2023年以来,谷歌的威胁分析小组(TAG)一直在监测俄罗斯针对乌克兰专门制定的基础设施的网络攻击行动。谷歌报告称,从2023年1月到3月,乌克兰受到的网络钓鱼攻击中,有约60%来自俄罗斯。
在大多数情况下,攻击活动的目标包括收集情报,破坏行动,以及通过Telegram泄露敏感数据,主要为了达成破坏乌克兰信息的目的。

活跃在乌克兰的三大威胁组织

谷歌TAG列出了一份名单,其中包括三个俄罗斯和白俄罗斯的威胁者,他们都在今年第一季度对乌克兰进行过一系列网络攻击行动。
第一个是Sandworm,被谷歌称为 FrozenBarents,自2022年11月以来,该组织对几乎整个欧洲能源部门都实施了攻击,这其中影响最大的就是里海管道财团(CPC)系统受损事件。

CPC钓鱼网站页面(来源:谷歌)
Sandworm最近还利用一个诈骗性质的乌克兰国防工业网站对乌克兰国防工业的工人、Ukr.net平台的用户,以及乌克兰Telegram发起了多次钓鱼活动。
诈骗性质的乌克兰国防公司的网站(来源:谷歌)
该威胁组织还创建了多个在线的用户,在YouTube和Telegram上传播虚假信息,通常还会泄露他们通过网络钓鱼或网络入侵窃取的部分数据。

Telegram的钓鱼页面(来源:谷歌)
另一个高度活跃的俄罗斯威胁组织是APT28, 谷歌将其称为FrozenLake。在2023年2月至3月期间,APT28向乌克兰人频繁发送了非常多的网络钓鱼邮件。
此外,黑客还在乌克兰政府网站上使用反射跨站点脚本(XSS),将访问者重定向到网络钓鱼页面。

XSS重定向后受害者所处的钓鱼页面(来源:谷歌)
本周,英国NCSC、FBI、NSA和CISA联合发布声明称APT28正在入侵思科路由器,并安装定制的恶意软件。
谷歌报告中提到的第三个威胁组织是Pushcha,有消息称该组织总部设在白俄罗斯。近期Pushcha发起了针对乌克兰网络邮件提供商的入侵活动,比如“i”。Ua”和“meta”,该组织试图通过建立虚假网站来窃取用户的凭据信息等。

由Pushcha创建的虚假电子邮件登录网站(来源:谷歌)

Gmail和Workspace的目标用户将收到警报

谷歌的报告中还提到了YouTube和Blogger平台上的一些错误信息。2023年第一季度,TAG 观察到隶属于互联网研究机构(IRA)的人在YouTube等谷歌产品上发布了包括评论和互赞视频等内容。
IRA (Glavset)是一家与瓦格纳集团(Wagner Group)的所有者普里戈津(Y. Prigozhin)有关联的俄罗斯公司,专门从事在线宣传的相关工作,其运营决策受到俄罗斯政治利益的影响。
谷歌报道称,该网站一直在观察并屏蔽与共和军有关的账户,因为这些账户会制作一些与乌克兰战争相关的视频内容,并发布到YouTube上,以达到向俄罗斯民众宣传相关新闻的目的。目前,所有与上述活动相关的网站都被谷歌添加到了“安全浏览”的黑名单中,而Gmail和Workspace的目标用户则会直接收到有关恶意通信的警报。

参考链接:Google: Ukraine targeted by 60% of Russian phishing attacks in 2023 (bleepingcomputer.com)