俄乌战争中的俄罗斯APT网络攻击部队行为分析

作者：知道创宇NDR安全团队-NaN

1.前言 -俄混沌战略

Chaos Strategy（混沌战略）

混合战是混沌战略的一种战术应用。这是一种综合运用常规和非常规手段的全谱战争，旨在影响目标的实地变化，同时寻求避免与西方国家的直接军事对抗。混合战争以量身定制的方式在目标国家播下混乱。这种努力通常包括非常规战争、积极措施和特种作战。网络战通常也包含在此范围内。

总体战略和条令

·集中所有潜在的俄罗斯决策机构

民事、军事、媒体和经济以协调整个政府的努力。

·调整传统的军事理论和条令

使俄罗斯军队能够将混合战争作为核心任务。

·开展全社会的宣传活动以提高“爱国意识”

克里姆林宫认为这在混合战争中至关重要。

·增加俄罗斯信息运动的适应性和强度

·提高俄罗斯武装部队的常规远征能力

以增强其在国外部署以支持混合战争的能力。

·提高克里姆林宫使用 PMC 和其他所谓的可否认代理部队的能力。

·在计划过程和执行过程中，将动态作战服从于信息作战

克里姆林宫认为这是战争性质的持续根本性变化。

美方应对方式之一

非动能手段打击俄罗斯的混合战争。常规部队可以充当额外的网络、军民关系、情报、技术和特种作战资产的平台。

2.近期乌俄网络攻击时间线

1月13日

针对乌克兰政府和商业实体的新型破坏性恶意软件“WhisperGate”

目标指向：乌克兰的政府、非营利组织和信息技术实体

攻击来源：DEV-0586

1月14日

乌克兰外交部、教育部、内政部、能源部等部门因受到大规模DDOS攻击大约70 个政府网站暂时关闭。

2月15日

乌克兰国防部、武装部队等多个军方网站、以及乌克兰最大银行的两家银行 PrivatBank和Oschadbank网站因受到大规模网络攻击而关闭；

2月23日

普京获批在境外动用俄武装力量

乌克兰外交部、国防部、内政部、乌克兰安全局和内阁等网站再次受到大规模的DDoS攻击，此时，俄罗斯已对乌克兰周边地区完成战略部署。

同日，ESET发布公告名为HermeticWiper的新型数据擦除恶意软件在乌克兰的数百台重要的计算机上被发现。

3. 俄罗斯APT组织动态

年初发布的APT年度报告《群狼环伺-2021年度中国周边APT组织活动年鉴》中东欧组织部分有提及过俄罗斯针对乌克兰的常态化攻击组织Gamaredon 2021年针对乌克兰地区的攻击事件，在近期乌俄关系急剧恶化后Gamaredon组织近期活跃度升高,同时攻击活动还存在俄罗斯新兴组织SaintBear影子。

3.1 Gamaredon

NDR安全团队近期捕获攻击活动针对人员包括不限于乌基辅地区检察院、乌经济部、乌外交人员。

攻击方式包括不限于诱导网站、诱导文档等，以下为部分恶意文档案例：

俄乌战争中的俄罗斯APT网络攻击部队行为分析

Доручення.docx

俄乌战争中的俄罗斯APT网络攻击部队行为分析

Доручення.docx

俄乌战争中的俄罗斯APT网络攻击部队行为分析

Gamaredon资产简述

根据创宇遥测数据据不完全统计，从2017年至今，俄罗斯针对乌克兰的APT组织Gamaredon使用过的域名高达4662个。

其中在2021年12月后使用过的域名有2996个（包含之前使用过的域名）。根据Gamaredon组织分析情况来看，从2020年至今该该组织累积资产数量超过1000余个。

l2020年以前资产数量31个

l2020年资产数量62个

l2021年资产数量719个

l2022年至今（截止统计日期20220225）资产数量243个

俄乌战争中的俄罗斯APT网络攻击部队行为分析

根据遥测结果来看Gamaredon组织，自2017年就开始对乌克兰进行针对性攻击，在前期该组织虽然也会使用比较多的域名来进行攻击，但是IP的存活时间相对较长，从2021年开始对于IP资产的使用时间较之前普遍有缩短。Gamaredon在2019年和2020年分别有集中性地针对乌克兰的攻击，在2021年从5月份开始持续性地较大规模地针对乌克兰进行攻击，在2021年12月开始进行超大规模地对乌克兰进行攻击，尤其在2022年2月份达到最高峰。