俄罗斯电视台胜利日被黑 显示反战信息


胜利日庆祝活动是为了纪念二战中苏联击败德国纳粹。然而,今年观看胜利日报道的俄罗斯人结结实实吃了一惊。有人入侵了俄罗斯各电视频道的胜利日报道节目单,以之发布反战和亲乌克兰的信息。  


反战信息出现在普京向全国发表讲话之前


胜利日一大早,观众静候俄罗斯总统普京的讲话,但当地电视频道的节目表突然变换内容,显示以下信息:


 “你们的手上染着成千上万乌克兰人和数百名惨死儿童的鲜血。电视和当局都在撒谎。拒绝战争。”

  

关于这一事件,BBC Monitoring高级数字记者Francis Scarr也发表推文称,俄罗斯电视台在线节目表页面遭到了黑客入侵。每个节目的名称都被改成了同样的信息。


哪些频道受影响?


反战呼吁出现的时间就在俄罗斯人等待观看红场胜利日阅兵并聆听普京演讲之前。黑客攻击影响了在线观看MTS移动运营商、Rostelecom、NTV Plus和Wink播送频道的观众,而该事件影响了全体俄罗斯公民。


据BBC报道,包括NTV-Plus、Rossiya和Channel One在内的所有主要俄罗斯频道均受到影响。《华盛顿邮报》则声称,同样的反战信息也出现在了Yandex和Ru Tube等其他平台上。此外,该黑客事件还影响了儿童电视频道和俄罗斯国防部媒体红星电视台(Zvezda)。



胜利日上午俄罗斯电视台在线节目表页面被黑


每个节目的名称都被改为“你们的手上染着成千上万乌克兰人和数百名惨死儿童的鲜血。电视和当局都在撒谎。拒绝战争。”



黑客攻击是如何发生的?


路透社报道,目前尚不清楚反战信息是怎么出现在直播页面上的。但这并不是俄罗斯电视频道第一次被黑。正如信息安全媒体Hackread.com所报道的,2022年3月,激进黑客组织“匿名者”(Anonymous)就入侵了俄罗斯国家电视台,播放俄乌冲突中的血腥战争视频。


MTS西伯利亚代表表示:“俄罗斯电视广播频道遭到了网络攻击,订阅用户可能在广播网格中看到极端主义言论。我们的IT专家目前正在全力消除黑客攻击的影响,以便订阅用户能够尽快接收服务,观看电视节目和电影。”


乌克兰的回应


在普京发表讲话之前,乌克兰总统泽连斯基发布了一段视频来纪念胜利日,并发表了以下声明:


“那时我们赢了。如今我们也会赢!赫雷夏蒂克街(Khreshchatyk)将见证胜利游行——乌克兰的胜利。荣光归于乌克兰!”

APT组织攻击乌克兰网络


对乌克兰的网络攻击被战略性地用于支持地面战役,该网络袭击在2月份由五个国家支持的高级持续威胁(APT)组织支持开始组织实施。根据微软周三发布的研究,参与这些活动的APT主要由俄罗斯赞助。

本周发布的单独报告也揭示了与俄罗斯有联系的APT对乌克兰数字资产的网络攻击浪潮。微软研究人员认为,六个与俄罗斯结盟的威胁行为者进行了237次网络攻击操作,其行为对于平民福利构成威胁,其同时也试图对乌克兰目标进行数十次网络间谍攻击。

此外,根据微软客户安全和信托公司副总裁Tom Burt的一篇博客文章指出,俄罗斯被认为在某种“混合战争”中使用网络攻击。他说,这与“针对对平民至关重要的服务和机构的动态军事行动”有关。Burt在其博客中写道:这些袭击不仅破坏了乌克兰的机构系统,还试图破坏人们获得平民赖以生存的可靠信息和关键生活服务的机会,并以此试图动摇民众对该国领导层的信心。

与此同时,乌克兰计算机应急小组(CERT-UA)的研究人员一直在自己分析在战争前和战争期间阻碍该国的网络攻击。该机构表示仅在2022年第一季度,它就记录了802起网络攻击,是去年同期362次的两倍多。CERT-UA表示,实施这些袭击主要是五个已知的俄罗斯或白俄罗斯赞助的APT发起。具体来说,这些群体是:世界末日/Garmaredon、UNC1151、Fancy Bear/APT28、 AgentTesla/XLoaderPandorahVNC/GrimPlant/GraphSteel。

混合战争

研究人员表示,微软安全团队一直在与乌克兰政府官员以及政府和私营企业网络安全人员密切合作,以识别和补救针对乌克兰网络的威胁活动。

据报道,俄罗斯在俄乌战争开始前一年或2021年3月以来就在网络空间为与乌克兰的陆地冲突做准备。微软研究人员发现,在地面冲突和随后的入侵发生之前,已知或可疑的威胁组织正每周以两到三起事件的速度在目标乌克兰网络上不断开发和使用恶意软件或类似破坏性工具进行网络攻击。在报告中他们认为:从2月23日至4月8日,微软团队看到了近40次离散破坏性袭击的证据,而这些袭击永久摧毁了乌克兰数十个组织数百个系统中的文件。

甚至在此之前,微软在1月份就发现了一次主引导记录(MBR)雨刷攻击,并将其命名为WhisperGate,目标是乌克兰,试图永久扰乱全国各地的组织,并将乌克兰描述为失败的国家。雨刮器是破坏性最大的恶意软件类型,因为它们会永久删除和破坏数据和/或系统,给受害者造成巨大的财务和声誉损失。

从2月底到3月中旬,随着俄罗斯开始实际入侵,另一系列使用名为HermeticWiper、IsaacWiper和CaddyWiper的恶意软件的雨刷攻击瞄准了乌克兰的组织。

对关键基础设施的攻击

微软在其最新报告中表示,40%以上的对乌克兰的破坏性袭击是针对关键基础设施部门的组织,这些部门可能会对政府、军队、经济和国家人民产生负面的次生影响。此外,32%的破坏性事件也影响了乌克兰国家、地区和城市各级的政府组织。

研究人员写道:“我们承认存在我们看不到的持续活动,我们估计乌克兰网络上至少被部署了八个破坏性恶意软件集群,包括一个专门针对工业控制系统(ICS)的软件集群。如果威胁行为者能够保持目前的开发和部署速度,我们预计随着冲突的继续,将发现更具破坏性的恶意软件。”

该报告中列举了网络攻击的详情包括攻击的具体时间表和袭击最初几周用于支持俄罗斯军事活动的恶意软件。除了前面提到的雨刷外,攻击中部署的其他恶意软件包括:FoxBlade、DesertBlade、FiberLake、SonicVote和Industroyer2。

网络袭击的惯犯

在CERT-UA披露顶级ATP在网络空间打击乌克兰之后,研究公司Recorded Future的The Record更深入地相互研究,以研究其具体隶属关系和工作方式。

Armageddon/Garmaredon是一个侵略性威胁行为者,自2014年以来一直以乌克兰为目标,并得到俄罗斯联邦安全局(FSB)的支持。据研究人员称,在俄罗斯对乌克兰的战争期间,该组织使用网络钓鱼攻击分发恶意软件,这是“Backdoor.Pterodo”恶意软件有效负载的最新变体。

研究人员援引Mandiant的研究表示,UNC1151是一个与白俄罗斯结盟的黑客组织,自2016年以来一直活跃,此前一直以乌克兰、立陶宛、拉脱维亚、波兰和德国的政府机构和私人组织为目标,并袭击了白俄罗斯持不同政见者和记者的网络电子设备。

而自俄罗斯袭击乌克兰UNC1151以来,该组织通过传播MicroBackdoor恶意软件等方式,一直与多个乌克兰政府网站的受袭以及针对乌克兰军事人员的电子邮件和Facebook帐户的网络钓鱼活动有关。

Fancy Bear/APT 28是一个知名且多产的组织,自2017年以来一直活跃,并得到俄罗斯军事情报局(GRU)的支持。这个出于政治动机的团体与旨在影响欧盟和美国选举以及与攻击2020年东京奥运会有关的体育当局的活动有关。

研究人员表示,2月24日,即俄罗斯袭击乌克兰的当天,Fancy Bear袭击了美国卫星通信提供商Viasat在乌克兰的KA-SAT网络,使许多乌克兰人无法访问互联网,因此在袭击开始的关键时刻无法进行及时有效的通信。

俄罗斯威胁行为者至少自2014年和2020年以来分别使用AgentTesla和XLoader恶意软件;两者都用于备受瞩目的攻击。研究人员表示,在俄罗斯入侵乌克兰期间,一场针对乌克兰国家组织的恶意电子邮件活动使用XLoader作为其有效载荷,进而针对乌克兰公民进行了网络钓鱼活动。

研究人员表示,Pandora hVNC/GrimPlant/GraphSteel在统一的“大象框架”或用同一语言编写,并在针对政府组织的网络钓鱼攻击中充当下载器和滴管。他们说,在3月份的两次单独的恶意网络钓鱼活动中,它们被用来攻击乌克兰目标,从政府官员那里窃取敏感信息等。

乌克兰网络攻击的历史

3月,卡巴斯基的全球研究和分析团队(GReAT)概述了其对乌克兰当前和过去网络攻击的跟踪。

“未来六个月,乌克兰的网络攻击数量将进一步增加。虽然目前大多数攻击的复杂性较低——例如DDoS或使用商品和低质量工具的攻击——但也存在更复杂的攻击,预计还会有更多攻击,”卡巴斯基研究人员写道。

卡巴斯基报告补充说:“目前的复杂活动包括使用HermeticWiper,这因其复杂性而脱颖而出,以及Viasat‘网络事件’——部分网络中断影响了乌克兰和欧洲KA-SAT网络上固定宽带客户的互联网服务,影响了欧洲3万多个终端。