首頁 > 安全研究 > 研究報告 > 攻擊與威脅分析

【深度分析】烏克蘭戰爭背后的網絡攻擊和情報活動

發布時間 2022-02-25

近日烏克蘭局勢不斷升級,直到今天,發展成為全面的戰爭行為,除了目前牽動世界神經的戰爭局勢發展態勢,還有伴隨在戰爭之下頻繁的網絡戰爭。網絡攻擊一直伴隨著本次沖突的發展而不斷出現,成為本次戰爭的先行戰場。根據目前的威脅情報信息來看,除了之前針對烏克蘭國防部、外交部、教育部、內政部、能源部、武裝部隊等機構的大規模分布式拒絕服務攻擊外,從昨天開始,一款用于攻擊烏克蘭的數據擦除惡意軟件被部署在了烏克蘭數百臺重要機器上,造成了這些機器無法工作。


但從對戰爭的影響來看,這些攻擊或許只能在戰前給對方一定的威懾作用,并不會對戰爭產生多少影響,但是從11點開始的定點清除行動,需要事先對目標的重要設施和人員有精確的了解,這讓我們想到去年追蹤到的一系列針對烏克蘭邊防局和烏克蘭國防部網絡間諜活動,間諜活動以“COVID-19Vaccine”、“向ATO 退伍軍人付款”、“緊急更新?。?!”、“烏克蘭總統令 №186_2021”等內容誘餌進行攻擊,這一系列網絡間諜活動或許也是戰前準備所做的重要的一步。報告見我們2021年8月發布的《針對烏克蘭邊防局和國防部攻擊活動深度分析》報告。


本文將根據目前已經監控的攻擊情況結合公開的情報對本次沖突下的網絡攻擊分析梳理和分析,同時進一步對近日出現的新型數據擦除惡意軟件進行深入剖析。


典型攻擊事件


從2022年1月13日開始,就出現了一款針對烏克蘭政府和商業實體的新型破壞性惡意軟件“ WhisperGate ”,目標指向烏克蘭的政府、非營利組織和信息技術實體,此時俄羅斯和烏克蘭的地緣政治緊張局勢正在醞釀之中,微軟將這些攻擊歸因于代號為“ DEV-0586 ”的新型APT組織。緊接著的1月14日,烏克蘭外交部、教育部、內政部、能源部等部門因受到大規模網絡攻擊而關閉;到2月15日時,烏克蘭國防部、武裝部隊等多個軍方網站、以及烏克蘭最大銀行的兩家銀行 PrivatBank和Oschadbank網站因受到大規模網絡攻擊而關閉;2月23日,烏克蘭部分國家和銀行機構的網站再次受到大規模的DDoS攻擊,而此時,俄羅斯已對烏克蘭形成大軍壓境之勢。同時,一款名為“HermeticWiper ”(又名KillDisk.NCV)的新型數據擦除惡意軟件在烏克蘭的數百臺重要的計算機上被發現,最新一輪的破壞型的網絡攻擊再次啟動。


DDoS攻擊:針對烏克蘭政府網站的DDoS攻擊事件


2月14日起,烏克蘭重要軍事、政府、教育、金融等部門的網絡系統多次遭到大規模DDoS攻擊,包括烏克蘭國家公務員事務局(nads.gov.ua)、烏克蘭政府新聞網站(old.kmu.gov.ua)、烏克蘭國家儲蓄銀行(oschadbank.ua)、烏克蘭國內最大商業銀行(Privatbank.ua)以及烏克蘭外交部、安全局等等重要機構均遭到攻擊。DDoS攻擊通過系統資源消耗的方式造成烏克蘭眾多關鍵基礎設施和重要網絡系統癱瘓,嚴重影響了烏克蘭的社會秩序以及軍隊的作戰指揮和調度,大大削弱了烏克蘭的戰時行動能力。烏克蘭國家特殊通信和信息保護局多次發布網絡攻擊通告進行警示:


烏克蘭國家特殊通信和信息保護局多次發布網絡攻擊通告.png

圖1:烏克蘭國家特殊通信和信息保護局多次發布網絡攻擊通告


受攻擊的烏克蘭政府新聞網站(old.kmu.gov.ua).png

圖2:受攻擊的烏克蘭政府新聞網站(old.kmu.gov.ua)


受攻擊的烏克蘭國家儲蓄銀行(oschadbank.ua).png

圖3:受攻擊的烏克蘭國家儲蓄銀行(oschadbank.ua)


網絡竊密攻擊:針對烏克蘭政府、軍事等行業的網絡間諜攻擊事件

隨著俄烏安全局勢的不斷惡化,近期瞄準烏克蘭地區的網絡間諜活動顯著增多。啟明星辰ADLab持續捕獲到多起針對烏克蘭的網絡釣魚攻擊,旨在探測與竊取目標的敏感信息。相關釣魚文檔以軍事命令、政府文件等為誘餌實施網絡竊密活動,目標主要包括烏克蘭的軍事、政府、金融等敏感行業。網絡竊密攻擊在網絡戰中地位極其重要,通過情報竊取可以及時掌握目標的核心機密情報并對后續的軍事戰略行動產生重大影響。涉及的部分誘餌文檔如下所示:


誘餌文檔一:偽裝成烏克蘭軍事機構文件(提示用戶檢查惡意郵件)


機構文件.png


圖4:偽裝成烏克蘭軍事機構文件


誘餌文檔二:偽裝成烏克蘭國防部命令文件(包括烏克蘭革命部隊和烏克蘭武裝部隊間的通信網絡建設信息)


機構文件.png


圖5:偽裝成烏克蘭國防部命令


誘餌文檔三:偽裝成護照信息


護照信息.png

圖6:偽裝成護照信息

誘餌文檔四:偽裝成烏克蘭國家警察局文件(調查信息)


偽裝文件.png

圖7:偽裝成烏克蘭國家警察局文件


誘餌文檔五:偽裝成烏克蘭財政部文件

文件信息.png

圖8:偽裝成烏克蘭財政部文件


這批間諜攻擊活動與我們2021年8月發布的《針對烏克蘭邊防局和國防部攻擊活動深度分析》報告中涉及的攻擊特征有很高的相似度,判斷可能是該組織長期持續的間諜攻擊活動。


系統破壞攻擊:針對烏克蘭政府、金融機構的系統破壞型攻擊事件


2月23日起,一款名為“ HermeticWiper ”(又名KillDisk.NCV)的新型數據擦除惡意軟件在烏克蘭的數百臺重要的計算機上被發現,涉及烏克蘭的金融和政府承包商,導致相關組織的系統設備數據遭到摧毀。該惡意軟件于2021年12月28日編譯,并在2月23日首次部署,其中一次入侵涉及直接從Windows域控制器部署惡意軟件,這表明攻擊者已經控制了目標網絡。這已經是本年第二起針對烏克蘭重要部門的破壞型攻擊事件,早在1月13日,就出現了一款針對烏克蘭政府和商業實體的新型破壞性惡意軟件“ WhisperGate ”,目標指向烏克蘭的政府、非營利組織和信息技術實體,此時俄羅斯和烏克蘭的地緣政治緊張局勢正在醞釀之中,微軟將這些攻擊歸因于代號為“ DEV-0586 ”的新型APT組織。針對此次新出現的“ HermeticWiper ”惡意軟件,啟明星辰ADLab迅速展開分析,相關技術分析如下。


惡意軟件首先使用權限修改API函數,將自身進程的權限進行特權提升處理。


代碼信息.png

之后,再利用VerifyVersionInfoW和VerSetConditionMask(以此避免GetVersionEx無法判斷Win7以上系統版本)來獲取計算機操作系統版本,以及32或64位等信息。


代碼信息.png


根據操作系統的版本,惡意軟件會從資源數據中加載相應的驅動文件,資源存放了四種不同版本的驅動文件(如下圖)。這些驅動程序使用了微軟的壓縮命令工具“COMPRESS.EXE”進行了壓縮,我們使用“EXPAND.EXE”工具解壓后,通過文件簽名和hash比對,發現這些驅動程序是商用數據恢復和磁盤管理軟件“EaseUS Partition Master”的多個系統版本,包括x86和x64架構。


文件信息.png


由此我們可以看到,該惡意軟件一旦獲得了特權提升,便可利用加載Eldos RawDisk驅動程序來對主引導表進行物理訪問與破壞。


代碼圖.png

代碼圖.png

代碼圖.png


代碼圖.png


代碼圖.png


總 結


從近期的觀察來看,在戰爭發生之前,烏克蘭和俄羅斯局勢的升級都會伴隨著相應的網絡攻擊,可以說,網絡攻擊似乎成為沖突背后用于壓制對方的一種重要手段,除了可以破壞對手的網絡基礎設施外,還能對對手政府起到一定的威懾作用。當然本次戰爭背后,從最近發現的網絡攻擊(破壞計算機和DDoS攻擊)來看,并不會對戰爭起到多大的作用,更像是一種心理戰術。但我們不能排除其中可能存在隱秘攻擊,能夠對戰爭起到重要的作用,比如本次“定點清除攻擊”所涉及到的情報工作,這其中有可能部分重要情報是通過網絡間諜活動得到的,因為從以往針對烏克蘭的間諜活動來看,網絡攻擊應該扮演過重要的角色,這其中包括我們在2021年8月的《針對烏克蘭邊防局和國防部攻擊活動深度分析》報告中所揭示的一系列針對烏克蘭的網絡間諜活動。


上一篇 下一篇