时事专题 | 俄乌网络战时间线全回顾

1、“匿名者”组织称入侵俄罗斯央行并将披露秘密文件

3月25日，一个据称与国际性黑客组织“匿名者”（Anonymous）有关的推特（Twitter）账号于3月24日称，该组织成功入侵了俄罗斯中央银行，并将在48小时发布3.5万份以上的相关秘密文件。

“匿名者”组织宣称这些文件涉及到一些“秘密协议”，但并未说明文件的具体内容，目前也尚未披露任何文件。俄罗斯中央银行则通过俄罗斯塔斯社（TASS）驳斥了这一说法，称相关报道为虚假信息。

“匿名者”组织自俄乌冲突伊始就宣布对俄罗斯发动网络战，在冲突期间重点攻击了包括“今日俄罗斯”和塔斯社在内的许多俄罗斯和白俄罗斯新闻媒体，导致部分媒体网站暂时瘫痪。此外该组织还宣称控制了俄罗斯卫星，但遭到俄方否认。为打击俄罗斯的经济，该组织近日又威胁所有仍在俄罗斯境内运营的外国公司停止在俄业务，否则将对这些公司发动网络攻击。

2、超过400台俄罗斯摄像头设备遭匿名者组织劫持

据绿盟科技威胁情报了解，2022年3月10日，绿盟威胁情报中心监测到匿名者与其他支持乌克兰的黑客组织接管400+台俄罗斯摄像头，同时在behindenemylines 网站分享控制摄像头的实时信息，对俄罗斯多个敏感机构的工作环境和内容进行直播，带来严重危害。

3、俄罗斯多个联邦政府网站遭遇供应链攻击

据代码卫士了解，3月9日，俄罗斯称继多家政府机构使用的旨在追踪访客的数据小工具遭不明黑客攻击后，其联邦机构网站再次遭供应链攻击。

这次遭攻击的政府站点包括能源部、联邦国家统计委员会、联邦监狱服务、联邦法警局、联邦反垄断局、文化部和其它国家机构网站。

周二晚，攻击者在这些网站上发布了自己的内容并拦截了对这些网站的访问权限。俄罗斯经济发展部的新闻服务告知Interfax 称，“直接攻陷这些网站很难，因此攻击者通过外部服务攻击资源，获得权限，之后展示不正确的内容。数据工具被黑后，黑客在网页上发布了不正确的内容。该事件立即得到遏制。”俄罗斯数字化发展部声称国家机构网站在事件发生一小时内恢复正常。

这起最新事件发生在俄罗斯发布了声称对俄罗斯网络发动DDoS 攻击的1.7万多个IP地址后。俄罗斯联邦安全局国家计算机事件协调中心 (NKTsKI) 提醒俄罗斯组织机构注意采取措施应对信息安全威胁并共享攻击防御指南。

这些提醒是在乌克兰副总理 Mykhailo Fedorov 宣布创立“IT军队”支持该国“在网络前线战斗”之后发出的。乌克兰国防部开始招募乌克兰地下黑客社区攻击俄罗斯且受“大规模混合战”之后，乌克兰IT军队创建信息披露。

3月8号，俄罗斯数字化发展部否认俄罗斯计划从世界web断网。一名发言人指出，“国外针对俄罗斯站点的攻击永不停止。我们已准备好应对各种情况，确保俄罗斯在线资源的可获得性。目前未有计划将国内网络从互联网切断。”

4、超过900个俄工控系统遭匿名者组织攻击

据绿盟科技威胁情报了解，3月3日，匿名者组织在官方Twitter上发布了新一批攻击目标，涉及超过900个俄罗斯暴露在公网的工业控制系统。这批目标资产被发布在可公开下载的网站pastebin上，方便其他组织获取和协同攻击。

本次发布的俄工控资产，主要涉及PLC（可编程逻辑控制器）、RTU（远程终端控制单元）、DCS（分布式控制系统）和SCADA（数据采集与监控系统）等各类常见工业控制系统，数据包括资产IP地址、端口和协议等。匿名者组织此次发布的俄罗斯暴露在互联网上的工控资产主要包括Rockwell、SIEMENS和Schneider等厂商的设备，协议主要包括Modbus、BACnet等。

5、谁在DDoS攻击俄罗斯？俄官方列出近2万IP地址/域名

据E安全了解，3月2日，俄国家计算机事件响应与协调中心发布安全预警，披露了一批DDoS攻击俄罗斯信息资源的IP/域名列表，其中包括FBI、CIA等机构的网站（注：Referer地址很容易被伪造），并给出了一系列防范措施建议。

网络监测厂商Kentik的数据显示，从3月1日早上开始，.ru顶级域的基础设施一直在遭受DDoS攻击。

当天，俄媒报道称，由于持续遭受网络攻击，俄罗斯准备启动大局域网Runet，可能与全球互联网断开。

6、多家俄罗斯主要网站遭到攻击

据网易3月1日报道，乌克兰网络警察部队（Ukrainian cyber police force）公开宣布加入网络战争，已经对多家俄罗斯主要网站和国家在线门户网站发起攻击。正如该部队在公告中所详述的，该部队的专家与志愿者联手攻击俄罗斯和白俄罗斯的网络资源。

这三个国家目前正在进行大规模的武装力量冲突，其中包括网络前线，这甚至在入侵之前就表现出来了。日前，乌克兰官员决定组建一支特殊的“IT 军队”（IT Army），由来自全球的网络特工和志愿黑客组成。

志愿者们利用可以招募到的任何可用火力，对俄罗斯和白俄罗斯的网站发起攻击，并协调针对敌方地面上的高级官员和意见领袖的大规模数据曝光行动。乌克兰网络警察宣布已针对俄罗斯联邦调查委员会、联邦安全局（FSB）和俄罗斯国有银行 Sberbank 的网站发起攻击。

7、匿名者组织声称48小时内关闭了超300个俄方网络目标

据网空闲话微信公众号2月28日了解，俄乌混合战争进入第五天，这场地面战争与对关键基础设施的网络攻击、在社交媒体网络上传播虚假信息、动员秘密破坏和造成法律混乱协同展开。一个匿名账户今天早些时候报道说，黑客组织的#OpRussia 活动在过去 48 小时内已经关闭了 300 多个俄罗斯政府、国家媒体和银行网站，其中大多数网站都在努力重新上线。匿名者Twitter账户（Anonymous@YourAnonNew）上最新列出了攻陷网站名单，政府网站government.ru、customs.gov.ru、kremlin.ru、gosuslugi.ru、 pfr.gov.ru等都在列。

8、疑遭网络攻击，俄罗斯多个网站访问困难

央视新闻客户端消息，当地时间2月26日早上，包括克里姆林宫官网、俄罗斯外交部、红星电视台在内的多家俄罗斯网站处于不稳定状态，部分用户无法正常打开页面。

此前，有消息人士表示，美国情报机构建议拜登对俄罗斯发动“大规模网络攻击”，包括切断俄罗斯全境的互联网连接、停电和干扰铁路道岔的运行。

9、全球最大黑客组织“匿名者”对俄罗斯宣战

据参考消息报道，俄罗斯卫星社25日消息，黑客组织“匿名者”（Anonymous）在社交媒体发表声明称，宣布发起对俄罗斯的“网络战争”并对攻击俄罗斯RT电视台网站一事负责。声明称：“Anonymous正式向俄罗斯宣战。”黑客在帖子中还添加了#Ukraine 的推文话题。

据报道，RT电视台此前发布消息称，自莫斯科时间24日晚17时（北京时间24日22时）开始，电视台网站遭到DDoS攻击，大约27%的攻击地址位于美国。

1、乌克兰表示至少有 4 种恶意软件用于关键基础设施和人道主义援助

www.nextgov.com//2022年3月24日报道，乌克兰一名高级网络安全官员表示，在持续入侵期间，据称与俄罗斯有关联的黑客一直以乌克兰政府、能源和通信系统以及人道主义努力为目标。攻击者专注于关键基础设施，包括国有和私人，并对城市的后勤线路和食品供应和人道主义援助进行网络攻击，这些攻击者基本上由俄罗斯联邦政府资助并拥有。

攻击者至少部署了四种类型的恶意软件，它们分别被是 HermeticWiper、IsaacWiper、CaddyWiper 和双零。攻击者使用网络钓鱼活动来传播恶意软件，并破坏乌克兰的 IT 系统。 目前乌克兰政府正在支持可能受到影响的公司，以应对与俄罗斯有关的网络事件。

2、乌克兰安全机构拘捕为俄军提供通信支援的黑客

据奇安网情局3月16日了解，乌克兰安全局（SSU）声称已拘捕一名为俄罗斯部队提供技术支援的黑客。该黑客利用电脑以及SIM卡盒等通信设备，协助与在乌克兰的俄罗斯军队对外通信，具体包括拨打匿名打话、传达命令和指示以及向乌克兰安全部队发送招降短信等。据悉，该黑客在一天内协助促成数千通电话。

专家分析认为，俄军使用SIM卡盒等非安全渠道进行通信体现出三方面事实：一是在乌克兰的俄罗斯军队面临着多种通信难题，包括无法使用自建的安全通信网络；二是乌克兰的防御措施有效地阻碍了俄罗斯军队的有效沟通，包括乌克兰移动运营商采取了前所未有的有效安全措施；三是乌克兰移动网络仍然正常运行的部分原因在于俄罗斯军队需要依赖该网络进行通信。

3、乌克兰黑客成为俄罗斯恶意软件攻击的目标

3月11日，据思科Talos的研究人员称，机会主义的网络犯罪分子冒充乌克兰IT军队的真正代表，并假装为他们提供工具，以提供分布式拒绝服务攻击（DDoS），最终被证明是恶意软件。

乌克兰IT军是一个通过Telegram平台动员起来的组织，最初是在冲突开始时由乌克兰部长组建的，目的是招募尽可能多的支持者在网络空间中与俄罗斯作战。该组织目前拥有超过300，000名成员，并每天发布“命中列表”——目标.ru URL列表，供精通技术的乌克兰支持者离线。最近的目标包括俄罗斯电子签名服务和俄罗斯军方的技术进口商。

思科Talos研究人员发现真实DDoS工具的不真实版本的广告案例，例如真正的Disbalancer Liberator工具，当点击时，它会用收集凭据和加密货币信息的信息窃取恶意软件感染用户的系统。信息窃取者从Chrome和Firefox等浏览器收集信息，并在将信息中继回俄罗斯IP地址之前扫描文件系统上的其他位置以获取关键信息。

研究人员表示，此类活动可能采取以下形式：新闻主题或捐款征集的主题电子邮件诱饵，旨在托管救济基金或难民支持站点的恶意链接，伪装成安全防御或进攻工具的恶意软件等。用户在打开可疑电子邮件之前必须仔细检查它们，并在下载之前验证软件或其他文件。

4、揭秘：俄乌冲突一线的美国网络防御支援小组

据互联网安全内参3月10日了解，英媒金融时报报道称，在俄乌冲突激烈化前，一个由美国军民混编组成的网络防御小组曾前往乌克兰，协助其保护关基设施，抵御网络威胁；

该小组在一线调查情况，美国政府、企业在后方提供网络防御所需紧急调度手续、产品服务、威胁应对能力等，为乌克兰网络保持弹性提供了良好基础；

有欧洲官员称，俄罗斯一直保持克制，没有派出最精英的网络攻击部队，就像常规战场上的军事行动一样，但这也许低估了乌克兰的防御能力。

5、黑客赏金：乌克兰网络安全公司号召黑客攻击俄罗斯网站

据奇安网情局3月7日了解，乌克兰国防部近日与网络安全公司Cyber Unit Technologies联合创始人叶戈尔·奥舍夫合作，向乌克兰网络社区发布召集令，号召黑客组成“IT部队”，与俄罗斯开展网络攻防对抗。Cyber Unit公司一名高管近日接受媒体采访，讲述该计划发起和进展情况以及安全专家如何在冲突中发挥力量。

Cyber Unit高管表示，该公司只寻求与专业白帽黑客合作，最初加入人员都是普通的安全专家并在乌克兰IT社区中广为人知，以确保其中没有俄罗斯特工；该公司是一家拥有宝贵技能和精英网络安全力量的IT公司，专长是保护关键基础设施、培训和防范攻击，希望利用相关技能在战时发挥作用；该公司是完全独立、中立和非政治的，不隶属于任何政府、任何政治运动或任何观点；该公司在战争发生后提议组织志愿IT团队来保护国家，该想法被乌国防部完全采纳并被乌数字化转型部进行宣传，然后开始了“滚雪球”；截止目前，此项去中心化运动取得了“巨大的胜利”，该公司贡献了最初的10万美元赏金，同时世界各地也有参与和贡献，从成可能形成金额最大的“非官方”赏金；此项活动是分散的和匿名的，已经发展成全球性运动，整个团队类似于“没有头的怪物”，因此俄罗斯无法扼杀，而志愿者团队一旦完成使命就会被解散。

6、俄乌冲突引发网络武器库泄露

据互联网安全内参了解，2月27日起，俄乌冲突引发民间网络安全能力者的分裂，Conti勒索软件选择站队俄罗斯，引发一名乌克兰安全研究人员的愤怒，开始疯狂地公开泄露Conti内部数据。

据分析，泄露数据包括Conti勒索软件代码、TrickBot木马代码、Conti培训材料、Conti/TrickBot内部交流的各种攻击技巧等，已然是一个小型网络武器库。

这些泄露数据可谓双刃剑，安全研究人员可以了解Conti的策略、代码开发、货币化方式、潜在成员身份等信息，采取更可靠的防御手段；恶意软件开发者也可以利用这批数据，指导开发更多类似TrickBot的恶意软件。

7、乌克兰驻巴西使馆称受到俄网络攻击

央视新闻客户端消息，巴西当地时间2月27日，乌克兰驻巴西临时代办阿纳托利·特奇（Anatoliy Tkach）在接受采访时表示，乌克兰驻巴西使馆的官方对外沟通渠道遭到了来自俄罗斯的大规模网络攻击，目前，使馆官网和电子邮件系统都已瘫痪。

采访中，特奇建议，有意为乌克兰提供人道援助的个人或者团体可以暂时通过乌克兰驻巴西大使馆的社交媒体进行联络沟通。据特奇透露，目前已有技术专家正在积极修复瘫痪的官方对外沟通渠道，但修复时间还无法预计。

27日当天，总台记者从巴西和古巴分别尝试登录乌克兰驻巴西、阿根廷、古巴等拉美国家使馆的官方网站，均显示“无法访问”。

8、乌克兰国防部征召“地下黑客志愿者”

据参考消息2月25日报道，据路透社消息，据知情人士说，乌克兰政府正在请求该国的地下黑客志愿者帮助保护关键基础设施，并执行针对俄罗斯军队的网络间谍任务。

报道称，随着俄罗斯军队对乌克兰各地发起攻击，征集志愿者的请求当地时间24日上午开始出现在黑客论坛上。一条帖子写道：“乌克兰网络社区！是时候参与我们国家的网络防御了。”该帖子要求黑客和网络安全专家通过文件提交申请，列出他们的专长，比如恶意软件开发等。

据报道，基辅一家网络安全公司的联合创始人对路透社记者说，他是应当地时间24日与他联系的一名乌克兰国防部高级官员的要求撰写这条帖子的。他组织的这支进攻性志愿者小组将帮助乌克兰军队实施数字间谍行动，打击实施“入侵”行动的俄罗斯军队。截至当地时间24日晚，他已经收到成百上千个申请。

9、网络攻击导致数万名卫星用户断网

据互联网安全内参了解，2月24日俄乌冲突爆发时，覆盖乌克兰地区的美国卫星运营商Viasat遭遇网络事件，导致欧洲多家卫星互联网运营商中断服务，数万名卫星网络用户断网。法国太空司令部司令Michel Friedling将军称，发生了网络攻击。匿名者关联黑客组织在中旬声称入侵了俄罗斯航天局的服务器，随后俄罗斯航天局回应：黑客攻击卫星是一种战争行为。

10、乌克兰临时断网：因遭受网络攻击威胁

据参考消息2月24日报道，路透社消息，乌克兰国家紧急事务部门称，因为遭受网络攻击威胁，乌克兰已经临时切断互联网。

11、乌克兰政府和银行网站遭大规模网络攻击被迫关闭

据奇安网情局了解，乌克兰政府机构和大型银行网站2月15日遭受到大规模DDoS网络攻击，导致至少10个网站下线，其中包括乌克兰国防部、外交部、文化部以及乌克兰最大的两家国有银行Privatbank和Oschadbank的网站。

此次攻击导致乌克兰银行的移动应用程序和在线支付无法使用，并在俄乌紧张局势下造成了混乱。除网络攻击外，部分Privatbank用户收到银行ATM机无法使用的虚假消息。乌克兰网络警察称，上述消息不包含网络钓鱼链接，显然是旨在制造混乱的“信息攻击”。乌克兰文化和信息政策部暗示俄罗斯可能此次事件的幕后黑手，称“侵略者有可能采取了小动作的策略，因为其侵略计划总体上没有奏效。”

此次事件是针对乌克兰的数起黑客行动中的最新一次，适值俄乌关系高度紧张之际。此前，俄罗斯一直在其边境集结军队，引发了对潜在入侵的担忧。俄罗斯2月15日表示，一些在乌克兰边境附近集结的俄罗斯军队正在返回基地。对此，美国总统拜登仍然表示俄罗斯“入侵”乌克兰的情况仍有可能发生。根据微软的全球威胁活动指数，乌克兰是欧洲遭遇恶意软件数量最多的国家之一。在过去30天内，微软在乌克兰检测到超过170万台受感染设备，而德国为150万台，法国为120万台，英国为99万台。

12、乌克兰多个政府系统又遭数据擦除“恐怖”袭击

据互联网安全内参了解，1月，微软公司发布警报称，新一波数据擦除恶意软件（代号DEV-0586）正在袭击乌克兰多个政府部门、信息技术机构等，目前已有数十个系统感染。

就在不久，乌克兰政府还遭遇了大规模网络攻击，大量政府网站内容被篡改为“数据窃取和泄露言论”，官方随后辟谣未发生数据泄露。

乌克兰政府将此次网络攻击归咎为白俄罗斯威胁组织UNC1151，并认为该行动与俄罗斯有关联。