编者按
(资料图)
谷歌旗下网络安全公司曼迪昂特4月18日发布2023年趋势报告,其中重点分析了俄罗斯针对乌克兰开展的网络行动以及围绕俄乌战争开展的信息操作情况。报告将俄罗斯网络行动演变分为五大主要阶段:
第一阶段:战前的战略性网络间谍活动和预先部署(2019年至2022年2月)。报告称,俄罗斯威胁组织UNC2589于2022年1月针对乌克兰实体开展了破坏性攻击,目的是动摇乌克兰民众对政府的信任,并破坏对抵御俄罗斯军事行动的支持,从而为武装冲突的“信息领域”做好准备。GRU所属威胁组织在战前广泛开展渗透活动并进行预部署,以便在战争开始后利用访问权限开展破坏性行动。
第二阶段:初始破坏性网络行动和军事行动(2022年2月至2022年4月)。俄罗斯威胁行为者利用恶意擦除软件对乌克兰开展破坏性网络攻击,从而支持俄罗斯的军事行动。APT28采用名为“边缘生存”的新手法,对路由器和其他互联网连接设备等边缘基础设施开展渗透,从而维持对目标的持续访问权限。俄罗斯威胁行动者还尝试利用以前针对工控系统的恶意软件变种攻击乌克兰电力系统。俄罗斯情报机构利用虚假身份开展信息泄露活动;俄罗斯威胁行为者在网络媒体上宣扬网络攻击活动,从而达到对外宣传俄罗斯利益和对内宣扬支持战争舆论的双重目的。
第三阶段:持续瞄准和攻击(2022年5月至2022年7月)。俄罗斯针对乌克兰的网络行动的节奏和类型发生变化:攻击者继续尝试发起恶意擦除攻击,攻击的速度更快但协调性有所降低;俄罗斯支持的威胁行为者开展周期性“访问采集—破坏行动”,在攻击浪潮间隔期间尝试开展访问和采集操作,同时还致力于标准化其破坏性操作。
第四阶段:保持立足点以获取战略优势(2022年8月至2022年9月)。GRU所属威胁组织停止了针对乌克兰的破坏性活动,但与俄罗斯联邦安全局(FSB)相关网络威胁组织开始浮出水面。其中,Armageddon对乌克兰四个不同政府实体开展攻击活动,Turla针对乌克兰某政府机构开展渗透活动。
第五阶段:破坏性攻击的新节奏(2022年10月至2022年12月)。此阶段的特点是俄罗斯针对乌克兰的破坏性网络攻击“死灰复燃”。新的攻击类似于前几个阶段的破坏性攻击,但由使用恶意擦除软件转向使用勒索软件,表明GRU正在转换攻击工具且没有资源来编写或修改自定义恶意软件。配合俄罗斯针对乌克兰能源基础设施开展更广泛军事打击行动,GRU对乌克兰能源部门开展了破坏性网络攻击行动。
报告称,俄罗斯围绕俄乌战争开展了广泛的信息行动,类型包括网络支持的信息操作、利用协调和不真实的账户网络在在线媒体上推广捏造内容的活动等。俄罗斯虚假信息活动具有双重目的:一方面在战术上响应或塑造当地事件;另一方面在战略上影响不断变化的地缘政治格局。
奇安网情局编译有关情况,供读者参考。
入侵乌克兰:战时的网络行动
俄罗斯于2021年秋季开始在俄乌边界沿线集结军队,这促使美欧官员就俄罗斯入侵威胁发出警告。曼迪昂特公司确定了在2022年2月24日俄罗斯对乌克兰发起军事行动之前和之后发生的广泛网络间谍活动、干扰性和破坏性网络攻击以及信息操作。
俄罗斯对乌克兰的军事行动为网络威胁活动创造了前所未有的环境。对乌克兰的军事行动代表了一个主要网络大国在开展广泛的动能军事行动的同时开展破坏性攻击、间谍活动和信息行动的首批实例之一。曼迪昂特从未观察到威胁行为者的活动与在俄乌战争爆发后头几个月所见的攻击量、威胁行为者的多样性以及活动协调相匹配。俄乌战争还对俄语网络犯罪生态系统造成了暂时的破坏,在某些情况下基于政治路线分裂了犯罪集团,并且似乎引发了自2015年以来国际黑客行动主义的最大复兴。
冲突期间俄罗斯网络行动的演变可以大致分为五个主要阶段:
● 战略性网络间谍活动和预先部署(2022年2月前)
● 初始破坏性网络行动和军事行动(2022年2月至2022年4月)
● 持续瞄准和攻击(2022年5月至2022年7月)
● 保持立足点以获取战略优势(2022年8月至2022年9月)
● 新的破坏性攻击活动(2022年10月至2022年12月)
曼迪昂特还确定了在每个阶段进行的相关信息操作,包括那些利用传统网络威胁活动的操作。
一、战前的战略性网络间谍活动和预先部署
(2019年至2022年2月)
入侵活动
曼迪昂特观察到多个威胁组织在战前开展入侵活动。最值得注意的是,观察到了UNC2589和APT28的活动。
UNC2589
曼迪昂特怀疑UNC2589代表俄罗斯政府利益运作,在乌克兰进行了广泛的间谍收集,特别是在战前的2021年底和2022年初。值得注意的是,我们评估了UNC2589在2022年1月14日使用PAYWIPE(又名WHISPERGATE)对乌克兰实体进行的破坏性攻击。这可能是初步但提前的打击,俄罗斯军事学说将其描述为武装冲突的“信息领域准备”,目的是动摇乌克兰人对其政府的信任,并破坏对强力防御俄罗斯军事行动的支持。2022年1月和2022年2月期间同样支持该目标的其他UNC2589行动攻击了乌克兰关键基础设施,对金融机构也进行了分布式拒绝服务(DdoS)攻击。
APT28和其他GRU集群
曼迪昂特发现了多个实例,在这些实例中,与俄罗斯联邦武装力量总参谋部情报总局(GRU)相关的集群依赖于历史渗透的机会主义访问,以便在战争开始后获得当前的持续访问。2022年2月下旬,由GRU支持的威胁组织APT28重新激活了休眠的2019年EMPIRE感染,以在环境中横向移动并使用SDELETE实用程序从受感染系统中删除文件和目录。在另一个案例中,APT28以VPN为目标获取访问权限,并在2021年4月向多名受害者部署了恶意软件植入程序FREETOW。至少在一个案例中,攻击者在站稳脚跟后一直处于休眠状态,直到在战争第二阶段期间于2022年2月和3月开展了一系列恶意擦除攻击。自战争开始以来,APT28一直是俄罗斯在乌克兰最活跃的活动集群,并且将破坏性网络攻击置于在乌克兰的间谍活动之上。
二、初始破坏性网络行动和军事行动
(2022年2月至2022年4月)
曼迪昂特在2022年前四个月观察到乌克兰发生的破坏性网络攻击比过去八年更具破坏性。在战争的前几个阶段,乌克兰组织受到威胁行为者使用六个独特的恶意擦除软件的影响。这些破坏性网络攻击的时间恰逢俄罗斯2022年2月24日对乌克兰发动军事行动,而且很可能是支持俄罗斯的军事行动,并且未针对与战争直接相关或支持战争的组织。虽然破坏性网络攻击最初确实在一些乌克兰网络中造成了严重的广泛破坏,但它们的影响力可能不如俄罗斯之前针对乌克兰的网络攻击。相比之下,俄罗斯在2015年和2016年成功发起了针对电网中断的网络攻击,导致数十万乌克兰人的电力中断数小时,而2017年的NOTPETYA攻击中断了整个乌克兰及其他地区的运作。
APT28数据擦除攻击和GRU“边缘生存”
曼迪昂特观察到APT28以多个乌克兰实体为目标,其破坏性和间谍活动类似于战争开始时所做的努力。APT28的战时行动已经偏离了APT28的历史活动。该组织已经表现出渗透边缘基础设施以进行各种操作的偏好,我们称之为“边缘生存”(Living on the Edge)的手法。APT28还在短时间内使用了各种破坏性和间谍恶意软件,并在战时利用了最近发布的几个漏洞,包括Follina、PROXYSHELL漏洞利用链和多个Exchange漏洞。
“边缘生存”已成为战时GRU行动的关键部分。自战争爆发以来,GRU一直试图针对乌克兰境内的关键服务和组织进行连续且几乎不间断的网络间谍和破坏活动。这种对目标组织的访问和行动的平衡依赖于对路由器和其他互联网连接设备等边缘基础设施的渗透。在破坏性行为导致无法直接访问端点的情况下,通过遭渗透边缘设备可继续重新进入网络。由于大多数端点检测和响应技术未涵盖此类设备,因此防御者也更难检测到对这些路由器的渗透。
俄罗斯对工业控制系统能力的新兴趣
2022年2月至2022年4月期间,软件公司ESET报告了某疑似俄罗斯威胁行为者针对乌克兰电力公司的行动,该行动导致部署了多个恶意擦除软件系列。该攻击还涉及面向工业控制系统(ICS)的中断框架INDUSTROYER.V2的一个变体,该框架的先前版本在2016年12月的一次类似攻击中曾被利用导致乌克兰停电。虽然尚不清楚该行动是否有效地影响了公用事业公司的输配电业务,但该事件强化了俄罗斯具有影响电力系统的可重复使用能力的观念。
黑客行为者角色的重新出现
和网络支持的信息操作
曼迪昂特观察到战后黑客行动主义显著增加,包括来自俄罗斯支持的团体的活动。俄罗斯情报部门在使用虚假的黑客行为者角色来支持信息操作以及干扰性和破坏性网络活动方面有着悠久的历史。特别是,曼迪昂特专注于分析一组自称的黑客活动组织(XakNet Team、Infoccentr和CyberArmyofRussia_Reborn),所有这些组织可能至少与GRU支持的APT28协调行动。曼迪昂特直接观察到APT28在多个乌克兰组织的网络上部署了恶意擦除软件,随后自称黑客行动主义者的威胁行为者在Telegram上泄露了很可能在24小时内来自上述实体的数据。我们从这些组织中确定了至少16次数据泄露,其中4次与APT28的恶意擦除攻击同时发生。
在Telegram频道上,威胁行为者声称已对受害者开展了传统黑客活动,例如DDoS攻击、网站篡改和黑客泄露操作。这种活动服务于两个有利于俄罗斯军事行动的可能影响性目标。这些团体通过其威胁活动在国外宣传俄罗斯的利益,并通过声称自己是爱国志愿者来向国内受众宣传普通俄罗斯人支持政府的想法。这两项努力都被俄罗斯媒体、社交媒体平台和其他在线平台放大了。
在此阶段,曼迪昂特还观察到KillNet集体的黑客活动有所增加。KillNet声称针对波兰、立陶宛和其他北约国家开展了活动,这似乎符合俄罗斯政府的优先事项。然而,曼迪昂特尚未发现将KillNet与俄罗斯情报部门联系起来的直接证据。
使用物理访问来实现网络操作
在对针对乌克兰政府组织网络的活动进行调查期间,曼迪昂特发现了在俄罗斯单位于2022年初物理访问该网络后发生渗透的证据。曼迪昂特追踪为UNC3762的攻击者使用此物理访问进行网络侦察,获取凭据,并使用远程桌面和Web shell横向移动。UNC3762还利用PROXYSHELL漏洞链(CVE-2021-34473、CVE-2021-34523、CVE -2021-31207),部署THRESHGO恶意软件,并从环境中窃取数据。
三、持续瞄准和攻击
(2022年5月至2022年7月)
在最初的破坏性攻击浪潮后,针对乌克兰的网络行动的节奏和种类发生了变化。曼迪昂特观察攻击者继续尝试部署恶意擦除软件,但这些攻击似乎不如2022年2月的第一波协调。这些攻击通常在攻击者获得或重新获得访问权限后更快地发生,通常是通过遭渗透的边缘基础设施进行的。在许多情况下,乌克兰防御者能够在中断发生前识别并减轻攻击企图。曼迪昂特还发现在破坏性活动浪潮之间开展访问和收集操作的尝试,这表明俄罗斯继续访问以前遭受擦除攻击实体的需求。
持续入侵和行动节奏
在整个战争的这一阶段,俄罗斯网络行为者继续尝试通过遭渗透的边缘基础设施重新获得对多个受害者环境的访问权限,或者尽管在持续进行缓解的情况下通常通过通用路由封装(GRE)隧道保持对网络的持久访问。这种模式表明了俄罗斯支持的威胁行为者开展的周期性收集和破坏性行动。GRU集群通过采用新发布的漏洞利用来保持其高强行动节奏,同时还致力于标准化其破坏性操作。在一波又一波的破坏性活动之间,一场利用遭渗透合法邮件服务器的网络钓鱼活动试图利用Follina漏洞,使用EARLYBLOOM和DARKCRYSTALRAT后门来实现APT28访问和收集操作。GRU还从使用多种不同的恶意擦除软件转变为在快速周转操作中严重依赖CADDYWIPER及其变体来对目标组织开展擦拭操作。这种高强操作节奏导致操作人员犯了几个错误。在一个例子中,威胁行为者试图使用NEARMISS的参数部署PARTYTICKET有效负载。他们能够调整并成功部署NEARMISS,但这个错误导致了延迟并可能削弱了有效性。
GRU入侵行动在战争开始时的行动和在此持续瞄准阶段发生的行动之间保持着几个主题。总体而言,GRU继续瞄准并利用边缘基础设施来获得对战略目标的访问权。一旦进入环境,GRU集群就会利用IMPACKET和公开可用的后门来维持立足。曼迪昂特还观察到另一个GRU集群UNC3810,它展示了在Linux系统上开展攻击和操作的熟练程度。UNC3810在很大程度上利用了GoGetter和Chisel等代理工具来维持访问并在目标环境中横向移动。
四、保持立足点以获取战略优势
(2022年8月至2022年9月)
在上一阶段结束时,我们没有观察到任何与可疑的俄罗斯联邦安全局(FSB)网络威胁行动者Turla或Temp.Isotope相关的活动的直接证据。然而,在2022年8月和9月之间,GRU集群停止了针对乌克兰的破坏性活动,并且与FSB相关的集群开始出现。虽然一个与GRU相关的集群UNC3810仍然活跃在间谍活动中,但曼迪昂特观察到与俄罗斯相关的威胁组织TEMP.Armageddon针对乌克兰四个不同政府实体的攻击活动。尽管我们主要观察了自战争开始以来掌舵针对乌克兰的网络行动的GRU集群,但TEMP.Armageddon运用不断发展工具和技术持续攻击乌克兰和其他欧洲组织。TEMP.Armageddon是一个与俄罗斯有联系的威胁行为者,专门针对乌克兰目标,收集有关乌克兰国家安全和执法实体的信息以支持俄罗斯的国家利益。从TEMP.Armageddon观察到的行动范围与该组织过去几年开展的众多活动一致。
除以乌克兰政府实体为目标的TEMP.Armageddon外,曼迪昂特还在2022年8月和9月发现了可疑的Turla活动。Turla是一个总部位于俄罗斯的网络间谍行为者,自2006年以来一直活跃,以针对外交、政府和国防实体而闻名。曼迪昂特确定了可追溯到2021年底的一次渗透,该渗透针对乌克兰某政府机构,符合Turla的策略、技术和程序。
五、破坏性攻击的新节奏
(2022年10月至2022年12月)
最近的行动阶段的特点是在乌克兰的破坏性网络攻击死灰复燃。尽管一些攻击看起来与前几个阶段的破坏性攻击相似,但这一新的破坏性攻击浪潮似乎偏离了历史常态。早期的尝试依赖于使用CADDYWIPER变体的快速周转操作,但在2022年10月至12月进行的攻击中,GRU集群在目标网络上部署了勒索软件变体。这一转变与微软关于IRIDIUM在波兰部署Prestige(PRESSTEA)勒索软件的报告一致。尽管访问和行动的循环在此阶段似乎仍在继续,但GRU转向使用勒索软件可能表明其正在经历工具转变,并且没有可依赖的资源来编写或修改自定义恶意软件。
在此阶段,曼迪昂特还观察到GRU对乌克兰能源部门的破坏性行动,恰逢俄罗斯针对乌克兰能源基础设施的更广泛动能行动。虽然网络行动有可能支持动能行动,但我们没有足够的洞察力来证实这一点。
六、围绕俄罗斯对乌克兰战争的信息行动
俄乌战争话题产生了太多的虚假信息。曼迪昂特观察到虚假信息活动的范围从网络支持的信息操作到利用协调和不真实的账户网络在在线媒体上推广捏造内容的活动。曼迪昂特已确定多个与俄罗斯支持的信息行动与宣传冲突相关叙述的已知行为者有关,包括与白俄罗斯有关的Ghostwriter活动、Secondary Infektion活动,以及据报道与俄罗斯互联网研究机构(RIA)附属人员有关的活动。
俄罗斯的虚假宣传活动似乎具有双重目的,即在战术上响应或塑造当地事件,并在战略上影响不断变化的地缘政治格局。正在推广的叙事旨在打击乌克兰人的士气并煽动内部动荡,将乌克兰与其盟友隔离开来,并增强对俄罗斯的正面看法。虽然大部分虚假信息活动针对的是乌克兰和欧洲的受众,但曼迪昂特已确定旨在促进针对俄罗斯国内受众信息传递的信息操作,进一步说明俄罗斯需要向本国民众推销战争。
曼迪昂特预计此类行动,包括那些涉及网络威胁活动和潜在的其他干扰性和破坏性攻击的行动,将随着冲突的进展而继续。
七、要点
俄罗斯对乌克兰的战争表明,作为一种新的事实上标准,网络行动和动能战可能存在重叠。这场战争几乎消耗了俄罗斯国际关系的方方面面,并已演变成2022年俄罗斯网络威胁活动的唯一驱动因素。
俄罗斯行为者的战术和战略选择展示了网络行动的多功能性和权衡取舍。俄罗斯使用预先存在的渗透来执行擦除操作表明,如果地缘政治局势发生变化,以间谍为目的的入侵可以如何用于攻击,并表明防御者必须识别并全面补救入侵。俄罗斯行为者专注于边缘设备的战术选择也提供了灵活性,并使行为者能够在破坏性事件发生后继续收集信息。防御者很难监控这些设备,但应及时修补,并彻底调查源自上述设备的任何可疑流量。
任何武装冲突都会带来针对民众和政府的破坏性行动的可能性。政府和私营部门组织在一个国家的运作中都发挥着重要作用。防御此类攻击并从中恢复的准备工作应该是标准的,因为即使是没有直接受到敌对行动影响的国家,如果被认为支持其中一方,也可能成为攻击目标。