透视俄乌网络战之五：网络战的六个阶段

透视俄乌网络战之一：数据擦除软件
透视俄乌网络战之二：Conti勒索软件集团（上）
透视俄乌网络战之三：Conti勒索软件集团（下）
透视俄乌网络战之四：西方科技巨头的力量
透视俄乌网络战之五：网络战的六个阶段
透视俄乌网络战之六：俄乌网络战的总结
透视俄乌网络战之七：俄乌网络战的思考

冲突期间，俄网络行动的演变主要分为以下六个主要阶段：

• 2022年2月前：战略性网络间谍活动和预先部署（Strategic Cyber Espionage and Pre-Positioning）
• 2022年2月至2022年4月：初始破坏性网络行动和军事行动（Intial Destructive Cyber Operations and Military Invasion）
• 2022年5月至2022年7月：持续瞄准和攻击（Sustained Targeting and Attacks）
• 2022年8月至2022年9月：保持立足点以获取战略优势（Maintaining Footholds for Strategic Advantage）
• 2022年10月至2023年1月：新的破坏性攻击活动（Renewed Campaign of Disruptive Attacks）
• 2023年2月至2023年5月：再次聚焦网络间谍活动和部署（Refocus on Strategic Cyber Espionage and Pre-Positioning）

1. 战略性网络间谍活动和预先部署（2019年至2022年1月）

俄罗斯威胁组织UNC2589于2022年1月针对乌克兰实体开展了破坏性攻击，目的是动摇乌克兰民众对政府的信任，为冲突的“信息领域”做好准备。2022年1月和2022年2月期间，UNC2589行动攻击了乌克兰关键基础设施，对金融机构也进行了分布式拒绝服务（DDoS）攻击。

GRU所属威胁组织在战前广泛开展渗透活动并进行预部署，以便在战争开始后利用访问权限开展破坏性行动。由GRU支持的威胁组织APT28以VPN为目标获取访问权限，并在2021年4月向多名受害者部署了恶意软件植入程序FREETOW。

2. 初始破坏性网络行动和军事行动（2022年2月至2022年4月）

（1）APT28与边缘生存

APT28采用名为“边缘生存”（Living on the Edge）的新手法，对路由器和其他互联网连接设备等边缘基础设施开展渗透，从而维持对目标的持续访问权限。在破坏性行为无法直接访问端点的情况下，通过遭渗透边缘设备可继续重新进入网络。由于大多数端点检测和响应技术未涵盖此类设备，因此防御者也更难检测到对这些路由器的渗透。

APT28还在短时间内使用了各种破坏性和间谍恶意软件，并在战时利用了最近发布的几个漏洞，包括Follina、PROXYSHELL漏洞利用链和多个Exchange漏洞。

（2）对工业控制系统的攻击

俄罗斯尝试利用以前针对工控系统的恶意软件变种攻击乌克兰电力系统。2022年2月至2022年4月期间，软件公司ESET报告了某疑似俄罗斯威胁行为者针对乌克兰电力公司的行动，该行动部署了多个恶意擦除软件系列。该攻击还涉及面向工业控制系统（ICS）的中断框架INDUSTROYER.V2的一个变体，该框架的先前版本在2016年12月的一次类似攻击中曾被利用导致乌克兰停电。

（3）黑客主义行为

俄乌冲突中，黑客行动主义显著增加，包括来自俄罗斯支持的团体的活动。

自称黑客活动组织（XakNet Team、Infoccentr和CyberArmyofRussia_Reborn）可与GRU支持的APT28协调行动。美国曼迪昂特公司直接观察到APT28在多个乌克兰组织的网络上部署了恶意擦除软件，随后自称黑客行动主义者的威胁行为者在Telegram上泄露了很可能在24小时内来自上述实体的数据。

KillNet声称针对波兰、立陶宛和其他北约国家开展了活动，这似乎符合俄罗斯政府的优先事项。

3. 持续瞄准和攻击（2022年5月至2022年7月）

在俄乌冲突的这一阶段，俄罗斯针对乌克兰的网络行动的节奏和类型发生变化：攻击者继续尝试发起恶意擦除攻击，攻击的速度更快但协调性有所降低；俄罗斯支持的威胁行为者开展周期性“访问采集—破坏行动”，在攻击浪潮间隔期间尝试开展访问和采集操作，同时还致力于标准化其破坏性操作。

GRU继续瞄准并利用边缘基础设施来获得对战略目标的访问权，或者尽管在持续进行缓解的情况下通常通过通用路由封装（GRE）隧道保持对网络的持久访问，一旦进入环境，GRU集群就会利用IMPACKET和公开可用的后门来维持立足这种模式表明了俄罗斯支持的威胁行为者开展的周期性收集和破坏性行动。

GRU集群通过采用新发布的漏洞利用来保持其高强行动节奏，同时还致力于标准化其破坏性操作，比如利用遭渗透合法邮件服务器的网络钓鱼活动及Follina漏洞，使用EARLYBLOOM和DARKCRYSTALRAT后门来实现APT28访问和收集操作。

GRU还从使用多种不同的恶意擦除软件转变为在快速周转操作中严重依赖CADDYWIPER及其变体来对目标组织开展擦拭操作。

4. 保持立足点以获取战略优势（2022年8月至2022年9月）

在2022年8月和9月之间，GRU所属威胁组织停止了针对乌克兰的破坏性活动，但与俄罗斯联邦安全局（FSB）相关网络威胁组织开始浮出水面。

TEMP.Armageddon对乌克兰四个不同政府实体开展攻击活动。TEMP.Armageddon是一个与俄罗斯有联系的威胁行为者，专门针对乌克兰目标，收集有关乌克兰国家安全和执法实体的信息以支持俄罗斯的国家利益。

Turla针对乌克兰某政府机构开展渗透活动。Turla是一个总部位于俄罗斯的网络间谍行为者，自2006年以来一直活跃，以针对外交、政府和国防实体而闻名。

5. 新的破坏性攻击活动（2022年10月至2023年1月）

此阶段的特点是俄罗斯针对乌克兰的破坏性网络攻击“死灰复燃”。新的攻击类似于前几个阶段的破坏性攻击，2022年10月至12月进行的攻击中，GRU集群在目标网络上部署了勒索软件变体。这一转变与微软关于IRIDIUM在波兰部署Prestige（PRESSTEA）勒索软件的报告一致。

此阶段GRU对乌克兰能源部门开展了破坏性网络攻击行动，恰逢俄罗斯针对乌克兰能源基础设施开展军事打击行动。

6. 再次聚集战略性网络间谍活动（2023年2月至2023年5月）

此阶段俄罗斯针对乌克兰的破坏性网络攻击“死灰复燃”。新的攻击类似于前几个阶段的破坏性攻击，2022年10月至12月进行的攻击中，GRU集群在目标网络上部署了勒索软件变体。这一转变与微软关于IRIDIUM在波兰部署Prestige（PRESSTEA）勒索软件的报告一致。

此阶段GRU对乌克兰能源部门开展了破坏性网络攻击行动，恰逢俄罗斯针对乌克兰能源基础设施开展军事打击行动。