预计俄罗斯将从三个方面对乌克兰发动新的网络攻势！

微软数字威胁分析中心总经理ClintWatt于12月3日撰文，称今年秋天俄罗斯在战场输给乌克兰之后，莫斯科加强了其多管齐下的混合技术方法，以向基辅国内外的军事和政治支持力量施压。可能的方法包括对乌克兰民用基础设施的破坏性导弹攻击和网络攻击，对乌克兰和现在外国供应链的网络攻击，以及网络影响行动—旨在破坏美国、欧盟和北约对乌克兰的政治支持，并动摇乌克兰公民的信心和决心。

Clint Watt指出，最近几个月，与俄罗斯军事情报部门有关联的网络威胁行为者对乌克兰的能源、水和其他关键基础设施组织的网络发起了破坏性的强力攻击，因为导弹袭击导致乌国内民众的电力和供水中断。俄罗斯军事运营商还将破坏性网络活动扩展到乌克兰以外的重要物流中心，如波兰，以试图破坏向前线运输武器和补给品。与此同时，俄罗斯的宣传力量试图通过国有媒体和社交媒体账户加大网络舆论攻势，以打击民选官员和民主机构，从而扩大欧洲民众对能源和通货膨胀的强烈异议。迄今为止，这些措施只对公众产生了有限的影响，但它们预示着未来冬季可能继续扩大范围的策略。

Clint Watt认为，这些最近的趋势表明，世界应该为今年冬季俄罗斯在数字领域发起的多条潜在攻击做好准备。

首先，可以预期俄罗斯将继续对乌克兰的关键基础设施发起网络攻势。应该为俄罗斯军事情报人员最近在波兰执行勒索软件式攻击（称为Prestige）的可能性做好准备，这可能是俄罗斯进一步将网络攻击扩展到乌克兰境外的先兆。此类网络行动可能针对今年冬天向乌克兰提供重要援助和武器供应链的国家和公司。

其次，还应该为以欧洲为目标的网络影响行动与网络威胁活动同时进行做好准备。俄罗斯将寻求利用民众对乌克兰的支持出现裂痕，破坏对乌克兰的基础设施复原力至关重要的联盟，希望削弱流向该地区的人道主义和军事援助。有利的一面是，需要掌握更多信息，让精通媒体的公众可以根据意识和形势采取行动来应对这一威胁。

最后，Clint Watt重申了利用微软四个“D”（检测、颠覆、防御、遏制）的独特方法来对抗恶意网络攻击和影响力活动。强调微软将协同各方，从整个冬天到2023年，持续为其客户提供支持和服务。

以下为Clint Watt文章的主要内容摘编。

Clint Watt根据微软监测掌握到的威情报态势，以及乌克兰的反攻已迫使俄罗斯军队撤退的现实，预测在进入冬季后俄罗斯的网络和影响力行动的发展态势，以及美欧、NATO等如何帮助准备和防止对乌克兰造成伤害方面提出了建议。

导弹和网络联合打击的重点是破坏民用基础设施

Clint Watt的文章指出，随着俄罗斯于10月下旬从乌克兰的前占领区撤退，克里姆林宫对乌克兰城市以及支持这些城市的能源和交通基础设施发动了新的导弹和无人机袭击。导弹打击切断了超过 1000万乌克兰人的电力供应，并使基辅多达80%的人口没有自来水。给乌克兰平民造成苦难的意图很明确，俄罗斯官员也有效地承认了这一点。

值得注意的是，最近的这些导弹袭击伴随着对同一部门的网络攻击，由与俄罗斯军事情报部门GRU有关联的威胁组织（在Microsoft称为IRIDIUM，其他组织称为Sandworm）实施。俄罗斯军事情报部门的这些网络攻击与相应的军事动能攻击在时间、部门和地理上的反复关联表明了一组共同的行动优先事项，并提供了强有力的间接证据表明这些努力是协调一致的，如下面的时间表所示。

微软对RIDIUM的研究表明，乌克兰的关键能源基础设施遭到破坏性攻击的历史可追溯到近十年前。继俄罗斯于2014年吞并克里米亚之后，IRIDIUM发起了一系列针对乌克兰电力供应商的冬季行动，在2015年和2016年切断了数十万公民的电力。该组织在乌克兰的破坏行动于2017年通过NotPetya传播到全球攻击给包括马士基、默克和亿滋等国际公司在内的公司造成了100亿美元的损失，并凸显了该参与者的运营对全球数字生态系统的风险。

正如之前报道的那样，从2月23日开始的俄罗斯破坏性网络攻击浪潮，以及随后为支持俄罗斯战争努力而对乌克兰目标进行的破坏性攻击，都是IRIDIUM的责任。10 月，在两个月几乎没有清除活动之后，IRIDIUM 对乌克兰关键服务网络的破坏性攻击激增。随着乌克兰反攻的推进和冬季的临近，微软观察到IRIDIUM署了Caddywiper和FoxBladewiper恶意软件来破坏涉及发电、供水以及人员和货物运输的组织网络的数据。主要焦点集中在基辅地区，以及该国南部和中东部地区，那里的肢体冲突最为激烈。

对运输和物流公司的网络和导弹袭击可能会干扰武器和物资的运输。然而，此类袭击也可能会中断向乌克兰公民提供人道主义援助的通道，加剧电力供应中断带来的危害。

图1 上面的时间表显示了截至10月针对乌克兰民用基础设施的补充导弹和破坏性网络攻击的趋势。

这种以民用基础设施为目标的策略自冲突开始以来就一直在发挥作用。自2022年2月以来，俄罗斯军事行动者使用破坏性擦除器恶意软件攻击了大约50个乌克兰组织，其中 55% 是关键基础设施组织，包括能源、交通、水、执法和紧急服务以及医疗保健部门。

图2 图中的信息基于 Microsoft 在事件响应和合作伙伴关系中观察到或了解的乌克兰网络上的破坏性擦除器活动分类。该活动发生在今年2月23日至10月中旬之间。

在大多数情况下，威胁行为者已经针对目标关键基础设施组织的业务网络部署了擦除器。然而，运营技术网络也很脆弱。例如，IRIDIUM4月试图通过针对乌克兰能源供应商的工业控制系统(ICS) 对能源生产造成严重破坏。CERT-UA和国际合作伙伴迅速采取行动挫败了这次攻击，但未来ICS攻击会破坏或破坏乌克兰电力或水利基础设施的生产能力的风险很高。

俄罗斯的网络攻击延伸到乌克兰以外

10月，俄罗斯的网络攻击扩展到乌克兰境外，当时RIDIUM部署了其新颖的Prestige勒索软件，针对波兰和乌克兰的多个物流和运输部门网络。这是自入侵开始时发生Viasat KA-SAT攻击以来，针对乌克兰以外实体的第一次与战争相关的网络攻击。

10月份的Prestige事件可能代表了俄罗斯网络攻击战略的慎重转变，反映出莫斯科愿意使用其网络武器攻击乌克兰以外的组织，以支持其正在进行的战争。自022年春季以来，Microsoft观察到IRIDIUM和可疑的俄罗斯国家运营者将目标对准了乌克兰各地的运输和物流组织，可能是为了收集情报或破坏通过该国的军事和人道主义援助的通道。但最近在波兰发生的这些攻击表明，俄罗斯国家支持的网络攻击可能会越来越多地用于乌克兰以外的地区，以破坏外国供应链。

图3 Prestige索软件的部署反映了俄罗斯军方自春季以来对交通部门的兴趣。尽管RIDIUM在5月访问了其中一个受影响组织的网络，但攻击者只是在乌克兰反攻开始时才开始准备和部署破坏性恶意软件，当时乌克兰供应链的中断可能被认为更为紧迫。

IRIDIUM的Prestige破坏性攻击中的成功是有限的。据报道，包括来自icrosoft检测和响应团队(DART)和Microsoft威胁情报中心(MSTIC)以及波兰当地事件响应人员的早期客户通知和快速响应，帮助将攻击的影响控制在一个目标组织的不到20%的范围内。然而，虽然破坏性影响有限，但RIDIUM几乎可以肯定地收集了可能有助于未来攻击的供应路线和物流操作的情报。

也许部分是因为在这种情况下，防御者和响应者成功地限制了影响，国际上对这场混合战争新扩展到乌克兰边界以外的抗议已经减弱。尽管如此，这次攻击凸显了俄罗斯对直接向乌克兰提供或运输人道主义和军事援助的欧洲组织进行破坏性网络攻击的持续风险。

网络支持的影响力行动试图在整个欧洲制造与现实世界的不和

今年冬天，在能源短缺和通货膨胀加剧的情况下寻求取暖的欧洲人可能会成为俄罗斯试图通过网络影响力行动挑起和潜在调动不满情绪的目标。

此类行动为克里姆林宫提供了一种更容易否认但仍然有效的方法来塑造围绕冲突和重大地缘政治事件的话语。俄罗斯的“积极措施”方法涉及渗透克里姆林宫对手的选区，同时提拔赞同俄罗斯外交政策立场的候选人和官员。自2014年以来，俄罗斯一直寻求“通过政治力量，而不是武力政治”来实现其目标，包括2016年英国脱欧公投和美国、法国和德国等国的选举。俄罗斯还利用政治、经济和社会分歧来动员公民，甚至在民主国家内部煽动暴力。这些工具很可能会在欧洲和全球部署，以减少对乌克兰国防的支持。

俄罗斯拥有通过网络影响力行动影响美国和欧洲公众舆论的成熟能力。2016 年，位于圣彼得堡的互联网研究机构，也就是众所周知的俄罗斯“巨魔农场”，在德克萨斯州和佛罗里达州策划了著名的抗议活动。同年早些时候，俄罗斯官方媒体刊登了一篇关于一名年轻女孩据称在德国遭到移民袭击的报道——指控后来被驳斥——并宣传德国政府故意隐瞒真相的说法。随后的媒体热潮在德国大量的俄罗斯侨民中引发了一系列抗议活动，他们对被告知德国司法系统的失败感到愤怒。

2018年，参与2016 年美国总统大选的克里姆林宫巨魔扩大了法国的“黄背心”抗议活动。俄罗斯没有组织这些抗议活动，但其在线活动提高了抗议埃马纽埃尔·马克龙总统政府的呼声，方法是使用公开的、国家赞助的媒体来宣传这一事业，同时通过在线秘密账户提升该运动的标签#giletsjaunes。

微软的数字威胁分析中心 (DTAC) 团队密切跟踪启用网络的影响操作。今年秋天欧洲发生的与能源、通货膨胀和乌克兰战争有关的抗议活动——以及俄罗斯宣传机构的稳步推动——预示着美国可能会在今年冬天遇到更多的行动，通过寻求增加欧洲对能源供应的不满来支持俄罗斯的目标，能源定价和通货膨胀。如果乌克兰的能源和电力中断导致整个欧洲出现更多难民，俄罗斯的网络影响力行动可能会寻求增加移民问题上的摩擦，从而造成国家内部和国家之间的冲突——克里姆林宫去年的竞选活动中可见的一个主题十年来，难民在叙利亚内战期间逃往东欧和中欧。

在接下来的几个月里，欧洲国家可能会受到一系列影响技术的活动，这些技术是根据其民众对能源价格和通货膨胀的更广泛担忧而量身定制的。俄罗斯已经并将可能继续将这些运动的重点放在德国，德国是一个对维持欧洲统一至关重要的国家，也是大量俄罗斯侨民的家园，试图推动民众和精英共识走向有利于克里姆林宫的道路。克里姆林宫附属理论家与德国极右翼之间的紧密联系可能会在针对德国观众的在线和离线活动中得到利用，这些活动将对乌克兰战争进行强硬叙述，并批评政府处理能源危机的方式。

最近的定量分析佐证了这些评估。微软的IforGoodLab创建了俄罗斯宣传指数(RPI)，以监控来自俄罗斯国家控制和赞助的新闻媒体和放大器的新闻消费。该指数衡量的是这种宣传流量占互联网总新闻流量的比例。德国的 RPI 目前是西欧最高的，是地区平均水平的三倍多。

俄罗斯在德国的宣传消费增加可能部分是由于俄罗斯数十年来针对该国的软实力和公共外交投资，该国是欧洲最大的俄罗斯侨民之一。许多软实力组织的明确目的是在两国之间建立人与人之间和党与党之间的联系，一些俄罗斯国家赞助的媒体机构已经设在德国。德国讲俄语的人口众多，估计有近600万人，这使得俄罗斯的网络影响力行动和以俄语和德语发布的宣传更容易为德国观众所接受。美国对北溪2号管道这个事件在俄罗斯和德国都不受欢迎的项目的制裁，让反西方和亲俄罗斯的宣传和影响力行动，特别是在经济和能源话题上，获得了更有同情心的听众。

除德国外，许多其他欧洲国家可能还需要考虑俄罗斯干预和民众有机不满的综合影响。今年早些时候，与俄罗斯有关联的威胁组织 SEABORGIUM（与被追踪为 Callisto Group、TA446 和 COLDRIVER 的威胁组织重叠）以英国为目标，利用据称被盗的材料散布对英国政府的不信任，而亲俄媒体像现代外交和战略文化基金会，一个由俄罗斯外国情报局 (SVR) 指导的渠道，发布内容指控英国参与刻赤海峡大桥爆炸。

与此同时，捷克共和国持续不断的抗议活动推动了俄罗斯在能源问题上的谈话要点，并多次出现在俄罗斯国有媒体和国家附属媒体上。

法国不像其邻国那样依赖俄罗斯天然气，因此可能不太容易受到与能源相关的影响。然而，俄罗斯机构将寻求通过不真实的社交媒体活动干涉法国事务的风险持续存在——建立在之前的努力及其成功的基础上，通过宣传、假智囊团和地方参与——这表明俄罗斯愿意削弱法国的领导地位。最后，随着能源成本的上升，意大利成为另一个目标。

微软四“D”助力乌克兰捍卫数字领域安全

在微软2022年6月的报告《保卫乌克兰：网络战争的早期教训》中，供了一种对抗数字威胁的方法。多维威胁需要多维防御。微软围绕“四个 D”构建了独特的方法来对抗恶意网络和影响活动。从整个冬天到2023年，微软将与客户合作并支持民主国家。

检测：在微软的威胁情报团队中，共同识别那些可能攻击供应链的网络参与者，这些供应链支持乌克兰和能源行业，让欧洲在今年冬天保持温暖。微软还将评估网络攻击，以确定哪些旨在限制对乌克兰的支持和供应，哪些可能是更广泛的黑客和泄密行动的一部分，旨在破坏对乌克兰的支持统一。对于客户，微软将先发制人地评估和判断可能成为俄罗斯或其他民族国家威胁行为者目标的潜在风险。此漏洞评估将密切评估Microsoft服务的运输、国防和能源公司，以帮助提高整体检测和响应速度。微软还将继续跟踪和识别俄罗斯的网络影响行动，

颠覆：微软的威胁情报中心 (MSTIC) 将提醒客户和公众注意新兴的网络方法，使整个生态系统能够快速使用传感器、补丁和缓解措施。当遇到网络支持的影响力活动时，微软将采取类似的策略，重点关注旨在在乌克兰内部或其合作伙伴之间制造怀疑、不信任或异议以破坏对乌克兰的支持的行动。微软团队将与其客户和公众分享这些信息，以减少它们的影响。

防御：微软将通过增加信息共享和改进技术来增强更广泛的网络生态系统的集体防御，以解决漏洞问题并抵御俄罗斯的威胁。微软的团队将继续支持乌克兰和盟友之间的非营利组织、记者和学者，使这些合作伙伴能够扩大对信息生态系统的防御。例如，微软最近与乌克兰的国际媒体支持 (IMS) 和战略通信与信息安全中心合作，通过专用的安全通信中心改善乌克兰境内私营部门、非政府组织和记者之间的快速信息共享和响应。

遏制：十多年来，微软一直致力于确保网络空间的国际规范。今年冬天，微软的数字外交和民主前进团队将与受影响的客户及其代表政府合作，推动采取统一行动，保护微软客户的供应链免受民族国家的攻击。微软将继续努力，为在乌克兰和支持其防御的国家中被俄罗斯行为者瞄准或破坏的实体提供可操作的威胁情报。

最后，对于客户，微软鼓励使用强大的网络卫生和最新的检测和响应技术来减少网络攻击的漏洞并从中恢复——这些具体建议的列表可以在最近发布的Microsoft 数字防御报告 (MDDR) 2022中找到。

乌克兰在网上和实地都勇敢地抵抗了俄罗斯的无情攻击。在其伙伴国家、公司和公民的帮助下，微软都可以确保乌克兰和欧洲的基础设施得到保护，民主在今年冬天面对威权主义时具有弹性。

参考资源：

https://blogs.microsoft.com/on-the-issues/2022/12/03/preparing-russian-cyber-offensive-ukraine/

原文来源：网空闲话

“投稿联系方式：010-82992251 [email protected]”