事件转向收集数据、从直接攻击关键基础设施转向针对供应链、提升网络钓鱼和社会工程攻击的复杂度和有效性以及不断发展网络攻击技术。

奇安网情局编译有关情况,供读者参考。

在战争期间(2022-2024年),乌克兰记录的网络事件数量与2014-2021年相比有所增加,表明俄罗斯联邦使用网络战的力度明显升级。

过去3年,我们观察到,俄罗斯通过吸纳专业公司、网络犯罪分子以及武装部队和情报部门内的“志愿者”参与,系统性地升级攻击。这可能会导致针对政府机构、关键基础设施和私营部门的攻击次数增加,同时网络能力也需要调整以支持地面军事行动。

2022-2024年攻击者的主要目标

1、俄罗斯黑客格局变化及攻击策略分析

俄罗斯攻击者针对乌克兰实体的优先事项的转变基于一个假设,即可能对高度依赖电力和网络连接的基本服务造成重大影响。

下图金字塔说明了IT生态系统对能源部门(作为基础层)、电信(作为关键信息传输环境)以及支持关键民用和军事功能的IT系统和数据的依赖性。

2、网络生态系统中的目标和依赖关系金字塔

每个上层都依赖于下层,下层破坏将对上层产生连锁影响,其连锁影响表现为:

能源领域:此级别的中断将导致通信、信息和控制系统中断,以及生命支持系统中断。

电信:这一层级的通讯中断会导致社会孤立和混乱。战时,这会引发民众恐慌,限制信息流通,扰乱社会关系,并削弱军事指挥控制,从而损害国家安全。

信息技术(IT):这一层面的破坏使组织与数据和自动化隔绝。这种破坏导致支撑经济的组织之间信息共享中断,并引发社会紧张局势。

尽管能源领域在2022年的网络攻击总数中仅占5%,但其潜在影响,尤其是在与动能导弹袭击相结合的情况下,可能对乌克兰民众造成毁灭性后果。

战略变化和网络部分

在支持军事行动中的作用

2022年

2022年,俄罗斯联邦加强了其网络活动,将网络行动作为支持其军事行动的重要工具。其主要重点是破坏性网络行动,旨在破坏关键基础设施、窃取数据以及施加信息和心理影响。俄罗斯黑客计划通过入侵媒体机构发动认知攻击,并严重高估了其对乌克兰公众舆论的影响。

从2017年NotPetya攻击到2022年,乌克兰没有再遭受大规模破坏性网络攻击。尽管如此,这也让乌克兰政府机构能够发展网络防御基础设施(例如,启用UA30网络中心)、完善法规,并为网络攻击的升级做好准备。

相反,俄罗斯专注于识别乌克兰公共和私营部门网络中的漏洞。2022年初的许多网络攻击都利用了现有漏洞,大量系统早在2020-2021年就已遭到入侵。俄罗斯利用预装的后门快速对关键系统发动网络攻击。这已经表明,攻击者已从探测行动(例如BlackEnergy、Industroyer和NotPetya)演变为全面的网络攻击行动。

关键策略和目标

1、破坏性网络攻击。

俄罗斯积极采取破坏关键IT基础设施和瘫痪服务的策略。主要针对能源、电信、政府机构以及交通/物流领域。WhisperGate、HermeticWiper和Industroyer2等恶意软件虽然造成了短期中断,但这些举措未能造成全球关键服务短缺,也未能实现战略平衡的转变。

2、网络对媒体和虚假信息的影响。

作为认知战的一种体现,媒体成为俄罗斯联邦的重点攻击目标之一。黑客入侵电视台、新闻机构和网络平台,旨在传播宣传并恐吓民众。攻击者利用知名媒体的标识传播虚假新闻和操纵性材料,试图制造混乱,破坏人们对乌克兰信息来源的信任,宣扬亲俄言论,并打击民众士气。

俄罗斯对乌克兰媒体开展超过200次网络攻击,旨在散布宣传、操纵舆论和制造混乱:俄罗斯黑客攻击新闻机构网站和乌克兰国家媒体(例如乌克兰通讯社)等机构,散布虚假新闻或彻底删除内容。使用恶意数据擦除软件和DDoS攻击导致媒体资源暂时关闭,阻碍了获取准确信息的渠道。一种常见的手段是入侵社交网络和记者账户,以传播虚假信息。

全面战争爆发后,俄罗斯积极利用深度造假技术传播虚假信息,制作宣传材料。一个突出的例子是试图发布一段乌克兰总统看似呼吁投降的深度造假视频。尽管该视频很快被揭穿,但它在社交媒体和通讯应用程序上的短暂传播旨在制造恐慌,削弱人们对国家机构的信心。在全面战争的三年中,宣传人员利用虚假的乌克兰政客会议、妥协性言论或涉嫌腐败的视频来破坏政治局势,影响国际社会对乌克兰的支持。这些材料通常与其他形式的虚假信息相结合,例如假新闻和网络钓鱼活动。俄罗斯利用深度造假技术抹黑乌克兰军事指挥官、志愿者和国际合作伙伴,模仿他们的演讲或声明。

此外,俄罗斯黑客还试图干涉信息空间并影响乌克兰国内外的舆论,积极使用机器人网络、虚假账户和付费帖子来制造乌克兰人大量支持亲俄罗斯言论的印象。

这些行动成为认知战的一部分,将网络攻击、心理压力和虚假信息结合起来,以实现俄罗斯的战略目标,试图破坏乌克兰局势稳定,并对其内部团结和国际支持产生怀疑。

2022年重大事件

WhisperGate(1月):针对乌克兰公共系统的数据破坏恶意软件。这是俄罗斯联邦准备发动大规模破坏性网络攻击的第一个信号。

HermeticWiper (2月):战争前夕的大规模网络攻击,导致乌克兰国家和私营部门的系统瘫痪。

IsaacWiper (2月):对乌克兰政府机构的网络攻击恰逢全面战争的开始。

AcidRain(2月):对Viasat卫星通信的网络攻击导致乌克兰和欧洲的通信中断。

Industroyer2(4月):网络攻击针对乌克兰能源部门,旨在造成停电。

2023年

2023年,俄罗斯黑客组织将其策略从简单的DDOS攻击和大范围机会主义攻击转变为更有针对性的网络活动。他们开始尝试新的策略,专注于在关键设施中建立存在,进行秘密情报收集,并利用网络能力评估其动能打击的影响。

2023年下半年,UAC-0001(APT28)和UAC-0003( Turla )等知名黑客组织的活动显著减少。取而代之的是,一些新的、此前不为人知的黑客组织涌现,他们采用新颖的策略和技术进行网络攻击。技术复杂的攻击数量不断增加,使得乌克兰有必要加强网络韧性,加强国际合作,并吸纳私营部门的IT专家参与其中。

2023年的关键趋势

1、网络攻击针对电信资源,破坏前线和后方的通信

  • 网络攻击最严重的目标之一是乌克兰电信服务提供商,例如Kyivstar、Citylan等。这些攻击旨在扰乱数据传输、破坏通信并在战场上创造战略优势。

  • 对这些网络的黑客攻击表明攻击者的技术水平很高,对网络防御构成了严峻挑战。

2、间谍活动与持久立足

  • 与俄罗斯联邦安全局(FSB)、联邦武装力量总参谋部情报总局(GRU)和对外情报局(SVR)相关的团体长期存在于系统中并不断收集情报数据。

  • 攻击者创建了虚假版本的软件,并将其散布给目标用户,包括军事机构。

  • 特别关注针对乌克兰军方常用的用于收集关键数据的即时通讯应用的攻击。

3、针对媒体和虚假宣传活动的网络攻击

  • 从2023年4月开始,攻击者专注于攻击新闻机构、社交网络和即时通讯工具,以传播挑衅性信息。

  • Telegram频道被用来发布被盗文件、技术方案和其他材料,以破坏民意并影响舆论。

4、以经济利益为目的的网络攻击

  • 2023年下半年,40%的已登记事件与勒索和资金盗窃有关。

  • 主要方法包括使用远程访问木马(RAT)、网络钓鱼活动和对银行系统的网络攻击。

  • 金融攻击不仅针对大型企业,还针对政府机构,造成重大经济损失。

5、网络攻击的信息支持

  • 在公开渠道上发布的攻击技术细节和被盗文件大幅增加,给受害者带来信息压力。

  • 网络攻击与物理攻击同步进行,增强了其心理影响。

策略上的主要变化

回归先前的受害者:APT 组织利用对先前目标基础设施的了解再次攻击关键系统。

扩大网络攻击能力:新的行为者加强了现有团体的实力,展示了创新且更难检测的网络攻击方法。

信息影响:利用窃取的数据来传播虚假信息成为其心理战策略的一部分。

2024年

2024年,俄罗斯黑客组织的战略持续演变。网络攻击的重点转向与军事行动直接相关的实体以及支持战争的服务提供商。攻击者力求尽可能长时间地保持不被发现,在系统内建立持久立足点,并获取敏感信息以支持俄罗斯的军事行动。

黑客们展现出了一种专注的攻击方式,他们瞄准具有战略意义的目标来实现自己的目标。这包括窃取即时通讯账户来传播恶意软件,以及策划网络钓鱼活动。

年度主要趋势

1、从严重攻击和事件转向数据收集

2024年,虽然网络事件数量持续增加,但严重和高度严重事件的比例有所下降。

同时,针对政府组织和地方当局的网络攻击显著增加,占所有事件的 60%,这些攻击可能与通过网络钓鱼和恶意软件分发进行的初始访问尝试有关。

2、关键基础设施直接攻击减少

不再直接攻击关键基础设施对象(CIO),而是越来越多地将目标锁定在供应链上,从而损害了专用软件的供应商和开发商。这种方法使他们能够通过安全性较低的供应链访问关键系统,同时又不被发现。

3、网络钓鱼和社会工程

网络钓鱼活动仍然是黑客的主要工具。2024年,这些活动变得更加复杂,采用多阶段方案,并利用语言和文化差异来增强其有效性。

例如,UAC-0010(Gamaredon)积极利用社会工程窃取军事和个人数据,并获取政府系统的访问权限。其他活动则专注于通过伪装成与国家或人道主义援助相关的文件的附件来传播恶意软件。

4、不断演变的网络攻击技术

边界网关利用:攻击者使用洋葱路由(TOR)创建安全外壳协议(SSH)隧道链来隐藏其位置并伪造乌克兰IP地址。

即时数据窃取:恶意软件无需在系统中长期存在即可快速窃取数据。

针对即时通讯软件的网络攻击:Telegram、WhatsApp、Signal、Element和Discord 等即时通讯软件应用程序传播恶意软件并进行网络钓鱼诈骗。

通过网络资源渗透:公开的网络资源仍然是攻击者的主要目标。他们会主动利用漏洞,寻找新的入口点,并返回到此前被攻击的系统。

声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。