微软称俄罗斯可能在冬季发起三大潜在网络攻势

编者按

微软公司12月3日发表题为《为今年冬天俄罗斯对乌克兰的网络攻势做好准备》文章，认为俄罗斯可能在冬季扩大网络攻势，以图挽回战场不利局面。

微软提出，自秋季的战场失利后，俄罗斯加强了其多管齐下的混合技术方法，包括对乌克兰民用基础设施的破坏性网络攻击、对乌克兰和外国供应链的网络攻击以及网络影响行动；虽然上述措施迄今未造成重大影响，但预示着俄罗斯冬季可能会扩大行动范围；应对俄罗斯冬季潜在数字领域攻击做好准备，包括对乌克兰的关键基础设施发起网络攻势、进一步将网络攻击扩展到乌克兰境外以及针对欧洲目标的网络影响行动和网络威胁活动。

微软分析认为，俄罗斯针对乌克兰的导弹袭击和网络攻击在时间、部门和地理上的相互关联，表明相关活动是协调一致的且重点目标是破坏民用基础设施；近期针对波兰和乌克兰的多个物流和运输部门的勒索软件攻击代表了俄罗斯网络攻击战略的慎重转变，反映出俄罗斯国家支持的网络攻击可能会越来越多地用于乌克兰以外的地区，以破坏外国对乌克兰的供应链；俄罗斯可能通过网络影响力行动在整个欧洲加剧现实世界的不和，挑起和调动欧洲民众对能源供应、能源定价、通货膨胀、难民等议题的不满情绪，以制造国家内部和国家间的冲突并减少对乌克兰的支持。

奇安网情局编译有关情况，供读者参考。

为今年冬天俄罗斯对乌克兰的网络攻势做好准备

（摘译）

在今年秋天的战场失利后，俄罗斯加强了其多管齐下的混合技术方法，以向乌克兰国内外的军事和政治支持来源施压。这种方法包括对乌克兰民用基础设施的破坏性导弹和网络攻击，对乌克兰和当前外国供应链的网络攻击，以及旨在破坏美国、欧盟和北约对乌克兰政治支持并动摇乌克兰民众信心和决心的网络影响行动。

近几个月来，随着导弹袭击导致乌克兰全国平民的电力和供水中断，与俄罗斯军事情报部门有关联的网络威胁行为者对乌克兰的能源、水和其他关键基础设施组织的网络发起了破坏性数据擦除攻击。俄罗斯军事操作人员还将破坏性网络活动扩展到乌克兰以外的重要物流中心波兰，以试图破坏向前线运输武器和补给品。

与此同时，俄罗斯的宣传试图通过国家附属媒体和社交媒体账户在网上宣传特定叙事，以削弱对民选官员和民主机构的信任，从而扩大欧洲民众对能源和通货膨胀的强烈异议。迄今为止，这些措施只对公众产生了有限的影响，但它们预示着未来冬季可能会扩大范围的策略。

微软认为，这些最近的趋势表明，世界应该为今年冬天俄罗斯在数字领域的潜在攻击做好准备。首先，我们可以预期俄罗斯将继续对乌克兰的关键基础设施发起网络攻势。还应该为俄罗斯军事情报人员最近在波兰执行勒索软件式攻击（称为 Prestige）的可能性做好准备，这可能是俄罗斯进一步将网络攻击扩展到乌克兰境外的预兆。此类网络行动可能针对今年冬天向乌克兰提供重要援助和武器供应链的国家和公司。

其次，还应该为以欧洲为目标的网络影响行动与网络威胁活动同时进行做好准备。俄罗斯将寻求利用民众对乌克兰支持的裂痕，破坏对乌克兰的弹性至关重要的联盟，希望削弱流向该地区的人道主义和军事援助。

一、导弹和网络联合打击的重点是破坏民用基础设施

随着10 月下旬从乌克兰的前占领区撤退，俄罗斯对乌克兰城市以及支持这些城市的能源和交通基础设施发动了新的导弹和无人机袭击。导弹火力网切断了超过1000万乌克兰人的电力供应，并使基辅多达80%的人口无法获得自来水。给乌克兰平民造成苦难的意图很明确，并得到了俄罗斯官员的有效承认。

值得注意的是，最近的这些导弹袭击伴随着对相同领域的网络攻击，由与俄罗斯军事情报部门GRU有关联的威胁组织（微软称之为IRIDIUM，其他组织称之为Sandworm）实施。俄罗斯军事情报部门的这些网络攻击与相应的军事动能攻击在时间、部门和地理上的反复关联表明了一组共同的行动优先事项，并提供了强有力的间接证据表明这些努力是协调一致的，如下图时间表所示。

随着乌克兰反攻的进行和冬天的临近，微软观察到IRIDIUM部署了Caddywiper和FoxBlade wiper恶意软件来破坏涉及发电、供水和人员和货物运输的组织网络的数据。主要焦点集中在基辅地区，以及乌克兰南部和中东部地区。

对运输和物流公司的网络和导弹袭击可能会干扰武器和物资的运输。然而，此类袭击也可能会中断向乌克兰民众提供人道主义援助的通道，加剧电力供应中断带来的危害。

这种以民用基础设施为目标的策略自俄乌冲突开始以来就一直在发挥作用。自2022年2月以来，俄罗斯军事操作人员使用破坏性恶意擦除软件攻击了约50个乌克兰组织，其中55%是关键基础设施组织，包括能源、交通、水、执法和紧急服务以及医疗保健部门。

在大多数情况下，威胁行为者已经针对目标关键基础设施组织的业务网络部署了恶意擦除软件。然而，运营技术网络也很脆弱。例如，IRIDIUM试图在4月通过攻击乌克兰能源供应商的工业控制系统（ICS）对能源生产造成严重破坏。乌克兰计算机应急响应小组（CERT-UA）和国际合作伙伴迅速采取行动挫败了这次攻击，但未来ICS攻击会干扰或破坏乌克兰电力或水利基础设施的生产能力的风险很高。

二、俄罗斯的网络攻击延伸到乌克兰以外

10月，俄罗斯的网络攻击扩展到乌克兰境外，当时IRIDIUM针对波兰和乌克兰的多个物流和运输部门网络部署了其新颖的Prestige勒索软件。这是自战争开始时发生Viasat KA-SAT攻击以来，针对乌克兰以外实体的第一次与战争相关的网络攻击。

10月份的Prestige事件可能代表了俄罗斯网络攻击战略的慎重转变，反映出俄罗斯愿意使用其网络武器攻击乌克兰以外的机构，以支持在乌克兰战争。自2022年春季以来，微软观察到IRIDIUM和可疑的俄罗斯国家操作人员将目标对准了乌克兰各地的运输和物流组织，可能是为了收集情报或破坏通过该国的军事和人道主义援助的流动。但最近在波兰发生的这些攻击表明，俄罗斯国家支持的网络攻击可能会越来越多地用于乌克兰以外的地区，以破坏外国供应链。

虽然，IRIDIUM在Prestige破坏性攻击中的成功是有限的，但其几乎可以肯定地收集了可能有助于未来攻击的供应路线和物流操作的情报。这次攻击凸显了俄罗斯对直接向乌克兰提供或运输人道主义和军事援助的欧洲组织进行破坏性网络攻击的持续风险。

三、网络支持的影响力行动试图在整个欧洲加剧现实世界的不和

今年冬天，在能源短缺和通货膨胀加剧的情况下寻求取暖的欧洲人口可能会成为俄罗斯试图通过网络影响力行动挑起和潜在调动不满情绪的目标。

此类行动为俄罗斯提供了一种更容易否认但仍然有效的方法来塑造围绕冲突和重大地缘政治事件的话语。俄罗斯的“积极措施”方法涉及渗透俄罗斯对手的选区，同时提升赞同俄罗斯外交政策立场的候选人和官员。自2014年以来，俄罗斯一直寻求“通过政治力量，而不是武力政治”来实现其目标，包括2016年英国脱欧公投和美国、法国和德国的选举等民主竞争。俄罗斯还利用政治、经济和社会分歧来动员公民，甚至在民主国家内部煽动暴力。这些工具很可能会在欧洲和全球部署，以减少对乌克兰国防的支持。

微软的数字威胁分析中心（DTAC）团队密切跟踪利用网络的影响行动。今年秋天欧洲发生的与能源、通货膨胀和乌克兰战争有关的抗议活动——以及俄罗斯宣传机构的稳步推动——预示着今年冬天可能会出现更多的行动，通过寻求增加欧洲对能源供应、能源定价和通货膨胀的不满来支持俄罗斯的目标。如果乌克兰的能源和电力中断导致整个欧洲出现更多难民，俄罗斯的网络影响力行动可能会寻求增加移民问题上的摩擦，以制造国家内部和国家之间的冲突。

在接下来的几个月里，欧洲国家可能会受到一系列影响技术的影响，这些技术是根据其民众对能源价格和通货膨胀的更广泛担忧而量身定制的。俄罗斯已经并将可能继续将这些活动的重点放在德国，试图推动民众和精英共识走向有利于俄罗斯的道路。除德国外，许多其他欧洲国家可能还需要考虑俄罗斯干预和民众有机不满的综合影响。