乌克兰网络攻击时间线：关键事件与技术分析

乌克兰数字攻击时间线

2022年11月

11月23日

约16:20发生DDoS攻击导致欧洲议会网站暂时不可用
欧洲议会议长Roberta Metsola表示，亲俄黑客组织声称对此次网络攻击负责

11月21日

ESET推特表示检测到针对多个乌克兰组织的数字攻击，涉及使用RandomBoggs勒索软件
据ESET观察，特征与俄罗斯攻击者Sandworm之前的网络攻击一致

11月18日

活动组织"白俄罗斯网络游击队"在推特声称已访问俄罗斯通用频率控制中心(GRFC)网络
声称已加密系统并获取敏感信息

11月16日

在Aspen网络峰会上，美国国防部网络政策副助理部长Mieke Eoyang表示俄罗斯网络人员表现不佳
部分原因是莫斯科"未预料到冲突会持续如此之久"

11月10日

微软威胁情报中心(MSTIC)将使用"Prestige"勒索软件的网络攻击归因于俄罗斯攻击者IRIDIUM
观察到的活动与IRIDIUM(又名Sandworm)进行的网络攻击具有重叠特征

11月4日

FBI发布安全建议，警告活动分子和亲俄DDoS攻击
该指南是在观察到针对美国关键基础设施的各种DDoS攻击后发布的
NCSC网站包含更深入信息：
- 确保在线服务不被DDoS攻击导致不可用的情况说明
- 确保在线服务连续性的技术措施情况说明
- 反DDoS联盟

11月1日

俄罗斯入侵后不久，英国政府宣布提供635万英镑的网络支持包，帮助乌克兰保护其关键基础设施
该网络支持包是在入侵后一天俄罗斯对乌克兰网络活动增加之后出台的

2022年10月

10月21日

CERT-UA观察到流传欺诈邮件，声称来自乌克兰武装部队总参谋部新闻办公室
邮件包含外部网站链接，指示用户执行软件更新
用户交互后启动可执行文件下载
文件运行时，系统将感染RomCom恶意软件
基于使用此特定恶意软件，CERT-UA认为可能将此活动归因于Cuba勒索软件背后的攻击者

10月14日

微软威胁情报中心(MSTIC)标记针对乌克兰和波兰运输物流组织的新勒索软件活动
使用的勒索软件类型称为"Prestige"勒索软件
据MSTIC，此活动有多个显著方面区别于微软监控的其他勒索软件活动：
- 与HermeticWiper恶意软件受害者有一定程度重叠
- MSTIC未发现此新勒索软件活动特征与微软主动监控的94个勒索软件组之间的关联
- 在乌克兰全公司范围部署勒索软件并不常见

10月11日

FortiGuard Labs发布关于Cobalt Strike信标恶意软件传播的技术分析
恶意软件通过设计成乌克兰军事人员工资计算工具的Excel文件部署
此恶意软件活动显示恶意方如何利用乌克兰战争进行网络攻击

10月10日

多个美国机场网站遭受DDoS攻击，包括亚特兰大(ATL)、洛杉矶(LAX)、芝加哥(ORD)和奥兰多(MCO)
导致暂时不可访问
攻击归因于黑客组织Killnet，显然未影响机场航班

10月6日

黑客组织Killnet声称已使多个美国州政府网站下线(科罗拉多州、密西西比州和肯塔基州)
该组织先前在Telegram宣布以美国政府网站为目标
大多数受影响网站同日恢复在线

10月2日

据乌克兰新闻平台Kyiv Post，来自国家共和军(NRA)的俄罗斯黑客对俄罗斯公司Unisoftware进行勒索软件攻击
平台声称客户个人数据被窃
Kyiv Post写道俄罗斯政府也是Unisoftware客户
据称动员俄罗斯公民是数字攻击的动机

2022年9月

9月29日

芬兰安全情报局SUPO警告即将到来的冬季俄罗斯网络间谍活动可能增加
此警告可能源于俄罗斯缺乏人力情报，因许多俄罗斯外交官被西方国驱逐
该机构报告，西方制裁可能是另一个推动因素，促使俄罗斯收集高科技领域发展情报
鉴于此，SUPO将特别密切关注来自俄罗斯的工业间谍活动

9月26日

乌克兰国防部警告针对乌克兰及其盟友关键基础设施的大规模俄罗斯网络攻击
据该部，俄罗斯还寻求加强其DDoS攻击强度
据报告这些攻击主要针对波兰和波罗的海国家

9月20日

据报道乌克兰军队黑客入侵了俄罗斯雇佣兵组织瓦格纳集团的网站
据乌克兰数字转型部长，黑客能够窃取与该组织关联的所有雇佣兵个人数据

9月19日

Recorded Future发布关于攻击者UAC-0113的分析，可能与俄罗斯APT Sandworm有关联
攻击者冒充乌克兰电信组织，使用HTML走私传播恶意软件
据Recorded Future，网络攻击可能针对乌克兰目标

9月16日

Cisco Talos警告俄罗斯APT Gamaredon的活动
在此活动中，攻击者部署信息窃取恶意软件
针对乌克兰人的恶意软件通过有关战争的钓鱼邮件传播

9月9日

在博客文章中，谷歌表示观察到越来越多经济动机黑客组织专门针对乌克兰组织
其中一个组织UAC-0098，先前专门从事勒索软件攻击(作为初始访问经纪人)，现正针对乌克兰组织，包括政府机构和欧洲非营利组织
此攻击者进行了各种钓鱼攻击，冒充乌克兰国家网络警察、微软和Starlink

9月2日

黑客集体Anonymous声称入侵了俄罗斯最大出租车服务Yandex Taxi
通过发送多辆出租车到同一位置，在莫斯科造成了一些交通堵塞

2022年8月

8月16日

乌克兰核机构Energoatom报告俄罗斯对其网站的网络攻击
据该机构，“人民网络军"黑客组织使用725万个机器人使网站瘫痪
Energoatom表示攻击对网站功能无影响

8月15日

微软警告俄罗斯黑客组织SEABORGIUM的钓鱼攻击
据微软，间谍活动可能是攻击背后的动机
SEABORGIUM主要针对北约成员国、斯堪的纳维亚和东欧，包括乌克兰
此组织也在其钓鱼邮件中使用乌克兰战争作为主题
Symantec发布关于俄罗斯APT Gamaredon组织活动的博客
据Symantec，7月15日至8月8日期间，Gamaredon对乌克兰组织发起带有"信息窃取器"恶意软件的网络攻击
博客遵循CERT-UA关于Gamaredon钓鱼邮件的警告

8月13日

亲俄黑客组织Killnet声称对国防公司洛克希德·马丁发起DDoS攻击
据称在网络攻击期间窃取员工个人数据，并威胁发布此信息

8月11日

拉脱维亚国家CERT CERT.LV在推特报告对拉脱维亚议会Saeima的DDoS攻击
网络攻击发生在Saeima通过指定俄罗斯为恐怖主义支持国的声明后
据CERT.LV，Saeima工作未受影响

8月10日

CERT-UA记录7月203起网络攻击
乌克兰CERT报告7月对乌克兰国家和金融机构代表的攻击数量增加
两个最常被黑客攻击的部门是国家和地方政府(7月遭受56起网络攻击)以及安全和国防部门

8月9日

芬兰公共广播公司Yle报告芬兰议会网站遭受DDoS攻击
自称NoName057(16)的俄罗斯黑客组织在其Telegram频道声称是攻击幕后黑手
攻击约于8月9日星期四14:30开始，网站22:00恢复可访问
电讯报报告英国当局正在调查针对英国加密货币平台Currency.com的网络攻击
据电讯报，自4月以来，黑客在公司因战争从俄罗斯撤出后对其进行每日网络攻击

8月8日

在其年度全球事件响应威胁报告中，VMWare提到自乌克兰战争开始以来网络攻击增加
65%接受调查的网络安全专业人员自俄罗斯入侵以来观察到更多网络攻击

8月4日

Meta发布其季度对抗威胁报告(2022年第二季度)
Meta在报告中表示，4月关闭了圣彼得堡的一个巨魔工厂
据称巨魔工厂在社交媒体上提供关于战争的亲俄评论

8月2日

在其网站上，乌克兰安全局(SSU)报告已拆除一个僵尸网络农场
僵尸网络农场传播虚假信息以破坏乌克兰社会政治稳定
虚假信息涉及乌克兰最高军事和政治领导人的活动
据SSU，僵尸网络农场操作员使用超过一百万个虚假在线账户和拥有超过40万用户的社交媒体群组

2022年7月

7月27日

CERT-UA警告以红十字会名义发送的钓鱼邮件，要求为乌克兰难民捐款
消息包含指向模仿乌克兰银行网站的钓鱼网站链接
在此网站输入的登录详情随后落入攻击者手中

7月26日

CERT-UA警告Gamaredon黑客组织的网络攻击
犯罪者部署带有恶意附件的钓鱼邮件
与此附件交互导致GammaLoad.PS1_v2恶意软件被下载和安装

7月21日

据乌克兰国家特殊通信和信息保护局SSSCIP，对TAVR媒体集团进行了网络攻击
九家主要乌克兰广播电台属于此媒体集团
在广播中，犯罪者传播关于总统Volodymyr Zelenskyy健康状况的虚假信息

7月20日

随着与俄罗斯和乌克兰战争相关的网络攻击增加，欧洲理事会警告溢出效应、误解和可能升级的不可接受风险
最近对各个欧盟成员国和欧盟伙伴的DDoS攻击(亲俄黑客组织声称负责)是 heightened 和紧张网络威胁 landscape 的示例
欧盟呼吁成员国提高对网络威胁的认识并采取预防措施保护关键基础设施
与乌克兰安全局合作，美国网络司令部分享了在乌克兰观察到的恶意软件指标(IOCs)
Mandiant也发布了关于此主题的博客文章，带有额外细节

7月19日

继微软和Mandiant之后，Palo Alto Networks的Unit 42也警告APT29(基于俄罗斯的威胁攻击者)的鱼叉式钓鱼攻击
钓鱼邮件以组织名义发送，包含恶意HTML文件或指向云存储服务(如Dropbox或Google Drive)中HTML文件的链接
与此HTML文件交互执行JavaScript代码，在系统上安装ISO文件或IMG文件
快捷方式在IMG或ISO文件中可见，其他文件(如EXE和DLL文件)被渲染为不可见
打开快捷方式最终用Cobalt Strike Beacon恶意软件感染系统
在博客文章中，谷歌报告观察到与乌克兰战争相关的各种威胁攻击者的网络活动
据谷歌，基于俄罗斯的威胁攻击者APT28和Sandworm进行了几次钓鱼攻击，利用漏洞CVE-2022-30190(Follina)
在国家网络安全中心NCSC的安全咨询中，警告了此漏洞
组织观察到基于俄罗斯的威胁攻击者COLDRIVER的活动
据谷歌，攻击者据称对包括政府工作人员、政治家、非政府组织和记者在内的各种目标进行了钓鱼尝试
基于俄罗斯的攻击者TURLA暂时提供了一个假的"反DDoS"应用，冒充乌克兰亚速团
最后，谷歌报告白俄罗斯威胁攻击者Ghostwriter积极发起针对波兰国民的钓鱼攻击

7月11日

乌克兰计算机应急响应小组CERT-UA警告针对乌克兰政府当局使用带有恶意附件的邮件的网络攻击
附件是包含宏的XLS文件
激活宏执行"baseupd.exe"文件
这最终用Cobalt Strike Beacon恶意软件感染系统

7月6日

拉脱维亚国家广播电视中心LVRTC报告遭受 prolonged 分布式拒绝服务攻击(DDoS)
为限制攻击，LVRTC暂时限制对某些服务的访问，使其不可用

7月5日

NCSC UK警告组织因俄罗斯-乌克兰冲突在 extended 期间准备应对 heightened 网络威胁
在NCSC看来，由于冲突，对英国的网络威胁将继续上升
敦促组织保持警惕，并让其网络安全专家准备 longer-term 弹性

2022年6月

6月30日

使用虚假信息活动传播谣言，称在波兰的乌克兰男性难民将被识别并送回乌克兰服兵役
网络安全公司Mandiant的研究人员将此归因于与白俄罗斯关联的威胁攻击者GhostWriter
据乌克兰国家服务SSSCIP，对乌克兰目标的网络攻击强度持续不减
自2022年2月24日战争开始以来，已有近800起网络攻击

6月24日

CERT-UA警告使用带有恶意附件的邮件针对乌克兰电信公司的网络攻击
邮件包含作为附件的密码保护RAR文件，带有Excel文件和宏
当文件打开时，启动PowerShell命令，导致下载和执行EXE文件
系统随后感染DarkCrystal恶意软件

6月22日

在立陶宛禁止俄罗斯货物(除食品和人员外)铁路运输至加里宁格勒后，各种活动组织使用Telegram等平台敦促对立陶宛关键基础设施的网络攻击
Cert-UA警告中国关联攻击者对俄罗斯研究机构、技术组织和政府机构的网络攻击
攻击者使用带有恶意附件的钓鱼邮件，如果用户打开，最终将导致Bisonal恶意软件感染
微软发布题为"保卫乌克兰：网络战争的早期教训"的报告，在俄罗斯和乌克兰冲突的前四个月后提供五个结论

6月20日

Cert-UA警告两种类型的攻击
一种涉及传递恶意xxx.doc文件，另一种是xxx.rtf文件
两种攻击都提示下载HTML文件并利用CVE-2022-30190漏洞
对于.doc文件，使用Cobalt Strike恶意软件，对于.rtf文件，部署CredoMap恶意软件
NCSC最近发布了关于CVE-2022-30190漏洞的咨询警告

6月17日

威胁攻击者Killnet在Telegram上呼吁各种勒索软件攻击者，如Conti和Revil，对美国、意大利和波兰的联合组织发起网络攻击
据克里姆林宫发言人，周五的DDoS攻击使普京总统在圣彼得堡国际经济论坛的演讲延迟一小时

6月14日

黑客行动主义集体白俄罗斯网络游击队声称已访问被窃听对话，包括一些来自俄罗斯驻白俄罗斯大使馆的录音
据称录音制作于2020年至2021年之间

6月10日

黑客组织Anonymous声称入侵了俄罗斯无人机制造商
他们还发布了一些获取信息的图像

6月9日

网络攻击后，俄罗斯联邦建设、住房和公用事业部的网址被重定向到亲乌克兰消息：“荣耀归于乌克兰”
黑客还要求赎金以防止泄露网站用户个人数据
据俄罗斯国家新闻机构RIA，部代表确认网站离线但用户数据未受损害

6月5日

威尔士对乌克兰的世界杯预选赛广播因乌克兰针对OLL.TV的网络攻击而中断
据乌克兰国家特殊通信和信息保护局SSSCIP，黑客已访问内容交付网络(CDN)，然后设法重定向流量
结果，各种乌克兰广播公司显示俄罗斯宣传
OLL.TV在Facebook确认攻击

6月2日

CERT-UA警告使用恶意电子邮件附件针对各种乌克兰政府组织的网络攻击
邮件传递包含恶意URL的文档，将不知情受害者重定向到嵌入JavaScript代码的HTML文件
如果执行，利用CVE-2021-40444和CVE-2022-30190漏洞启动PowerShell命令，下载EXE文件并用Cobalt Strike Beacon恶意软件感染目标系统
国家网络安全中心(NCSC)已发布关于CVE-2022-30190漏洞的咨询

6月1日

在接受Sky News采访时，美国将军Paul Nakasone确认美国进行了 offensive 网络行动以支持乌克兰

2022年5月

5月29日

黑客组织Anonymous声称攻击了白俄罗斯政府网站，以报复白俄罗斯据称支持俄罗斯入侵

5月23日

安全公司SEKOIA.IO的研究人员观察到俄罗斯威胁攻击者Turla的网络侦察活动
此观察基于谷歌威胁分析组(TAG)的先前发现
活动针对波罗的海国防学院、奥地利经济商会和北约名为JADL的电子学习平台
奥地利经济商会参与了对俄罗斯的制裁实施

5月20日

亲俄黑客对各个意大利政府组织发起网络攻击
5月20日星期五，意大利驻伦敦大使馆推特表示，由于网络攻击，访问意大利外交部及其大使馆网站受到限制

5月16日

意大利当局成功挫败攻击者Killnet的DDoS攻击
这些攻击在欧洲歌唱大赛现场表演和投票轮次期间发起
回应此次失败攻击，攻击者宣布其意图对美国、英国、德国、拉脱维亚、罗马尼亚、爱沙尼亚、波兰、乌克兰、立陶宛和意大利组织网站发起网络攻击

5月12日

威胁攻击者Killnet针对各个意大利政府和商业网站发起DDoS攻击
同日，CERT-UA警告关于主题为"Щодо проведення акції помсти у Херсоні!“的邮件，其中包含HTM文件
一旦点击文件，GammaLoad.PS1_v2恶意软件被下载并在受害者计算机上执行
CERT-UA将此攻击归因于俄罗斯威胁攻击者UAC-0010(Gamaredon)

5月10日

欧盟及其国际伙伴强烈谴责对卫星KA-SAT网络的网络攻击
攻击归因于俄罗斯联邦
发生在2022年2月24日俄罗斯入侵乌克兰前不久，对乌克兰各种公共当局、企业和公民产生重大影响
几个欧盟成员国也感受到溢出效应

5月9日

几家媒体报道，由于网络攻击，俄罗斯卫星电视菜单在莫斯科胜利日阅兵前显示各种反战口号

5月7日

CERT-UA警告主题为"хімічної атаки"的邮件
邮件包含指向带有宏的XLS文档的链接
当宏激活时，它下载并执行恶意软件
受害者计算机随后感染恶意程序JesterStealer，窃取敏感信息并传输给攻击者

5月3日

谷歌在博客文章中报告观察到与乌克兰战争相关的各种攻击者的网络活动：
- 基于俄罗斯的攻击者APT28(又名Fancy Bear)一直针对乌克兰用户使用新的恶意软件变体，通过电子邮件附件在密码保护zip文件内分发
- 组织再次观察到基于俄罗斯的威胁攻击者COLDRIVER的活动
- 据谷歌，钓鱼邮件已发送给包括政府官员、政治家、非政府组织和记者在内的目标
- 基于中国的攻击者Curious Gorge继续其长期针对俄罗斯和乌克兰多个政府、制造、军事和物流组织的活动
- 谷歌观察到基于俄罗斯的攻击者Turla的网络攻击，针对波罗的海国家并试图破坏该地区的国防和网络安全组织
- 最后，谷歌报告白俄罗斯威胁攻击者GhostWriter仍然活跃，并以其钓鱼攻击针对乌克兰公民

5月1日

英国外交、联邦和发展办公室(FCDO)基于政府资助的研究声称，关于乌克兰战争的俄罗斯虚假信息通过巨魔工厂传播
据FCDO，各种政治家的账户和英国、印度和南非的特定受众正成为目标
据英国专家，研究显示克里姆林宫的大规模虚假信息运动如何设计以操纵国际公众对乌克兰战争的看法

2022年4月

4月28日

与乌克兰国家银行计算机安全事件响应小组(CSIRT-NBU)合作，乌克兰计算机应急响应小组(Cert-UA)观察到针对各种乌克兰政府和其他组织的分布式拒绝服务(DDoS)攻击
为此目的使用了被入侵网站
网站通过将恶意JavaScript代码(BrownFlood)插入网站结构而受到入侵
结果，网站访问者向特定目标生成大量请求，在此情况下是各种乌克兰政府和其他组织

4月27日

微软发布报告，包含在俄罗斯和乌克兰战争期间观察到的俄罗斯网络攻击的细节
自俄罗斯入侵以来，微软观察到超过200起针对乌克兰组织和个人的网络攻击
据微软，其中一些攻击似乎与动能军事行动协调
发布报告(包括俄罗斯网络攻击的详细时间线)以帮助提高组织(包括关键提供商和中央政府)的弹性

4月22日

推出新邮票后，乌克兰国家邮政服务Ukrposhta遭受DDoS攻击
邮票显示一名乌克兰士兵对俄罗斯军舰莫斯科号(现已沉没)做出冒犯手势

4月21日

在CISA网站上，美国、澳大利亚、新西兰、加拿大和英国发布了关于俄罗斯犯罪和国家攻击者针对关键基础设施的网络活动的联合警告
此活动可能是对俄罗斯制裁和西方盟友及伙伴向乌克兰提供物质支持的一种报复形式

4月20日

与俄罗斯关联的恶意攻击者Shuckworm(又名Gamaredon和Armageddon)继续以乌克兰组织为目标
为此目的使用各种版本的恶意软件Backdoor.Pterodo
攻击频率意味着它仍然是该地区组织面临的主要网络威胁之一

4月19日

CERT-UA发布关于钓鱼邮件的警告，声称来自他们，主题为"Srochno!”
针对乌克兰组织的邮件包括.xls附件，其中包含宏
当宏激活时，它下载并运行感染计算机与Cobalt Strike Beacon恶意软件的文件

4月17日

活动黑客组织KillNet对欧洲各个机场、政府机构和运输组织的网站进行了DDoS攻击
这些攻击使一些组织的网站暂时不可用

4月12日

分析对乌克兰能源公司的攻击，网络安全公司ESET和乌克兰CERT-UA发现新的恶意软件Industroyer2，针对工业控制系统(ICS)
其他恶意软件片段，包括各种擦除器，也在攻击中使用
有关此恶意软件的更多细节，可访问ESET和CERT-UA网站
据ESET和CERT-UA，攻击成功避免

4月8日

拒绝服务攻击使芬兰国防部和外交部网站暂时不可用
攻击约中午开始，正值乌克兰总统Zelenskyy向芬兰议会发表讲话

4月7日

微软宣布已能够破坏针对乌克兰的网络攻击
这些攻击由Strontium发起，这是一个与情报服务GRU有关联的俄罗斯国家攻击者
Strontium试图入侵乌克兰政府机构和媒体组织，还以欧盟和美国政府机构及外交政策智囊团为目标
为获得对受害者的访问权限，Strontium使用了七个恶意互联网域

4月4日

CERT-UA报告发现各种可能用于鱼叉式钓鱼攻击的恶意文件
文件有英文名称，并针对拉脱维亚的政府组织
CERT-UA将此攻击归因于UAC-0010(Armageddon)
同日，CERT-UA还报告乌克兰政府组织已成为Armageddon的目标，再次通过鱼叉式钓鱼攻击
目标收到声称包含 suspected 战犯个人详细信息的恶意文件

2022年3月

3月31日

谷歌发布关于基于俄罗斯的威胁攻击者COLDRIVER的博客文章，据称对包括北约部门在内的各种目标发起钓鱼活动
谷歌无证据表明这些尝试成功
该组织自2015年以来一直活跃，过去曾攻击各部委、非政府组织和记者等 various 目标

3月29日

由于对乌克兰互联网服务提供商Ukrtelecom的大规模分布式拒绝服务(DDoS)攻击，其客户的服务暂时不可用

3月28日

俄罗斯互联网提供商对Twitter的地址空间发起短暂BGP劫持
BGP公告最终影响很小，因为Twitter的BGP公告受RPKI保护

3月24日

美国司法部在周四 unsealed 的起诉书中声称，三名俄罗斯间谍花了五年时间 targeting 135个国家的能源基础设施，以使俄罗斯政府能够远程控制发电厂
在推特上，黑客组织Anonymous呼吁企业退出俄罗斯，给他们48小时这样做，否则将成为Anonymous的目标
该组织先前发布了俄罗斯公司的细节

3月23日

CERT-UA报告新的擦除器恶意软件称为Double Zero，通过.zip文件传播

3月22日

美国总统乔·拜登警告其国家的企业关于潜在的俄罗斯网络攻击，包括作为西方对俄罗斯制裁的回应

3月21日

CERT-UA警告InvisiMole的攻击，这是一个与俄罗斯高级持续威胁(APT)组织Gamaredon有关联的黑客组织

3月20日

黑客组织Anonymous警告西方公司与俄罗斯断绝关系，并威胁 targeted 行动

3月18日

Security Affairs发布关于破坏性Node-IPC包(恶意软件攻击)针对俄罗斯和白俄罗斯组织的信息

3月15日

乌克兰计算机应急响应小组(CERT-UA)报告钓鱼活动，其中以乌克兰政府名义发送群发邮件
攻击正使用Cobalt Strike、GrimPlant和GraphSteel发起
ESET研究人员在乌克兰还发现了名为Caddywiper的新擦除器恶意软件
擦除器恶意软件呈现为勒索软件，但受影响系统或文件无法恢复

3月11日

Anonymous在针对俄罗斯石油公司Rosneft德国子公司的网络攻击后泄露20太字节数据
回应中，德国情报服务BSI已向关键部门发出警告

3月8日

明镜周刊报告德国联邦信息安全办公室(BSI)，德国内政部的一个部门，正警告网络攻击，预计将针对关键基础设施
这是对德国自战争开始以来向乌克兰提供帮助的报复

3月3日

乌克兰安全局SSU报告黑客在地方政府网站上发布投降消息
SSU在推特宣布这是虚假信息，并敦促人们忽略这些消息
乌克兰驻英国大使 also 推特表示官方网站和电子邮件因网络攻击而无法工作

3月2日

乌克兰政府敦促科技公司断绝与俄罗斯的业务联系
各种科技公司停止向俄罗斯提供部分或全部服务
网络安全公司Proofpoint报告 various 国家攻击者针对欧洲政府组织的鱼叉式钓鱼活动
该活动似乎是威胁攻击者试图获取关于乌克兰难民接待和迁移信息的尝试

3月1日

Wordfence研究人员报告 numerous 乌克兰大学网站在入侵开始时被黑客攻击
Wordfence将攻击归因于 known 为"theMxOnday"的组织
该组织公开表达支持俄罗斯与乌克兰的冲突

2022年2月

2月28日

白俄罗斯网络游击队声称对白俄罗斯铁路进行了网络攻击，以阻碍俄罗斯部队转移
考虑最新发展，NCSC发布了行动视角和威胁特定措施
此时，未观察到对荷兰或其利益的数字攻击

2月27日

相比之下，勒索软件竞争对手Lockbit报告在战争中保持中立，且 exclusively 出于经济动机

2月26日

乌克兰数字转型部长呼吁全球黑客与"乌克兰IT军队"结盟

2月25日

勒索软件组织Conti在公开声明中宣布与俄罗斯结盟
为支持俄罗斯，Conti威胁攻击反对俄罗斯国家的关键基础设施

2月24日

俄罗斯部队入侵乌克兰后， various 非国家行为者介入冲突
同晚，黑客集体Anonymous向俄罗斯宣战
与此集体连接的志愿者随后声称通过DDoS攻击使各种俄罗斯政府和媒体网站瘫痪
还声称获取了俄罗斯国防部的敏感数据
这些声称不能总是验证，可能导致不确定性和混乱

2月23日

各种方报告在乌克兰系统中观察到的新擦除器恶意软件
其中，ESET、Symantec和SentinelOne发布了他们的分析
恶意软件被称为HermeticWiper
与1月13日和14日早期观察到的WhisperGate擦除器活动有功能相似性
新擦除器的目标是损坏新文档并防止计算机系统启动
此新恶意软件似乎比先前活动中使用的擦除器恶意软件操作更彻底
迄今，无迹象表明此新擦除器具有任何可能导致蠕虫的功能，通过网络耦合系统可能被感染

2月21日

乌克兰CERT-UA发布了关于恶意活动的网站报告，他们将其与攻击者Buhtrap相关联
恶意软件活动本意是获取受害者计算机网络中的位置
2月23日，对乌克兰目标进行了严重DDoS攻击
各种政府网站暂时受限或完全不可用
其中，各个部委的网站成为目标
同时，报告了多个钓鱼活动

2月15日

对乌克兰不同目标进行了各种网络攻击
其中，报告了DDoS攻击(分布式拒绝服务)，针对在线服务或支持服务器和网络设备的容量
国防部和乌克兰两家国家银行受到打击
发生了另一个短信活动，报告ATM出现技术故障
乌克兰官方当局报告这是虚假信息
据称不存在此类故障
此时，NSCS无具体线索表明针对荷兰组织的定向攻击与乌克兰当前局势相关

2022年1月

1月26日

乌克兰CERT(CERT UA)发布了关于 both 污损和恶意软件攻击的研究部分
在此研究中，检测到WhisperGate恶意软件和WhiteBlackCrypt勒索软件之间的巨大相似性
这些相似性将表明攻击者的意图是防止乌克兰自身 behind 网络攻击

1月15日

微软发布了关于针对乌克兰各种(政府)组织部署的WhispterGate恶意软件的博客
Whispergate是假装成勒索软件的擦除器软件，但缺乏任何恢复受影响系统或文档的可能性，这意味着文档 effectively 被擦除或操作系统变得无法使用
与2017年具有全球影响的NotPetya擦除器相比，WhisperGate恶意软件不包含无需人工中介即可传播的可能性
结果，观察到的WhisperGate恶意软件对荷兰构成 significantly 较低风险

1月14日

乌克兰安全局SSU发布了关于对各种政府行为者网站攻击的声明
网站上发布的消息以波兰语、乌克兰语和俄语的威胁语言报告乌克兰公民个人数据被窃，公民应"做最坏准备”
这种网站被涂鸦的攻击也称为"污损"
在SSU的后续声明中，很明显很可能对维护网站的供应商进行了供应链攻击，可能结合OctoberrCMS中的漏洞和Log4j
供应商在环境中具有 elevated 权限，以便可以修改网站
大规模攻击后，乌克兰国家CERT发布了针对 targeting 政府机构的其他活动的多个警告
此外，几家网络安全公司在乌克兰网络攻击后发布了研究
例如，Palo Alto Networks Unit42、Symantec和Microsoft对Gamaredon的活动进行了研究，也称为ACTINIUM
迄今，Gamaredon的活动未与1月14日的网络攻击相关联
Gamaredon是 well-known 的攻击者，迄今专注于乌克兰目标

行动视角

WhisperGate攻击或在乌克兰执行的其他攻击未导致所谓的"溢出效应"在荷兰发生。然而，建议按照NCSC的网络安全基本措施行动，并注意AIVD和MIVD出版物"国家行为者的网络攻击，停止攻击的七个时刻"。特别是，“分段网络"的基本措施可以帮助防止对耦合网络的攻击可能影响您的组织。NCSC继续密切 monitoring 发展，并在可能的情况下分享相关信息。