乌克兰背后的网络攻击和情报活动
最近乌克兰局势不断升级,发展到今天为止全面的冲突行为,除了现在严峻的形势外,也有在冲突下频繁进行的网络战争。
随着这次冲突的发展,网络攻击不断出现,成为这次战争的先行战场。根据目前的威胁信息,除了对乌克兰国防部、外交部、教育部、内政部、能源部、武装部队等大规模的分散型服务拒绝攻击外,从开始,为了攻击乌克兰的数据消除恶意软件被配备在乌克兰的数百台重要机器上,达到这些机器死机的目的。
DDoS攻击:针对乌克兰政府网站的DDoS攻击事件
2月14日起,乌克兰重要军事、政府、教育、金融等部门的网络系统,乌克兰国家公务员事务局(nad.gov.ua)、乌克兰政府新闻网站(old.kmu.gov.ua)、乌克兰国家储蓄银行(oschadbank.ua)乌克兰国内最大的商业银行(Privatbank.ua)、乌克兰外交部、安全局等重要机构受到攻击。DDoS攻击麻痹了乌克兰许多重要基础设施和重要网络系统,不能向用户提供正常服务的目的。
国家储蓄银行和Privatbank在乌克兰的金融市场具有“系统的重要性”。乌克兰战略通信中心在社交媒体上表示,两个银行的网站遭受攻击后暂停服务。很多客人注意到完全无法登录银行APP,抱怨说“无法显示收支和最近的汇款状况”。而且,也有用户收到了ATM不能正常使用的伪造邮件通知。
另外DDOS严重影响了乌克兰的社会秩序和军队的作战指挥和调度,大大削弱了乌克兰的战时行动能力。乌克兰国家特殊通信和信息保护局多次发布网络攻击通告并给予警告。
乌克兰国家特殊通信和信息保护局多次发布网络攻击通告
受攻击的乌克兰国家储蓄银行(oschadbank.ua)
美国安全企业CrowdStrike的情报担当高级副总裁亚当·梅斯通过电子邮件表示这些攻击“有大量的流量,比通常观察到的业务高3位数,其中99%的业务由HTTPS请求构成”。
乌克兰国家特别通信局发布消息称,相关部门成立了专家工作组,准备采取一切措施控制和阻止网络攻击。当地时间15日19点30分,受到攻击的银行恢复了服务,陆军和国防部的网站也恢复了。
据乌克兰媒体报道,这次的网络攻击只破坏、阻碍了目标网站和服务,没有盗取资金,也没有泄露顾客的汇款信息、收支状况、个人信息等数据。据研究人员称,尽管此次的网络攻击损失有限,但仍显示出潜在威胁。
2月18日,美英两国政府将对乌克兰的大规模DDoS攻击认为是俄罗斯联邦武装部队总参谋部情报总局(GRU)所为。
美国副国家安全顾问安妮·纽伯格表示“俄罗斯政府认为此次大规模的网络攻击负有责任。美国掌握的技术信息与俄罗斯情报机构GRU联合,被认为是GRU的基础设施向乌克兰的IP地址和域名发送了大量的通信”。
纽伯格还表示,尽管这种事件“影响有限”,但俄罗斯是为其他更重要的行动而准备的一部分,有可能为破坏性袭击打下“基础”这些袭击可能伴随着对乌克兰领土的潜在入侵。
英国外交、联邦和发展办公室也在声明中表示,“英国政府认为俄罗斯情报总局(GRU)参加了对乌克兰金融机构分散性服务拒绝攻击”。
英国网络安全公司Digital Shadows的里克・霍兰德首席信息安全官表示“对乌克兰国防部和金融机关的DDoS攻击,是骚扰活动,有可能是大规模攻击的前奏,威胁和恐吓乌克兰更大规模的网络攻击活动的构成部分”。
虽然这个问题的答案还没有得到确认,但是网络安全研究人员指出,俄罗斯开始对乌克兰进行全面攻击的可能性必将引起巨大的混乱。这样的混乱,也给身份不同的网络攻击者带来了掩护。因此,在当地政治形势持续恶化的情况下,有必要警戒广泛的网络攻击事件的爆发。
媒体还注意到了这次网络入侵所爆发的数小时前,乌克兰安全保障局刚刚宣布自己国家是“大规模混合战争”的目标,目的是“系统地引起恐慌,传达虚假信息,歪曲事件真相”。相应地,乌克兰有关部门关闭了18万个社交媒体帐户,并阻止了120次网络对政府部门的网络传播假消息。乌安全局隐瞒说,某个“侵略国”开始了对乌克兰的网络上的敌对活动。
虽然官方没有点名,但是在这个网络攻击活动发生的时候,俄罗斯在乌克兰东北部的边境动员了10万人的部队,所以很容易让外界产生想象。戴尔旗下的网络安全服务公司SecureWorks的迈克・密克利兰信息负责人在电子邮件中表示俄罗斯和乌克兰政府有过对重要基础设施实施网络攻击的历史,目的是破坏乌克兰人对国家的自信。在这样的背景下,他说:“如果有人说(对乌克兰)网络攻击是从俄罗斯开始的,也有人是从亲俄罗斯的背景组织和个人开始的,我就不会感到惊讶了。”
近两个月来,70个乌克兰政府网站受到网络攻击,很多政府部门、非营利组织、IT组织受到“数据消去者”(wiper)恶意软件攻击乌克兰的军事目标也受到了越来越多的网络攻击和网络间谍活动的骚扰。这些攻击包括带有俄罗斯标志的高度持续性的威胁(APTs)。
也有人认为这次网络攻击背后的受益者可能不是一个人。里克·霍兰德这样说“与俄罗斯发动这样的网络攻击的说法相比,其他国家也很有可能想从战争的混乱中拉手,或是发起对西方国家的网络敌对活动。这可能会带来意想不到的结果。”
网络安全公司的Vectra技术负责人兼副首席技术官蒂姆・韦德也慎重地表示,不应该急于制定网络攻击者的定论。”
网络窃密攻击:针对乌克兰政府、军事等行业的网络间谍攻击事件
随着俄罗斯和乌克兰的安全形势恶化,最近瞄准乌克兰地区的网络间谍活动明显增加。分析软件继续捕获对乌克兰的大量网络钓鱼攻击,目的是探知和盗取目标的机密信息。相关钓鱼文件以军事命令、政府文件等为诱饵实施网络盗窃活动,主要以乌克兰的军事、政府、金融等敏感行业为目标。网络盗窃攻击在网络战中占有极其重要的地位,通过信息盗窃及时掌握目标的核心机密信息,对后续军事战略行动产生重大影响。有关的部分诱饵文档如下。
诱饵文档二:伪装成乌克兰国防部命令文件(包括乌克兰革命部队和乌克兰武装部队间的通信网络建设信息) ,伪装成乌克兰国防部命令
诱饵文档三:伪装成护照信息
诱饵文档四:伪装成乌克兰国家警察局文件(调查信息)
诱饵文档五:伪装成乌克兰财政部文件
乌克兰的遭遇有可能蔓延到西方国家吗?
有专家认为,乌克兰地区日益增多的网络混乱和中断不仅会给这个地区带来直接的威胁,也会对美国和欧洲的国家和贸易产生严重影响。
此前以乌克兰为目标的网络攻击,给乌克兰的商业往来和有被动联系的地区外企业带来了损害。最典型的是2017年NotPetya恶意软件入侵了基辅的一家会计软件提供商。此次入侵给集装箱综合物流供应商麦卡兹、著名试剂厂和供应商梅尔克、物流行业巨头联邦快递等跨国企业带来了数十亿美元的损失。
Crowdstrike的亚当·梅斯首席执行官表示“虽然没有证据表明网络攻击是瞄准西方实体的,但是对乌克兰的混乱和毁灭性的网络攻击有很大的影响。乌克兰设立分公司,依赖与乌克兰的业务往来和乌克兰的供应链的西方企业受到影响。”
本期编辑DT君,资料来源于网络
想了解更多长按识别下方二维码加入最专业的情报社群
往期推荐