谷歌報告揭示了俄羅斯在烏克蘭精心制定的網絡戰略

截止到2022年，俄羅斯支持的針對烏克蘭的網絡攻擊與2020年相比增加了250%，而針對北約國家的網絡攻擊增加了300%。這種驚人的激增是谷歌威脅分析小組 (TAG) 在2月 16日的一份報告《戰爭迷霧：烏克蘭沖突如何改變網絡威脅格局》中的發現之一，該報告與谷歌信任與安全和威脅情報公司 Mandiant 合作發布，現在是谷歌云的一部分。

谷歌在報告中發現，俄羅斯“在網絡空間獲得決定性的戰時優勢”的侵略性、多方面戰略實際上可以追溯到 2019 年。

網絡作戰的五個階段

在谷歌強調的第一階段（從2019年到2022年初），俄羅斯針對烏克蘭和北約成員國開展了網絡間諜活動，以及這家美國科技巨頭所謂的“預先定位”行動。

從2021年4月開始，即俄羅斯軍隊開始在烏克蘭邊境集結一個月后，俄羅斯高級持續威脅 (APT) 組織 UNC2589（又名 Frozenvista），“一個新的、可能的 GRU 演員”，開始對烏克蘭組織部署網絡釣魚攻擊，報告索賠。GRU 是俄羅斯武裝部隊總參謀部總參謀部的通用首字母縮寫詞，它是一個軍事情報機構。

其他幾家俄羅斯贊助商在整個2021年也紛紛效仿，包括 Fancy Bear（APT28，又名 Frozenlake）。

2022年1月中旬，一波破壞性的網絡攻擊開始了，包括 WhisperGate（又名 PayWipe）及其附屬公司 WhisperKill（又名 ShadyLook）等擦除器攻擊。

這些是俄羅斯軍隊開始對烏克蘭發動猛烈入侵時第二階段將要發生的事情。2月份的陸地推進伴隨著許多更具破壞性和破壞性的雨刮器攻擊。這一階段一直持續到4月，隨著幾個新的惡意軟件家族的出現，包括 PartyTicket 勒索軟件、擦除器 CaddyWiper 和 Industroyer 2，Industroyer 的更新版本，一種針對工業控制系統 (ICS) 的破壞性惡意軟件，被認為已被用于 2016 年 12 月對烏克蘭電網的網絡攻擊。

5 月，俄羅斯支持的威脅行為者進入第三階段，他們開始重復使用相同的惡意軟件（主要是 CaddyWiper）來攻擊烏克蘭和北約國家的實體。

據報道，這一階段一直持續到 7 月，隨后在 8 月和 9 月期間活動停滯。網絡攻擊于 10 月恢復，在第五階段，俄羅斯威脅行為者使用 CaddyWiper 以及其他新惡意軟件。

“從其事件響應工作中，Mandiant 觀察到 2022 年前四個月在烏克蘭發生的破壞性網絡攻擊比過去八年更多，攻擊在入侵開始時達到頂峰。許多行動表明 GRU 試圖在活動的每個階段平衡訪問、收集和中斷的競爭優先級，”報告中寫道。

多方面的戰略

綜上所述，俄羅斯在網絡空間的多管齊下的進攻方式包括：

①對烏克蘭政府、軍事和民用基礎設施的破壞性攻擊急劇增加

②針對北約國家的魚叉式網絡釣魚活動激增

③旨在進一步實現俄羅斯多個目標的網絡行動有所增加，例如針對敏感信息的黑客攻擊和泄密攻擊

報告顯示，一些攻擊者專注于特定類型的攻擊，例如 Frozenlake/Fancy Bear、Frozenvista 和白俄羅斯攻擊者 Puschcha (UNC1151) 對烏克蘭和北約國家進行網絡釣魚活動，以及 Coldriver（又名 Gossamer Bear）進行黑客攻擊和泄密針對烏克蘭和英國的運動。

然而，有一個組織 Frozenbarents（又名 Sandworm、Voodoo Bear），被谷歌稱為“GRU 最全能的運營商”對烏克蘭和北約國家發動了各種網絡攻擊。

“雖然我們看到這些攻擊者主要針對烏克蘭政府和軍事實體，但我們破壞的活動也顯示出對關鍵基礎設施、公用事業和公共服務以及媒體和信息空間的強烈關注。”報告中寫道。

該報告還指出，其中許多行動導致了“混合結果”。

一個很好的例子是Industroyer 2 試圖攻擊烏克蘭的能源部門，但似乎已經失敗了。

公開和秘密的虛假宣傳活動

除了這些直截了當的網絡攻擊之外，該報告還表明，俄羅斯一直在開展各種類型的信息運營 (IO) 活動，從臭名昭著的圣彼得堡“巨魔農場”開展的最公開的國家資助的虛假信息活動，互聯網研究機構 (IRA)，以及由俄羅斯咨詢公司 Krymskybridge 等附屬機構或與俄羅斯情報部門有聯系的團體開展的更隱蔽的活動。

谷歌聲稱它“在 2022 年中斷了超過 1950 次俄羅斯 IO 活動”，針對的是俄羅斯和外國觀眾。

展望未來，谷歌相信“俄羅斯政府支持的攻擊者將繼續對烏克蘭和北約伙伴進行網絡攻擊，增加破壞性和破壞性攻擊以響應戰場上的發展并越來越多地擴大到包括北約伙伴。

研究人員還認為，“有一定的信心，俄羅斯將繼續加快 IO 的步伐和范圍，尤其是在我們接近國際資助、軍事援助、國內公投等關鍵時刻。”