俄乌网络对抗时间线及对抗过程研究

阅读：28

一、背景及攻击时间线梳理

2022年2月24日，乌克兰地区的军事冲突爆发，俄罗斯、乌克兰以及各幕后势力的较量吸引了全世界的目光。随着事件发展，这场现实世界中的冲突，史无前例地影响到了网络空间中的方方面面。绿盟科技伏影实验室基于绿盟科技全球威胁狩猎系统、威胁追踪系统的研究成果，梳理了发生在东欧地区的网络冲突并整理时间线：

针对乌克兰地区的网络攻击活动是一场持续且持久的APT攻击活动，从2021年4月起，绿盟科技伏影实验室就已经捕获到APT组织Lorec53（洛瑞熊）、Gamaredon针对乌克兰政府机构的钓鱼攻击活动，并且发现针对乌克兰关键政府目标的APT攻击活动数量在2021年7月至8月的时间段内达到顶峰，一直持续至2022年2月冲突爆发。这些攻击活动以大规模网络钓鱼为主，攻击目标全面覆盖乌克兰政府、国防部、军队、国有企业，以及其他重点设施。

2022年1月13日-2022年1月14日，乌克兰网站遭受破坏，70 多个乌克兰政府网站被涂满了政治图像和俄语、乌克兰语和波兰语的声明。

2022年1月15日，微软披露攻击者针对性的向乌克兰政府部门投递数据擦除器恶意软件WhisperGate，该软件意图为直接破坏受害者主机MBR内容，瘫痪相关设备。

2022年1月31日，乌克兰CERT称有本国公务人员受到SaintBot 和 OutSteel恶意程序的攻击，经绿盟科技伏影实验室研判，该攻击活动由APT组织Lorec53（洛瑞熊）发起。

2022年1月31日，赛门铁克发布文章称Gamaredon APT组织对乌克兰发起网络攻击。

2020年2月15日，乌克兰遭受大规模DDoS攻击，影响范围包括银行、政府与网络服务提供商。

2022年2月23日，ESET披露攻击者使用新的数据擦除器恶意软件HermeticWiper对乌克兰政府再次攻击，影响了大量的网络设备。

2022年2月26日，乌克兰组建“IT志愿军”组织发起针对俄罗斯的网络攻击，攻击形式包括DDoS攻击、僵尸网络攻击等。

2022年2月26日，俄罗斯卫星社报道，“匿名者”黑客组织发动大规模DDoS攻击，造成克里姆林宫、俄罗斯国防部、外交部等多个政府网站完全无法访问。

2022年3月1日，俄罗斯开始对“IT志愿军”组织进行反击，创建虚假Telegram频道并投放伪装为DDoS攻击工具的RAT，反击意图加入“IT志愿军”组织的人员。

2022年3月1日，Conti勒索软件代码泄露，乌克兰对Conti组织支持俄罗斯的行为发起报复行动。

二、俄乌网络对抗分析

通过对俄乌网络对抗进程的分析，我们认为俄乌网络对抗可以分为三个阶段，一是情报搜集阶段，二是认知作战阶段，三是攻击对抗阶段。其中第二阶段和第三阶段均为持续状态，贯穿整个对抗活动。

2.1 情报搜集阶段

情报搜集阶段主要以针对对抗目标进行情报搜集为主，采集目标网络设施的真实网络地址、网络资源情况、网络拓扑结构、敏感信息存放位置、高价值系统的运作机制等信息。搜集行为往往以APT攻击活动的形式展现。

APT攻击活动具有强目的性，高隐匿性以及持续性的特性，通过持续对目标的渗透和侵入，将不断接近目标的核心区域，这一特性在俄乌网络对抗的过程中可以清晰的观察到。

根据绿盟科技全球威胁狩猎系统、威胁追踪系统监控结果，自2021年4月，Lorec53组织、Gamaredon组织开始针对乌克兰的政府部门、军事目标、外交部门、媒体等进行攻击。

2021年乌克兰地区的冲突围绕能源争端，攻击者主要瞄准政府、法务部门及外交部门，在乌克兰频繁接触北约、美国等国际组织和国家后，攻击者主要针对外交部门进行攻击，在2022年开启战争之前，攻击者转向军警，新闻媒体进行攻击。攻击者的攻击目的与物理世界的政治活动与进展一一对应。

由绿盟科技伏影实验室披露的攻击活动研究报告如下：

《APT组织LOREC53（洛瑞熊）近期针对乌克兰的大规模网络攻击活动》：http://blog.nsfocus.net/apt-lorec53-20220216/

《LOREC53组织分析报告——攻击组件部分》：http://blog.nsfocus.net/lorec53-nsfocus/

《LOREC53组织分析报告-攻击活动部分》：http://blog.nsfocus.net/lorec-53/

《俄罗斯APT组织Gamaredon近期在乌克兰·卢甘斯克地区的网络钓鱼活动》：https://mp.weixin.qq.com/s/_3DPj9N3nLhDqlWrqsUcfw

《俄罗斯APT组织Gamaredon对乌克兰外交部发起网络钓鱼攻击活动》https://mp.weixin.qq.com/s/jdMsvLamCDJbfErLNgRjLA

《俄乌网络对抗：乌克兰民间网军ITW被钓鱼》：http://blog.nsfocus.net/itw-privatbank/

2.2 认知作战阶段

在对抗的第二阶段，进入到认知作战阶段，通过线上论坛、线下媒体的形式全方位的渲染战争氛围，强调一方对另一方的入侵活动等。通过封锁媒体播放渠道，掌控世界话语权，渲染以强欺弱氛围，将军事活动定义为入侵攻击，占据舆论制高点。通过对舆论掌控，迫使进攻一方放弃战果，实现认知作战的目标。

2.2.1 战争氛围渲染

2022年1月起，西方媒体“全力开火”，不断渲染战争威胁，从各个角度渲染乌克兰即将遭受军事打击，并不断对俄罗斯进行抨击、警告，要求俄罗斯不得对乌克兰发起军事活动。以下是“战争氛围渲染”期间媒体消息时间线：

1、2022年1月4日CNN称北约官员将在俄罗斯沿其与乌克兰边境的军事集结期间举行“特别”会议。

2、2022年1月7日美国国务卿安东尼·布林肯 (Andrew Harnik/Reuters) 说，“我们准备对俄罗斯的进一步侵略作出有力回应”。

3、2022年1月9日CNN发布标题为”在 GPS 上：俄罗斯会在 2022 年入侵乌克兰吗？”的新闻。

4、2022年1月11日美国必须准备在乌克兰问题上与俄罗斯开战。

5、2022年1月 13日 美国警告俄罗斯正在对乌克兰发出“战争的鼓声”，因为危机谈判没有取得突破。

6、2022年1月15日 白宫：俄罗斯为入侵乌克兰准备借口。

7、2022年1月23日CNN发布 “普京会入侵乌克兰吗？”

8、2022年2月1日-2月16日，西方媒体持续散播2月16日俄罗斯将发起针对乌克兰的军事行动。

9、2022年2月13日，多个西方国家发出警告，要求在乌国民尽快离境。

10、2022年2月24-28日，多个媒体轮番报道联合国大会中，乌克兰的各项提议以及俄乌冲突的协商信息，引导人们相信乌克兰处于弱势地位，博取同情。

2.2.2 发声渠道封锁

2月底，在英国政府的要求下，Facebook、Youtube等西方媒体对俄罗斯媒体进行“封杀”，不再允许欧盟和英国的人员访问RT（今日俄罗斯）、Sputnik（卫星通讯社）、RIA（俄新社）等俄罗斯媒体新闻。

2022年3月3日，Facebook封锁了红星电视台（Zvezd）、俄罗斯新闻社、俄罗斯卫星通讯社以及“今日俄罗斯”、Lenta.ru和Gazeta.ru等俄罗斯网络媒体的账户。

作为反制手段，俄罗斯建立国家反谣言网站，滚动播放西方媒体在特别军事行动期间散播的不实新闻及描述。

2022年3月4日，俄联邦通信、信息技术和大众传媒监督局（以下简称俄媒体监管机构）当天发布通告，限制俄境内访问部分外国媒体机构网站，这其中包括被俄罗斯认定为外国代理人的“美国之音”、拉脱维亚美杜莎新闻网（Meduza）、“自由欧洲”电台，以及英国广播公司、“德国之声”等。

4日晚些时候，俄媒体监管机构又相继宣布，在俄境内封锁美国社交媒体巨头脸书（Facebook），并限制对推特（Twitter）的访问。

2.3 攻击对抗阶段

在攻击阶段，参与对抗的两方均以破坏目标系统能力为目标。现有对抗形式包括利用勒索软件破坏对方数据存储，导致对方网站和服务无法对外提供服务；使用DDoS攻击活动阻止网站对外提供服务等。在俄乌网络对抗阶段中乌克兰一方的网络攻防能力远不及俄方，因此出现了乌克兰政府通过社区号召民间组织力量参与俄乌网络对抗的情况。

2.3.1 摧毁性网络打击活动

2022年1月15日，微软披露WisperGate发起针对乌克兰政府部门的攻击活动。攻击者将WisperGate木马植入到了多个乌克兰政府和信息技术相关组织目标的主机中。绿盟科技伏影实验室对WisperGate木马进行分析发现，虽然该木马会在运行后显示勒索和赎金相关信息，但木马的实际功能为直接覆盖受害主机中所有文件的内容，是典型的数据破坏型木马。

2022年2月14日，绿盟科技全球威胁狩猎系统监测到了针对乌克兰的异常DDoS流量，同时，系统发现了针对金融网站的攻击，致使银行无法正常提供服务。2月15日，国外媒体即报道了此次DDoS攻击事件。

攻击者首先在2月14日的凌晨4点针对乌克兰国家公务员事务局（nads.gov.ua）与乌克兰政府新闻网站（old.kmu.gov.ua）发动了反射型DDoS攻击，攻击持续时间长，攻击流量大，2月16日，监测系统又监测到了针对Privatbank（乌克兰最大的银行）的攻击事件，连续攻击时长达2小时28分10秒。攻击者在攻击过程中使用的攻击Payload特征符合各服务协议的既定规范，主要针对目标的80与443端口，目标明确，具有较强的针对性。

在2月16日凌晨2点25分，绿盟科技全球威胁狩猎系统监测到针对Privatbank（乌克兰最大的银行）的DDoS攻击，在2小时28分10秒内攻击次数达267W次，攻击频率达290 pps。

2022年2月23日，安全公司ESET披露了由HermeticWiper发起的针对乌克兰的攻击活动。HermeticWiper的主要功能为利用EaseUS驱动程序破坏受害者主机磁盘的MBR、MFT、关键位置文档等内容，从而直接使主机无法运行。后续调查中，分析人员发现了一种用于传递该擦除器木马的HermeticWizard蠕虫，以及一种名为HermeticRansom的勒索软件。

2月25日Anonymous（匿名者）组织于2月25日利用Twitter账号@YourAnonOne发表推文表示Anonymous组织集体正式与俄罗斯政府展开网络战，并于2月25日当天下午发表推文表示其已经攻陷俄罗斯国防部网站。

2022年2月26日-2022年3月7日，仍不断有各个攻击组织加入到了俄乌网络对抗活动中。

2022年3月1日，绿盟科技全球威胁狩猎系统监控发现，攻击者通过冒充“IT ARMY of Ukraine”的Telegram组群进行钓鱼，向上万名成员发送钓鱼文件。

“IT ARMY of Ukraine”组群

这个伪造的组群同样名为“IT ARMY of Ukraine”，对应地址为https://t.me/itarmyukraine2022，与原组群地址（https://t.me/itarmyofukraine2022）仅有两个字母的差异。组织者在群组内发布了多个黑客工具，包括一个名为“ddos-reaper.zip”的文件。发布者通过宣传该工具的DDoS攻击功能，诱导组群组内成员使用。经分析，该工具实际上是一个窃密软件，当使用者运行该工具后，自身信息就会被泄露给攻击者。

2.3.2 民间攻击者组织活动

随着俄乌网络冲突发展，大量民间黑客组织通过社交媒体等渠道发表了公开言论，表示对某一方的支持并宣告将来的攻击活动。伏影实验室观测发现，在安全社区中找到了Cybernow制作的表格可以清晰地展示各个民间攻击者组织的倾向、地理位置、攻击方式和方法等信息。

根据上述表格，找到各个组织公布的支持信息如下：

2月25日PuckArks组织发推文表示其支持乌克兰。

#Anonymous #OpKremlin #OpRussia stand up for the Ukrainian people and stop the oppressive tactics of #Russia #RussiaUkraineConflict #RussiaUkraine calling on all hackers and activists to stand as one and take down their internet and grid. pic.twitter.com/iDqUBcQxXi

— ❤️??‍☠️PuckArks ?‍☠️?❤️ (@PucksReturn) February 24, 2022

2月25日 GrenXPaRTa_9haan发推文表示支持乌克兰。

Everyone should learn a lesson from this painful situation in front of the world's eyes. What do you think will happen if you stay silent about this situation? You may fall into the same situation. I invite everyone to do their part.#StopWar #UkraineRussia ?? pic.twitter.com/kHYMz9Y4L9

— GrenXPaRTa_9haan™ (@gren_siahaan) February 25, 2022

2月25日LiteMods发推文表示其支持乌克兰

Our Discord server is open to the public! https://t.co/wCv0IyE3px

Mainly currently people are discussing about #Russia vs #Ukraine

— Anonymous (@LiteMods) February 25, 2022

2月26日Anon Liberland & PWN-BAR、IT_G33Ks、DeepNetAnon NEW发推文表示支持乌克兰，并对俄罗斯发起网络攻击。

Some more groups are now active – #anonymous #liberland and #pwnbar hack team.

Have leaked military data from #belarus #cybersecurity #infosec #threatintel #Ukraine #RussiaUkraineWar pic.twitter.com/WeTKnZ2svz

— CyberKnow (@Cyberknow20) February 26, 2022

next target is @SputnikInt ! With your fake propaganda you are fooling your own people … #RussiaUkraineConflict #Ukraine #WARINUKRAINE #Anonymous

— IT_G33ks for Anonymous (@0x0g33ks) February 26, 2022

Intercepted Russian military communications.

Frequency of 4220 KHz USB. #Ukraine #OSINT pic.twitter.com/DM0zzdMbTF

— Anon ? (@DeepNetAnon) February 26, 2022

2月27日NB65、N3UR0515、Belarusian Cyper Partisans、AnonGh0st发推文表示支持乌克兰，并对俄罗斯发起网络攻击。

#Anonymous is not alone. NB65 has officially declared cyber war on Russia as well. You want to invade Ukraine? Good. Face resistance from the entire world. #UkraineWar

All of us are watching. All of us are fighting.

— NB65 (@xxNB65) February 27, 2022

Let's get this rolling. #Ukraine needs us. #Russia Expects us. #CyberSecurity #CyberWarfare #fuckputin #ITArmyofukraine https://t.co/dZ7aaPF3eo

— N3UR0515 (@Ur0515N3) February 26, 2022

https://mobile.twitter.com/cpartisans/status/1497930273425661958

In the name of #Anonymous and #OpRussia here is some data for Russian CCTV Address.
Russian CCTV:https://t.co/769CB8J46l@YourAnonOne @YourAnonRiots @YourAnonNews @AnonymousPress @AnonyOps @LiteMods @LorianSynaro @JTSEC13 @wond3rghost @0xGundala #OpRussia #UkraineRussiaWar pic.twitter.com/DHy7AE3dJv

— AnonGh0st (@JoanneHuggins6) February 27, 2022

2月28日Ghostsec 、KelvinSecurity HackingTeam、RaidForums Admin、GNG、RaidForums2、ContiLeaks、GhostClan、RootUser、FreeUkraineNow、1LevelCrew、Hydra UG发推文表示支持乌克兰，并对俄罗斯发起网络攻击。

To the brave men and women of @Ukraine we stand with you in solidarity. You are a beacon of hope and change to the world. Give @Russia hell! #StandWithUkriane #GhostSecGroup pic.twitter.com/5JYzfD8cBH

— Ghost Security Group™ (@GhostSecGroup) February 27, 2022

Priv8 Hacking Tool – RT Rusia News Hacking https://t.co/hoQiLNor0Y

– Domain Down
– Explotation Tools Disclosure Emails Users
– Vulnerability: IDOR Explotation
– 1800 users disclosure

Script: https://t.co/CRhWP5UZX4
Leak : https://t.co/SX5YWhgTxF#Ukraine #rusia #priv8 pic.twitter.com/0DiqbiE5KY

— kelvinsecurity (@Ksecureteamlab) February 27, 2022

The admin of #raidforums2 claims that their members are targeting #russian websites in support of #ukraine.

No idea about the China comment included in the statement.#cybersecurity #ThreatIntelligence #infosec #cyberattacks #UkraineRussiaWar pic.twitter.com/QtuRpjTYes

— CyberKnow (@Cyberknow20) February 27, 2022

Hacking group GNG, affiliated with #Anonymous hacks and leaks database of #Russia's SberBANK in support of Ukrainian people. [thread in quoted tweet with data breach link]https://t.co/a0vXUizEpo

— Anonymous (@YourAnonNews) February 28, 2022

The admin of #raidforums2 claims that their members are targeting #russian websites in support of #ukraine.

No idea about the China comment included in the statement.#cybersecurity #ThreatIntelligence #infosec #cyberattacks #UkraineRussiaWar pic.twitter.com/QtuRpjTYes

— CyberKnow (@Cyberknow20) February 27, 2022

conti jabber leaks https://t.co/0FzXiXhI2d

— conti leaks (@ContiLeaks) February 27, 2022

https://t.me/s/dilagrafie

Hackers from ?? Morocco hack in support of Ukraine people.https://t.co/tTNEzzEqxW Hacked by Hamza#OpRussia #Anonymous #FreeUkraine ?? #UkraineRussiaWar #dilagrafie pic.twitter.com/soH5lvfGPP

— d̸?????????★ ????? ????? (@dilagrafie) February 28, 2022

https://mobile.twitter.com/youranongroups/status/1498072819858558977

ATTENTION #nftart collectors! Show your support for Ukraine and build your collection with new Ukraine-inspired NFTs for charity! 50% of proceeds go directly to the Ukrainian struggle.#Ukraine #FreeUkraine #NFT https://t.co/1eEoQceDM3

— Art For Ukraine | FREE UKRAINE NOW! (@NFTsFreeUkraine) February 28, 2022

TANGO DOWN – https://t.co/JCSYxqQb8y – Pension Fund of Russian offline. | #OpRussia #Anonymous

— 1LevelCrew (@1levelcrew) February 27, 2022

[LEAK] #OpRussia
We just find 2 huge excel files with information about 119,9k #RussianMilitary soldier #TangoDown

Link: https://t.co/7crnYX43NH#Ukrania #Anonymous pic.twitter.com/xHcp4HnNlP

— Hydra ? – UndegroundRelay #FreeUkraine (@Hydra_UG) February 28, 2022

3月1日DeepNetAnon、HydraUG 、BlackHawks、FIFA/UEFA、IT Army of Ukraine Pysops发推文表示支持乌克兰，并对俄罗斯发起网络攻击。

The Russians have now taken offline the second web server hosting a Software-Defined Radio receiver (used to interact with Radio Frequencies).

Too bad there's many more sites we can use. (;

— Anon ? (@DeepNetAnon) March 1, 2022

If they don't want to see us, They will hear us. ??#Anonymous #UkraineRussiaWar #OpRussia

Already 5804 websites attacked. #TangoDown https://t.co/heBZOCS76w pic.twitter.com/pwptyY3AxO

— Hydra ? – UndegroundRelay #FreeUkraine (@Hydra_UG) March 1, 2022

“https://twitter.com/PR_NHL/status/1498393869188313097

https://twitter.com/IIHFHockey/status/1498387598246621188”

FIFA/UEFA suspend Russian clubs and national teams from all competitions

▶️ https://t.co/Q2htzW3W9z pic.twitter.com/LFo1bUtqmm

— FIFA Media (@fifamedia) February 28, 2022

#itarmyofukraine#psyops
??❤️?? pic.twitter.com/8UkcdgMYAn

— IT ARMY OF UKRAINE PSYOPS (@MarcoPsyops) March 1, 2022

3月2日SHDWSec、Secjuice 、Shadow_Xor发推文表示支持乌克兰，并对俄罗斯发起网络攻击。

#Anonymous is a collective, a legion.
We are one,
And everyone.

There are many who tries to get personal gain out of the collective.
Remember, we are here for humanity.
Not for personal gains what so ever.#OpRussia #OpKremlin #Ukraine #SlavaUkraini

@ https://t.co/q470kYJYjW

— Anonymous (@shdwpnda) March 2, 2022

URGENT HELP NEEDED – We are building a missing person website to #HelpUkraine at the request of the @ITarmyUA, but we need help. We need a safe place to host the website where it can be protected from attacks so Ukraine can find their lost loved ones. https://t.co/qnTkvcpLq7

— Secjuice (@Secjuice) March 2, 2022

These files are Russian satellite information (GLONASS), data and location for 1 week. And yes, I attacked NATO member countries to find this, because all institutions are criminal.#Anonymous #OpRussia #AntiSec pic.twitter.com/pTsctxOsyJ

— ❌_NSAKEY❌ ? – ☭ (@shadow_xor) March 2, 2022

3月3日ECO、v0g3lSec、0zGUndala发推文表示支持乌克兰，并对俄罗斯发起网络攻击。

Ukraine is going through so much. Eco Den is sending all the love and prayers for the country. We stand with Ukraine?? #Ukraine #UkraineRussiaWar #UkraineRussianWar #UkraineInvasion #UkraineRussia pic.twitter.com/4k3jziwwa8

— Eco Den (@Eco_Den_4) March 3, 2022

Russian Space Agency Data Leak [Lunar Missions]
Download: https://t.co/S6zK4JsFVx

All the files are from a private service hosted by #Roscosmos #Ukraine #UkraineRussianWar #RussianUkrainianWar #leaked #Anonymous #UkraineInvasion @PucksReturn @AgainstTheWest2 @Cyberknow20 pic.twitter.com/j3R0Sn8O7j

— v0g3lSec (@v0g3lSec) March 3, 2022

3月4日Internet Forces of Ukraine、Monarch Turkish Hacktivists、Spot (ATW)、TrickbotLeaks、Red Queen(Frmer ATW)发推文表示支持乌克兰，并对俄罗斯发起网络攻击。

The #itarmyofukraine has launched the 'internet forces of Ukraine'. It's a platform to help inform #russians of the #UkraineRussianWar #Cybersecurity #infosec #threatintelligence pic.twitter.com/lgzDo8FTgD

— CyberKnow (@Cyberknow20) March 4, 2022

3月5日Blue Hornet (ATW)发推文表示支持乌克兰，并对俄罗斯发起网络攻击。

https://twitter.com/_Blue_hornet/status/1499823325719187457

3月7日NB65-Finland发推文表示支持乌克兰，并对俄罗斯发起网络攻击。

Tweets by xxNB65_Finland

3月7日TrickLeaks (new trickbots)组织在Telegram上表示支持乌克兰，并对俄罗斯发起网络攻击。

https://t.me/hackgit/3465

三、总结

俄乌网络对抗的进程从2021年就已经开始，为俄乌军事冲突历程写下了鲜明的注脚。俄乌双方网络力量在战前利用APT活动持续搜集乌克兰政府部门等重点设施的重要情报信息，在战时使用勒索软件、僵尸网络等发起数据破坏、DDoS等攻击行动，涵盖情报搜集、瘫痪设备、混淆认知等多种目的。在双方力量悬殊时，乌方还公开引入民间组织参与网络对抗，将网络对抗活动扩大到多个国家或组织，最终，多方势力共同将此次俄乌网络对抗推向顶峰。

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司（“绿盟科技”）。作为分享技术资讯的平台，绿盟科技期待与广大用户互动交流，并欢迎在标明出处（绿盟科技-技术博客）及网址的情形下，全文转发。
上述情形之外的任何使用形式，均需提前向绿盟科技（010-68438880-5462）申请版权授权。如擅自使用，绿盟科技保留追责权利。同时，如因擅自使用博客内容引发法律纠纷，由使用者自行承担全部法律责任，与绿盟科技无关。