乌克兰数字攻击时间线

时间线概览

2022年11月

11月23日 约16:20，一次DDoS攻击导致欧洲议会网站暂时不可用。据欧洲议会议长罗伯塔·梅索拉称，一个亲俄罗斯的黑客组织声称对此次网络攻击负责。

11月21日 ESET发推文称，检测到针对多个乌克兰组织的数字攻击，涉及使用RandomBoggs勒索软件。据ESET称，观察到的特征与俄罗斯行为者Sandworm之前的网络攻击一致。

11月18日 活动组织白俄罗斯网络游击队（Belarusian Cyber Partisans）在Twitter上声称已访问俄罗斯通用频率控制中心（GRFC）的网络。他们声称已加密系统并获取敏感信息。

11月16日 在阿斯彭网络峰会（Aspen Cyber Summit）上，美国国防部网络政策副助理部长米克·欧阳（Mieke Eoyang）表示，俄罗斯网络人员表现不佳。部分原因是莫斯科“没有预料到这场冲突会持续这么久”。

11月10日 微软威胁情报中心（MSTIC）将使用“Prestige”勒索软件的网络攻击归因于俄罗斯行为者IRIDIUM。观察到的活动（如本时间线10月14日所述）与IRIDIUM（也称为Sandworm）进行的网络攻击具有重叠特征。

11月4日 FBI发布安全建议，警告活动分子、亲俄罗斯的DDoS攻击。该指南是在观察到针对美国关键基础设施的各种DDoS攻击后发布的。尽管这些攻击通常影响有限，但FBI仍建议采取缓解措施以降低此类攻击发生的可能性。

11月1日 俄罗斯入侵后不久，英国政府宣布提供635万英镑的网络支持包，以帮助乌克兰保护其关键基础设施。这一网络支持包是在入侵后一天俄罗斯针对乌克兰的网络活动增加之后出台的。

2022年10月

10月21日 CERT-UA观察到有欺诈邮件在传播，声称来自乌克兰武装部队总参谋部新闻办公室。邮件包含一个外部网站链接，指示用户执行软件更新。此用户交互随后启动可执行文件的下载。当文件运行时，系统将感染RomCom恶意软件。部分由于使用这种特定类型的恶意软件，CERT-UA认为可以将该活动归因于Cuba勒索软件背后的行为者。

10月14日 微软威胁情报中心（MSTIC）标记了一个新的勒索软件活动，针对乌克兰和波兰的运输和物流组织。使用的勒索软件类型被称为“Prestige”勒索软件。 据MSTIC称，该活动有一些显著方面使其与微软监控的其他勒索软件活动不同：

• 与HermeticWiper恶意软件的受害者有一定程度的重叠。
• MSTIC未发现此新勒索软件活动的特征与微软主动监控的94个勒索软件组织之间存在关联。
• 在乌克兰，全公司范围部署勒索软件并不常见。

10月11日 FortiGuard Labs发布了对Cobalt Strike信标恶意软件传播的技术分析。该恶意软件通过一个设计成用于计算乌克兰军事人员工资工具的Excel文件部署。此恶意软件活动展示了恶意方如何利用乌克兰战争进行网络攻击。

10月10日 包括亚特兰大（ATL）、洛杉矶（LAX）、芝加哥（ORD）和奥兰多（MCO）在内的几家美国机场网站遭到DDoS攻击，导致暂时无法访问。这些攻击归因于黑客组织Killnet，显然未影响机场的航班起降。

10月6日 黑客组织Killnet声称已使多个美国州政府网站（科罗拉多州、密西西比州和肯塔基州）下线。该组织此前在Telegram上宣布其目标是美国政府网站。大多数受影响的网站在同一天恢复上线。

10月2日 据乌克兰新闻平台Kyiv Post报道，来自国家共和军（NRA）的俄罗斯黑客对俄罗斯公司Unisoftware进行了勒索软件攻击。该平台声称客户个人数据被盗。Kyiv Post写道，俄罗斯政府也是Unisoftware的客户。据称，动员俄罗斯公民是此次数字攻击的动机。

2022年9月

9月29日 芬兰安全与情报局SUPO警告，即将到来的冬季俄罗斯网络间谍活动可能增加。此警告可能源于俄罗斯缺乏人力情报（humint），因为许多俄罗斯外交官被西方国家驱逐。该机构报告称，西方制裁可能是另一个推动因素，促使俄罗斯收集高科技领域发展的情报。鉴于此，SUPO将格外关注来自俄罗斯的工业间谍活动。

9月26日 乌克兰国防部警告，俄罗斯对乌克兰及其盟友的关键基础设施进行大规模网络攻击。据该部称，俄罗斯还寻求加强其DDoS攻击的强度。据报道，这些攻击主要针对波兰和波罗的海国家。

9月20日 据报道，来自乌克兰军队的黑客入侵了俄罗斯雇佣兵组织瓦格纳集团（Wagner Group）的网站。据乌克兰数字化转型部长称，黑客能够窃取该组织所有附属雇佣兵的个人数据。

9月19日 Recorded Future发布关于行为者UAC-0113的分析，该行为者可能与俄罗斯APT组织Sandworm有关联。该行为者冒充乌克兰电信组织，并使用HTML走私传播恶意软件。据Recorded Future称，网络攻击可能针对乌克兰的目标。

9月16日 Cisco Talos警告俄罗斯APT组织Gamaredon的活动。在此活动中，该行为者部署信息窃取恶意软件。针对乌克兰人的恶意软件通过有关战争的钓鱼邮件传播。

9月9日 在一篇博客文章中，谷歌表示观察到越来越多以财务为动机的黑客组织专门针对乌克兰的组织。其中一个组织UAC-0098，此前专门从事勒索软件攻击（作为初始访问经纪人），现在针对乌克兰组织，包括政府机构和欧洲非营利组织。该行为者进行了各种钓鱼攻击，冒充乌克兰国家网络警察、微软和Starlink。

9月2日 黑客集体Anonymous声称入侵了俄罗斯最大的出租车服务Yandex Taxi。通过将多辆出租车派往同一地点，在莫斯科造成了一些交通堵塞。

2022年8月

8月16日 乌克兰核机构Energoatom报告称其网站遭到俄罗斯网络攻击。据该机构称，人民网络军（People’s Cyber Army）黑客组织使用725万个僵尸网络使网站瘫痪。Energoatom表示，攻击未影响网站功能。

8月15日 微软警告俄罗斯黑客组织SEABORGIUM的钓鱼攻击。据微软称，间谍活动可能是攻击背后的动机。SEABORGIUM主要针对北约成员国、斯堪的纳维亚和东欧，包括乌克兰。该组织还在其钓鱼邮件中使用乌克兰战争作为主题。 Symantec发布关于俄罗斯APT组织Gamaredon活动的博客。据Symantec称，在7月15日至8月8日期间，Gamaredon对乌克兰组织发动了带有“信息窃取器”恶意软件的网络攻击。该博客是在CERT-UA关于来自Gamaredon的钓鱼邮件的警告之后发布的（见7月26日更新）。

8月13日 亲俄罗斯黑客组织Killnet声称对国防公司洛克希德·马丁（Lockheed Martin）发动了DDoS攻击。据称，该组织在一次网络攻击中窃取了员工的个人数据，并威胁要公布这些信息。

8月11日 拉脱维亚国家CERT（CERT.LV）在Twitter上报告，对拉脱维亚议会（Saeima）进行了DDoS攻击。此次网络攻击发生在Saeima通过一项将俄罗斯指定为恐怖主义支持国的声明之后。据CERT.LV称，Saeima的工作未受影响。

8月10日 CERT-UA记录7月份发生了203次网络攻击。乌克兰CERT报告称，7月份对乌克兰国家和金融机构代表的攻击次数增加。两个被黑客攻击最广泛的部门是国家和地方政府（7月份遭受56次网络攻击）以及安全和国防部门。

8月9日 芬兰公共广播公司Yle报道，芬兰议会网站遭到DDoS攻击。一个自称NoName057(16)的俄罗斯黑客组织在其Telegram频道声称是此次攻击的幕后黑手。攻击于8月9日星期四约14:30开始。网站在22:00恢复可访问。 《电讯报》报道，英国当局正在调查针对英国加密货币平台Currency.com的网络攻击。据《电讯报》称，自4月份该公司因战争退出俄罗斯以来，黑客每天对该公司进行网络攻击。

8月8日 在其年度全球事件响应威胁报告中，VMWare提到自乌克兰战争开始以来网络攻击增加。接受调查的65%的网络安全专业人员自俄罗斯入侵以来观察到更多网络攻击。

8月4日 Meta发布其季度对抗性威胁报告（2022年第二季度）。Meta在报告中称，4月份关闭了圣彼得堡的一个 troll factory。据称，该 troll factory 在社交媒体上提供关于战争的亲俄罗斯评论。

8月2日 乌克兰安全局（SSU）在其网站上报告，已捣毁一个僵尸网络农场。该僵尸网络农场散布虚假信息，以破坏乌克兰的社会政治稳定。虚假信息涉及乌克兰最高军事和政治领导人的活动。据SSU称，僵尸网络农场运营商使用了超过一百万个虚假在线账户和拥有超过40万用户的社交媒体群组。

2022年7月

7月27日 CERT-UA警告以红十字会名义发送的钓鱼邮件，要求为乌克兰难民捐款。消息包含一个链接，指向模仿乌克兰银行网站的钓鱼网站。在此网站输入的登录详细信息随后落入攻击者手中。

7月26日 CERT-UA警告Gamaredon黑客组织的网络攻击。攻击者部署带有恶意附件的钓鱼邮件。与此附件交互会导致下载并安装GammaLoad.PS1_v2恶意软件。

7月21日 据乌克兰国家特别通信与信息保护局（SSSCIP）称，对TAVR媒体集团进行了网络攻击。九家主要乌克兰广播电台属于该媒体集团。攻击者在广播中散布关于总统弗拉基米尔·泽连斯基健康状况的虚假信息。

7月20日 随着与俄罗斯和乌克兰战争相关的网络攻击增加，欧洲理事会警告溢出效应、误解和可能升级的不可接受风险。最近对各个欧盟成员国和欧盟合作伙伴的DDoS攻击（亲俄罗斯黑客组织声称负责）是 heightened and tense 网络威胁 landscape 的一个例子。欧盟呼吁成员国提高对网络威胁的认识，并采取预防措施保护关键基础设施。 与乌克兰安全部门合作，美国网络司令部分享了在乌克兰观察到的恶意软件指标（IOCs）。Mandiant也发布了关于此主题的博客文章，提供了额外细节。

7月19日 继微软和Mandiant之后，Palo Alto Networks的Unit 42也警告由APT29（一个基于俄罗斯的威胁行为者）发起的鱼叉式钓鱼攻击。钓鱼邮件以组织名义发送，包含恶意HTML文件或指向云存储服务（如Dropbox或Google Drive）中HTML文件的链接。与此HTML文件交互会执行JavaScript代码，在系统上安装ISO文件或IMG文件。IMG或ISO文件中可见快捷方式。其他文件（如EXE和DLL文件）被设置为不可见。打开快捷方式最终会感染系统Cobalt Strike Beacon恶意软件。 在一篇博客文章中，谷歌报告观察到各种威胁行为者与乌克兰战争相关的网络活动。 据谷歌称，基于俄罗斯的威胁行为者APT28和Sandworm进行了几次钓鱼攻击，利用漏洞CVE-2022-30190（Follina）。在一份安全公告中，国家网络安全中心（NCSC）警告了此漏洞。 该组织观察到基于俄罗斯的威胁行为者COLDRIVER的活动。据谷歌称，该行为者据称对包括政府工作人员、政治家、非政府组织和记者在内的各种目标进行了钓鱼尝试。 基于俄罗斯的行为者TURLA暂时提供了一个假的“反DDoS”应用程序，冒充乌克兰亚速团（Azov Regiment）。 最后，谷歌报告称，白俄罗斯威胁行为者Ghostwriter积极发动针对波兰公民的钓鱼攻击。

7月11日 乌克兰计算机应急响应小组（CERT-UA）警告针对乌克兰政府当局的网络攻击，使用带有恶意附件的邮件。附件是一个包含宏的XLS文件。激活宏会执行“baseupd.exe”文件。这最终会感染系统Cobalt Strike Beacon恶意软件。

7月6日 拉脱维亚国家广播电视中心（LVRTC）报告遭受了长时间的分布式拒绝服务攻击（DDoS）。为了限制攻击，LVRTC暂时限制了对某些服务的访问，使其不可用。

7月5日 英国NCSC警告组织由于俄罗斯-乌克兰冲突，需为长期 heightened 网络威胁做好准备。在NCSC看来，由于冲突，对英国的网络威胁将继续上升。敦促组织保持警惕，并让其网络安全专家为长期弹性做好准备。

2022年6月

6月30日 一场虚假信息活动被用来散布谣言，称在波兰的乌克兰男性难民将被识别并送回乌克兰服兵役。网络安全公司Mandiant的研究人员将此归因于与白俄罗斯有关的威胁行为者GhostWriter。 据乌克兰国家服务局SSSCIP称，对乌克兰目标的网络攻击强度持续不减。自2022年2月24日战争开始以来，已发生近800次网络攻击。

6月24日 CERT-UA警告使用带有恶意附件的邮件针对乌克兰电信公司的网络攻击。邮件包含一个作为附件的受密码保护的RAR文件，内含Excel文件和宏。当文件打开时，会启动PowerShell命令，导致下载并执行EXE文件。系统随后感染DarkCrystal恶意软件。

6月22日 在立陶宛禁止俄罗斯货物（除食品和人员外）通过铁路运输到加里宁格勒后，各种活动组织使用Telegram等平台敦促对立陶宛关键基础设施进行网络攻击。 Cert-UA警告由中国相关行为者针对俄罗斯研究机构、技术组织和政府机构的网络攻击。攻击者使用带有恶意附件的钓鱼邮件，如果用户打开，最终会导致感染Bisonal恶意软件。 微软发布了一份题为“保卫乌克兰：网络战争的早期教训”的报告，提供了俄罗斯和乌克兰冲突前四个月的五点结论。

6月20日 Cert-UA警告两种类型的攻击。一种涉及传递恶意的xxx.doc文件，另一种是xxx.rtf文件。两种攻击都会提示下载HTML文件并利用CVE-2022-30190漏洞。对于.doc文件，使用Cobalt Strike恶意软件；对于.rtf文件，部署CredoMap恶意软件。NCSC最近发布了一份关于CVE-2022-30190漏洞的公告警告。

6月17日 威胁行为者Killnet在Telegram上呼吁各种勒索软件行为者，如Conti和Revil，对美国和意大利及波兰的联合组织发动网络攻击。据克里姆林宫发言人称，周五的DDoS攻击使普京总统在圣彼得堡国际经济论坛的演讲推迟了一小时。

6月14日 黑客行动主义集体白俄罗斯网络游击队（Belarusian Cyber-Partisans）声称已获取窃听对话，包括一些来自俄罗斯驻白俄罗斯大使馆的录音。据称这些录音是在2020年至2021年间制作的。

6月10日 黑客组织Anonymous声称入侵了一家俄罗斯无人机制造商。他们还发布了所获取的一些信息的图像。

6月9日 在一次网络攻击之后，俄罗斯联邦建设、住房和公用事业部的网址被重定向到一条亲乌克兰的消息：“荣耀归于乌克兰”。黑客还要求赎金以防止泄露网站用户的个人数据。据俄罗斯国家新闻机构RIA报道，一位部委代表确认网站已下线，但用户数据未受损。

6月5日 威尔士对乌克兰的世界杯预选赛转播因针对OLL.TV的网络攻击在乌克兰中断。据乌克兰国家特别通信与信息保护局（SSSCIP）称，黑客获得了内容分发网络（CDN）的访问权限，然后设法重定向流量。结果，各种乌克兰广播公司显示了俄罗斯宣传内容。OLL.TV在Facebook上确认了此次攻击。

6月2日 CERT-UA警告使用恶意邮件附件针对各种乌克兰政府组织的网络攻击。邮件传递一份包含恶意URL的文档，将不知情的受害者重定向到嵌入JavaScript代码的HTML文件。如果执行，会利用CVE-2021-40444和CVE-2022-30190漏洞启动PowerShell命令，下载EXE文件并感染目标系统Cobalt Strike Beacon恶意软件。国家网络安全中心（NCSC）已发布关于CVE-2022-30190漏洞的公告。

6月1日 在接受Sky News采访时，美国将军保罗·中曾根（Paul Nakasone）确认美国进行了进攻性网络行动以支持乌克兰。

2022年5月

5月29日 黑客组织Anonymous声称攻击了白俄罗斯政府网站，以报复白俄罗斯据称对俄罗斯入侵的支持。

5月23日 安全公司SEKOIA.IO的研究人员观察到俄罗斯威胁行为者Turla的网络侦察活动。此观察基于谷歌威胁分析小组（TAG）先前的发现（另见本时间线2022年5月3日条目）。活动目标为波罗的海国防学院、奥地利经济商会和北约名为JADL的电子学习平台。奥地利经济商会参与了针对俄罗斯的制裁实施。

5月20日 亲俄罗斯黑客对各个意大利政府组织发动了网络攻击。5月20日星期五，意大利驻伦敦大使馆发推文称，由于网络攻击，意大利外交部及其大使馆网站的访问受到限制。

5月16日 意大利当局成功挫败了行为者Killnet的DDoS攻击。这些攻击在欧洲歌唱大赛现场表演和投票轮次期间发动。作为对此失败攻击的回应，该行为者宣布其意图对美国、英国、德国、拉脱维亚、罗马尼亚、爱沙尼亚、波兰、乌克兰、立陶宛和意大利的组织网站发动网络攻击。

5月12日 威胁行为者Killnet针对各个意大利政府和商业网站发动了DDoS攻击。 同日，CERT-UA警告关于主题为“Щодо проведення акції помсти у Херсоні!”（“关于在赫尔松进行报复行动！”）的邮件，其中包含一个HTM文件。一旦点击该文件，GammaLoad.PS1_v2恶意软件将在受害者计算机上下载并执行。CERT-UA将此攻击归因于俄罗斯威胁行为者UAC-0010（Gamaredon）。

5月10日 欧盟及其国际伙伴强烈谴责对卫星KA-SAT网络的网络攻击。此次攻击归因于俄罗斯联邦。它发生在2022年2月24日俄罗斯入侵乌克兰前不久，并对乌克兰的各种公共当局、企业和公民产生了重大影响。溢出效应也在几个欧盟成员国中感受到。

5月9日 多家媒体报道称，由于网络攻击，俄罗斯卫星电视菜单在莫斯科胜利日阅兵前显示了各种反战口号。

5月7日 CERT-UA警告关于主题为“хімічної атаки”（化学攻击）的邮件。邮件包含一个指向带有宏的XLS文档的链接。当宏激活时，它会下载并执行一段恶意软件。受害者的计算机随后感染恶意程序JesterStealer，该程序窃取敏感信息并将其传输给攻击者。

5月3日 谷歌在一篇博客文章中报告，观察到各种行为者与乌克兰战争相关的网络活动：

• 基于俄罗斯的行为者APT28（又名Fancy Bear）一直以乌克兰用户为目标，使用新的恶意软件变种，该变种通过密码保护的zip文件内的邮件附件分发。
• 该组织再次观察到基于俄罗斯的威胁行为者COLDRIVER的活动（见本时间线3月31日更新）。据谷歌称，钓鱼邮件已发送给包括政府官员、政治家、非政府组织和记者在内的目标。
• 中国相关行为者Curious Gorge继续其长期针对俄罗斯和乌克兰多个政府、制造、军事和物流组织的活动。
• 谷歌观察到与俄罗斯相关的行为者Turla的网络攻击，该行为者以波罗的海国家为目标，并试图破坏该地区的国防和网络安全组织。
• 最后，谷歌报告称，白俄罗斯威胁行为者Ghostwriter仍然活跃，并以其钓鱼攻击针对乌克兰公民。

5月1日 英国外交、联邦和发展事务部（FCDO）根据政府资助的研究声称，关于乌克兰战争的俄罗斯虚假信息通过一个 troll factory 传播。据FCDO称，各种政治家和英国、印度及南非特定受众的账户成为目标。据英国专家称，该研究显示了克里姆林宫的大规模虚假信息活动如何旨在操纵国际公众对乌克兰战争的看法。

2022年4月

4月28日 与乌克兰国家银行计算机安全事件响应小组（CSIRT-NBU）合作，乌克兰计算机应急响应小组（Cert-UA）观察到针对各种乌克兰政府和其他组织的分布式拒绝服务（DDoS）攻击。为此目的使用了被入侵的网站。通过将恶意JavaScript代码（BrownFlood）插入网站结构中来入侵网站。结果，网站访问者向特定目标（本例中为各种乌克兰政府和其他组织）生成大量请求。

4月27日 微软发布了一份报告，包含在俄罗斯和乌克兰战争期间观察到的俄罗斯网络攻击的详细信息。自俄罗斯入侵以来，微软观察到超过200次针对乌克兰组织和个人的网络攻击。据微软称，其中一些攻击似乎与动能军事行动协调。发布该报告（包括俄罗斯网络攻击的详细时间线）是为了帮助提高组织（包括关键供应商和中央政府）的弹性。

4月22日 在推出新邮票后，乌克兰国家邮政服务Ukrposhta遭到DDoS攻击。该邮票显示一名乌克兰士兵对俄罗斯军舰莫斯科号（Moskva）做出冒犯性手势，该舰此后已沉没。

4月21日 在CISA网站上，美国、澳大利亚、新西兰、加拿大和英国发布了关于俄罗斯犯罪和国家行为者针对关键基础设施的网络活动的联合警告。此活动可能是对俄罗斯实施的制裁以及西方盟友和伙伴向乌克兰提供物质支持的一种报复形式。

4月20日 与俄罗斯相关的恶意行为者Shuckworm（又名Gamaredon和Armageddon）继续以乌克兰组织为目标。为此，它使用了各种版本的恶意软件Backdoor.Pterodo。攻击的频率意味着它仍然是该地区组织面临的主要网络威胁之一。

4月19日 CERT-UA发布关于声称来自他们的钓鱼邮件的警告，主题为“Srochno!”（紧急）。针对乌克兰组织的邮件包括一个.xls附件，其中包含宏。当宏激活时，它会下载并运行一个文件，感染计算机Cobalt Strike Beacon恶意软件。

4月17日 活动黑客组织KillNet对欧洲各个机场、政府机构和交通组织的网站进行了DDoS攻击。这些攻击使一些组织的网站暂时不可用。

4月12日 分析对乌克兰能源公司的攻击时，网络安全公司ESET和乌克兰CERT-UA发现了新的恶意软件Industroyer2，该软件针对工业控制系统（ICS）。攻击中还使用了其他恶意软件，包括各种擦除器。有关此恶意软件的更多详细信息，您可以访问ESET和CERT-UA网站。据ESET和CERT-UA称，攻击被成功阻止。

4月8日 一次拒绝服务攻击使芬兰国防部和外交部的网站暂时不可用。攻击在中午左右开始，当时乌克兰总统泽连斯基正在向芬兰议会发表讲话。

4月7日 微软宣布已能够破坏针对乌克兰的网络攻击。这些攻击由俄罗斯国家行为者Strontium发动，该行为者与情报服务GRU有联系。Strontium试图入侵乌克兰政府机构和媒体组织，还以欧盟和美国政府机构及外交政策智囊团为目标。为了获得受害者的访问权限，Strontium使用了七个恶意互联网域名。

4月4日 CERT-UA报告发现了各种可用于鱼叉式钓鱼攻击的恶意文件。文件具有英文名称，并针对拉脱维亚的一个政府组织。CERT-UA将此攻击归因于UAC-0010（Armageddon）。 同日，CERT-UA还报告乌克兰政府组织已成为Armageddon的目标，再次通过鱼叉式钓鱼攻击。目标收到声称包含疑似战犯个人详细信息的恶意文件。

2022年3月

3月31日 谷歌发布关于基于俄罗斯的威胁行为者COLDRIVER的博客文章，据称该行为者针对包括北约部门在内的各种目标发起了钓鱼活动。谷歌没有证据表明这些尝试成功。该组织自2015年以来一直活跃，过去曾攻击各部委、非政府组织和记者等各种目标。

3月29日 由于对乌克兰互联网服务提供商Ukrtelecom的大规模分布式拒绝服务（DDoS）攻击，其客户的服务暂时不可用。

3月28日 一家俄罗斯互联网提供商对Twitter的地址空间进行了短暂的BGP劫持。BGP公告最终影响甚微，因为Twitter的BGP公告受RPKI保护。

3月24日 美国司法部在周四解封的起诉书中称，三名俄罗斯间谍花了五年时间 targeting 135个国家的能源基础设施，以使俄罗斯政府能够远程控制发电厂。 在Twitter上，黑客组织Anonymous呼吁企业退出俄罗斯，给予48小时期限，否则将成为Anonymous的目标。该组织此前已发布俄罗斯公司的详细信息。

3月23日 CERT-UA报告新的擦除器恶意软件，称为Double Zero，通过.zip文件传播。

3月22日 美国总统乔·拜登警告本国企业可能遭受俄罗斯网络攻击，包括作为西方对俄罗斯实施制裁的回应。

3月21日 CERT-UA警告由InvisiMole发起的攻击，该黑客组织与俄罗斯高级持续性威胁（APT）组织Gamaredon有关联。

3月20日 黑客组织Anonymous警告西方公司切断与俄罗斯的联系，并威胁采取针对性行动。

3月18日 Security Affairs发布关于针对俄罗斯和白俄罗斯组织的破坏性Node-IPC包（恶意软件攻击）的帖子。

3月15日 乌克兰计算机应急响应小组（CERT-UA）报告一场钓鱼活动，其中以乌克兰政府名义进行大规模邮件发送。攻击正在使用Cobalt Strike、GrimPlant和GraphSteel发动。 ESET在乌克兰的研究人员还发现了名为Caddywiper的新擦除器恶意软件。擦除器恶意软件伪装成勒索软件，但受影响的系统或文件无法恢复。

3月11日 Anonymous在对俄罗斯石油公司Rosneft的德国子公司进行网络攻击后泄露了20太字节的数据。作为回应，德国情报机构BSI已向关键部门发出警告。

3月8日 《明镜周刊》报道，德国联邦信息安全办公室（BSI），德国联邦内政部的一个部门，正警告一次网络攻击，预计将针对关键基础设施。这是对德国自战争开始以来向乌克兰提供帮助的报复。

3月3日 乌克兰安全局（SSU）报告，黑客在地方政府网站上发布了投降消息。SSU在Twitter上宣布这是虚假信息，并敦促人们忽略这些消息。乌克兰驻英国大使也发推文称，由于网络攻击，官方网站和电子邮件无法工作。

3月2日 乌克兰政府敦促科技公司切断与俄罗斯的业务联系。各种科技公司停止向俄罗斯提供部分或全部服务。网络安全公司Proofpoint报告由各种国家行为者针对欧洲政府组织的鱼叉式钓鱼活动。该活动似乎是威胁行为者试图获取关于乌克兰难民接待和迁移的信息。

3月1日 Wordfence研究人员报告在入侵开始时，众多乌克兰大学网站遭到黑客攻击。Wordfence将此攻击归因于一个称为“theMxOnday”的组织。该组织公开表示支持俄罗斯与乌克兰的冲突。

2022年2月

2月28日 白俄罗斯网络游击队（Belarussian Cyber-Partisans）声称对白俄罗斯铁路进行了网络攻击，以阻碍俄罗斯的部队转移。最近关于参与战争的网络组织的概述，包括国家行为者如Sandworm，可以在这里找到。 考虑到最新发展，NCSC发布了行动视角和威胁特定措施。 此时，尚未观察到对荷兰或其利益的数字攻击。

2月27日 相比之下，勒索软件竞争对手Lockbit报告称在战争中保持中立，并且仅以财务为目的。

2月26日 乌克兰数字化转型部长呼吁全球黑客与“乌克兰IT军队”结盟。

2月25日 勒索软件组织Conti在一份公开声明中宣布与俄罗斯结盟。为了支持俄罗斯，Conti威胁攻击反对俄罗斯的国家的关键基础设施。

2月24日 俄罗斯军队入侵乌克兰后，各种非国家行为者参与了冲突。就在同一天晚上，黑客集体Anonymous向俄罗斯宣战。与该集体相关的志愿者随后声称通过DDoS攻击使各种俄罗斯政府和媒体网站瘫痪。还声称获取了俄罗斯国防部的敏感数据。这些说法并非总能验证，可能导致不确定性和混乱。

2月23日 各方报告在乌克兰系统中观察到新的擦除器恶意软件。其中，ESET、Symantec和SentinelOne发布了他们的分析。该恶意软件被称为HermeticWiper。与早期观察到的1月13日和14日的WhisperGate擦除器活动在功能上有相似之处。新擦除器的目标是损坏新文档并防止计算机系统启动。这种新恶意软件似乎比先前活动中使用的擦除器恶意软件操作更彻底。迄今为止，没有迹象表明这种新擦除器具有任何可能导致蠕虫的功能，从而感染网络耦合系统。

2月21日 乌克兰CERT-UA发布了一份网站报告，关于他们归因于行为者Buhtrap的恶意活动。恶意软件活动本意是在受害者计算机网络中获取位置。2月23日，对乌克兰目标进行了严重的DDoS攻击。各种政府网站暂时受限或完全不可用。其中包括各个部委的网站。同时，报告了多次钓鱼活动。

2月15日 对乌克兰的不同目标进行了各种网络攻击。其中，报告了DDoS攻击（分布式拒绝服务），针对在线服务的容量或支持服务器和网络设备。乌克兰国防部和两家国家银行受到打击。 发生了另一场短信活动，报告ATM出现技术故障。乌克兰官方当局报告这是虚假信息。不存在此类故障。此时，NSCS没有具体线索表明针对荷兰组织的针对性攻击与当前乌克兰局势有关。

2022年1月

1月26日 CERT乌克兰（CERT UA）发布了关于涂改和恶意软件攻击的部分研究。在此研究中，检测到WhisperGate恶意软件和WhiteBlackCrypt勒索软件之间的巨大相似性。这些相似性表明攻击者的意图是防止乌克兰自身 behind 网络攻击。

1月15日 微软发布了一篇关于WhispterGate恶意软件（也称为Whisperkill）的博客，该软件已部署 against 乌克兰的各种（政府）组织。Whispergate是一种擦除器软件，伪装成勒索软件，但缺乏任何恢复受影响系统或文档的可能性，这意味着文档被有效擦除或操作系统无法使用。与2017年产生全球影响的NotPetya擦除器不同，WhisperGate恶意软件不包含无需人工中介即可自行传播的可能性。因此，观察到的WhisperGate恶意软件对荷兰的风险显著较低。

1月14日 乌克兰安全局（SSU）发布了一份关于对各种政府行为者网站攻击的声明。网站上发布的消息以波兰语、乌克兰语和俄语以威胁性语言报告称，乌克兰公民的个人数据已被盗，公民应“做最坏的准备”。这种网站被涂改的攻击也称为“defacements”。在SSU的后续声明中，很明显很可能对维护网站的供应商进行了供应链攻击，可能结合了OctoberrCMS（CVE-2021-32648）和Log4j中的漏洞。供应商在环境中具有 elevated permissions，因此可以修改网站。 大规模攻击之后，乌克兰国家CERT发布了针对 targeting 政府机构的其他活动的多次警告。此外，几家网络安全公司在乌克兰网络攻击后发布了研究。例如，Palo Alto Networks Unit42、Symantec和Microsoft对Gamaredon（也称为ACTINIUM）的活动进行了研究。迄今为止，Gamaredon的活动与1月14日的网络攻击无关。Gamaredon是一个众所周知的行为者，迄今为止一直专注于乌克兰目标。

行动视角

WhisperGate攻击或在乌克兰执行的其他攻击未导致所谓的“溢出效应”在荷兰发生。然而，建议按照NCSC的网络安全基本措施行事，并注意AIVD和MIVD的出版物“国家行为者的网络攻击，阻止攻击的七个时刻”[仅提供荷兰语版本]。特别是，“分段网络”的基本措施有助于防止对耦合网络的攻击影响您的组织。 NCSC继续密切监控发展，并在可能的情况下分享相关信息。