GA黄金甲

首页 > 安全钻研 > 钻研汇报 > 攻击与威胁分析

【深度分析】乌克兰战争背后的网络攻击和谍报活动

颁布功夫 2022-02-25

近日乌克兰大势不休升级，直到今天，发展成为全面的战争行为，除了目前牵动世界神经的战争大势发展态势，还有伴随在战争之下频仍的网络战争。网络攻击一向陪伴着本次矛盾的发展而不休出现，成为本次战争的先行战场。凭据目前的威胁谍报信息来看，除了之前针对乌克兰国防部、表交部、教育部、内政部、能源部、武装队列等机构的大规模散布式回绝服务攻击表，从昨天起头，一款用于攻击乌克兰的数据擦除恶意软件被部署在了乌克兰数百台沉要机械上，造成了这些机械无法工作。

但从对战争的影响来看，这些攻击或许只能在战前给对方肯定的威慑作用，并不会对战争产生几多影响，但是从11点起头的定点断根行动，必要事先对指标的沉要设施和人员有精确的相识，这让我们想到去年追踪到的一系列针对乌克兰边防局和乌克兰国防部网络间谍活动，间谍活动以“COVID-19Vaccine”、“向ATO 退役武士付款”、“垂危更新�。。　薄ⅰ拔诳死甲芡沉� №186_2021”等内容钓饵进行攻击，这一系列网络间谍活动或许也是战前筹备所做的沉要的一步。汇报见我们2021年8月颁布的《针对乌克兰边防局和国防部攻击活动深度分析》汇报。

本文将凭据目前已经监控的攻击情况结合公开的谍报对本次矛盾下的网络攻击分析梳理和分析，同时进一步对近日出现的新型数据擦除恶意软件进行深刻分解。

典型攻击事务

从2022年1月13日起头，就出现了一款针对乌克兰当局和贸易实体的新型粉碎性恶意软件“ WhisperGate ”，指标指向乌克兰确当局、非投机组织和信息技术实体，此时俄罗斯和乌克兰的地缘政治严重大势在酝酿之中，微软将这些攻击归因于代号为“ DEV-0586 ”的新型APT组织。紧接着的1月14日，乌克兰表交部、教育部、内政部、能源部等部门因受到大规模网络攻击而关关；到2月15日时，乌克兰国防部、武装队列等多个军方网站、以及乌克兰最大银行的两家银行 PrivatBank和Oschadbank网站因受到大规模网络攻击而关关；2月23日，乌克兰部门国度和银行机构的网站再次受到大规模的DDoS攻击，而此时，俄罗斯已对乌克兰形成雄师压境之势。同时，一款名为“HermeticWiper ”（别名KillDisk.NCV）的新型数据擦除恶意软件在乌克兰的数百台沉要的推算机上被发现，最新一轮的粉碎型的网络攻击再次启动。

DDoS攻击：针对乌克兰当局网站的DDoS攻击事务

2月14日起，乌克兰沉要军事、当局、教育、金融等部门的网络系统屡次遭到大规模DDoS攻击,蕴含乌克兰国度公务员事务局（nads.gov.ua）、乌克兰当局新闻网站（old.kmu.gov.ua）、乌克兰国度储蓄银行（oschadbank.ua）、乌克兰国内最大贸易银行（Privatbank.ua）以及乌克兰表交部、安全局等等沉要机构均遭到攻击。DDoS攻击通过系统资源亏损的方式造成乌克兰多多关键基础设施和沉要网络系统瘫痪，严沉影响了乌克兰的社会秩序以及军队的作战指挥和调度，大大减弱了乌克兰的战时行动能力。乌克兰国度特殊通讯和信息�；ぞ致糯伟洳纪绻セ鞴娼芯荆�

乌克兰国度特殊通讯和信息�；ぞ致糯伟洳纪绻セ鞴�.png

图1：乌克兰国度特殊通讯和信息�；ぞ致糯伟洳纪绻セ鞴�

受攻击的乌克兰当局新闻网站（old.kmu.gov.ua）.png

图2：受攻击的乌克兰当局新闻网站（old.kmu.gov.ua）

受攻击的乌克兰国度储蓄银行（oschadbank.ua）.png

图3：受攻击的乌克兰国度储蓄银行（oschadbank.ua）

网络窃密攻击：针对乌克兰当局、军事等行业的网络间谍攻击事务

随着俄乌安全大势的不休恶化，近期对准乌克兰地域的网络间谍活动显著增多。GA黄金甲ADLab持续捕获到多起针对乌克兰的网络垂钓攻击，旨在探测与窃取指标的敏感信息。有关垂钓文档以军事号令、当局文件等为钓饵执行网络窃密活动，指标重要蕴含乌克兰的军事、当局、金融等敏感行业。网络窃密攻击在网络战中职位极其沉要，通过谍报窃取能够及使仄握指标的主题思密谍报并对后续的军事战术行动产生沉大影响。涉及的部门钓饵文档如下所示：

钓饵文档一：假装成乌克兰军事机构文件（提醒用户查抄恶意邮件）

机构文件.png

图4：假装成乌克兰军事机构文件

钓饵文档二：假装成乌克兰国防部号令文件(蕴含乌克兰革命队列和乌克兰武装队列间的通讯网络建设信息)

机构文件.png

图5：假装成乌克兰国防部号令

钓饵文档三：假装成护照信息

护照信息.png

图6：假装成护照信息

钓饵文档四：假装成乌克兰国度警员局文件（调查信息）

假装文件.png

图7：假装成乌克兰国度警员局文件

钓饵文档五：假装成乌克兰财政部文件

文件信息.png

图8：假装成乌克兰财政部文件

这批间谍攻击活动与我们2021年8月颁布的《针对乌克兰边防局和国防部攻击活动深度分析》汇报中涉及的攻击特点有很高的类似度，判断可能是该组织持久持续的间谍攻击活动。

系统粉碎攻击：针对乌克兰当局、金融机构的系统粉碎型攻击事务

2月23日起，一款名为“ HermeticWiper ”（别名KillDisk.NCV）的新型数据擦除恶意软件在乌克兰的数百台沉要的推算机上被发现，涉及乌克兰的金融和当局承包商，导致有关组织的系统设备数据遭到粉碎。该恶意软件于2021年12月28日编译，并在2月23日初次部署，其中一次入侵涉及直接从Windows域节造器部署恶意软件，这批注攻击者已经节造了指标网络。这已经是今年第二起针对乌克兰沉要部门的粉碎型攻击事务，早在1月13日，就出现了一款针对乌克兰当局和贸易实体的新型粉碎性恶意软件“ WhisperGate ”，指标指向乌克兰确当局、非投机组织和信息技术实体，此时俄罗斯和乌克兰的地缘政治严重大势在酝酿之中，微软将这些攻击归因于代号为“ DEV-0586 ”的新型APT组织。针对这次新出现的“ HermeticWiper ”恶意软件，GA黄金甲ADLab迅快发展分析，有关技术分析如下。

恶意软件首先使用权限批改API函数，将自身过程的权限进行特权提升处置。

代码信息.png

之后，再利用VerifyVersionInfoW和VerSetConditionMask（以此预防GetVersionEx无法判断Win7以上系统版本）来获取推算机操作系统版本，以及32或64位等信息。

代码信息.png

凭据操作系统的版本，恶意软件会从资源数据中加载相应的驱动文件，资源存放了四种分歧版本的驱动文件（如下图）。这些驱动法式使用了微软的压缩号令工具“COMPRESS.EXE”进行了压缩，我们使用“EXPAND.EXE”工具解压后，通过文件署名和hash比对，发现这些驱动法式是商用数据复原和磁盘治理软件“EaseUS Partition Master”的多个系统版本，蕴含x86和x64架构。

文件信息.png

由此我们能够看到，该恶意软件一旦获得了特权提升，便可利用加载Eldos RawDisk驱动法式来对主疏导表进行物理接见与粉碎。

代码图.png

代码图.png

代码图.png

代码图.png

代码图.png

总结

从近期的观察来看，在战争产生之前，乌克兰和俄罗斯大势的升级城市陪伴着相应的网络攻击，能够说，网络攻击似乎成为矛盾背后用于压造对方的一种沉要伎俩，除了能够粉碎敌手的网络基础设施表，还能对敌手当驹祓到肯定的威慑作用。当然本次战争背后，从最近发现的网络攻击（粉碎推算机和DDoS攻击）来看，并不会对战争起到多大的作用，更像是一种生理战术。但我们不能排除其中可能存在隐秘攻击，可能对战争起到沉要的作用，好比本次“定点断根攻击”所涉及到的谍报工作，这其中有可能部门沉要谍报是通过网络间谍活动得到的，由于从以往针对乌克兰的间谍活动来看，网络攻击应该表演过沉要的角色，这其中蕴含我们在2021年8月的《针对乌克兰边防局和国防部攻击活动深度分析》汇报中所揭示的一系列针对乌克兰的网络间谍活动。

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】