微软记录了俄罗斯针对乌克兰的200多起网络攻击

从2月23日至4月8日，至少有六个不同的与俄罗斯结盟的行为者对乌克兰发动了不少于237次网络攻击，其中包括38次不连续的破坏性攻击，这些攻击不可挽回地摧毁了该国数十个组织数百个系统中的文件。

该公司的数字安全部门（DSU）在一份特别报告中表示：“总体而言，网络和动态行动会扰乱或削弱乌克兰政府和军事职能，破坏公众对这些机构的信任。”。

作为俄罗斯无情数字攻击的一部分，被用来进行破坏性活动的主要恶意软件家族包括：WhisperGate、HermeticWiper（FoxBlade又名KillDisk）、HermeticRansom（SonicVote）、IssacWiper（Lasainraw）、CaddyWiper、DesertBlade、DoubleZero（FiberLake）和Industroyer2。

WhisperGate、HermiticWiper、IssacWiper和CaddyWiper都是数据擦除器，设计用于覆盖数据并使机器不可旋转，而DoubleZero是。NET恶意软件能够删除数据。据称，3月1日，针对乌克兰一家未具名的广播公司推出了同样是数据雨刷器的沙漠刀片（DesertBlade）。

另一方面，SonicVote是一种与HermiticWiper一起检测到的文件加密机，用于将入侵伪装成勒索软件攻击，而Industroyer2则专门设计用于打击运营技术网络，以破坏关键的工业生产和流程。

微软将HermiticWiper、CaddyWiper和Industroyer2的适度自信归功于俄罗斯国家赞助的演员Sandworm（又名Iridium）。WhisperGate袭击事件与一个名为DEV-0586的未知集群有关，该集群据信隶属于俄罗斯GRU军事情报部门。

据估计，在总共38起破坏性袭击中，有32%的袭击是针对国家、地区和城市层面的乌克兰政府组织，40%以上的袭击是针对国家关键基础设施部门的组织。

此外，微软表示，它观察到Nobelium，2020年SolarWinds供应链攻击的罪魁祸首，试图破坏为北约成员国政府客户服务的it公司，利用从西方外交政策组织窃取数据的渠道。

其他恶意攻击包括针对军事实体（花式熊又名锶）和政府官员（原始熊又名锕）的网络钓鱼活动，以及数据盗窃（精力充沛的熊又名溴）和侦察（毒熊又名氪）行动。

客户安全与信任公司副总裁汤姆·伯特（TomBurt）表示：“俄罗斯对网络安全攻击的使用似乎与针对对平民至关重要的服务和机构的动态军事行动密切相关，有时甚至与之直接相关。”。

“鉴于俄罗斯威胁行为体一直在反映和加强军事行动，我们认为，随着冲突的加剧，网络攻击将继续升级。我们观察到的攻击很可能只是针对乌克兰活动的一小部分。”

俄罗斯网络安全公司卡巴斯基（Kaspersky）在上月对乌克兰境内的攻击进行的分析中表示：“未来六个月，乌克兰境内的网络攻击数量将增加。”。“虽然当前大多数攻击的复杂性较低，如DDoS攻击或使用商品和低质量工具的攻击，但也存在更复杂的攻击，预计还会有更多攻击。”