俄罗斯黑客如何利用边缘IT基础设施进行网络攻击

关键要点

• 俄罗斯黑客通过“边缘IT基础设施”进行破坏性攻击与间谍活动。
• 使用常规工具而非自定恶意软件，有效避免了被检测的风险。
• 许多组织对其连接的服务器缺乏可见性，增加了被攻击的可能性。
• 尽管反复发生网络攻击，其影响仍低于物理攻击。

在11月10日于弗吉尼亚州阿灵顿召开的CYBERWARCON会议上，Mandiant的两位研究人员详细阐述了俄罗斯黑客如何利用“边缘IT基础设施”进行破坏性攻击，同时保持对后续间谍活动的访问权。这一策略使他们能够在不引起警报的情况下进行攻击，实现既破坏目标IT系统又保持访问的双重目的。

GabbyRoncone，一名来自Google旗下安全情报公司的分析师表示：“当您部署清除操作时，您本质上是在暴露您的资产。您显示自己在那个网络上，这可能会导致对您的资产进行修复。在这个过程中，您可能会清除自己访问权限。”

为了规避这一问题，与GRU有关的黑客开始针对受害者网络边缘的公开连接资产进行攻击，包括邮件服务器、路由器、防火墙、VPN和影子IT。这些资产提供了多条入侵路径，同时也允许他们在执行破坏性清除攻击后仍保持持续访问。许多组织缺乏对其所有连接服务器和路由器的可见性，或者网络上连接着未知的影子IT资产，使得这种方法更加有效。

Mandiant的高级威胁分析师John Wolfram表示，这些攻击为GRU黑客提供了四大主要优势：难以检测、难以防御、易于在被攻陷的网络内侧移，并帮助他们维持访问。他指出，俄罗斯黑客通常会放弃定制恶意软件，而是使用像Metasploit这样的常用工具，重新配置路由器以便在网络之间隧道。这样做也加快了他们在战争中所采取的攻击节奏，迅速打击乌克兰的战略目标，然后进行后续的清除或数据收集操作。

Mandiant的研究人员通过两个匿名乌克兰组织的命运一例，展示了这一方法的优势。第一个组织在2021年4月通过防火墙被攻陷，第二个组织几天后发现自2019年就已被EMPIRE工具感染。尽管两者在早期入侵中都遭遇了清除攻击，但第一个通过防火墙被攻陷的组织后来再次遭遇了同一通道的清除攻击。

在另一个实例中，俄罗斯黑客利用受害者内部路由器的漏洞，以类似的方式多次恢复访问，并在执行清除攻击后继续扩展他们在网络上的立足点。Roncone指出，随着战争的进行，GRU黑客似乎更倾向于选择破坏性操作而非间谍活动，但Wolfram注意到，这种方法使他们能够根据俄罗斯的整体战争目标选择最佳攻击类型。

“这表明GRU能够维持对他们所选择的网络的访问，发起攻击并对网络产生影响，尽管执行了清除操作，仍能在适当时刻发起另一轮攻击。”Wolfram总结道。

尽管网络攻击的频率高，但网络行动带来的影响在很大程度上仍然低于物理攻击的影响。关于俄罗斯通过数字战争对乌克兰造成的伤害，目前尚不明确。

“没有已知信息显示俄罗斯的网络行动影响或摧毁了任何乌克兰军事设备，无论是西方提供的设备还是其他。”卡内基国际和平基金会的资深研究员JonBateman表示。他进一步指出，虽然战争初期对卫星电信提供商ViaSat的攻击可能符合条件，但这并未对乌克兰军队在早期的通信问题产生显著影响，且其影响程度远不及其他方法，如干扰和电子战。

相关链接： – –