首頁 > 安全研究 > 研究報告 > 攻擊與威脅分析

【網絡戰】烏克蘭戰爭下的最新網絡攻擊活動綜合報告

發布時間 2022-04-29

一、背景


自2022年2月24日俄烏沖突升級為全面戰爭后,俄羅斯試圖通過“閃電戰”的戰術快速結束戰爭的目的落空,直到2個多月的今天,此次戰爭仍處于膠著狀態,俄烏雙方均遭受到了非常嚴重的損失和傷亡。在殘酷的戰爭之下,雙方仍然不斷地在網絡戰場上進行著激烈的較量。在戰爭爆發當日,啟明星辰ADLab就對雙方網絡戰相關的威脅情報進行了整理,并且對烏克蘭背后的網絡攻擊和相關情報活動進行深入分析,發布了相關分析文章《烏克蘭戰爭背后的網絡攻擊和情報活動》;在3月份我們應邀撰寫了《【網絡戰】從烏克蘭戰爭談現代戰爭的第二戰場》的長篇報告,結合歷史上的對戰爭起著關鍵作用的網絡戰案例以及烏克蘭和俄羅斯之間長達30年的網絡對抗案例,全面分析了現代戰爭下的網絡戰技術、思想、作用及影響;近期,我們又接連捕獲到多起針對烏克蘭政府和單位的網絡攻擊活動,攻擊者借以“烏克蘭防御方式”、“烏克蘭報告_最終”、“日益復雜的俄烏危機解釋”和“泄露的克里姆林宮電子郵件顯示明斯克協議”等具有高度迷惑性的熱點誘餌文檔進行攻擊,試圖竊取相關政府單位的機密信息。


本文將對自戰爭以來我們所監控到的網絡攻擊事件進行梳理和匯總,同時從多個角度出發,對部分典型的網絡攻擊事件進行深入剖析。


二、近期攻擊事件回顧


自戰爭爆發以來,網絡空間就成了俄烏雙方博弈和交鋒的第二戰場,根據烏克蘭CERT近期發布的消息,烏克蘭已經受到了至少12個黑客組織的攻擊。在這些攻擊中,黑客組織不僅針對烏克蘭政府、電信、國防、軍隊等要重要部門展開網絡攻擊,甚至還直接對烏克蘭能源等基建設施進行了破壞性網絡攻擊。根據啟明星辰ADLab的威脅情報數據及烏克蘭CERT-UA的公開報告,我們對自2022年3月以來烏克蘭所遭受的部分網絡攻擊安全事件進行了梳理和匯總,相關網絡攻擊事件的時間線如下圖所示。實際上,這些統計的網絡攻擊事件僅僅是實際攻擊情況的冰山一角;但仍不難看出,戰爭期間針對烏克蘭的網絡攻擊者眾多,其中不乏“InvisiMole”、“Vermin”、“APT-28”等著名黑客組織,相關網絡攻擊活動亦格外頻繁。


圖1.png



· 3月6日,啟明星辰ADLab監測到了一批針對烏克蘭政府機構的網絡攻擊活動。在此次攻擊活動中,攻擊者利用攜帶惡意宏或漏洞惡意文件作為初始攻擊載荷,誘使受害者信任并執行后續的QuasarRAT惡意木馬,試圖從受害主機中竊取敏感文件。烏克蘭CERT也將此次事件的攻擊者命名為“UAC-0086”,攻擊者使用的部分誘餌文檔如下所示。


(1)誘餌文檔示例一:偽裝成ISW(戰爭研究研究所)機構文件

圖2.png


(2)誘餌文檔示例二:偽裝成“Hunter Biden,Burisma, and Corruption: The Impact on U.S.Government Policy and RelatedConcerns”(”亨特·拜登《腐敗:對美國政府政策的影響及相關關切》”)報告文件


圖3.png


(3)誘餌文檔示例三:“The increasinglycomplicated Russia-Ukraine crisis explained”(“日益復雜的俄羅斯-烏克蘭危機解釋”)報告文件


圖4.png


· 3月7日,被烏克蘭CERT命名為“UAC-0051”的黑客組織使用惡意軟件MicroBackdoor對烏克蘭多個國家部門和單位開展了多次網絡攻擊活動。其中,相關的誘餌文件和部分惡意文件代碼如下圖所示。


圖5.png


· 3月9日,被烏克蘭CERT命名為“UAC-0041”的黑客組織將“Лист про затвердження гарант??грошових кошт?в”(“現金擔保批準函”)作為郵件標題,并以“戰爭和提供財政援助議題”為郵件內容,向烏克蘭政府機構和單位進行大量的投遞。其中,“support letter.xlsx”郵件附件是攜帶宏代碼的惡意文檔,受害者一旦啟用宏,該宏則會從攻擊者的服務器上下載Formbook/XLoader惡意程序,攻擊者即可開展進一步的網絡攻擊活動。此次攻擊活動的相關文件的具體信息如下圖所示。


圖6.png


· 3月11日,被烏克蘭CERT命名為“UAC-0056”的黑客組織偽裝成“sed-rada.gov.ua”(北頓涅茨克軍民總署)向烏克蘭國家機構大規模分發釣魚郵件。該郵件中包含兩個誘餌文檔,且郵件正文中宣稱要求各機構從“https://forkscenter.fr”網站下載并安裝防病毒軟件的更新文件“BitdefenderWindowsUpdatePackage.exe”。當該EXE文件成功執行后,最終會從指定服務器上下載并執行GraphSteel和GrimPlant后門,以便攻擊者完成進一步的網絡竊密目標。此次攻擊事件的相關文件如下圖所示:


圖7.png

圖8.png


誘餌文檔:“?нструкц?я з антив?русногозахисту.doc”(防病毒說明.doc)


圖9.png

惡意軟件下載頁面


· 3月15日,ESET在烏克蘭發現第三個破壞性擦除器CaddyWiper,其中前兩個破壞型擦除器分別是于2月23日首次發現的HermeticWiper和在2月24日第二次發現的IsaacWiper。此外,與此擦除器相關的黑客組織也被烏克蘭CERT命名為“UAC-0082”。破壞性擦除器CaddyWiper中的“遍歷磁盤文件并銷毀”功能的代碼如下圖所示:


圖10.png

圖11.png


· 3月16日,疑似APT28(UAC-0028)黑客組織模仿來源于UKR.NET消息的釣魚郵件,郵件正文中使用URL短鏈接服務創建的二維碼,引導目標用戶進行訪問。一旦用戶訪問后,則會被重定向到偽裝的UKR.NET密碼重置頁面的釣魚網站,繼而通過HTTP POST請求將用戶輸入的數據發送到攻擊者在Pipedream平臺賬戶中。


圖12.png

模仿來自UKR.NET的電子郵件內容


圖13.png

UKR.NET密碼重置偽造頁面


圖14.png

部分釣魚頁面代碼


· 3月17日,由Vermin (UAC-0020) 組織偽裝為“烏克蘭國防部”向烏克蘭國家政府機構投遞主題為“供應”的釣魚郵件。郵件中攜帶一個加密的RAR文件,壓縮包中包含一個文件快捷方式和一個EXE文件,當打開快捷方式時,將執行EXE文件。隨后,受害者的主機會被惡意軟件SPECTR攻擊,該惡意軟件包括:SPECTR.Usb、SPECTR.Shell、SPECTR.Fs、SPECTR.Info、SPECTR.Archiver等模塊。部分文件內容如下圖所示。


圖15.png


· 3月17日,UAC-0088組織使用 DoubleZero對烏克蘭的部分企業進行網絡攻擊。在此次攻擊事件中,被發現的壓縮包名為“Вирус... крайне опасно!!!.zip”(“病毒...非常危險! ! !”),該壓縮包包含兩個文件:cpcrs.exe和csrss.exe。通過分析發現,它們使用C#編寫并被歸類為DoubleZero病毒。該病毒會覆蓋磁盤上所有的非系統文件,并按照一定的順序進行重寫。


圖16.png

圖17.png


· 3月18日,InvisiMole(UAC-0035)組織針對烏克蘭國家政府機構和國防單位發起了魚叉式網絡釣魚郵件攻擊。郵件附件是名為“501_25_103.zip”的壓縮包文件,其中包含501_25_103.lnk快捷方式。當運行惡意快捷方式時,該快捷方式會訪問攻擊者服務器并下載和執行HTA文件。之后,HTA文件再從黑客服務器上下載并運行誘餌文檔501_25_103.doc和后門程序LoadEdge。


圖18.png

誘餌文檔內容


· 3月22日,Scarab APT組織(UAC-0026)使用 HeaderTip 惡意軟件發起針對烏克蘭政府部門和單位的網絡攻擊。啟明星辰ADLab最初捕獲到了名為“Прозбереження в?деоматер?ал?в з ф?ксац??ю злочинних д?й арм??рос?йсько?федерац??.rar”的壓縮包文件,里面包含同名的EXE文件。該惡意文件執行后會釋放并打開無害的誘餌文檔(“#2163_02_33-2022.pdf”),同時釋放和執行批處理文件(“officecleaner.bat”),之后,bat文件釋放“httpshelper.dll”惡意文件,并調用rundll32.exe執行該惡意木馬。


圖19.png

壓縮包文件內容


圖20.png

誘餌文檔相關內容


· 3月23日,疑似UNC1151黑客組織(UAC-0051)使用惡意軟件Cobalt Strike Beacon對烏克蘭國家部門和單位進行網絡攻擊。被發現的惡意壓縮包名為“Диверсанти.rar”,其包含名為“Диверсанти 21.03.rar”的壓縮包,而該壓縮包又包含“Диверсанти filerar.scr” 的SFX文件,似乎借以隱藏文件的.scr擴展名。此次攻擊事件中的sfx文件包含誘餌文檔和圖片,以及惡意VBS代碼。該惡意vbs代碼會創建和運行名為“dhdhk0k34.com”的 .NET程序,最終執行Cobalt Strike Beacon木馬,相關的惡意文件內容如下圖所示:


圖21.png

SFX文件內容


圖22.png

相關誘餌文檔內容


圖23.png

相關誘餌圖片


圖24.png

混淆后的惡意vbs代碼


· 3月28日,UAC-0056組織針對烏克蘭政府(包括私人電視頻道ICTV)投遞主題為“Заборгован?сть по зарплат?”(“拖欠工資”)的釣魚郵件,該釣魚郵件中包含Excel文檔的附件文件與郵件主題名稱相同,使受害人減少防備然后打開惡意文件。該惡意文檔中包含一個嵌入的宏,以及部分隱藏在表格中的有效載荷。


圖25.png

圖26.png


該惡意宏代碼會釋放并執行初始可執行文件“Base-Update.exe”,該程序被執行后會從黑客服務器194[.]31.98.124上下載并執行下一階段黑客將使用的木馬“java-sdk.exe”。其中,java-sdk.exe的主要功能是實現持續化,并從黑客服務器194[.]31.98.124下載部署接下來將使用的惡意程序“oracle-java.exe”與“microsoft-cortana.exe”。


其中,“oracle-java.exe”(Elephant Implant/被稱為GrimPlant后門)是此次攻擊中最重要的惡意程序,Implant可以通過4種RPC請求與C2進行通信,向C2發送信息并且接收相關指令,相關RPC請求如下所示:


圖27.png


而“microsoft-cortana.exe”則是一個數據竊取軟件,其主要功能包括收集受害者主機名、操作系統名稱(windows)、CPU數量、IP地址、名稱、用戶名和主目錄、瀏覽器憑據、無線網絡信息、憑證管理器數據、郵件帳戶、Putty連接數據、Filezilla 憑據以及受害者用戶目錄中所有文件,并進行哈希處理,發送到指定的C2服務器上。


· 3月30日,被烏克蘭CERT命名為“UAC-0041”的黑客組織以“Нова програма для запису в журналi.”(“新期刊錄入計劃”)為主題對烏克蘭政府機構和單位進行大量的釣魚郵件攻擊。郵件正文中包含關于“електронних навчальних журнал?в”(“電子學習期刊”)的相關信息,以及MarsStealer木馬的下載鏈接和文檔密碼。其中,MarsStealer木馬是一種常見的商業木馬,其主要功能包括收集被感染主機的敏感信息,從瀏覽器中竊取用戶的身份驗證數據,從加密錢包插件或多因素身份驗證程序中竊取文件,下載和運行可執行文件并截取屏幕截圖。


圖28.png


· 4月4日,被烏克蘭CERT命名為“UAC-0010”(疑似Armageddon)的黑客組織針對烏克蘭政府機構發送主題為“?нформац?я щодо в?йськових злочинц?в РФ”(譯:俄羅斯聯邦戰犯記錄)的釣魚郵件,郵件附件為“В?йськов?злочинц?РФ.htm”(譯:俄羅斯聯邦的戰犯.htm)。


圖29.png


如果受害者打開該htm文件,其瀏覽器則會自動下載“Viyskovi_zlochinci_RU.rar”。


圖30.png


該壓縮包包含一個名為“В?йськов?-злочинц? що знищують Укра?ну (домашн?адреси, фото, номера телефон?в, стор?нки у соц?альних сетях)”(譯:“摧毀烏克蘭的戰犯(家庭住址,照片,電話號碼,社交網站中的頁面)”)的lnk文件。


圖31.png


該lnk文件將會從黑客服務器上下載下一階段的攻擊武器,即一個包含VB代碼的HTA文件。此HTA文件會從黑客服務器上下載get.php,而該文件實際上卻是一個powershell腳本,其主要用于確定計算機的唯一標識符。


圖32.png


· 4月12日,被披露由俄羅斯國家資助的APT組織Sandworm(烏克蘭CERT命名為“UAC-0082”)使用惡意程序 INDUSTROYER2 和 CADDYWIPER,在4月8日試圖對一家大型烏克蘭能源供應商進行攻擊。此次攻擊事件的具體時間節點如圖所示:


圖33.png


從相關事件的分析報道中可以推測出攻擊者的部分目的:



(1)利用惡意程序INDUSTROYER2針對高壓變電站進行攻擊,每個可執行文件中均含一組靜態指定的各個變電站的唯一參數,可以看出此惡意程序為高度定制化的攻擊工具。



圖34.png


(2)利用CADDYWIPER惡意程序對目標的Windows系統的計算機進行破壞攻擊。


(3)使用惡意破壞型腳本ORCSHRED、SOLOSHRED、AWFULSHRED對企業內部的Linux系統的服務器進行破壞攻擊。


· 4月14日,被烏克蘭CERT命名為“UAC-0098”的黑客組織利用名為“Моб?л?зац?йний ре?стр.xls”(“動員登記冊.xls”)的惡意文件對烏克蘭組織進行大規模網絡釣魚攻擊活動。一旦受害者打開文檔并啟用宏,惡意宏代碼會下載并執行名為“spisok.exe”的惡意代碼。其中,該“spisok.exe”惡意程序會釋放運行GzipLoader惡意軟件,并且從黑客服務器上下載并運行IcedID惡意程序,進行進一步的信息竊密活動。


圖35.png


三、典型攻擊事件分析


伴隨俄烏沖突局勢的不斷惡化,近期瞄準烏克蘭的網絡攻擊活動明顯增多。本節從上述眾多針對烏克蘭進行的網絡攻擊事件中,分別選取啟明星辰ADLab在2022年3月6日和3月22日監測到的兩起攻擊事件為例,進行詳細的技術分析。


3.1 攻擊事件一


2022年3月6日,啟明星辰ADLab檢測到一批針對于烏克蘭的網絡攻擊樣本,攻擊者借以“烏克蘭防御方式”、“烏克蘭報告_最終”、“日益復雜的俄烏危機解釋”和“泄露的克里姆林宮電子郵件顯示明斯克協議”等具有高度迷惑性的熱點誘餌文檔進行攻擊,以此誘使受害者信任并執行后續的惡意木馬。


通過對攻擊者的溯源和關聯分析,我們整理了其在此次攻擊活動中使用的惡意文件。具體信息如下表所示。


圖36.png


 3.1.1 攻擊載荷


在此次活動的初始攻擊環節中,攻擊者主要使用了三種格式的攻擊載荷,其中包括攜帶惡意宏的惡意文檔、攜帶漏洞的惡意文檔和惡意壓縮包文件。


(1)攜帶惡意宏的惡意文檔


該惡意文檔以“Leaked Kremlin emails show Minsk protocol designed as path toUkraine's capitulation”(譯:“泄露的克里姆林宮電子郵件顯示,明斯克協議被設計成烏克蘭投降的途徑”)作為誘餌內容,并提示受害者“啟用宏”。具體內容如下圖所示。


圖37.png


當受害者打開該文檔并啟用宏代碼功能后,將自動調用Document_Open函數,其主要功能為提取并執行保存在UserForm1中的powershell指令。


圖38.png


對powershell后面的代碼進行Base64解碼后,得到了混淆后的ps腳本。具體內容如下圖所示。


圖39.png


在對該腳本進行去混淆處理后,可以看到該powershell指令的主要功能為從指定的url列表中下載“SoftwareUpdate.exe”,再將其保存到%TEMP%目錄并命名為“update.exe”。


圖40.png


(2)惡意壓縮包文件


另一種類型是RAR壓縮包文件,攻擊者將其命名為“The increasinglycomplicated Russia-Ukraine crisis explained”,該壓縮文件包含用于迷惑受害者的正常pdf誘餌文檔以及偽裝成pdf文件圖標的二進制可執行惡意程序(通過修改exe圖標為文檔來誘導受害者點擊)。


圖41.png


正常pdf誘餌文檔的部分內容如下圖所示。


圖42.png


(3)攜帶漏洞的惡意文檔

攻擊者在此次攻擊行動中使用的是office漏洞cve-2021-40444,該漏洞是微軟于2021年9月公布的一個MicrosoftMSHTML遠程代碼執行漏洞。攻擊者可制作一個由托管瀏覽器呈現引擎的 Microsoft Office 文檔使用的惡意 ActiveX 控件,之后誘導用戶打開惡意文檔,則可在目標系統上以該用戶權限執行任意代碼。


我們將攜帶漏洞的惡意文檔解壓后,在rels的document.xml文件中發現了可疑的下載鏈接:Target="mhtml:https://web.sunvn.net/QYWI6LH4M71O.html!x-usc:https://web.sunvn.net/QYWI6LH4M71O.html"。


圖43.png


嘗試下載該QYWI6LH4M71O.html文件,發現服務器已無法訪問了,經驗證該域名已經失效。


在進一步的分析后,我們發現攻擊者使用了定制的POC模板進行批量自動化生成惡意文檔,且對各漏洞文檔中包含的下載鏈接所指向的html均進行了隨機化處理。


圖44.png


3.1.2 后門分析   


目前,啟明星辰ADLab監測到黑客組織使用了惡意木馬QuasarRAT來實現竊密、遠程控制等惡意行為。該木馬是一種公開可用的開源遠程訪問木馬,主要針對Windows操作系統。其最初是由GitHub用戶 MaxXor 開發,用于合法用途。然而,該工具此后被黑客用于各種網絡間諜活動。該木馬提供的部分遠程功能菜單如下圖所示。


圖45.png


具體功能如下表所示。


圖46.png


3.2 攻擊事件二


2022年3月22日,啟明星辰ADLab捕獲到一個針對烏克蘭的攻擊樣本。攻擊者通過類似“關于保存俄羅斯聯邦軍隊犯罪行為的視頻記錄”等具有迷惑性的文件名來誘使受害者執行惡意木馬,以此達到對特定攻擊目標實施入侵的目的。我們對此次攻擊活動的線索進行了深入的追蹤和溯源分析,發現其與歷史悠久的Scarab黑客組織具有一定的相似性。


3.2.1 溯源分析


我們從此次黑客組織所使用的基礎設施及攻擊手法等層面進行關聯分析,并結合該組織早期攻擊活動中的相關特征,得出了下面幾處重要的關聯點。


(1)基礎設施

通過提取所有樣本中的C2服務器,我們發現攻擊者在此次活動中所使用的回聯域名,是在ChangeIp.com平臺上免費注冊的三級子域(該平臺提供的免費域實際上是二級域,如下圖所示)。


圖47.png


為了確定攻擊者所屬組織,我們對木馬進行溯源分析,找到了其他的同源木馬。查看這些域名的注冊信息,我們發現這些木馬所使用的C2也均是在ChangeIp.com平臺進行注冊的。并且已被標注為所屬Scarab黑客組織。在早期的攻擊活動中,該黑客組織幾乎完全是通過動態域名系統(DDNS)域來執行命令和控制(C&C)操作。具體如下圖所示。


圖48.png


(2)攻擊手法


攻擊者在此次攻擊活動中,是以惡意壓縮包作為攻擊載荷,雖然我們未能確定該文件是否通過電子郵件進行投遞。但通過對Scarab黑客組織早期的攻擊載荷進行全面地收集和分析后,我們觀察到該組織慣于使用壓縮包作為第一階段的誘餌文檔。具體如下圖所示。


圖49.png


此外,黑客組織在早期攻擊活動中,是通過壓縮包中的惡意文檔來展開下一階段的攻擊行動,文檔中都包含相同的提示模塊。詳細內容如下圖所示。


圖50.png


而在此次活動中,攻擊者改用了與壓縮包同名的EXE可執行文件來進行入侵行為。但與早期手法相似的是,在執行完此階段的攻擊載荷后,其都會在%TMP%目錄下寫入并打開一個無害的與主題相關的文檔,用以迷惑受害者。具體如下圖所示。


圖51.png


除了以上羅列出的攻擊手法同Scarab黑客組織具有一定的重疊性以外,在后續攻擊中攻擊者使用到的惡意腳本和木馬(包括文件名稱和內容)均為該組織所有。


圖52.png

圖53.png


基于該組織的域名使用喜好、攻擊手法和入侵策略等方面的對比分析,我們初步判斷本次的攻擊活動來自Scarab黑客組織。值得注意的是,Scarab黑客組織曾被部分國外公司標記為來自中國的黑客組織。然而,我們對這些公司提供的詳細報告和所謂的證據進行仔細分析后發現,所謂的證據不過是無法提供的“基于語言的資源”和誘餌文檔中的中文“用戶”二字,這顯然太過牽強,我們并不知道該公司把攻擊歸咎于中國的目的是什么,但這種“根據無力的證據就把網絡攻擊歸咎于中國”的牽強邏輯并不少見,其背后的推手及其目的早已昭然若揭。


3.2.2 技術分析


此次攻擊活動中,啟明星辰ADLab捕獲到了該組織使用RAR文件的方式來展開攻擊。我們雖未能確定該惡意文件的來源,但根據以往的攻擊,可以推斷Scarab組織有可能是利用釣魚郵件,將壓縮包作為附件從而進行攻擊行動。當壓縮包中的exe文件被執行后,會釋放并打開無害的誘餌pdf文檔,同時在%TEMP%目錄下寫入并執行“officecleaner.bat”批處理文件。之后,bat文件則在同目錄下釋放“httpshelper.dll”惡意文件,并調用rundll32.exe執行惡意木馬。單從功能來看,此木馬僅包含簡單的上傳下載文件、設置休眠時間等,但是,其可直接從命令和控制(C2)服務器上,下載加載特定功能模塊來進一步的執行惡意操作。


(1)初始載荷


啟明星辰ADLab最初發現的RAR文件,名稱為“прозбереженнявзеоматер?ал?взф?ксац?шйарм?ш?Рос?йськоюфедерац?????.rar”(譯:“關于保存俄羅斯聯邦軍隊犯罪行為的視頻記錄.rar”),壓縮包中包含一個同名的EXE可執行文件。


圖54.png


當惡意EXE文件執行后,會從其資源節中讀取指定的數據并寫入到用戶電腦%TEMP%目錄下,該文件是名為“#2163_02_33-2022.pdf”(來自于烏克蘭國家警察局的來信)的誘餌文件,隨后再執行CMD命令打開此文件。文件具體內容如下圖所示。


圖55.png


圖56.png


接著,再次讀取指定的資源數據,并將其寫入到%TEMP%目錄下,命名為“officecleaner.bat”。內容如下圖所示。


圖57.png


最后,使用CMD命令將BAT文件添加到注冊表啟動項,以確保該批處理文件的持久性。


圖58.png


(2)bat批處理文件


“officecleaner.bat”的主要功能為,替換%TMP%目錄下“officecleaner.bat”的MZ頭部并在同目錄下寫入“httpshelper.dll”文件,之后刪除bat批處理文件,以及添加開機啟動項確保此DLL文件的持久化。


圖59.png


(3)惡意木馬


DLL文件在DllMain入口處,會先判斷其自身的加載程序是否為“rundll32.exe”。當判斷結果為true時,則調用dll的主功能導出函數“OAService”。


圖60.png


該主功能函數首先通過PEB動態獲取后期所使用的API函數。


圖61.png


之后獲取系統目錄的卷序列號并進行保存。


圖62.png


接著,將獲取到的序列號進行格式化后發送給黑客組織的服務器。


圖63.png


當與服務器成功連接后,則根據服務器的控制指令來進行相應的操作??刂浦噶钶^簡單,包括上傳文件、下載文件、接收發送指定數據和指定休眠時間等。


圖64.png


四、總結


俄烏戰爭爆發以來,雙方除了在實地戰場進行交鋒外,在網絡空間戰場中進行的博弈也愈加激烈;不難發現,網絡空間戰已成為現代戰爭的重要組成部分,網絡戰對現代戰爭局勢的影響同樣重要。在俄烏戰爭全面爆發之前,雙方在網絡空間戰場就早已交鋒,只不過網絡戰發生于一個“無聲的并且沒有硝煙的戰場”,并不為公眾所關注,但其對實地戰爭的影響卻舉足輕重;比如,在烏俄戰爭爆發當天,俄羅斯對烏克蘭的部分軍事基地進行“定點清除攻擊”,直接導致烏克蘭失去在第一時間內反擊的能力,此“定點清除攻擊”背后所涉及的情報很可能就是從網絡戰中獲??;戰爭全面爆發后,雙方在網絡戰場的交鋒更加激烈,各種網絡攻擊事件頻發,網絡攻擊一方面能夠竊取對手手中與戰爭緊密相關的機密信息,另一方面破壞網絡和其他基礎設施也能震懾對手,擾亂對手對實地戰局的局勢判斷,從而影響戰局走勢。結合本次攻擊活動分析及以往我們對烏克蘭遭受的黑客攻擊的分析——《烏克蘭戰爭背后的網絡攻擊和情報活動》和《針對烏克蘭邊防局和國防部攻擊活動深度分析》,可以看出,網絡空間戰其實比實地戰爭爆發的時間更早,戰線更長并且隱蔽,網絡空間安全對國家安全的重要性不言而喻。

上一篇 下一篇