微軟官方博客今天發表了一篇文章談論俄羅斯對烏克蘭發起的混合戰爭。微軟同時發布了一份報告,詳細介紹了公司在針對烏克蘭的混合戰爭中觀察到的俄羅斯網絡攻擊的無情和破壞性,以及微軟為幫助保護烏克蘭人民和組織所做的事情。
我們認為,分享這些信息很重要,以便世界各地的政策制定者和公眾了解正在發生的事情,並使安全領域的其他人能夠繼續識別和抵禦這種活動。所有這些工作最終都是為了保護平民免受攻擊,這些攻擊會直接影響他們的生活和獲得關鍵服務。
從俄軍入侵前開始,我們看到至少有六個與俄羅斯結盟的民族國家行為體對烏克蘭發起了超過237次行動–包括正在進行的、威脅到平民福祉的破壞性攻擊。這些破壞性的攻擊還伴隨着廣泛的間諜和情報活動。這些攻擊不僅損害了烏克蘭的政府機構,而且還試圖破壞人們獲得可靠信息和平民所依賴的關鍵生活服務,並試圖動搖對該國領導人的信心。我們還觀察到涉及北約其他成員國的有限的間諜攻擊活動,以及一些虛假信息活動。
正如今天的報告所詳述的那樣,俄羅斯對網絡攻擊的使用似乎與它針對對平民至關重要的服務和機構的動能軍事行動密切相關,有時甚至是直接同步進行。例如,一個俄羅斯行為者在3月1日對一家大型廣播公司發動了網絡攻擊,同一天,俄羅斯軍方宣布打算摧毀烏克蘭的所謂”虛假信息”目標,並對基輔的一座電視塔進行了導彈襲擊。3月13日,在入侵的第三周,一個單獨的俄羅斯行為者從一個核安全組織竊取了數據,幾周后,俄羅斯軍事單位開始佔領核電站,引發了對輻射暴露和災難性事故的擔憂。當俄羅斯軍隊圍攻馬里烏波爾市時,烏克蘭人開始收到一封發送自俄羅斯的電子郵件,他偽裝成馬里烏波爾的居民,錯誤地指責烏克蘭政府”拋棄”了烏克蘭公民。
我們觀察到的破壞性攻擊數量接近40個,針對數百個系統,它們特別令人擔憂:32%的破壞性攻擊直接針對國家、地區和城市層面的烏克蘭政府組織。超過40%的破壞性攻擊是針對關鍵基礎設施部門的組織,可能對烏克蘭政府、軍隊、經濟和平民產生負面的次級影響。從事這些攻擊的行為者正在使用各種技術來獲得對其目標的初始訪問,包括網絡釣魚、使用未修補的漏洞和損害上游IT服務提供商。這些行為者經常在每次部署時修改他們的惡意軟件以逃避檢測。值得注意的是,我們的報告將我們之前披露的”雨刷”惡意軟件攻擊歸於一個俄羅斯國家行為者,我們稱之為Iridium。
今天的報告還包括我們觀察到的俄羅斯網絡行動的詳細時間表。與俄羅斯結盟的行為體早在2021年3月就開始為衝突進行預部署,升級了針對烏克蘭境內或與烏克蘭結盟的組織的行動,以便在烏克蘭系統中獲得更大的立足點。當俄羅斯軍隊首次開始向烏克蘭邊境移動時,我們看到他們努力獲得可以提供關於烏克蘭軍事和外國夥伴關係情報的目標的初步准入。到2021年中期,俄羅斯行為者正在瞄準烏克蘭和國外的供應鏈供應商,以確保不僅進一步進入烏克蘭的系統,而且還入侵北約成員國的計算機。2022年初,當外交努力未能緩和圍繞俄羅斯在烏克蘭邊境軍事集結的日益緊張的局勢時,俄羅斯行為者對烏克蘭組織發起了破壞性的惡意軟件攻擊,而且強度越來越大。自從俄羅斯開始入侵烏克蘭以來,俄羅斯的網絡攻擊一直被部署來支持軍隊的戰略和戰術目標。我們觀察到的攻擊可能只是針對烏克蘭的活動的一小部分。
微軟安全團隊已經與烏克蘭政府官員以及政府組織和私營企業的網絡安全人員密切合作,以確定和補救針對烏克蘭網絡的威脅活動。今年1月,當微軟威脅情報中心(MSTIC)在烏克蘭的十多個網絡中發現了雨刷惡意軟件時,我們向烏克蘭政府發出警報並公布了我們的發現。該事件發生后,我們與烏克蘭的主要網絡官員建立了安全的溝通渠道,以確保我們能夠與值得信賴的合作夥伴一起迅速採取行動,幫助烏克蘭政府機構、企業和組織抵禦攻擊。這包括24/7的威脅情報共享和部署技術反制措施,以擊敗觀察到的惡意軟件。
鑒於俄羅斯的威脅行為者一直在反映和加強軍事行動,我們相信網絡攻擊將隨着衝突的加劇而繼續升級。俄羅斯的國家威脅行為者可能會受命在烏克蘭之外擴大其破壞性行動,以報復那些決定向烏克蘭提供更多軍事援助並對俄羅斯政府採取更多懲罰性措施以應對持續侵略的國家。我們觀察到活躍在烏克蘭的與俄羅斯結盟的行為者對波羅的海和土耳其的組織表現出興趣或開展行動–所有北約成員國都積極向烏克蘭提供政治、人道主義或軍事支持。CISA和其他美國政府機構以及其他國家的網絡官員發布的警報應該得到認真對待,並應採取建議的防禦和復原措施–尤其是政府機構和關鍵基礎設施企業。我們的報告包括對可能成為俄羅斯行為者目標的組織的具體建議,以及對網絡安全界的技術信息。我們將繼續在觀察到活動並認為我們可以安全地披露新的發展時提供更新。
閱讀《俄羅斯在烏克蘭的網絡攻擊活動概述》報告全文:
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd