人道主义作者Andreas Harsono总结说,当坦克开进乌克兰时,恶意软件也开始对乌克兰进行了攻击。
周一,该公司报告说,其威胁情报中心(MSTIC)在俄罗斯的坦克和导弹开始袭击乌克兰的前几个小时,就已经检测到了针对该国数字基础设施发起的网络攻击。
微软安全研究人员表示,在2月24日发射导弹的前几个小时,微软的威胁情报中心(MSTIC)就已经检测到了针对乌克兰数字基础设施的新一轮进攻性和破坏性的网络攻击。
我们立即向乌克兰政府通报了这一情况,我们确认攻击者使用了一个新的恶意软件包,我们称之为FoxBlade,并就防止恶意软件的攻击提供了技术性的建议。
史密斯说,在发现FoxBlade的三小时内,为检测该病毒,微软已经为其Defender反恶意软件服务添加了新的签名。
FoxBlade攻击的具体细节
微软目前已经发布了一份关于FoxBlade的安全情报公告,报告称这是一个新的特洛伊木马。
虽然该公司既没有分享技术细节,也没有分享FoxBlade是如何攻破目标机器的防御系统进行攻击的,但该公告解释说,这个木马可以在你不知情的情况下利用你的电脑进行分布式拒绝服务(DDoS)攻击。
卡巴斯基研究人员在2021年11月报告说,这种攻击在第三季度中每天达到了数千次,而且预计该数字将会继续增长。
除了发起DDoS攻击,FoxBlade还会下载和安装其他程序(包括恶意软件)来安装到受感染的系统。
精确的攻击
史密斯说,这些网络攻击截至周一仍然还在进行。与NotPetya不分青红皂白就进行攻击的恶意软件不同,此次攻击的策略是进行精准攻击。NotPetya网络攻击在2017年针对全球数百家公司和医院,甚至是对乌克兰电网都进行了攻击。
2020年,美国司法部(DOJ)曾经指控了六名俄罗斯国民涉嫌参与乌克兰以及其他网络攻击。
微软目前特别关注针对乌克兰民用数字目标的网络攻击,尽管当前对乌克兰的网络攻击具有很强的针对性,但是这些攻击的范围更广了,攻击目标包括了金融部门、农业部门、应急服务、人道主义援助工作以及能源部门组织和企业。
史密斯说,根据《日内瓦公约》,这些针对民用目标的攻击引起了专家们的密切关注,我们目前已经与乌克兰政府分享了所有的攻击信息。
微软还向乌克兰政府提供了最近一系列的关于防止窃取个人身份信息(PII)的网络钓鱼攻击的建议,这些PII中还包括了与健康、保险、交通和其他政府数据有关的PII。
微软还向乌克兰政府传递了威胁情报以及防御策略,使其能够更好地防御针对军事机构和制造商以及其他几个乌克兰政府机构的攻击。
持续进行的网络战争
微软发布的FoxBlade的消息只是针对乌克兰和俄罗斯的持续网络攻击中的一个,Conti勒索软件团伙还宣称它其实是亲俄的。上周,这些犯罪分子在他们的博客上发出了警告,威胁要尽最大的可能来报复那些”试图针对俄罗斯或世界上任何讲俄语地区的关键基础设施”进行攻击的战争贩子。
一名亲乌克兰的Conti勒索软件团伙成员随后泄露出了该勒索软件团伙最近13个月的聊天记录,并承诺还将有更多信息要曝光。
同样,ESET和博通公司的赛门铁克上周表示,他们发现了一种被称为HermeticWiper的新的数据擦除恶意软件,该软件已经被用于攻击乌克兰的数百台机器。其中一个恶意软件的样本早在12月28日就被编制出来了,这表明攻击在两个月前就已经准备好了。
然后,在1月13日,一个名为WhisperGate的破坏性恶意软件开始针对乌克兰组织进行攻击。分析家们说,这种攻击可能是俄罗斯破坏乌克兰主权的攻击中的一部分。
此外,在2月中旬,乌克兰军事和经济的重要机构,包括政府以及银行网站,都遭到了一波DDoS攻击。
CISA的建议
美国网络安全和基础设施安全局(CISA)上周警告说,这种攻击可能会蔓延到乌克兰的边境。
CISA说,破坏性的恶意软件可以对一个组织的日常运作构成直接的威胁,影响到其中关键资产的安全性以及数据的可用性。针对乌克兰组织的更进一步的破坏性网络攻击可能会发生,并可能会蔓延到其他国家的组织。
与乌克兰/俄罗斯危机有关的其他威胁攻击还包括大量的网络犯罪威胁者,他们利用当天的头条新闻,对用户进行钓鱼攻击。Malwarebytes还发现了大量主题为"微软账户异常登录活动 "的恶意邮件。
为防止这种广泛的网络威胁,CISA提供了这份网络安全自查清单。
- 修补漏洞。
- 使用MFA。
- 使用防病毒软件。
- 启用强大的垃圾邮件过滤器,防止终端用户收到网络钓鱼邮件。
- 禁用非必要的端口和协议。
- 加强对云服务的控制以及使用。
本文翻译自:https://threatpost.com/microsoft-ukraine-foxblade-trojan-hours-before-russian-invasion/178702/如若转载,请注明原文地址。