谷歌公司发布俄罗斯网络空间行动总结和预测报告

编者按：谷歌公司2月16日发布题为《战争迷雾：乌克兰冲突如何改变网络威胁格局》的报告，提供了关于俄罗斯政府支持的攻击者、信息行动和网络犯罪生态系统威胁行为者的新发现和见解。

报告主要发现包括三项：一是俄罗斯政府支持的攻击者开展了咄咄逼人、多管齐下的活动，以在网络空间获得决定性的战时优势，通常具有多种混合结果；二是俄罗斯利用开展全方位的信息行动来塑造公众对战争的看法，试图削弱乌克兰政府的权威、断绝对乌克兰的国际支持并保持俄罗斯国内对战争的支持；三是战争引发了东欧网络犯罪生态系统的显著转变，这可能对犯罪集团间的协调和全球网络犯罪的规模产生长期影响。

(资料图片仅供参考)

报告对未来网络威胁格局出三个展望；一是俄罗斯政府支持的攻击者将继续对乌克兰和北约伙伴开展网络攻击，以进一步实现俄罗斯的战略目标；二是俄罗斯将增加对乌克兰以及北约伙伴的中断性和破坏性攻击，以应对战场形势发展从根本上使天平向乌克兰倾斜；三是俄罗斯将继续加快信息行动的步伐和范围以实现其目标，尤其是在国际资助、军事援助、国内公投等关键时刻。

奇安网情局编译有关情况，供读者参考。

战争迷雾：乌克兰冲突如何改变网络威胁格局

2023年2月16日

将近一年前，俄乌战争爆发，谷歌继续发现网络行动在这场战争中发挥着重要作用。为了更深入地了解网络的作用，谷歌发布报告《战争迷雾：乌克兰冲突如何改变网络威胁格局》，该报告基于谷歌威胁分析小组（TAG）、曼迪昂特和信任与安全部门的分析。该报告涵盖了政府支持的攻击者、信息操作（IO）和网络犯罪生态系统威胁行为者的新发现和回顾性见解。报告还包括从2022年开始专注于特定活动的威胁行为者的深入研究。

齐心协力支持乌克兰

自俄乌战争开始以来，政府、公司、民间社会团体和无数其他人一直在夜以继日地工作，以支持乌克兰民众及其机构。谷歌支持这些努力，并继续宣布对乌克兰的新承诺和支持。这包括：为乌克兰政府捐赠50000个Google Workspace许可；适用于该地区安卓手机的快速空袭警报系统；支持难民、企业和企业家；无限期暂停俄罗斯国家新闻媒体的货币化和限制其影响范围的措施。

然而，最紧迫的挑战之一是乌克兰政府几乎一直受到数字攻击。战争爆发后不久，谷歌扩大了Project Shield的资格，这是我们针对分布式拒绝服务攻击（DDoS）的免费保护，以便乌克兰政府网站和世界各地的大使馆可以保持在线并继续提供关键服务。

谷歌继续在“网络防御援助协作组织”（CDAC）下向乌克兰政府和关键基础设施实体提供直接援助，包括渗透评估、事件响应服务、共享网络威胁情报和安全转型服务，以帮助检测、缓解和防御网络攻击。此外，谷歌继续为用户实施保护并跟踪和破坏网络威胁，以帮助提高安全社区和高风险用户的意识并保持信息质量。

这种在世界各地的政府、公司和安全利益相关者间级别的集体防御在范围上是前所未有的。谷歌希望与全球安全社区分享所学到的知识，以帮助为未来做好更好的防御准备。

主要发现

1、俄罗斯政府支持的攻击者开展了咄咄逼人、多管齐下的活动，以在网络空间获得决定性的战时优势，通常具有多种混合结果。

这包括各组织的重点转向乌克兰，对乌克兰政府、军事和民用基础设施的破坏性攻击急剧增加，针对北约国家的鱼叉式网络钓鱼活动激增，旨在促进俄罗斯多个目标的网络行动有所增加。例如，我们观察到威胁行为者通过黑客攻击和泄露敏感信息来推进特定的叙事。

在战争爆发前夕，俄罗斯政府支持的攻击者从2021年开始加强了网络行动。相比2020年，俄罗斯对乌克兰用户的攻击在2022年增加了250%。同期，对北约国家用户的攻击增加了300%以上。

2022年，俄罗斯政府支持的攻击者针对乌克兰用户的攻击次数超过针对任何其他国家。虽然这些攻击者主要针对乌克兰政府和军事实体，但谷歌阻断的活动也显示出对关键基础设施、公用事业和公共服务以及媒体和信息空间的强烈关注。

从其事件响应工作中，曼迪昂特观察到2022年前4个月在乌克兰发生的破坏性网络攻击较过去8年更具破坏性，攻击在战争开始时达到顶峰。虽然在那段时间后也发现了重大活动，但与2022年2月的第一波攻击相比，攻击的步伐放缓并且协调性似乎较差。具体而言，破坏性攻击通常在攻击者获得或重新获得访问权限后更快地发生，通常通过渗透的边缘基础设施进行。许多行动表明俄罗斯联邦武装力量总参谋部情报总局（GRU）试图在活动的每个阶段平衡访问、收集和破坏的竞争优先级。

2、俄罗斯利用全方位的信息行动——从公开的国家支持媒体到秘密平台和账户——来塑造公众对战争的看法。

这些行动具有三个目标：

● 削弱乌克兰政府的权威

● 断绝对乌克兰的国际支持

● 保持俄罗斯国内对战争的支持

与冲突中的关键事件相关的活动激增，例如俄罗斯的集结、入侵和部队动员。谷歌在产品、团队和地区积极开展工作，以应对这些违反谷歌政策的活动并阻断公开和秘密的信息行动活动，但继续遇到规避政策的持续强烈企图。

谷歌阻断的秘密俄罗斯信息行动主要集中在维持俄罗斯国内对乌克兰战争的支持，超过90%的实例是俄语。

3、战争引发了东欧网络犯罪生态系统的显著转变，这可能对犯罪集团间的协调和全球网络犯罪的规模产生长期影响。

一些团体因政治忠诚和地缘政治而分裂，而另一些团体则失去了重要的操作者，这将影响对这些团体的看法以及对其能力的传统理解。勒索软件生态系统呈现专业化趋势，该生态系统混合了不同行为者的策略，使得确定归因变得更加困难。俄乌战争也由谷歌预期会发生但未看到的情况来定义。例如，谷歌没有观察到针对乌克兰境外关键基础设施的攻击激增。

谷歌威胁分析小组（TAG）还发现，与出于经济动机的威胁行为者密切相关的策略被部署在目标通常与政府支持的攻击者相关的活动中。2022年9月，TAG报告了一个威胁行为者，其活动与乌克兰计算机应急响应小组（CERT-UA）的UAC-0098重叠，该威胁行为者过去曾投放IcedID银行木马，该木马会导致人为操作的勒索软件攻击。谷歌评估UAC-0098的一些成员是前Conti组织成员，将他们的技术重新用于针对乌克兰。

展望未来

● 谷歌非常有信心地评估，俄罗斯政府支持的攻击者将继续对乌克兰和北约伙伴开展网络攻击，以进一步实现俄罗斯的战略目标。

● 谷哥非常有信心地评估，俄罗斯将增加中断性和破坏性攻击，以应对战场形势发展（例如部队损失、提供政治或军事支持的新外国承诺等）从根本上使天平向乌克兰倾斜（无论是真实的还是想象的）。这些攻击将主要针对乌克兰，但会越来越多地扩大到包括北约伙伴。

● 我们以适度的信心评估，俄罗斯将继续加快信息行动的步伐和范围以实现上述目标，尤其是在接近国际资助、军事援助、国内公投等关键时刻时。不太清楚的是，这些活动是否会达到预期的效果，或者只是随着时间的推移加强了对俄罗斯军事行动的反对。

很明显，网络补充了传统的战争形式，将继续在未来的武装冲突中发挥不可或缺的作用，希望此份报告能成为为未来做好准备时采取行动的号召。谷歌致力于尽自己的一份力量来支持集体防御，并期待与他方合作以推动持续进步并帮助组织、企业、政府和用户保持在线安全。

标签： 生态系统 基础设施 网络攻击