乌克兰战争背后的网络攻击和情报活动

【深度分析】乌克兰战争背后的网络攻击和情报活动

宣布时间 2022-02-25

近日乌克兰局势不停升级，直到今天，生长成为全面的战争行为，除了目前牵动世界神经的战争局势生长态势，还有陪同在战争之下频繁的网络战争。网络攻击一直陪同着本次冲突的生长而不停泛起，成为本次战争的先行战场。凭据目前的威胁情报信息来看，除了之前针对乌克兰国防部、外交部、教育部、内政部、能源部、武装队伍等机构的大规模漫衍式拒绝服务攻击外，从昨天开始，一款用于攻击乌克兰的数据擦除恶意软件被部署在了乌克兰数百台重要机器上，造成了这些机器无法事情。

但从对战争的影响来看，这些攻击或许只能在战前给对方一定的威慑作用，并不会对战争发生几多影响，但是从11点开始的定点清除行动，需要事先对目标的重要设施和人员有精确的了解，这让我们想到去年追踪到的一系列针对乌克兰边防局和乌克兰国防部网络间谍活动，间谍活动以“COVID-19Vaccine”、“向ATO 退伍军人付款”、“紧急更新�。。　薄ⅰ拔诳死甲芡沉� №186_2021”等内容诱饵进行攻击，这一系列网络间谍活动或许也是战前准备所做的重要的一步。陈诉见我们2021年8月宣布的《针对乌克兰边防局和国防部攻击活动深度分析》陈诉。

本文将凭据目前已经监控的攻击情况结合果然的情报对本次冲突下的网络攻击分析梳理和分析，同时进一步对近日泛起的新型数据擦除恶意软件进行深入剖析。

典型攻击事件

从2022年1月13日开始，就泛起了一款针对乌克兰政府和商业实体的新型破坏性恶意软件“ WhisperGate ”，目标指向乌克兰的政府、非营利组织和信息技术实体，此时俄罗斯和乌克兰的地缘政治紧张局势正在酝酿之中，微软将这些攻击归因于代号为“ DEV-0586 ”的新型APT组织。紧接着的1月14日，乌克兰外交部、教育部、内政部、能源部等部门因受到大规模网络攻击而关闭；到2月15日时，乌克兰国防部、武装队伍等多个军方网站、以及乌克兰最大银行的两家银行 PrivatBank和Oschadbank网站因受到大规模网络攻击而关闭；2月23日，乌克兰部门国家和银行机构的网站再次受到大规模的DDoS攻击，而此时，俄罗斯已对乌克兰形成雄师压境之势。同时，一款名为“HermeticWiper ”（又名KillDisk.NCV）的新型数据擦除恶意软件在乌克兰的数百台重要的计算机上被发现，最新一轮的破坏型的网络攻击再次启动。

DDoS攻击：针对乌克兰政府网站的DDoS攻击事件

2月14日起，乌克兰重要军事、政府、教育、金融等部门的网络系统多次遭到大规模DDoS攻击,包罗乌克兰国家公务员事务局（nads.gov.ua）、乌克兰政府新闻网站（old.kmu.gov.ua）、乌克兰国家储蓄银行（oschadbank.ua）、乌克兰国内最大商业银行（Privatbank.ua）以及乌克兰外交部、宁静局等等重要机构均遭到攻击。DDoS攻击通过系统资源消耗的方式造成乌克兰众多要害基础设施和重要网络系统瘫痪，严重影响了乌克兰的社会秩序以及军队的作战指挥和调治，大大削弱了乌克兰的战时行动能力。乌克兰国家特殊通信和信息�；ぞ侄啻涡纪绻セ魍ǜ娼芯荆�

乌克兰国家特殊通信和信息�；ぞ侄啻涡纪绻セ魍ǜ�.png

图1：乌克兰国家特殊通信和信息�；ぞ侄啻涡纪绻セ魍ǜ�

受攻击的乌克兰政府新闻网站（old.kmu.gov.ua）.png

图2：受攻击的乌克兰政府新闻网站（old.kmu.gov.ua）

受攻击的乌克兰国家储蓄银行（oschadbank.ua）.png

图3：受攻击的乌克兰国家储蓄银行（oschadbank.ua）

网络窃密攻击：针对乌克兰政府、军事等行业的网络间谍攻击事件

随着俄乌宁静局势的不停恶化，近期瞄准乌克兰地域的网络间谍活动显著增多。东森平台ADLab连续捕捉到多起针对乌克兰的网络钓鱼攻击，旨在探测与窃取目标的敏感信息。相关钓鱼文档以军事命令、政府文件等为诱饵实施网络窃密活动，目标主要包罗乌克兰的军事、政府、金融等敏感行业。网络窃密攻击在网络战中职位极其重要，通过情报窃取可以及时掌握目标的核心机密情报并对后续的军事战略行动发生重大影响。涉及的部门诱饵文档如下所示：

诱饵文档一：伪装成乌克兰军事机构文件（提示用户检查恶意邮件）

机构文件.png

图4：伪装成乌克兰军事机构文件

诱饵文档二：伪装成乌克兰国防部命令文件(包罗乌克兰革命队伍和乌克兰武装队伍间的通信网络建设信息)

机构文件.png

图5：伪装成乌克兰国防部命令

诱饵文档三：伪装成护照信息

护照信息.png

图6：伪装成护照信息

诱饵文档四：伪装成乌克兰国家警察局文件（视察信息）

伪装文件.png

图7：伪装成乌克兰国家警察局文件

诱饵文档五：伪装成乌克兰财政部文件

文件信息.png

图8：伪装成乌克兰财政部文件

这批间谍攻击活动与我们2021年8月宣布的《针对乌克兰边防局和国防部攻击活动深度分析》陈诉中涉及的攻击特征有很高的相似度，判断可能是该组织恒久连续的间谍攻击活动。

系统破坏攻击：针对乌克兰政府、金融机构的系统破坏型攻击事件

2月23日起，一款名为“ HermeticWiper ”（又名KillDisk.NCV）的新型数据擦除恶意软件在乌克兰的数百台重要的计算机上被发现，涉及乌克兰的金融和政府承包商，导致相关组织的系统设备数据遭到摧毁。该恶意软件于2021年12月28日编译，并在2月23日首次部署，其中一次入侵涉及直接从Windows域控制器部署恶意软件，这表明攻击者已经控制了目标网络。这已经是本年第二起针对乌克兰重要部门的破坏型攻击事件，早在1月13日，就泛起了一款针对乌克兰政府和商业实体的新型破坏性恶意软件“ WhisperGate ”，目标指向乌克兰的政府、非营利组织和信息技术实体，此时俄罗斯和乌克兰的地缘政治紧张局势正在酝酿之中，微软将这些攻击归因于代号为“ DEV-0586 ”的新型APT组织。针对此次新泛起的“ HermeticWiper ”恶意软件，东森平台ADLab迅速展开分析，相关技术分析如下。

恶意软件首先使用权限修改API函数，将自身进程的权限进行特权提升处置。

代码信息.png

之后，再利用VerifyVersionInfoW和VerSetConditionMask（以此制止GetVersionEx无法判断Win7以上系统版本）来获取计算机操作系统版本，以及32或64位等信息。

代码信息.png

凭据操作系统的版本，恶意软件会从资源数据中加载相应的驱动文件，资源存放了四种差异版本的驱动文件（如下图）。这些驱动法式使用了微软的压缩命令工具“COMPRESS.EXE”进行了压缩，我们使用“EXPAND.EXE”工具解压后，通过文件签名和hash比对，发现这些驱动法式是商用数据恢复和磁盘管理软件“EaseUS Partition Master”的多个系统版本，包罗x86和x64架构。

文件信息.png

由此我们可以看到，该恶意软件一旦获得了特权提升，便可利用加载Eldos RawDisk驱动法式来对主引导表进行物理访问与破坏。

代码图.png

总结

从近期的视察来看，在战争发生之前，乌克兰和俄罗斯局势的升级都市陪同着相应的网络攻击，可以说，网络攻击似乎成为冲突背后用于压制对方的一种重要手段，除了可以破坏对手的网络基础设施外，还能对对手政府起到一定的威慑作用。虽然本次战争背后，从最近发现的网络攻击（破坏计算机和DDoS攻击）来看，并不会对战争起到多大的作用，更像是一种心理战术。但我们不能排除其中可能存在隐秘攻击，能够对战争起到重要的作用，好比本次“定点清除攻击”所涉及到的情报事情，这其中有可能部门重要情报是通过网络间谍活动得到的，因为从以往针对乌克兰的间谍活动来看，网络攻击应该饰演过重要的角色，这其中包罗我们在2021年8月的《针对乌克兰边防局和国防部攻击活动深度分析》陈诉中所揭示的一系列针对乌克兰的网络间谍活动。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

【深度分析】乌克兰战争背后的网络攻击和情报活动

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线