编者按:美国网络安全服务提供商ReliaQuest发文分析俄乌战争对三大网络威胁产生的影响,包括国家支持的网络活动、网络犯罪和黑客行动主义。
文章称,俄罗斯国家支持的破坏性网络攻击并未按照预测的规模和强度支持军事行动,但俄罗斯APT组织确实在网络领域开展了多项活动,稳步支持俄罗斯地面军事行动;自2022年初以来,俄罗斯政府支持的APT组织对乌克兰目标发动了一系列网络攻击,虽然目标千差万别,但都可能与俄罗斯国家目标一致;俄罗斯APT组织开展社会工程活动以保护初始网络访问并提取敏感信息,部署恶意数据擦除软件以破坏业务连续性和运营计划,开展影响力行动以塑造公众对战争的看法、削弱对乌克兰的支持并维持国内对战争的支持;俄罗斯APT组织未能实现预期的瘫痪性攻击,其行动也很难实现预期效果,主要源于乌克兰得到了北约盟国的大力支持,并制定了比以往任何时候都更强大的网络防御战略,以及俄罗斯网络部队缺乏资源导致APT活动放缓。
文章称,网络犯罪生态随着俄乌战争发生了重大变化,部分团伙已经出现或消失,并调整了其策略、技术和程序(TTP)以适应不断变化的地缘政治条件;勒索软件场景也受到了影响,Conti内部通信泄露事件使得其他网络犯罪分子在表达公开支持俄罗斯立场方面持谨慎态度,但调整了目标和目的以适应俄罗斯的利益;网络犯罪团伙和俄罗斯支持的APT组织间存在明显的TTP重叠,网络犯罪分子不再只专注于追逐金钱。
文章称,自出于意识形态动机的“匿名者”活动减少以来,黑客行动主义在全球范围内一直处于衰退状态,归因于黑客行动主义团体的网络攻击通常很罕见,而且只造成轻微的持久损害,但俄乌战争极大地改变了这一状况;多个出于意识形态动机的网络威胁组织已经出现,以开展支持俄罗斯或乌克兰的行动,包括通过频繁的众包攻击来破坏商业和军事行动,例如DDoS攻击、网站篡改和有针对性的数据泄露;随着黑客行动主义的复兴,新的团体已经兴起,最著名的是亲俄罗斯的KillNet和“乌克兰IT军队”;以众包方工运作的公开宣布、集中组织的黑客行动主义团体可能会在未来的冲突或地缘政治热点中出现。
文章总结称,俄乌战争可能催生了战时国家主导的网络活动的最具创新性的例子,其中包括间谍活动、破坏性勒索软件攻击和其他网络犯罪,以及针对乌克兰组织的黑客行动主义;此前熟知的战争正在消失,取而代之的是网络增强版战争,如果威胁行为者经过精心组织,其攻击可以大大增加地面部队的威胁;划分群体的传统界限(资源、动机、目标等)现在越来越模糊,识别攻击者并非易事。
奇安网情局编译有关情况,供读者参考。
俄乌战争:三种网络威胁影响,1年
一年前,计划对乌克兰开展迅速、集中的军事行动并未按照俄罗斯的预期进行。战争还在继续,它对网络安全的影响也在继续。让我们将注意力集中在发生重大变化的三个关键领域:国家支持的活动、网络犯罪和黑客行动主义。了解它们的演变将有助于安全从业者更新威胁模型并更好地为更多变化做好准备。
一、战场之上的国家支持战术
在俄乌战争爆发前的几周内,ReliaQuest Photon Research团队观察到不祥的迹象,其中包括乌克兰边境沿线的军事行动以及针对乌克兰私人和公共实体的小型网络攻击。一切似乎都指向一波俄罗斯国家支持的破坏性网络攻击以支持军事行动,这增加了俄罗斯军队构成的威胁。
这种情况并没有按照预测的规模和强度实现。然而,俄罗斯高级持续威胁(APT)组织确实在网络领域开展了多项努力,稳步支持俄罗斯地面军事行动。
自2022年初以来,俄罗斯政府支持的APT组织对乌克兰目标发动了一系列网络攻击。目标千差万别,但都可能与俄罗斯国家目标一致。社会工程活动旨在保护初始网络访问和提取敏感信息。诸如“CADDYWIPER”和“PAYWIPE”之类的恶意数据擦除软件将目光投向了破坏业务连续性和运营计划。影响力行动,例如虚假宣传活动,也被用来塑造公众对战争的看法,削弱对乌克兰的支持并维持国内对战争的支持。
尽管做出了这些努力,我们还没有观察到我们在战争开始时预期的那种瘫痪性攻击。俄罗斯的APT行动很丰富,但考虑到实地战局,很难想象它们会产生预期的结果。两个主要因素可以提供解释。
首先,乌克兰得到了北约盟国的大力支持,并制定了比以往任何时候都更强大的网络防御战略。其次,考虑到俄罗斯军队在战争的头几个月进展缓慢,莫斯科可能分配给他们军队的资源比他们的网络部队多得多,导致APT活动放缓。莫斯科也有可能只是简单地描绘了一场速战速决,这不需要在乌克兰开展大量破坏性网络攻击。
但政府支持的网络单位并不是唯一支持俄罗斯利益的网络组织。网络犯罪分子和黑客行动主义者大量涌现,在网络威胁领域留下了自己的印记。
二、网络犯罪政治化:不仅仅是金钱
随着俄罗斯入侵乌克兰,网络犯罪场景发生了重大变化。一些团体已经出现或消失,并调整了他们的策略、技术和程序(TTP)以适应不断变化的地缘政治条件。鉴于著名的网络犯罪集团与独立国家联合体地区之间的紧密联系,这是很自然的。
勒索软件场景也受到了影响。还记得入侵后“Conti”发生了什么事吗?在备受瞩目的勒索软件团伙公开表达了对俄罗斯的支持后,一名乌克兰安全研究人员泄露了他们的通信。由此产生的“Conti泄密事件”让其他网络犯罪分子在公开与俄罗斯的目标保持一致时三思而后行。
这种闭口不谈的做法已经为一些团体带来了回报。勒索软件活动继续蓬勃发展;受益者中有“LockBit”组织,该组织以前所未有的速度攻陷目标,攀升至勒索软件成功金字塔的顶端。通过谨慎地拒绝与卷入战争的任何国家结盟——并避免攻击关键的国家基础设施——LockBit避开了执法部门的打击行动(至少目前是这样)。
其他网络犯罪集团对俄罗斯的忠诚保持沉默,但调整了他们的目标和目的以适应俄罗斯的利益。因此,我们已经看到网络犯罪集团和俄罗斯支持的APT集团之间存在明显的TTP重叠——这一趋势正在跨越更广泛的威胁领域。网络犯罪分子不再只专注于追逐金钱。
三、黑客的回归:意识形态战时攻击
2017年之前,出于意识形态动机的“匿名者”黑客组织在全球声名狼藉,但自从“匿名者”活动减少以来,黑客行动主义在全球范围内一直处于衰退状态。归因于黑客行动主义团体的网络攻击通常很少见,而且只造成轻微的持久损害。俄乌战争极大地改变了这一点。
多个出于意识形态动机的网络威胁组织已经出现,以开展支持俄罗斯或乌克兰的行动。这些组织旨在通过频繁的众包攻击来破坏商业和军事行动,例如分布式拒绝服务(DDoS)攻击、网站篡改和有针对性的数据泄露。尽管技术上并不复杂,但这些攻击可能意味着业务运营的大量停顿,更不用说个人身份信息的泄露了。
随着黑客行动主义的复兴,新的团体已经组织起来。最著名的两个是“KillNet”和“乌克兰IT军队”。KillNet以发起DDoS攻击的工具命名,在战争开始时突然而令人惊讶地更名为一个黑客组织。KillNet得到了俄罗斯公众的压倒性支持,并且活跃于攻击西方目标。
应乌克兰副总理兼数字转型部长的要求,“乌克兰IT军队”于2022年2月突然出现,以打击俄罗斯的网络行动。“乌克兰IT军队”在Telegram上可公开访问,这个集体可能是公开宣布、集中组织的黑客行动主义团体以众包方式运作的第一个例子。这种对黑客行动主义协调方式的调整可能会在未来的冲突或地缘政治热点中出现。
就攻击的可能性及其对业务运营造成的损害程度而言,黑客行动主义者现在是大多数企业面临的最大网络威胁之一。一些黑客组织与俄罗斯情报部门之间的可疑联系可能只会加强他们的资源和技术技能。
四、结论和建议
这场战争可能催生了战时国家主导的网络活动的最具创新性的例子,其中包括间谍活动、破坏性勒索软件攻击和其他网络犯罪,以及针对乌克兰组织的黑客行动主义。我们所知道的战争正在消失,取而代之的是网络增强版;如果威胁行为者经过精心组织,他们的攻击可以大大增加野战部队的威胁。
划分群体的传统界限(资源、动机、目标等)现在越来越模糊。识别攻击者并非易事,这可能会支持俄罗斯的利益和相关威胁。各组织机构应密切监视俄罗斯网络威胁组织内部的任何发展,以调整威胁模型并提高弹性。如果说我们在过去一年中学到了一件事,那就是只要资源充足的威胁行为者下定决心,几乎没有什么是不可能的。
网络国防知识库
产业发展前哨站
开源情报信息源
奇安网情局