乌克兰国家特别通信和信息保护局(SSSCIP)9月19日发布了一份分析报告《俄罗斯网络行动》(2024年上半年)。该报告对该局发现的网络威胁进行了全面分析,并对2024年上半年出现的对手趋势提供了见解。该报告将使乌克兰网络安全专家受益,因为它提供了有关俄罗斯黑客动机、能力、目标和未来可能采取的行动的见解。此外,它还可以让国际专家界了解可能影响其国家基础设施的潜在网络威胁。在2024年上半年的趋势中,针对乌克兰中央和地方政府的网络攻击显着增加。事实上,针对安全、国防和能源部门的网络事件数量增加了一倍以上。黑客的能力在不断提升。敌人试图以任何方式窃取关键信息,这使得乌克兰军队和国家机构成为敌对网络攻击的首要目标。网络钓鱼和恶意软件是网络间谍活动的主要工具。因此,不断提高公众对网络卫生基本原则和当前威胁的认识对于打击这些攻击至关重要。敌人的另一个目标是通过动能和网络手段摧毁关键基础设施,破坏乌克兰的稳定。俄罗斯的网络攻击虽然比弹道导弹便宜,但可能会造成同样毁灭性的破坏。
报告认为,2024年俄乌网络战场发生了变化,俄罗斯黑客组织采取了更加隐蔽和长期的战略。与前几年大规模的基础设施攻击不同,俄罗斯网络特工转向了间谍活动,重点关注军事和关键基础设施目标,以支持他们与乌克兰的持续战争。虽然网络事件总体上有所增加,但严重程度较高的攻击数量有所下降。这一转变标志着一种战略变化,即从广泛的破坏性网络攻击转向更有针对性和持续性的渗透行动,旨在收集情报。
![乌克兰报告:2024年上半年俄罗斯网络攻击战略更倾向于间谍活动]( "乌克兰报告:2024年上半年俄罗斯网络攻击战略更倾向于间谍活动")
![乌克兰报告:2024年上半年俄罗斯网络攻击战略更倾向于间谍活动]( "乌克兰报告:2024年上半年俄罗斯网络攻击战略更倾向于间谍活动")
乌克兰计算机应急响应小组当地时间9月23日发布的一份报告揭示了这一重点转移。2024年上半年共发生1,739起网络事件,比2023年下半年增长了19%。然而,严重事件的数量下降了90%,2024年上半年仅报告了3起,而2023 年下半年报告了31起。高严重程度事件也急剧下降,下降了71%,而中严重程度和低严重程度事件分别增加了 32%和75%。
这些数据表明,尽管网络攻击的总体频率有所增加,但攻击者的策略已转向低调活动,以避免被发现。这些低严重性事件通常涉及恶意软件分发、间谍活动以及维持对受感染系统的访问,而不是造成直接、可见的损害。
2022年和2023年,俄罗斯黑客专注于破坏乌克兰的关键基础设施,旨在使政府机构、能源供应商和互联网服务提供商(ISP)陷入瘫痪。然而,乌克兰系统的迅速恢复意味着这些攻击未能实现其预期的长期目标。2024年转向间谍活动反映了一种更加精心策划的方法。
UAC-0184和UAC-0020(又名Vermin黑客组织)等组织今年特别活跃,它们都与俄罗斯情报部门有联系。这些组织专门从事网络间谍活动,使用网络钓鱼活动和恶意软件来获取敏感系统的访问权限。
例如, UAC-0184通过Signal等通讯应用攻击乌克兰国防军成员,冒充可信联系人来传播恶意软件。一旦部署恶意软件,黑客就可以监视通信、窃取数据并对受感染系统保持长期控制。
从公开攻击转向间谍活动也标志着俄罗斯网络战略进入新阶段。现在的重点不是立即造成破坏,而是收集情报以支持军事行动。CERT-UA 的报告重点介绍了黑客如何利用网络行动收集动能军事打击(如导弹袭击)的反馈。
尽管间谍活动已成为焦点,但对关键基础设施的攻击仍在继续。报告指出,自2023年下半年以来,对乌克兰能源部门的攻击增加了一倍以上,黑客越来越多地瞄准电力、热力和供水设施使用的工业控制系统(ICS)。
UAC-0002组织与俄罗斯占领的卢甘斯克的执法部门有联系,该组织于2024年3月发动了一次重大供应链攻击。黑客利用至少20家能源公司使用的软件中的漏洞,获取了ICS的访问权限并利用它在网络内进行横向移动。
这种供应链攻击允许黑客通过针对一个共同的服务提供商同时入侵多个组织。在3月份的事件中,UAC-0002针对了三个供应链,用恶意软件和后门感染了多家能源公司。攻击者使用专门的软件(如LOADGRIP和BIASBOAT)来访问关键系统并升级攻击,可能是为了补充对乌克兰基础设施的物理攻击。
网络钓鱼仍然是俄罗斯黑客的主要工具。2024年初,以经济利益为目的的UAC-0006组织继续针对财务部门员工进行网络钓鱼活动。这些活动通常使用多语言档案(根据打开它们的软件而显示不同的文件)来传播 SmokeLoader 等恶意软件。
一旦部署,SmokeLoader允许攻击者安装其他恶意软件,例如TALESHOT,它会在银行应用程序打开时截取屏幕截图。这种恶意软件使黑客能够更深入地了解受害者的活动并访问关键的财务数据。在某些情况下,黑客甚至会编辑或创建虚假发票以窃取目标组织的资金。
UAC-0006组织于2024年3月短暂暂停运营,但于5月再次卷土重来,注册新域名以继续进行网络钓鱼攻击并重新控制之前受到攻击的系统。
2024年的另一个值得注意的趋势是人们越来越关注Messenger帐户盗窃。乌克兰公民广泛使用的WhatsApp和 Telegram等平台已成为俄罗斯黑客的主要目标。
例如,UAC-0195组织利用网络钓鱼活动入侵了数千个Messenger账户。这些被入侵的账户随后被用于一系列恶意活动,包括传播恶意软件、进行间谍活动和实施金融诈骗。
有一次,黑客冒充了纪念阵亡乌克兰士兵请愿活动的组织者。他们将受害者引导到一个模仿乌克兰总统官方页面的虚假网站,该网站要求用户通过WhatsApp进行身份验证。这种网络钓鱼策略允许黑客将他们的设备添加到受害者的WhatsApp帐户,从而获取个人信息、文件和联系人的访问权限。
这种策略延伸到了Telegram,黑客使用类似的方法诱骗用户在艺术比赛中“投票”,再次获得对账户的未经授权的访问权限。有了这种访问权限,黑客可以冒充账户持有人,传播进一步的网络钓鱼链接,甚至窃取高价值目标的敏感信息。
最新调查结果公布前几天,乌克兰禁止在任何政府、军事或关键基础设施相关设备上使用Telegram通讯应用程序。这一决定性举措是在人们越来越担心该应用程序易受网络间谍攻击之后做出的。NCSCC于9月19日召开的会议强调了这款广泛使用的应用程序如何从言论自由工具转变为战争武器。
尽管网络攻击数量不断增加,乌克兰的网络防御却表现出了非凡的韧性。CERT-UA与国家特殊通信和信息保护局 (SSSCIP)合作,在防御这些威胁方面取得了重大进展。他们的努力使高严重性事件急剧减少,尽管总体攻击数量有所增加。
报告将这一成功归功于提高知名度和与国际合作伙伴的合作。增强的检测能力,加上组织之间更好的意识,使乌克兰能够更快地应对新出现的威胁。这种合作包括与CERT-UA的合作伙伴共享网络威胁情报,这有助于识别和缓解众多攻击。
然而,报告也警告称,随着战争的持续,俄罗斯黑客的能力不断增强。供应链攻击日益复杂,网络钓鱼活动持续存在,这意味着乌克兰的网络防御战略将一次又一次受到考验。
1、https://thecyberexpress.com/russia-h1-2024-cyber-offensive-strategy/
2、https://cip.gov.ua/en/news/cyber-operations-rf-h1-2024-report
原文始发于微信公众号(网空闲话plus):乌克兰报告:2024年上半年俄罗斯网络攻击战略更倾向于间谍活动
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3200846.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论