俄罗斯对乌克兰网络行动的演变与趋势分析

俄乌冲突自 2022 年 2 月 24 日爆发以来目前已进入第二年。随着战争的推进，俄方开展的网络攻击行动和网络认知战行动也在不断演进和变化。最近，国外多个智库和专业威胁情报分析团队对俄方一年来开展的网络行动进行了分析与总结，发布了多份相关报告，主要包括：2 月 16 日，谷歌威胁分析小组（TAG）发布《战争迷雾：乌克兰冲突如何改变网络威胁格局》报告；3 月 15 日，微软公司发布题为《一年来俄罗斯在乌克兰境内开展的混合战争》简报；4 月 17 日，德国科学与政治基金会（SWP）发布题为《俄罗斯针对乌克兰战争中的网络行动：迄今为止的运用情况、局限和经验教训》的报告；4 月 18 日，谷歌旗下网络安全公司曼迪昂特发布《2023 年趋势报告》，其中重点分析了俄罗斯针对乌克兰开展的网络行动以及围绕俄乌战争开展的信息操作情况，等等。上述报告的内容，对于观察和研究在混合战争中网络作战的样式、影响力等方面有较大的参考价值。

一

主要发现

关于俄罗斯政府支持的攻击者、信息行动和网络犯罪生态系统威胁行为者，谷歌报告有以下新发现：

1　俄试图在网络空间获得决定性战时优势

这包括各组织的重点转向乌克兰政府、军事和民用基础设施，破坏性攻击急剧增加，针对北约国家的鱼叉式网络钓鱼活动激增，旨在促进俄罗斯多个目标的网络行动有所增加。例如，观察到威胁行为者通过黑客攻击和泄露敏感信息来推进特定的叙事。

在战争爆发前夕，俄罗斯政府支持的攻击者从 2021 年开始加强了网络行动。相比 2020 年，俄罗斯对乌克兰用户的攻击在 2022 年增加了 250%。

同期，对北约国家用户的攻击增加了 300%以上。

2022 年，俄罗斯政府支持的攻击者针对乌克兰用户的攻击次数超过针对任何其他国家。虽然这些攻击者主要针对乌克兰政府和军事实体，但也显示出对关键基础设施、公用事业和公共服务以及媒体和信息空间的强烈关注。曼迪昂特观察到 2022 年前 4 个月在乌克兰发生的破坏性网络攻击较过去 8 年更具破坏性，攻击在战争开始时达到顶峰。虽然在那段时间后也发现了重大活动，但与 2022 年 2 月的第一波攻击相比，攻击的步伐放缓并且协调性似乎较差。具体而言，破坏性攻击通常在攻击者获得或重新获得访问权限后更快地发生，通常通过渗透的边缘基础设施进行。许多行动表明俄罗斯联邦武装力量总参谋部情报总局（GRU）试图在活动的每个阶段平衡访问、收集和破坏的竞争优先级。

2　俄开展全方位信息行动塑造公众对战争的看法

这些行动具有三个目标：

· 削弱乌克兰政府的权威

· 断绝对乌克兰的国际支持

· 保持俄罗斯国内对战争的支持

与冲突中的关键事件相关的活动激增，例如俄罗斯的集结、入侵和部队动员。谷歌开展工作，应对这些“违反”谷歌政策的活动并阻断公开和秘密的信息活动，但继续遇到规避政策的持续强烈企图。谷歌阻断的俄方秘密信息行动主要集中在维持俄国内对乌克兰“特别军事行动”的支持，超过 90％的实例是俄语。

3　俄乌冲突导致东欧网络犯罪生态系统显著转变

一些团体因政治忠诚和地缘政治而分裂，而另一些团体则失去了重要的操作者，这将影响对这些团体的看法以及对其能力的传统理解。勒索软件生态系统呈现专业化趋势，该生态系统混合了不同行为者的策略，使得追踪溯源变得更加困难。俄乌战争也由谷歌预期会发生但未看到的情况来定义。例如，谷歌没有观察到针对乌克兰境外关键基础设施的攻击激增。

谷歌威胁分析小组（TAG）还发现，与出于经济动机的威胁行为者密切相关的策略被部署在目标通常与政府支持的攻击者相关的活动中。2022 年9 月，TAG 报告了一个威胁行为者，其活动与乌克兰计算机应急响应小组（CERT-UA）的 UAC-0098 重叠，该威胁行为者过去曾投放 IcedID 银行木马，该木马会导致人为操作的勒索软件攻击。谷歌评估 UAC-0098 的一些成员是前 Conti 组织成员，将他们的技术重新用于针对乌克兰。

二

网络行动的演变

一年来，俄罗斯围绕俄乌战争开展了广泛的信息行动，类型包括网络支持的信息操作、利用不真实的账户网络在在线媒体上推广捏造内容的活动等。俄罗斯虚假信息活动具有双重目的：一方面在战术上响应或塑造当地事件；另一方面在战略上影响不断变化的地缘政治格局。谷歌报告将俄罗斯网络行动演变分为五大主要阶段：

1　第一阶段：战前的战略性网络间谍活动和预先部署（2019 年至2022 年 2 月）

报告称，俄罗斯威胁组织 UNC2589 于 2022 年 1 月使用 PAYWIPE（又名WHISPERGATE）针对乌克兰实体开展了破坏性攻击，目的是动摇乌克兰民众对政府的信任，并破坏对抵御俄罗斯军事行动的支持，从而为武装冲突的“信息领域”做好准备。之后，UNC2589 又攻击了乌克兰关键基础设施，对金融机构也进行了分布式拒绝服务（DDoS）攻击。

俄罗斯联邦武装力量总参谋部情报总局（GRU）所属威胁组织在战前广泛开展渗透活动并进行预部署，以便在战争开始后利用访问权限开展破坏性行动。2022 年 2 月下旬，由 GRU 支持的威胁组织 APT28 重新激活了休眠的 2019 年 EMPIRE 感染，以在环境中横向移动并使用 SDELETE 实用程序从受感染系统中删除文件和目录。在另一个案例中，APT28 以 VPN 为目标获取访问权限，并在 2021 年 4 月向多名受害者部署了恶意软件植入程序FREETOW。至少在一个案例中，攻击者在站稳脚跟后一直处于休眠状态，直到在战争第二阶段期间于2022年2月和3月开展了一系列恶意擦除攻击。自战争开始以来，APT28 一直是俄罗斯在乌克兰最活跃的活动集群，并且将破坏性网络攻击置于在乌克兰的间谍活动之上。

2　第二阶段：初始破坏性网络行动和军事行动（2022 年 2 月至2022 年 4 月）

俄罗斯威胁行为者利用恶意擦除软件对乌克兰开展破坏性网络攻击，从而支持俄罗斯的军事行动。APT28 采用名为“边缘生存”的新手法，“边缘生存”已成为战时 GRU 行动的关键部分。自战争爆发以来，GRU 一直试图针对乌克兰境内的关键服务和组织进行连续且几乎不间断的网络间谍和破坏活动。这种对目标组织的访问和行动的平衡依赖于对路由器和其他互联网连接设备等边缘基础设施的渗透。在破坏性行为导致无法直接访问端点的情况下，通过遭渗透边缘设备可继续重新进入网络。由于大多数端点检测和响应技术未涵盖此类设备，因此防御者也更难检测到对这些路由器的渗透。

俄罗斯威胁行动者还尝试利用以前针对工控系统的恶意软件变种攻击乌克兰电力系统。俄罗斯情报机构利用虚假身份开展信息泄露活动；俄罗斯威胁行为者在网络媒体上宣扬网络攻击活动，从而达到对外宣传俄罗斯利益和对内宣扬支持战争舆论的双重目的。在对针对乌克兰政府组织网络的活动进行调查期间，曼迪昂特发现了在俄罗斯单位于 2022 年初物理访问该网络后发生渗透的证据。曼迪昂特追踪为 UNC3762 的攻击者使用此物理访问进行网络侦察，获取凭据，并使用远程桌面和 Web shell 横向移动。UNC3762 还利用 PROXYSHELL 漏洞链（CVE-2021-34473、CVE-2021-34523、CVE -2021-31207），部署 THRESHGO 恶意软件，并从环境中窃取数据。

3　第三阶段：持续瞄准和攻击（2022 年 5 月至 2022 年 7 月）

俄罗斯针对乌克兰的网络行动的节奏和类型发生变化：攻击者继续尝试发起恶意擦除攻击，攻击的速度更快但协调性有所降低；俄罗斯支持的威胁行为者开展周期性“访问采集—破坏行动”，在攻击浪潮间隔期间尝试开展访问和采集操作，同时还致力于标准化其破坏性操作。

GRU 还从使用多种不同的恶意擦除软件转变为在快速周转操作中严重依赖 CADDYWIPER 及其变体来对目标组织开展擦拭操作。总体而言，GRU继续瞄准并利用边缘基础设施来获得对战略目标的访问权。一旦进入环境，GRU 集群就会利用 IMPACKET 和公开可用的后门来维持立足。曼迪昂特还观察到另一个 GRU 集群 UNC3810，它展示了在 Linux 系统上开展攻击和操作的熟练程度。UNC3810 在很大程度上利用了 GoGetter 和 Chisel 等代理工具来维持访问并在目标环境中横向移动。

4　第四阶段：保持立足点以获取战略优势（2022 年 8 月至 2022年 9 月）

GRU 所属威胁组织停止了针对乌克兰的破坏性活动，但与俄罗斯联邦安全局（FSB）相关网络威胁组织开始浮出水面。其中，Armageddon 对乌克兰四个不同政府实体开展攻击活动，Armageddon 是一个与俄罗斯有联系的威胁行为者，专门针对乌克兰目标，收集有关乌克兰国家安全和执法实体的信息以支持俄罗斯的国家利益。从 Armageddon 观察到的行动范围与该组织过去几年开展的众多活动一致。

此外，Turla 针对乌克兰某政府机构开展渗透活动。Turla 是一个总部位于俄罗斯的网络间谍行为者，自 2006 年以来一直活跃，以针对外交、政府和国防实体而闻名。曼迪昂特确定了可追溯到 2021 年底的一次渗透，该渗透针对乌克兰某政府机构，符合 Turla 的策略、技术和程序。

5　第五阶段：破坏性攻击的新节奏（2022 年 10 月至 2022 年 12月）

此阶段的特点是俄罗斯针对乌克兰的破坏性网络攻击“死灰复燃”。新的攻击类似于前几个阶段的破坏性攻击，但由使用恶意擦除软件转向使用勒索软件，表明 GRU 正在转换攻击工具且没有资源来编写或修改自定义恶意软件。配合俄罗斯针对乌克兰能源基础设施开展更广泛军事打击行动，GRU 对乌克兰能源部门开展了破坏性网络攻击行动。

三

网络行动趋势

自 2023 年 1 月以来，微软观察到俄罗斯的网络威胁活动正在调整，重点增强对乌克兰及其合作伙伴的民用和军事资产的破坏性和情报收集能力。

除了众多破坏性的雨刷攻击之外，随着战争的推进，俄罗斯威胁活动出现了三种趋势，有可能影响俄罗斯未来网络行动的进展：

1　使用勒索软件作为可否认的破坏性武器

隶属于GRU 的一个名为 Iridium的威胁组织正在重新准备一场新的破坏性行动，可能测试更多的勒索软件类的功能，部署恶意软件攻击潮，针对乌克兰境外的供应线上起着关键作用的组织进行破坏性攻击。Iridium 部署了 Caddywiper 和 FoxBlade wiper 恶意软件来破坏涉及发电、供水和人员和货物运输的组织网络的数据；部署了新颖的 Prestige 勒索软件，针对波兰和乌克兰的多个物流和运输部门网络，2022 年 10 月份的 Prestige 事件可能代表了俄罗斯网络攻击战略的慎重转变，反映出俄罗斯愿意使用其网络武器攻击乌克兰以外的机构，以支持在乌克兰战争；同时还部署了一款新的名为 Sullivan 勒索软件，至少有三个变种，其模块化功能在不断迭代和精化，以逃避检测和缓解措施，并摧毁网络系统，篡改反恶意软件产品，使 Sullivan更难被发现。

2　通过多种方式获得初始访问

在整个冲突期间，俄罗斯威胁行为体利用了多样化的工具包，在技术层面上，常见的战技术包括：开发面向互联网的应用程序、非法后门软件和无处不在的鱼叉式钓鱼。Iridium 用 Microsoft Office 的非法后门版本来访问乌克兰的目标组织，同时还负责将武器化的 Windows 10 版本上传到乌克兰论坛以访问乌克兰政府和其他敏感组织；DEV-0586 威胁行为体利用Confluence 服务器访问乌克兰组织，随后这些组织受到了 Whispergate 雨刷恶意软件或其他网络行动的影响；STRONTIUM 威胁行为体利用公开的漏洞来破坏微软的交换服务器，滥用在线交换来获得对中欧政府以及运输部门等组织的访问权。2022 年末，Iridium 向乌克兰以及罗马尼亚、立陶宛、意大利、英国和巴西等国的众多组织发送了鱼叉式钓鱼电子邮件，其中包含针对 Zimbra 服务器中 CVE-2022—41352 的恶意有效载荷。目标部门包括信息技术、能源、救灾、金融、媒体和难民援助，等等。俄罗斯的威胁行为体也在积极滥用技术信任关系，针对信息技术提供商在不立即触发警报的情况下接近下游更敏感的目标。STRONTIUM 和 KRYPTON 都试图访问波兰的一家 IT 提供商；NOBELIUM 经常试图通过首先破坏云解决方案来破坏世界各地的外交组织和外交政策智囊团，并操纵为这些组织服务的服务提供商。

3　开展全球网络影响力行动

在发起网络攻击活动的同时，俄罗斯相关机构正在开展全球网络影响力行动，以支持他们的战争。这些活动将克格勃几十年来的策略与新的数字技术和互联网相结合，为对外影响力行动提供更广阔的地理范围、更大的数量、更精确的目标以及更快的速度和敏捷性。尤其是在参与者极具耐心和坚持不懈的情况下，这些网络影响力行动几乎完美地利用了民主社会长期以来的开放和当今时代特征的公众两极分化特点。随着俄乌战争冲突的持续，俄罗斯机构将其网络影响力行动的重点放在四个不同的受众上。一是他们以俄罗斯民众为目标，目的是维持对战争的支持。二是他们以乌克兰人为目标，目的是削弱对该国抵御俄罗斯袭击的意愿和能力的信心。三是他们以美国和欧洲人民为目标，目的是破坏西方团结并转移对俄罗斯军事战争罪行的批评。四是他们开始以不结盟国家的人民为目标，这可能是为了维持他们在联合国和其他机构所获得的支持力。随着战争的进展，俄罗斯的影响力行动还出现了另外几种趋势。其中一个自战争开始以来俄罗斯所采用的新兴战术是：将信息空间中的网络行为者和黑客组织之间建立联系。

四

未来展望

展望未来，俄网络空间作战将呈现三大趋势：一是俄政府支持的攻击者将继续对乌克兰和北约伙伴开展网络攻击，以进一步实现俄战略目标；二是俄将增加对乌以及北约伙伴的中断性和破坏性攻击，以应对战场形势从根本上向利乌的态势发展；三是俄将继续加快信息行动的步伐和范围以实现其目标，尤其是在国际资助、军事援助、国内公投等关键时刻。为此，微软团队认为应采取协调和全面的战略，以加强对俄罗斯全方位网络破坏、间谍活动和网络影响力行动的防御。

俄乌冲突具备明显的“混合战争”特点，网络补充了传统的战争形式，除高强度军事冲突外，还包括网络攻击、舆论攻击、信息对抗、封锁制裁等非常规、非对称作战。从俄乌冲突演进过程可以发现，在现代战争开局阶段实施高强度的网络信息战已成为首选项，关键信息基础设施也成为网络战的重点攻击对象，而舆论信息战的全程运用使双方博弈“白热化”，已成为决定网络信息战成败的杀手锏，在未来的武装冲突中，网络作战将继续发挥不可或缺的作用。