圈小蛙
APT组织UNC1151
乌克兰计算机应急响应小组(CERT-UA)警告说,白俄罗斯国家资助的黑客针对其军事人员和相关个人作为俄罗斯军事入侵该国时发起的网络钓鱼活动的一部分。
CERT-UA说:“最近观察到针对乌克兰军事人员和相关个人的私人‘i.ua’和‘meta.ua’账户的大规模网络钓鱼邮件。帐户被盗后,攻击者通过IMAP协议可以访问所有消息。”
随后,攻击利用存储在受害者地址簿中的联系信息,将钓鱼信息传播给其他目标。
乌克兰政府将这些活动归咎于被追踪为UNC1151的APT组织,这是一个位于明斯克的团体,其“成员是白俄罗斯共和国国防部的官员”。该机构在后续更新中表示,该民族国家组织还针对自己的公民,同时将目光投向了俄罗斯实体——
世界白俄罗斯人协会(国际社会联盟)
白俄罗斯音乐节
Samara Oblasna公共组织“俄罗斯-白俄罗斯联谊会2000”
白俄罗斯文学杂志《Dzêâslov》
苏维埃白俄罗斯(Sovetskaya Belorussiya),白俄罗斯的一份日报
哈萨克斯坦共和国国家科学院的雇员,以及
白俄罗斯当地报纸《祖国之声》
UNC1151是Mandiant为未分类的威胁集群指定的绰号,其运作目标与白俄罗斯政府的利益一致。据信,该黑客组织至少从2016年开始就一直活跃。
Mandiant研究人员在2021年11月的一份报告中说:“UNC1151的目标是各种各样的政府和私营部门实体,重点是乌克兰、立陶宛、拉脱维亚、波兰和德国。”“目标还包括白俄罗斯持不同政见者、媒体实体和记者。”
这个国家支持的网络间谍组织还与“幽灵作家(Ghost writer)”虚假信息活动有关,该活动针对立陶宛、拉脱维亚和波兰发布了反北约和以腐败为主题的叙述,目的可能是破坏政府并在该地区制造紧张局势。
更重要的是,1月份对几个乌克兰政府网站进行的带有威胁性信息的污损攻击被认为也是UNC1151的杰作。
黑客组织选择站队
在这一事态发展之前,针对乌克兰政府机构的数据擦拭和分布式拒绝服务(DDoS)攻击层出不穷,甚至各种黑客组织和勒索软件集团也在利用这一混乱局面站队并推进其活动。
“匿名者组织正式对俄罗斯政府进行网络战争”,分散的黑客活动组织在推特上写道,并补充说它“泄露了俄罗斯国防部网站的数据库。”
另一个宣布效忠乌克兰的团体是被称为GhostSec(Ghost Security的缩写)的治安组织,该组织宣布已经用DDoS攻击淹没了俄罗斯军事网站,以“支持乌克兰人民”。
最近吸收了现已关闭的TrickBot木马的Conti勒索软件集团,在俄罗斯政府背后集结了它的“全力支持”,并威胁说如果“任何人决定组织网络攻击或任何针对俄罗斯的战争活动。”
然而,该组织后来改写了声明,称“我们不与任何政府结盟,我们谴责正在进行的战争。”但Conti组织也坚称,“如果西方战争贩子试图针对俄罗斯或世界上任何讲俄语的地区的关键基础设施,它将利用我们的全部能力提供报复性措施。”
其他宣布效忠俄罗斯的黑客实体是RedBanditsRU网络犯罪组织和鲜为人知的CoomingProject勒索软件计划,该计划承诺“如果针对俄罗斯的网络攻击和行为,将帮助俄罗斯政府”。