乌克兰报告揭示俄网攻最新动向：从破坏行动转向情报窃取

前情回顾·俄乌网络战发展形势

• 摄像头攻防战：俄乌战争前线正在进行的情报对抗隐蔽战线

• 俄导弹袭击致使乌克兰关基设施瘫痪，水电网中断近12小时

• 俄罗斯调整对乌网络战策略：从民用关基设施转向军事目标

• 乌克兰城市供暖系统遭网络攻击被关闭，大量居民在寒冬下停暖近2天

安全内参9月24日消息，乌克兰最新报告显示，俄罗斯在2024年上半年针对乌克兰的网络攻击策略中，倾向于间谍活动而非破坏行动，展现了莫斯科针对基辅网络攻击性质的演变。

2024年，网络战场发生了变化，俄罗斯黑客组织采用了更为隐秘和长期的策略。与前几年大规模的基础设施攻击不同，俄罗斯网络行动人员转向了间谍活动，主要针对军事和关键基础设施目标，以支援俄罗斯对乌克兰的持续战争。

虽然网络事件总体上有所增加，但严重程度较高的事件数量却有所下降。这一转变标志着策略上的变化，从广泛的破坏性网络攻击转向了更为集中和持续的渗透行动，其目的是收集情报。

攻击背后的数据

乌克兰计算机应急响应小组（CERT-UA）在9月23日发布报告，揭示了这一重点转移。

2024年上半年共发生了1739起网络事件，比2023年下半年增加了19%。然而，重大事件的数量下降了90%。2024年上半年仅报告了3起重大事件，远低于2023年下半年的31起。高危事件也大幅下降，降幅高达71%。而中低级别事件则分别增加了32%和75%。

这些数据表明，虽然网络攻击的总体频率有所增加，但攻击者的战术已经转向了较低调的活动，旨在避免引起注意。这些低危事件通常涉及恶意软件传播、间谍活动以及维持对被攻陷系统的访问，而不是造成即时的、可见的破坏。

针对性的间谍活动和隐秘行动

2022年和2023年，俄罗斯黑客集中攻击乌克兰的关键基础设施，试图瘫痪政府机构、能源供应商和互联网服务提供商。然而，乌克兰系统的快速恢复使这些攻击未能达到预期的长期目标。2024年，间谍活动的增加则显示出一种更加深思熟虑的策略。

今年，像UAC-0184和UAC-0020（即Vermin黑客组织）这样的团体尤其活跃。这些团体与俄罗斯情报部门有密切联系，专门从事网络间谍活动，常通过网络钓鱼攻击和恶意软件渗透乌克兰的敏感系统。

例如，UAC-0184利用Signal等即时通讯应用程序伪装成可信联系人，攻击乌克兰国防部队成员，分发恶意软件。一旦该恶意软件被部署，黑客便能够监控受害者的通讯、窃取数据，并对被攻陷的系统进行长期控制。

这种从公开破坏性攻击转向隐秘间谍活动的转变，标志着俄罗斯网络战略进入了一个新阶段。其关注重点从短期破坏转为长期情报收集，意在为军事行动提供支持。CERT-UA的报告还重点解释了黑客如何通过网络行动收集对动能军事打击（如导弹袭击）的反馈。

关键基础设施依然是重点

虽然间谍活动占据了中心位置，对乌克兰关键基础设施的攻击仍在持续。报告指出，自2023年下半年以来，乌克兰能源部门遭受的攻击增加了一倍多，黑客越来越多地瞄准用于电力、供热和供水设施的工业控制系统（ICS）。

2024年3月，UAC-0002组织发动了一次重大的供应链攻击。该组织与俄罗斯占领的卢甘斯克地区的执法部门有联系。黑客利用至少20家能源公司软件中的漏洞，入侵工业控制系统，并在网络内部进行横向移动。

这种供应链攻击通过攻击一个共同的服务提供商，从而入侵多个目标组织。在3月的这次事件中，UAC-0002攻击了三个供应链，向多家能源公司传播了恶意软件和后门程序。黑客使用诸如LOADGRIP和BIASBOAT等专门工具，成功获取了关键系统的访问权限，并可能进一步升级攻击，与对乌克兰基础设施的物理打击相配合。

聊天工具账号盗窃：网络攻击新趋势

2024年另一个显著趋势是即时通信账号盗窃的增加。像WhatsApp和Telegram这样广泛使用的通信平台，成为了俄罗斯黑客的主要目标。

例如，UAC-0195小组使用网络钓鱼活动攻击了数千个即时通信账号。这些被攻陷的账号随后被用于一系列恶意活动，包括传播恶意软件、进行间谍活动以及实施金融诈骗。

在一个案例中，黑客假扮为一项纪念一位乌克兰阵亡士兵的请愿活动组织者，诱导受害者访问一个伪装成乌克兰总统官方网站的假网站，要求用户通过WhatsApp认证。这种网络钓鱼策略使黑客能够将其设备添加到受害者的WhatsApp账号中，从而获取个人消息、文件和联系人。

这一策略也延伸到了Telegram，黑客通过类似的方法诱导用户参与“艺术竞赛投票”，再次获得了未经授权的账号访问权限。通过这些账号访问，黑客可以冒充账号持有者，进一步传播网络钓鱼链接，甚至从高价值目标中窃取敏感信息。

这些最新发现是在乌克兰刚刚禁止在任何政府、军队或关键基础设施相关设备上使用Telegram信使应用几天后公布的。这一果断行动是出于对其在网络间谍活动中脆弱性的日益担忧。9月19日，乌克兰国家网络安全协调中心（NCSCC）开会，强调了这款广泛使用的应用如何从言论自由的工具转变为战争武器。

网络钓鱼攻击和恶意软件传播

网络钓鱼仍然是俄罗斯黑客的重要工具。

2024年初，UAC-0006，一个以金融为动机的组织，继续其针对财务部门员工的网络钓鱼活动。这些活动经常使用多语言档案（即根据使用的软件不同，显示为不同内容的文件）来传播像SmokeLoader这样的恶意软件。

一旦部署，SmokeLoader允许攻击者安装其他恶意软件，如TALESHOT，当银行应用程序打开时，它会截取屏幕截图。这种恶意软件使黑客能够更深入地了解受害者的活动，并访问重要的财务数据。在某些情况下，黑客甚至编辑或创建虚假发票，以从目标组织中窃取资金。

UAC-0006组织在2024年3月短暂暂停了行动，但在5月重新展开了攻击。它们注册了新的域名以继续网络钓鱼活动，并重新控制之前被攻陷的系统。

乌克兰的网络弹性

尽管网络攻击数量增加，乌克兰的网络防御展现了显著的弹性。CERT-UA与国家特殊通信和信息保护局（SSSCIP）合作，在应对这些威胁方面取得了重大进展。他们的努力使得高危事件大幅减少，尽管总体攻击数量在上升。

报告将这种成功归功于增强的可见性和与国际合作伙伴的合作。检测能力的提高，加上各组织的更好意识，使得乌克兰能够更快速地应对新兴威胁。这种合作包括与CERT-UA的合作伙伴共享网络威胁情报，这有助于识别并减轻大量攻击。

然而，报告也警告，随着战争的持续，俄罗斯黑客的能力也在不断增长。供应链攻击的复杂性日益增加，以及持续的网络钓鱼攻击威胁，意味着乌克兰的网络防御策略将一再面临考验。

参考资料：https://thecyberexpress.com/russia-h1-2024-cyber-offensive-strategy/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。