你的資訊安全真的安全嗎？來看俄羅斯駭客如何玩弄烏克蘭

還記得小時候打電玩的時候，我們會輪流體驗遊戲裡的不同角色，嘗試挑戰每一個關卡嗎？

當然啦，這跟我們今天要談的主題有什麼關係呢？誒，其實有一點關係耶！我們今天就來聊聊那些在網路世界裡面的「俠客」— 網路駭客。現在不同於過去打電玩，他們不是挑戰電玩關卡，而是挑戰全世界的網路安全防護網！而其中，有一隻特別的「遊戲角色」—名叫Shuckworm的俄羅斯駭客團體。

哎呀，這名字聽起來就像是一隻「老油條」的蠕蟲，對吧？哈哈，沒錯，Shuckworm就是個「老油條」，但他不是在田裡吃我們的農作物，而是在網路上吃我們的資訊！這個團體已經對烏克蘭發動了近十年的網路攻擊，最近幾個月更是對該國的安全服務、軍事和政府機構進行了「多次」的網路間諜行動。

根據賽門鐵克（Symantec）的研究，這個威脅者，也被稱為Gamaredon，被觀察到在烏克蘭的系統中潛伏數月，以竊取戰時情報。賽門鐵克的研究稱，“在某些情況下，這個俄羅斯團體成功地進行了長時間的滲透，長達三個月。”他們反覆嘗試訪問和竊取敏感信息，例如關於烏克蘭軍人死亡的報告、敵人接觸和空襲的報告、軍火庫庫存報告、訓練報告等等。

Shuckworm的目標：大家猜猜看？

賽門鐵克表示，最近的攻擊始於今年二、三月份，而Shuckworm直到五月份仍維持對某些受害者設備的訪問權。他們的目標是那些“檔案名稱看起來包含敏感軍事信息”的機器。有一些機構出現了攻擊者在人力資源部門的機器上的跡象，這表明這些機構的員工的信息是攻擊者的優先目標。

自從戰爭開始以來，美國官員就已經表示，俄羅斯的駭客團體對烏克蘭發起了“大量”網路攻擊。早期的操作主要著重於產生破壞性效果，例如部署清除型惡意軟體，並嘗試中斷或降低對烏克蘭政府和軍方提供重要或戰略服務的高價值目標，如ViaSat的價值。

而那些清除攻擊沒有消失。俄羅斯的APT組織Sandworm最近在今年一月份就在烏克蘭被觀察到部署了一種新變種的惡意軟體，而微軟本週則將"WhisperGate"活動歸因於一個新確認的與俄羅斯總參謀部主任所關聯的駭客團體。

俄羅斯黑客團體的策略變動

然而，這個破壞性的初期階段對烏克蘭軍事行動的整體影響並不明顯，莫斯科的策略在某個時點發生了變化。網路攻擊的數量明顯下降，一些美國的國家安全觀察員猜測，俄羅斯可能在最初的幾個月裡燒盡了大部分的零日漏洞，當時克里姆林宮可能對戰爭的結果更有信心。然而，短暫的休息過後，這些活動又再次活躍起來，但這次大部分的駭客活動都被轉向了可以為俄羅斯軍隊提供戰時情報的機構和資產。

然而，Shuckworm並不是後來者；該團體自2014年以來就一直專注於對烏克蘭的攻擊。他們一直依賴著社會工程和魚叉式網路釣騙來獲取對受害者的初步訪問，但他們在多年來始終能夠通過不斷更換他們的駭客工具和基礎設施來保持其重要性。

長期間諜活動及未來走向

這個趨勢並不僅限於Symantec的報告，還有其他來源也追蹤到俄羅斯在烏克蘭的網路行動從短期的擊潰破壞戰術轉向了長期的間諜和情報收集。這種「沉悶卻堅韌的間諜戰」看起來會是未來的常態，尤其是在情報收集變得如此重要的今天。

在最近的一次談話中，烏克蘭國家安全和國防委員會副秘書Serheii Demediuk指出：“俄羅斯已經改變了在烏克蘭網路空間的網路戰術。”他透露，俄羅斯的公開和破壞性網路攻擊現在幾乎已經無法被檢測到。相反，他們專注於收集機密數據和進行偵查。他們正在試圖在關鍵基礎設施系統和國防部門中建立存在感。

眾所周知，Shuckworm的持續活動，證明了駭客對長期目標的堅持，以及在不斷變化的環境中保持靈活並不斷調整策略的能力。網路空間的戰爭已經和現實世界的戰爭一樣，變得日益複雜且預測性弱。然而，對於我們這些觀察者來說，最重要的是要保持警惕，持續學習，並從這些情報中吸取教訓。

那麼，當下一次我們看到「憤怒的蟲」再次出沒時，或許我們就能更有信心地說：「沒事，咱們已經見怪不怪了。」