【深度分析】烏克蘭戰爭背後的網路攻擊和情報活動

【深度分析】烏克蘭戰爭背後的網路攻擊和情報活動

一、背景    

近日烏克蘭局勢不斷升級，直到今天，發展成為全面的戰爭行為，除了目前牽動世界神經的戰爭局勢發展態勢，還有伴隨在戰爭之下頻繁的網路戰爭。網路攻擊一直伴隨著本次衝突的發展而不斷出現，成為本次戰爭的先行戰場。根據目前的威脅情報資訊來看，除了之前針對烏克蘭國防部、外交部、教育部、內政部、能源部、武裝部隊等機構的大規模分散式拒絕服務攻擊外，從昨天開始，一款用於攻擊烏克蘭的資料擦除惡意軟體被部署在了烏克蘭數百臺重要機器上，造成了這些機器無法工作。

但從對戰爭的影響來看，這些攻擊或許只能在戰前給對方一定的威懾作用，並不會對戰爭產生多少影響，但是從11點開始的定點清除行動，需要事先對目標的重要設施和人員有精確的瞭解，這讓我們想到去年追蹤到的一系列針對烏克蘭邊防局和烏克蘭國防部網路間諜活動，間諜活動以“COVID-19Vaccine”、“向 ATO 退伍軍人付款”、“緊急更新！！！”、“烏克蘭總統令 №186_2021”等內容誘餌進行攻擊，這一系列網路間諜活動或許也是戰前準備所做的重要的一步。報告見我們2021年8月釋出的《針對烏克蘭邊防局和國防部攻擊活動深度分析》報告。

本文將根據目前已經監控的攻擊情況結合公開的情報對本次衝突下的網路攻擊分析梳理和分析，同時進一步的對近日出現的新型資料擦除惡意軟體進行深入剖析。

二、典型攻擊事件

從2022年1月13日開始，就出現了一款針對烏克蘭政府和商業實體的新型破壞性惡意軟體“ WhisperGate ”，目標指向烏克蘭的政府、非營利組織和資訊科技實體，此時俄羅斯和烏克蘭的地緣政治緊張局勢正在醞釀之中，微軟將這些攻擊歸因於代號為“ DEV-0586 ”的新型APT組織。緊接著的1月14日，烏克蘭外交部、教育部、內政部、能源部等部門因受到大規模網路攻擊而關閉；到2月15日時，烏克蘭國防部、武裝部隊等多個軍方網站、以及烏克蘭最大銀行的兩家銀行 PrivatBank和Oschadbank網站因受到大規模網路攻擊而關閉；2月23日，烏克蘭部分國家和銀行機構的網站再次受到大規模的DDoS攻擊，而此時，俄羅斯已對烏克蘭形成大軍壓境之勢。同時，一款名為“ HermeticWiper ”（又名KillDisk.NCV）的新型資料擦除惡意軟體在烏克蘭的數百臺重要的計算機上被發現，最新一輪的破壞型的網路攻擊再次啟動。

2.1 DDoS攻擊：針對烏克蘭政府網站的DDoS攻擊事件

       2月14日起，烏克蘭重要軍事、政府、教育、金融等部門的網路系統多次遭到大規模DDoS攻擊,包括烏克蘭國家公務員事務局（nads.gov.ua）、烏克蘭政府新聞網站（old.kmu.gov.ua）、烏克蘭國家儲蓄銀行（oschadbank.ua）、烏克蘭國內最大商業銀行（Privatbank.ua）以及烏克蘭外交部、安全域性等等重要機構均遭到攻擊。DDoS攻擊透過系統資源消耗的方式造成烏克蘭眾多關鍵基礎設施和重要網路系統癱瘓，嚴重影響了烏克蘭的社會秩序以及軍隊的作戰指揮和排程，大大削弱了烏克蘭的戰時行動能力。烏克蘭國家特殊通訊和資訊保護局多次釋出網路攻擊通告進行警示：

圖1：烏克蘭國家特殊通訊和資訊保護局多次釋出網路攻擊通告

圖2：受攻擊的烏克蘭政府新聞網站（old.kmu.gov.ua）

圖3：受攻擊的烏克蘭國家儲蓄銀行（oschadbank.ua）

2.2網路竊密攻擊：針對烏克蘭政府、軍事等行業的網路間諜攻擊事件

       隨著俄烏安全域性勢的不斷惡化，近期瞄準烏克蘭地區的網路間諜活動顯著增多。啟明星辰ADLab持續捕獲到多起針對烏克蘭的網路釣魚攻擊，旨在探測與竊取目標的敏感資訊。相關釣魚文件以軍事命令、政府檔案等為誘餌實施網路竊密活動，目標主要包括烏克蘭的軍事、政府、金融等敏感行業。網路竊密攻擊在網路戰中地位極其重要，透過情報竊取可以及時掌握目標的核心機密情報並對後續的軍事戰略行動產生重大影響。涉及的部分誘餌文件如下所示：

           誘餌文件一：偽裝成烏克蘭軍事機構檔案（提示使用者檢查惡意郵件）

圖4：偽裝成烏克蘭軍事機構檔案

誘餌文件二：偽裝成烏克蘭國防部命令檔案(包括烏克蘭革命部隊和烏克蘭武裝部隊間的通訊網路建設資訊)

圖5：偽裝成烏克蘭國防部命令

誘餌文件三：偽裝成護照資訊

圖6：偽裝成護照資訊

誘餌文件四：偽裝成烏克蘭國家警察局檔案（調查資訊）

圖7：偽裝成烏克蘭國家警察局檔案

誘餌文件五：偽裝成烏克蘭財政部檔案

圖8：偽裝成烏克蘭財政部檔案

這批間諜攻擊活動與我們2021年8月釋出的《針對烏克蘭邊防局和國防部攻擊活動深度分析》報告中涉及的攻擊特徵有很高的相似度，判斷可能是該組織長期持續的間諜攻擊活動。

2.3系統破壞攻擊：針對烏克蘭政府、金融機構的系統破壞型攻擊事件

2月23日起，一款名為“ HermeticWiper ”（又名KillDisk.NCV）的新型資料擦除惡意軟體在烏克蘭的數百臺重要的計算機上被發現，涉及烏克蘭的金融和政府承包商，導致相關組織的系統裝置資料遭到摧毀。該惡意軟體於2021年12月28日編譯，並在2月23日首次部署，其中一次入侵涉及直接從Windows域控制器部署惡意軟體，這表明攻擊者已經控制了目標網路。這已經是本年第二起針對烏克蘭重要部門的破壞型攻擊事件，早在1月13日，就出現了一款針對烏克蘭政府和商業實體的新型破壞性惡意軟體“ WhisperGate ”，目標指向烏克蘭的政府、非營利組織和資訊科技實體，此時俄羅斯和烏克蘭的地緣政治緊張局勢正在醞釀之中，微軟將這些攻擊歸因於代號為“ DEV-0586 ”的新型APT組織。針對此次新出現的“ HermeticWiper ”惡意軟體，啟明星辰ADLab迅速展開分析，相關技術分析如下。

       惡意軟體首先使用許可權修改API函式，將自身程式的許可權進行特權提升處理。

       之後，再利用VerifyVersionInfoW和VerSetConditionMask（以此避免GetVersionEx無法判斷Win7以上系統版本）來獲取計算機作業系統版本，以及32或64位等資訊。

       根據作業系統的版本，惡意軟體會從資源資料中載入相應的驅動檔案，資源存放了四種不同版本的驅動檔案（如下圖）。這些驅動程式使用了微軟的壓縮命令工具“COMPRESS.EXE”進行了壓縮，我們使用“EXPAND.EXE”工具解壓後，透過檔案簽名和hash比對，發現這些驅動程式是商用資料恢復和磁碟管理軟體“EaseUS Partition Master”的多個系統版本，包括x86和x64架構。

       由此我們可以看到，該惡意軟體一旦獲得了特權提升，便可利用載入Eldos RawDisk驅動程式來對主引導表進行物理訪問與破壞。

       之後，惡意軟體建立並儲存該驅動檔案到系統檔案目錄下。

       呼叫DeviceIoControl函式，以實現該驅動檔案具有與物理驅動器進行訪問和通訊（讀寫資料）的許可權。

        建立服務控制管理器並開啟服務。

       然後，惡意軟體將從0到100物理驅動器進行列舉，並依次獲取每個物理驅動器的裝置編號，以確保破壞所有可能連線的物理驅動器。

       其會對FAT和NTFS驅動器型別分別進行資料擦除處理。

該惡意軟體還會列舉常用資料夾（“我的文件”、“桌面”、“AppData”），引用登錄檔（“ntuser”）和 Windows 事件日誌（"\\\\?\\C:\\Windows\\System32\\winevt\\Logs"）。

在載入驅動前透過修改登錄檔禁用故障轉儲。

三、總結

從近期的觀察來看，在戰爭發生之前，烏克蘭和俄羅斯局勢的升級都會伴隨著相應的網路攻擊，可以說，網路攻擊似乎成為衝突背後用於壓制對方的一種重要手段，除了可以破壞對手的網路基礎設施外，還能對對手政府起到一定的威懾作用。當然本次戰爭背後，從最近發現的網路攻擊（破壞計算機和DDoS攻擊）來看，並不會對戰爭起到多大的作用，更像是一種心理戰術。但我們不能排除其中可能存在隱秘攻擊，能夠對戰爭起到重要的作用，比如本次“定點清除攻擊”所涉及到的情報工作，這其中有可能部分重要情報是透過網路間諜活動得到的，因為從以往針對烏克蘭的間諜活動來看，網路攻擊應該扮演過重要的角色，這其中包括我們在2021年8月的《針對烏克蘭邊防局和國防部攻擊活動深度分析》報告中所揭示的一系列針對烏克蘭的網路間諜活動。

啟明星辰積極防禦實驗室（ADLab）

ADLab成立於1999年，是中國安全行業最早成立的攻防技術研究實驗室之一，微軟MAPP計劃核心成員，“黑雀攻擊”概念首推者。截止目前，ADLab已透過CVE累計釋出安全漏洞近1100個，透過 CNVD/CNNVD累計釋出安全漏洞2000餘個，持續保持國際網路安全領域一流水準。實驗室研究方向涵蓋作業系統與應用系統安全研究、移動智慧終端安全研究、物聯網智慧裝置安全研究、Web安全研究、工控系統安全研究、雲安全研究。研究成果應用於產品核心技術研究、國家重點科技專案攻關、專業安全服務等。