微软发表网络安全报告全景描述俄罗斯对乌克兰发起的“混合战争”

来源:岁月联盟 编辑:猪蛋儿 时间:2022-05-10

我们认为,分享这些信息很重要,以便世界各地的政策制定者和公众了解正在发生的事情,并使安全领域的其他人能够继续识别和抵御这种活动。所有这些工作最终都是为了保护平民免受攻击,这些攻击会直接影响他们的生活和获得关键服务。

从俄军入侵前开始,我们看到至少有六个与俄罗斯结盟的民族国家行为体对乌克兰发起了超过237次行动--包括正在进行的、威胁到平民福祉的破坏性攻击。这些破坏性的攻击还伴随着广泛的间谍和情报活动。这些攻击不仅损害了乌克兰的政府机构,而且还试图破坏人们获得可靠信息和平民所依赖的关键生活服务,并试图动摇对该国领导人的信心。我们还观察到涉及北约其他成员国的有限的间谍攻击活动,以及一些虚假信息活动。

正如今天的报告所详述的那样,俄罗斯对网络攻击的使用似乎与它针对对平民至关重要的服务和机构的动能军事行动密切相关,有时甚至是直接同步进行。例如,一个俄罗斯行为者在3月1日对一家大型广播公司发动了网络攻击,同一天,俄罗斯军方宣布打算摧毁乌克兰的所谓"虚假信息"目标,并对基辅的一座电视塔进行了导弹袭击。3月13日,在入侵的第三周,一个单独的俄罗斯行为者从一个核安全组织窃取了数据,几周后,俄罗斯军事单位开始占领核电站,引发了对辐射暴露和灾难性事故的担忧。当俄罗斯军队围攻马里乌波尔市时,乌克兰人开始收到一封发送自俄罗斯的电子邮件,他伪装成马里乌波尔的居民,错误地指责乌克兰政府"抛弃"了乌克兰公民。

我们观察到的破坏性攻击数量接近40个,针对数百个系统,它们特别令人担忧:32%的破坏性攻击直接针对国家、地区和城市层面的乌克兰政府组织。超过40%的破坏性攻击是针对关键基础设施部门的组织,可能对乌克兰政府、军队、经济和平民产生负面的次级影响。从事这些攻击的行为者正在使用各种技术来获得对其目标的初始访问,包括网络钓鱼、使用未修补的漏洞和损害上游IT服务提供商。这些行为者经常在每次部署时修改他们的恶意软件以逃避检测。值得注意的是,我们的报告将我们之前披露的"雨刷"恶意软件攻击归于一个俄罗斯国家行为者,我们称之为Iridium。

今天的报告还包括我们观察到的俄罗斯网络行动的详细时间表。与俄罗斯结盟的行为体早在2021年3月就开始为冲突进行预部署,升级了针对乌克兰境内或与乌克兰结盟的组织的行动,以便在乌克兰系统中获得更大的立足点。当俄罗斯军队首次开始向乌克兰边境移动时,我们看到他们努力获得可以提供关于乌克兰军事和外国伙伴关系情报的目标的初步准入。到2021年中期,俄罗斯行为者正在瞄准乌克兰和国外的供应链供应商,以确保不仅进一步进入乌克兰的系统,而且还入侵北约成员国的计算机。2022年初,当外交努力未能缓和围绕俄罗斯在乌克兰边境军事集结的日益紧张的局势时,俄罗斯行为者对乌克兰组织发起了破坏性的恶意软件攻击,而且强度越来越大。自从俄罗斯开始入侵乌克兰以来,俄罗斯的网络攻击一直被部署来支持军队的战略和战术目标。我们观察到的攻击可能只是针对乌克兰的活动的一小部分。

微软安全团队已经与乌克兰政府官员以及政府组织和私营企业的网络安全人员密切合作,以确定和补救针对乌克兰网络的威胁活动。今年1月,当微软威胁情报中心(MSTIC)在乌克兰的十多个网络中发现了雨刷恶意软件时,我们向乌克兰政府发出警报并公布了我们的发现。该事件发生后,我们与乌克兰的主要网络官员建立了安全的沟通渠道,以确保我们能够与值得信赖的合作伙伴一起迅速采取行动,帮助乌克兰政府机构、企业和组织抵御攻击。这包括24/7的威胁情报共享和部署技术反制措施,以击败观察到的恶意软件。

鉴于俄罗斯的威胁行为者一直在反映和加强军事行动,我们相信网络攻击将随着冲突的加剧而继续升级。俄罗斯的国家威胁行为者可能会受命在乌克兰之外扩大其破坏性行动,以报复那些决定向乌克兰提供更多军事援助并对俄罗斯政府采取更多惩罚性措施以应对持续侵略的国家。我们观察到活跃在乌克兰的与俄罗斯结盟的行为者对波罗的海和土耳其的组织表现出兴趣或开展行动--所有北约成员国都积极向乌克兰提供政治、人道主义或军事支持。CISA和其他美国政府机构以及其他国家的网络官员发布的警报应该得到认真对待,并应采取建议的防御和复原措施--尤其是政府机构和关键基础设施企业。我们的报告包括对可能成为俄罗斯行为者目标的组织的具体建议,以及对网络安全界的技术信息。我们将继续在观察到活动并认为我们可以安全地披露新的发展时提供更新。

阅读《俄罗斯在乌克兰的网络攻击活动概述》报告全文:

https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd