APT组织攻击乌克兰网络

对乌克兰的网络攻击被战略性地用于支持地面战役,该网络袭击在2月份由五个国家支持的高级持续威胁(APT)组织支持开始组织实施。根据微软周三发布的研究,参与这些活动的APT主要由俄罗斯赞助。

本周发布的单独报告也揭示了与俄罗斯有联系的APT对乌克兰数字资产的网络攻击浪潮。微软研究人员认为,六个与俄罗斯结盟的威胁行为者进行了237次网络攻击操作,其行为对于平民福利构成威胁,其同时也试图对乌克兰目标进行数十次网络间谍攻击。

此外,根据微软客户安全和信托公司副总裁Tom Burt的一篇博客文章指出,俄罗斯被认为在某种“混合战争”中使用网络攻击。他说,这与“针对对平民至关重要的服务和机构的动态军事行动”有关。Burt在其博客中写道:这些袭击不仅破坏了乌克兰的机构系统,还试图破坏人们获得平民赖以生存的可靠信息和关键生活服务的机会,并以此试图动摇民众对该国领导层的信心。

与此同时,乌克兰计算机应急小组(CERT-UA)的研究人员一直在自己分析在战争前和战争期间阻碍该国的网络攻击。该机构表示仅在2022年第一季度,它就记录了802起网络攻击,是去年同期362次的两倍多。CERT-UA表示,实施这些袭击主要是五个已知的俄罗斯或白俄罗斯赞助的APT发起。具体来说,这些群体是:世界末日/Garmaredon、UNC1151、Fancy Bear/APT28、AgentTesla/XLoader和Pandora hVNC/GrimPlant/GraphSteel。

混合战争

研究人员表示,微软安全团队一直在与乌克兰政府官员以及政府和私营企业网络安全人员密切合作,以识别和补救针对乌克兰网络的威胁活动。

据报道,俄罗斯在俄乌战争开始前一年或2021年3月以来就在网络空间为与乌克兰的陆地冲突做准备。微软研究人员发现,在地面冲突和随后的入侵发生之前,已知或可疑的威胁组织正每周以两到三起事件的速度在目标乌克兰网络上不断开发和使用恶意软件或类似破坏性工具进行网络攻击。在报告中他们认为:从2月23日至4月8日,微软团队看到了近40次离散破坏性袭击的证据,而这些袭击永久摧毁了乌克兰数十个组织数百个系统中的文件。

甚至在此之前,微软在1月份就发现了一次主引导记录(MBR)雨刷攻击,并将其命名为WhisperGate,目标是乌克兰,试图永久扰乱全国各地的组织,并将乌克兰描述为失败的国家。雨刮器是破坏性最大的恶意软件类型,因为它们会永久删除和破坏数据和/或系统,给受害者造成巨大的财务和声誉损失。

从2月底到3月中旬,随着俄罗斯开始实际入侵,另一系列使用名为HermeticWiper、IsaacWiper和CaddyWiper的恶意软件的雨刷攻击瞄准了乌克兰的组织。

对关键基础设施的攻击

微软在其最新报告中表示,40%以上的对乌克兰的破坏性袭击是针对关键基础设施部门的组织,这些部门可能会对政府、军队、经济和国家人民产生负面的次生影响。此外,32%的破坏性事件也影响了乌克兰国家、地区和城市各级的政府组织。

研究人员写道:“我们承认存在我们看不到的持续活动,我们估计乌克兰网络上至少被部署了八个破坏性恶意软件集群,包括一个专门针对工业控制系统(ICS)的软件集群。如果威胁行为者能够保持目前的开发和部署速度,我们预计随着冲突的继续,将发现更具破坏性的恶意软件。”

该报告中列举了网络攻击的详情包括攻击的具体时间表和袭击最初几周用于支持俄罗斯军事活动的恶意软件。除了前面提到的雨刷外,攻击中部署的其他恶意软件包括:FoxBlade、DesertBlade、FiberLake、SonicVote和Industroyer2。

网络袭击的惯犯

在CERT-UA披露顶级ATP在网络空间打击乌克兰之后,研究公司Recorded Future的The Record更深入地相互研究,以研究其具体隶属关系和工作方式。

Armageddon/Garmaredon是一个侵略性威胁行为者,自2014年以来一直以乌克兰为目标,并得到俄罗斯联邦安全局(FSB)的支持。据研究人员称,在俄罗斯对乌克兰的战争期间,该组织使用网络钓鱼攻击分发恶意软件,这是“Backdoor.Pterodo”恶意软件有效负载的最新变体。

研究人员援引Mandiant的研究表示,UNC1151是一个与白俄罗斯结盟的黑客组织,自2016年以来一直活跃,此前一直以乌克兰、立陶宛、拉脱维亚、波兰和德国的政府机构和私人组织为目标,并袭击了白俄罗斯持不同政见者和记者的网络电子设备。

而自俄罗斯袭击乌克兰UNC1151以来,该组织通过传播MicroBackdoor恶意软件等方式,一直与多个乌克兰政府网站的受袭以及针对乌克兰军事人员的电子邮件和Facebook帐户的网络钓鱼活动有关。

Fancy Bear/APT 28是一个知名且多产的组织,自2017年以来一直活跃,并得到俄罗斯军事情报局(GRU)的支持。这个出于政治动机的团体与旨在影响欧盟和美国选举以及与攻击2020年东京奥运会有关的体育当局的活动有关。

研究人员表示,2月24日,即俄罗斯袭击乌克兰的当天,Fancy Bear袭击了美国卫星通信提供商Viasat在乌克兰的KA-SAT网络,使许多乌克兰人无法访问互联网,因此在袭击开始的关键时刻无法进行及时有效的通信。

俄罗斯威胁行为者至少自2014年和2020年以来分别使用AgentTesla和XLoader恶意软件;两者都用于备受瞩目的攻击。研究人员表示,在俄罗斯入侵乌克兰期间,一场针对乌克兰国家组织的恶意电子邮件活动使用XLoader作为其有效载荷,进而针对乌克兰公民进行了网络钓鱼活动。

研究人员表示,Pandora hVNC/GrimPlant/GraphSteel在统一的“大象框架”或用同一语言编写,并在针对政府组织的网络钓鱼攻击中充当下载器和滴管。他们说,在3月份的两次单独的恶意网络钓鱼活动中,它们被用来攻击乌克兰目标,从政府官员那里窃取敏感信息等。

乌克兰网络攻击的历史

3月,卡巴斯基的全球研究和分析团队(GReAT)概述了其对乌克兰当前和过去网络攻击的跟踪。

“未来六个月,乌克兰的网络攻击数量将进一步增加。虽然目前大多数攻击的复杂性较低——例如DDoS或使用商品和低质量工具的攻击——但也存在更复杂的攻击,预计还会有更多攻击,”卡巴斯基研究人员写道。

卡巴斯基报告补充说:“目前的复杂活动包括使用HermeticWiper,这因其复杂性而脱颖而出,以及Viasat‘网络事件’——部分网络中断影响了乌克兰和欧洲KA-SAT网络上固定宽带客户的互联网服务,影响了欧洲3万多个终端。

本文翻译自:https://threatpost.com/cyberwar-ukraine-military/179421/如若转载,请注明原文地址。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/141535.html<

(0)
管理的头像管理
上一篇2025-03-04 11:04
下一篇 2025-03-04 11:05

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注