乌克兰数字攻击时间线
过去一个月中,乌克兰频繁发生数字攻击的新闻报道。本文按时间顺序概述了已报告的网络攻击及相关出版物。
时间线
2022年11月
23 November
欧洲议会网站因DDoS攻击在16:20左右暂时不可用。据欧洲议会议长Roberta Metsola称,一个亲俄罗斯的黑客集体声称对此次网络攻击负责。
21 November
ESET发推文称,检测到针对多个乌克兰组织的数字攻击,涉及使用RandomBoggs勒索软件。据ESET称,观察到的特征与俄罗斯行为者Sandworm之前的网络攻击一致。
18 November
活动组织白俄罗斯网络游击队(Belarusian Cyber Partisans)在Twitter上声称已访问俄罗斯通用频率控制中心(GRFC)的网络。他们声称已加密系统并获取敏感信息。
16 November
在阿斯彭网络峰会(Aspen Cyber Summit)上,美国国防部网络政策副助理部长Mieke Eoyang表示,俄罗斯网络人员表现不佳。部分原因是莫斯科“没有准备好这场冲突会持续如此之久”。
10 November
微软威胁情报中心(MSTIC)将使用“Prestige”勒索软件的网络攻击归因于俄罗斯行为者IRIDIUM。观察到的活动(如10月14日本时间线所述)与IRIDIUM(也称为Sandworm)进行的网络攻击有重叠特征。
4 November
FBI发布安全建议,警告活动分子和亲俄罗斯的DDoS攻击。该指南是在观察到针对美国关键基础设施的多次DDoS攻击后发布的。尽管这些攻击通常影响有限,但FBI仍建议采取缓解措施以减少此类攻击发生的可能性。
NCSC网站包含更深入的信息(荷兰语),关于如何确保在线服务不被DDoS攻击导致不可用:
- 关于确保在线服务连续性的情况说明书
- 关于确保在线服务连续性的技术措施的情况说明书
- 反DDoS联盟
1 November
俄罗斯入侵后不久,英国政府宣布提供635万英镑的网络支持包,以帮助乌克兰保护其关键基础设施。该网络支持包是在入侵后一天俄罗斯针对乌克兰的网络活动增加之后推出的。
2022年10月
21 October
CERT-UA观察到有欺诈邮件在流传,声称来自乌克兰武装部队总参谋部新闻办公室。邮件包含一个外部网站链接,指示用户执行软件更新。用户交互后启动可执行文件的下载。文件运行时,系统将感染RomCom恶意软件。部分由于使用此类特定恶意软件,CERT-UA认为可能将活动归因于Cuba勒索软件背后的行为者。
14 October
微软威胁情报中心(MSTIC)标记了一个新的勒索软件活动,针对乌克兰和波兰的运输和物流组织。使用的勒索软件类型被称为“Prestige”勒索软件。
据MSTIC称,该活动有几个显著方面使其与微软监控的其他勒索软件活动不同:
- 与HermeticWiper恶意软件的受害者有一定程度的重叠。
- MSTIC未发现此新勒索软件活动的特征与微软主动监控的94个勒索软件组之间的联系。
- 在乌克兰,全公司范围的勒索软件部署并不常见。
11 October
FortiGuard Labs发布了对Cobalt Strike信标恶意软件传播的技术分析。恶意软件通过一个设计成乌克兰军事人员工资计算工具的Excel文件部署。此恶意软件活动显示恶意方如何利用乌克兰战争进行网络攻击。
10 October
多个美国机场网站,包括亚特兰大(ATL)、洛杉矶(LAX)、芝加哥(ORD)和奥兰多(MCO),遭到DDoS攻击,导致暂时不可用。攻击归因于黑客组织Killnet,显然未影响机场的航班。
6 October
黑客组织Killnet声称已使多个美国州政府网站(科罗拉多州、密西西比州和肯塔基州)下线。该组织此前在Telegram上宣布以美国政府网站为目标。大多数受影响网站在同一天恢复在线。
2 October
据乌克兰新闻平台Kyiv Post报道,俄罗斯黑客来自国家共和军(NRA),对俄罗斯公司Unisoftware进行了勒索软件攻击。该平台声称客户个人数据被盗。Kyiv Post写道,俄罗斯政府也是Unisoftware的客户。动员俄罗斯公民据称是数字攻击的动机。
2022年9月
29 September
芬兰安全与情报服务SUPO警告,未来冬季俄罗斯网络间谍活动可能增加。此警告可能源于俄罗斯缺乏人力情报(humint),因为许多俄罗斯外交官被驱逐出西方国家。该机构报告称,西方制裁可能是另一个推动因素,促使俄罗斯收集高科技领域的情报。鉴于此,SUPO将格外关注来自俄罗斯的工业间谍活动。
26 September
乌克兰国防部警告大规模俄罗斯网络攻击针对乌克兰及其盟友的关键基础设施。据该部称,俄罗斯还寻求增加其DDoS攻击的强度。据报道,这些攻击主要针对波兰和波罗的海国家。
20 September
据报道,乌克兰军队的黑客入侵了俄罗斯雇佣兵组织瓦格纳集团(Wagner Group)的网站。据乌克兰数字转型部长称,黑客能够窃取该组织所有雇佣兵的个人数据。
19 September
Recorded Future发布关于行为者UAC-0113的分析,该行为者可能与俄罗斯APT Sandworm有关。行为者冒充乌克兰电信组织,使用HTML走私传播恶意软件。据Recorded Future称,网络攻击可能针对乌克兰的目标。
16 September
Cisco Talos警告俄罗斯APT Gamaredon的活动。在此活动中,行为者部署信息窃取恶意软件。针对乌克兰人的恶意软件通过关于战争的钓鱼邮件传播。
9 September
Google在博客文章中表示,观察到越来越多以财务为动机的黑客组织专门针对乌克兰的组织。其中一个组织UAC-0098,此前专门从事勒索软件攻击(作为初始访问经纪人),现在针对乌克兰组织,包括政府机构和欧洲非营利组织。此行为者进行了多次钓鱼攻击,冒充乌克兰国家网络警察、Microsoft和Starlink。
2 September
黑客集体Anonymous声称入侵了俄罗斯最大的出租车服务Yandex Taxi。通过将多辆出租车发送到同一地点,在莫斯科造成了一些交通堵塞。
2022年8月
16 August
乌克兰核机构Energoatom报告俄罗斯对其网站的网络攻击。据该机构称,人民网络军黑客组织使用725万个机器人使网站下线。Energoatom表示攻击未影响网站功能。
15 August
Microsoft警告俄罗斯黑客组织SEABORGIUM的钓鱼攻击。据Microsoft称,间谍活动可能是攻击的动机。SEABORGIUM主要针对北约成员国、斯堪的纳维亚和东欧,包括乌克兰。该组织还在其钓鱼邮件中使用乌克兰战争作为主题。
Symantec发布关于俄罗斯APT Gamaredon组活动的博客。据Symantec称,7月15日至8月8日期间,Gamaredon使用“信息窃取者”恶意软件对乌克兰组织发起网络攻击。该博客遵循CERT-UA关于Gamaredon钓鱼邮件的警告(见7月26日更新)。
13 August
亲俄罗斯黑客组织Killnet声称对防务公司洛克希德·马丁(Lockheed Martin)发起DDoS攻击。据称该组织在网络攻击期间窃取了员工个人数据,并威胁要发布此信息。
11 August
拉脱维亚国家CERT,CERT.LV,在Twitter上报告对拉脱维亚议会Saeima的DDoS攻击。网络攻击发生在Saeima通过声明将俄罗斯指定为恐怖主义支持国之后。据CERT.LV称,Saeima的工作未受影响。
10 August
CERT-UA记录7月发生203起网络攻击。乌克兰CERT报告称,7月对乌克兰国家和金融机构代表的攻击数量增加。两个最常被黑客攻击的部门是国家和地方政府(7月遭受56次网络攻击)以及安全和国防部门。
9 August
芬兰公共广播公司Yle报告芬兰议会网站遭到DDoS攻击。一个自称NoName057(16)的俄罗斯黑客组织在其Telegram频道上声称对攻击负责。攻击于8月9日星期四14:30左右开始。网站在22:00恢复可访问。
《电讯报》报道英国当局正在调查对英国加密货币平台Currency.com的网络攻击。据《电讯报》称,自4月以来,黑客因该公司因战争退出俄罗斯而每天对该公司进行网络攻击。
8 August
VMware在其年度全球事件响应威胁报告中提到自乌克兰战争开始以来网络攻击增加。65%的网络安全专业人员观察到自俄罗斯入侵以来网络攻击增多。
4 August
Meta发布其季度对抗性威胁报告(2022年第二季度)。Meta在报告中表示,4月它关闭了圣彼得堡的一个巨魔工厂。据称该巨魔工厂在社交媒体上提供亲俄罗斯的战争评论。
2 August
乌克兰安全局(SSU)在其网站上报告已拆除一个机器人农场。该机器人农场传播虚假信息以 destabilize 乌克兰的社会政治局势。虚假信息涉及乌克兰最高军事和政治领导人的活动。据SSU称,机器人农场操作员使用了超过100万个虚假在线账户和拥有超过40万用户的社交媒体群组。
2022年7月
27 July
CERT-UA警告以红十字会名义发送的钓鱼邮件,要求为乌克兰难民捐款。消息包含一个模仿乌克兰银行网站的钓鱼网站链接。在此网站输入的登录细节随后落入攻击者手中。
26 July
CERT-UA警告Gamaredon黑客组的网络攻击。 perpetrator 部署带有恶意附件的钓鱼邮件。与此附件交互导致下载和安装GammaLoad.PS1_v2恶意软件。
21 July
据乌克兰国家特殊通信和信息保护局(SSSCIP)称,对TAVR媒体组进行了网络攻击。九家主要乌克兰广播电台属于此媒体组。攻击者在广播中传播关于总统Volodymyr Zelenskyy健康状况的虚假信息。
20 July
随着与俄罗斯和乌克兰战争相关的网络攻击增加,欧洲理事会警告不可接受的溢出效应、误解和可能升级的风险。最近对多个欧盟成员国和欧盟伙伴的DDoS攻击(亲俄罗斯黑客组声称负责)是 heightened 和紧张网络威胁 landscape 的一个例子。欧盟呼吁成员国提高对网络威胁的认识并采取预防措施保护关键基础设施。
与乌克兰安全部门合作,美国网络司令部分享了在乌克兰观察到的恶意软件指标(IOC)。Mandiant也发布了关于此主题的博客文章,提供额外细节。
19 July
继Microsoft和Mandiant之后,Palo Alto Networks的Unit 42也警告由俄罗斯-based 威胁行为者APT29发起的鱼叉式钓鱼攻击。钓鱼邮件以组织名义发送,包含恶意HTML文件或指向云存储服务(如Dropbox或Google Drive)中HTML文件的链接。与此HTML文件交互执行JavaScript代码,在系统上安装ISO文件或IMG文件。IMG或ISO文件中可见快捷方式。其他文件(如EXE和DLL文件)被隐藏。打开快捷方式最终使系统感染Cobalt Strike Beacon恶意软件。
Google在博客文章中报告观察到各种威胁行为者与乌克兰战争相关的网络活动。
据Google称,俄罗斯-based 威胁行为者APT28和Sandworm进行了多次钓鱼攻击,利用漏洞CVE-2022-30190(Follina)。国家网络安全中心NCSC在安全咨询中警告此漏洞。
该组织观察到俄罗斯-based 威胁行为者COLDRIVER的活动。据Google称,该行为者据称对 various 目标进行了钓鱼尝试,包括政府工作人员、政治家、非政府组织和记者。
俄罗斯-based 行为者TURLA暂时提供了一个假的“反DDoS”应用,冒充乌克兰亚速团(Azov Regiment)。
最后,Google报告白俄罗斯威胁行为者Ghostwriter积极发起针对波兰公民的钓鱼攻击。
11 July
乌克兰计算机应急响应小组CERT-UA警告针对乌克兰政府当局的网络攻击,使用带有恶意附件的邮件。附件是包含宏的XLS文件。激活宏执行“baseupd.exe”文件。最终使系统感染Cobalt Strike Beacon恶意软件。
6 July
拉脱维亚国家广播电视台中心(LVRTC)报告遭受 prolonged 分布式拒绝服务攻击(DDoS)。为限制攻击,LVRTC暂时限制对某些服务的访问,使其不可用。
5 July
NCSC UK警告组织因俄罗斯-乌克兰冲突 prepare for a heightened cyberthreat over an extended period。在NCSC看来,冲突导致对英国的网络威胁将继续上升。敦促组织保持警惕并让网络安全专家 prepare for longer-term resilience。
2022年6月
30 June
虚假信息活动用于传播谣言,称在波兰的乌克兰男性难民将被识别并送回乌克兰服兵役。网络安全公司Mandiant的研究人员将此归因于与白俄罗斯-linked 威胁行为者GhostWriter。
据乌克兰国家服务SSSCIP称,对乌克兰目标的网络攻击强度持续不减。自2022年2月24日战争开始以来,已发生近800起网络攻击。
24 June
CERT-UA警告使用带有恶意附件的邮件针对乌克兰电信公司的网络攻击。邮件包含一个密码保护的RAR文件作为附件,内有Excel文件和宏。文件打开时,启动PowerShell命令,导致下载和执行EXE文件。系统随后感染DarkCrystal恶意软件。
22 June
立陶宛禁止铁路运输俄罗斯货物(食品和人除外)到加里宁格勒后, various 活动组织使用Telegram等平台敦促对立陶宛关键基础设施的网络攻击。
Cert-UA警告由中国-linked 行为者针对俄罗斯研究机构、技术组织和政府机构的网络攻击。攻击者使用带有恶意附件的钓鱼邮件,如果用户打开,最终导致感染Bisonal恶意软件。
Microsoft发布题为“保卫乌克兰:网络战争的早期教训”的报告,提供俄罗斯和乌克兰冲突前四个月的五个结论。
20 June
Cert-UA警告两种类型的攻击。一种涉及传递恶意xxx.doc文件,另一种涉及xxx.rtf文件。两种攻击 prompt the download of an HTML文件并利用CVE-2022-30190漏洞。对于.doc文件,使用Cobalt Strike恶意软件;对于.rtf文件,部署CredoMap恶意软件。NCSC最近发布了关于CVE-2022-30190漏洞的咨询警告。
17 June
威胁行为者Killnet在Telegram上呼吁 various 勒索软件行为者,如Conti和Revil,对美国、意大利和波兰的联合组织发起网络攻击。据克里姆林宫发言人称,周五的DDoS攻击使普京总统在圣彼得堡国际经济论坛的演讲延迟一小时。
14 June
黑客活动集体白俄罗斯网络游击队(Belarusian Cyber-Partisans)声称已访问窃听对话,包括一些来自俄罗斯驻白俄罗斯大使馆的录音。据称录音制作于2020年至2021年之间。
10 June
黑客组织Anonymous声称入侵了一家俄罗斯无人机制造商。他们还发布了一些获取的信息图像。
9 June
网络攻击后,俄罗斯联邦建设、住房和公用事业部的网址被重定向到亲乌克兰消息:“荣耀归于乌克兰”。黑客还要求赎金以防止泄露网站用户的个人数据。据俄罗斯国家新闻机构RIA称,部委代表确认网站下线但用户数据未受损。
5 June
威尔士对乌克兰的世界杯预选赛广播因乌克兰针对OLL.TV的网络攻击而中断。据乌克兰国家特殊通信和信息保护局(SSSCIP)称,黑客已访问内容交付网络(CDN)并设法重定向流量。结果, various 乌克兰广播公司显示俄罗斯宣传。OLL.TV在Facebook上确认攻击。
2 June
CERT-UA警告使用恶意邮件附件针对 various 乌克兰政府组织的网络攻击。邮件传递包含恶意URL的文档,将毫无戒心的受害者重定向到嵌入JavaScript代码的HTML文件。如果执行,利用CVE-2021-40444和CVE-2022-30190漏洞启动PowerShell命令,下载EXE文件并使目标系统感染Cobalt Strike Beacon恶意软件。国家网络安全中心(NCSC)发布了关于CVE-2022-30190漏洞的咨询。
1 June
在接受Sky News采访时,美国将军Paul Nakasone确认美国进行了 offensive 网络行动以支持乌克兰。
2022年5月
29 May
黑客组织Anonymous声称攻击了白俄罗斯政府网站,以报复白俄罗斯据称对俄罗斯入侵的支持。
23 May
安全公司SEKOIA.IO的研究人员观察到俄罗斯威胁行为者Turla的网络侦察活动。此观察基于Google威胁分析组(TAG)的先前发现(另见本时间线2022年5月3日条目)。活动针对波罗的海国防学院、奥地利经济商会和北约的电子学习平台JADL。奥地利经济商会参与了对俄罗斯的制裁。
20 May
亲俄罗斯黑客对 various 意大利政府组织发起网络攻击。5月20日星期五,意大利驻伦敦大使馆发推文称,由于网络攻击,意大利外交部和其大使馆网站的访问受限。
16 May
意大利当局设法挫败行为者Killnet的DDoS攻击。这些攻击在欧洲歌唱大赛现场表演和投票轮次期间发起。作为对此失败攻击的回应,该行为者宣布打算对美国、英国、德国、拉脱维亚、罗马尼亚、爱沙尼亚、波兰、乌克兰、立陶宛和意大利的组织网站发起网络攻击。
12 May
威胁行为者Killnet directed DDoS攻击针对 various 意大利政府和商业网站。
同一天,CERT-UA警告主题为“Щодо проведення акції помсти у Херсоні!”(“关于在赫尔松进行报复行动!”)的邮件,包含HTM文件。一旦点击文件,GammaLoad.PS1_v2恶意软件在受害者计算机上下载并执行。CERT-UA将此攻击归因于俄罗斯威胁行为者UAC-0010(Gamaredon)。
10 May
欧盟及其国际伙伴强烈谴责对卫星KA-SAT网络的网络攻击。攻击归因于俄罗斯联邦。它发生在2022年2月24日俄罗斯入侵乌克兰前不久,并对乌克兰 various 公共当局、企业和公民产生重大影响。溢出效应也影响到几个欧盟成员国。
9 May
多家媒体报道,由于网络攻击,俄罗斯卫星电视菜单在莫斯科胜利日阅兵前显示 various 反战口号。
7 May
CERT-UA警告主题为“хімічної атаки”(化学攻击)的邮件。邮件包含指向带有宏的XLS文档的链接。激活宏时,下载并执行