近日,为更加深入了解网络战在俄乌战争中的作用,网络安全公司Mandiant发布了《战争迷雾:乌克兰冲突如何改变网络威胁格局》报告,该报告基于 Google 威胁分析小组 (TAG)、Mandiant 和安全部门的分析研判结果。该报告涵盖了政府支持的攻击者、信息作战(IO) 和网络犯罪生态系统威胁参与者的新发现和见解。
本文主要发现:
1.俄罗斯政府支持的攻击气势汹汹、多管齐下,以在网络空间获得决定性优势,结果往往喜忧参半。
这包括各组织的重点转向乌克兰,对乌克兰政府、军事和民用基础设施的破坏性攻击急剧增加,针对北约国家的鱼叉式网络钓鱼活动激增,以及旨在进一步实现俄罗斯的多个目标。例如,我们观察到威胁行为者通过黑客攻击和泄露敏感信息来推进特定的叙述。
在入侵前夕,俄罗斯政府支持的攻击者从2021年开始加强了网络行动。2022 年,俄罗斯将乌克兰用户的目标比2020年增加了250%。同期,北约国家的用户目标增加了300%以上。
2022年,俄罗斯政府支持的攻击者针对乌克兰用户的次数超过任何其他国家/地区。虽然我们看到这些攻击者主要针对乌克兰政府和军事实体,但我们破坏的活动也显示出对关键基础设施、公用事业和公共服务以及媒体和信息空间的强烈关注。
从其事件响应工作中,Mandiant观察到2022年前四个月在乌克兰发生的破坏性网络攻击比过去八年更具破坏性,攻击在入侵开始时达到顶峰。虽然在那段时间之后他们看到了重大活动,但与 2022年2月的第一波攻击相比,攻击的步伐放缓并且协调性似乎较差。具体而言,破坏性攻击通常在攻击者获得或重新获得访问权限后更快地发生,通常是通过受损的边缘基础设施进行的。许多行动表明俄罗斯武装部队总参谋部 (GRU) 试图在活动的每个阶段平衡访问、收集和中断的竞争优先级。
2.俄罗斯利用全方位的IO,从公开的国家支持媒体到秘密平台和账户,来塑造公众对战争的看法。 这些操作具体有三个目标:
报告指出,已经看到与冲突中的关键事件相关的活动激增,例如在俄罗斯的集结、入侵和部队动员。在谷歌,我们在产品、团队和地区积极开展工作,以应对这些违反我们政策并破坏公开和隐蔽的IO 活动,但继续遇到各种挑战。
在Google产品表面上破坏的秘密俄罗斯IO主要集中在维持俄罗斯国内对乌克兰战争的支持,其中超过90%的是俄语。
3.俄乌战争引发了东欧网络犯罪生态系统的显着转变,这可能对犯罪集团之间的协调和全球网络犯罪的规模产生长期影响。 一些团体因政治忠诚和地缘政治而分裂,而另一些团体则失去了重要的运营商,这将影响我们对这些团体的看法以及我们对他们能力的传统理解。我们还看到了勒索软件生态系统的专业化趋势,该生态系统混合了不同参与者的策略,使得确定归因变得更加困难。乌克兰战争也由我们预料但未看到的情况来定义。例如,我们没有观察到针对乌克兰境外关键基础设施的攻击激增。
TAG还发现,与出于经济动机的威胁行为者密切相关的策略被部署在目标通常与政府支持的攻击者相关的活动中。2022年9月,TAG 报告了一个威胁行为者,其活动与CERT-UA 的UAC-0098重叠,该威胁行为者过去曾投放 IcedID 银行木马,导致人为操作的勒索软件攻击。我们评估 UAC-0098 的一些成员是前 Conti 成员,将他们的技术重新用于针对乌克兰。
展望未来:
很明显,网络将继续在未来的武装冲突中发挥不可或缺的作用,补充传统的战争形式。