多个勒索软件组织和黑客组织Anonymous的成员本周宣布,他们卷入了乌克兰和俄罗斯之间的军事冲突。
周四,“匿名者”成员在Twitter上宣布,他们将对俄罗斯政府发动攻击。黑客活动人士破坏了俄罗斯一些地方政府网站,并暂时关闭了其他网站,包括俄罗斯新闻机构RT的网站。
该组织周五声称,它将泄露俄罗斯国防部网站的登录凭证。
基辅一家网络安全公司的联合创始人Yegor Aushev在接受路透社采访时表示,乌克兰国防部一名高级官员要求他发布一份黑客团体内部的求助电话。奥舍夫说,国防部正在寻找进攻性和防御性的网络参与者。
“匿名者”并不是卷入这场冲突的唯一组织。周五,勒索软件组织Conti和CoomingProject发布消息称他们支持俄罗斯政府。
康蒂说,它正式宣布全力支持俄罗斯政府,并写道,“如果任何机构决定组织针对俄罗斯的网络攻击或任何战争活动,我们将动用一切可能的资源,对敌人的关键基础设施进行反击。”
许多专家将这一消息解读为对美国全国广播公司(NBC)周四发布的一则报道的回应。该报道称,美国总统乔·拜登(Joe Biden)已经收到了针对俄罗斯基础设施进行毁灭性网络攻击的几种选择。白宫强烈否认了这一报道。
康迪在发布这条消息后不久对其进行了修改,软化了语气,并表示支持俄罗斯政府。更新后的声明说,如果西方战争贩子试图袭击俄罗斯或世界上任何讲俄语地区的关键基础设施,孔蒂将动用其“全部能力实施报复措施”。
“我们不与任何政府结盟,我们谴责正在进行的战争。然而,众所周知,西方发动战争的主要目标是平民,如果美国的网络攻击危及和平公民的福祉和安全,我们将利用我们的资源进行反击。”
这一声明发布之际,乌克兰继续面临DDoS攻击、网络钓鱼攻击和恶意软件的攻击。CERT-UA说,军方人员收到了网络钓鱼信息,并将这次行动归咎于白俄罗斯国防部的官员。全国各地的互联网连接仍是断断续续的,多个城市的网络阻塞报告出现了中断。
专家们非常警惕外部组织在冲突中选择立场,并代表他们发动攻击。北约秘书长延斯·斯托尔滕贝格(Jens Stoltenberg)周五表示,“网络攻击可能触发北约宪章第五条”,这让专家们更加害怕。
网络安全公司Sophos表示,康蒂和“匿名者”的声明“增加了每个人的风险,无论是否卷入这场冲突。”
索福斯说:“治安维持者朝任何方向的攻击都增加了战争的迷雾,给每个人都带来了困惑和不确定性。”
Emsisoft威胁分析师布雷特·卡洛(Brett Callow)称形势“不可预测且不稳定”,但指出孔蒂过去曾发表过大胆的政治主张。
“这可能只是虚张声势,但如果认为威胁是空洞的,那就错了。如果你的公司还没有推出《shield Up》,现在是时候了。”
Bugcrowd首席技术官Casey Ellis表示,他对近期事态发展的主要担忧之一是,网络攻击归因的相对难度,以及错误归因的可能性,甚至是故意的假旗行动,使国际冲突升级。
埃利斯解释说,鉴于俄罗斯最近对网络犯罪和勒索软件的打击,康蒂的立场声明值得注意,因为这表明,他们要么像其他组织一样独立行动,要么可能在克里姆林宫的支持下运作。
Digital Shadows的克里斯·摩根(Chris Morgan)指出,他们的数据显示,按受害者数量计算,孔蒂是2021年第二大最活跃的勒索软件组织。摩根说,他们将几起针对国家关键基础设施的袭击归咎于康帝,包括对美国、新西兰和爱尔兰医疗保健部门的袭击。
爱尔兰政府本周发布的一份报告称,去年袭击他们的康蒂勒索软件袭击可能会花费超过1亿美元来恢复。
康蒂的活动最近还得到了支持,雇佣了臭名昭著的“诡计机器人”(Trickbot)木马的开发者,这也使他们能够控制另一个恶意软件“BazarBackdoor”的开发,该组织现在将其作为主要的初始访问工具。孔蒂不断地重新定义和发展他们的工作流程,应该被视为一个足智多谋和老练的对手,”摩根说。
Recorded Future的专家艾伦·利斯卡告诉ZDNet,决定报复的勒索软件组织的威胁是真实的,应该引起关注。
“考虑到康蒂现在的处境,我很难相信他们能组织一场办公室午餐,更别说有针对性的报复了。”也就是说,我们知道勒索软件组织现在有比他们能够攻击的更多的目标,我们也知道当Ryuk决定在2020年报复美国时,他们很容易就能做到,”Liska说。
“更广泛地说,无论是勒索软件组织、匿名者,还是乌克兰呼吁‘网络爱国者’协助独立组织的网络活动,都将是未来任何军事行动的一部分。我不是说这是个好主意,这就是现实。”
其他一些人,比如“闪光点”的高级分析师安德拉斯·托特-奇夫拉说,黑客活动分子参与武装冲突并不是什么新鲜事,他解释说,“匿名者”以前也曾针对政府进行过攻击。
但和里斯卡一样,托特-齐弗拉表示,勒索软件组织公开与俄罗斯政府合作将是一个“令人担忧的新动向”。
到目前为止,“闪点事件”的分析人士还没有发现,非法群体对俄罗斯对乌克兰的侵略有明显的爱国自豪感,这与俄罗斯公众的普遍反应是一致的。现在的情况与2008年俄罗斯对格鲁吉亚战争中出现的“爱国黑客”不同:许多讲俄语的网络罪犯要么自己生活在乌克兰,要么有乌克兰同伙,要么有乌克兰基础设施。
不过,尽管地下网络迄今基本上保持中立,但我们不应忘记,乌克兰近年来与西方执法部门合作打击勒索软件团伙,这可能会影响到勒索软件团伙的计算。到目前为止,另一个多产的勒索软件团伙(LockBit)表示他们将保持中立。”
上周五,英国广播公司(BBC)报道称,一个俄罗斯黑客团体每天下班后都会向乌克兰政府的服务器发起DDoS攻击。一名黑客承认向学校发送了20封炸弹威胁邮件,设置了乌克兰政府的官方电子邮件地址,并侵入了乌克兰官员的仪表盘信息。
这名黑客公开吹嘘他们计划在未来开展的义务警员工作,他说其中包括使用勒索软件。
Allegro Solutions首席执行官卡伦·沃尔什(Karen Walsh)表示,康蒂的声明可能也会给美国公司带来一定程度的困惑,这些公司的网络保险计划中有与战争有关的网络攻击的分划。
“根据军事法律专家对康蒂以及‘代表’俄罗斯的网络威胁行动者实施的任何勒索软件攻击的分类,组织可能会发现,他们的网络责任保险对他们没有帮助。”11月,劳合社市场协会(Lloyd's Market Association)更新了他们的网络责任政策,具体解决了排除战争的问题。
值得注意的是,这些变化提到了在战争过程中实施的网络行动。作为降低风险的一部分,公司应该开始审查他们的网络责任保险排除条款,并确保他们质疑运营商在这个问题上的立场。”
