谷歌的威胁分析小组 (TAG) 一直在监视和破坏 2023 年针对乌克兰关键基础设施的网络攻击。

谷歌报告称，从 2023 年 1 月到 2023 年 3 月，乌克兰收到了大约 60% 来自俄罗斯的网络钓鱼攻击，使其成为最突出的目标。

在大多数情况下，活动目标包括情报收集、运营中断以及通过专门对乌克兰造成信息损害的 Telegram 渠道泄露敏感数据。

活跃在乌克兰的威胁组织

谷歌TAG团队列出了三名俄罗斯和白俄罗斯黑客组织，他们在今年第一季度对乌克兰目标进行了攻击。

第一个是 Sandworm，被谷歌追踪为“FrozenBarents”，自 2022 年 11 月以来，它一直将攻击重点放在欧洲能源部门，其中一个突出的案例涉及里海管道联盟 (CPC)。

CPC 钓鱼页面 （谷歌）

Sandworm 最近使用欺骗性的“Ukroboronprom”网站针对乌克兰国防工业的工人、Ukr.net 平台的用户，甚至是乌克兰 Telegram 频道发起了多次网络钓鱼活动。

欺骗一家乌克兰国防公司(Google)的网站

该黑客组织还创建多个在线角色在 YouTube 和 Telegram 传播虚假信息，通常会泄露他们通过网络钓鱼或网络入侵窃取的部分数据。

Telegram 钓鱼页面 （谷歌）

另一个高度活跃的俄黑客组织是 APT28，谷歌将其追踪为“FrozenLake”。

2023 年 2 月至 2023 年 3 月期间，APT28 发出了多波针对乌克兰人的大型网络钓鱼电子邮件。黑客还在乌克兰政府网站上使用反射跨站脚本 (XSS) 将访问者重定向到网络钓鱼页面。

受害者在 XSS 重定向后登陆的钓鱼页面 (Google)

本周，英国 NCSC、FBI、NSA 和 CISA 联合发布警告称，APT28 正在 入侵 Cisco 路由器以安装自定义恶意软件。

谷歌报告强调的第三个黑客组织是“Pushcha”，据信其位于白俄罗斯。Pushcha 最近发起了针对“i.ua”和“meta.ua”等乌克兰网络邮件提供商的活动，试图通过设置虚假网站窃取用户的凭据。

由 Pushcha (Google)创建的虚假电子邮件登录网站

社交媒体上传播的错误信息

谷歌的报告还强调了其平台（如 YouTube 和 Blogger）上传播的错误信息案例。

“在 2023 年第一季度，TAG 观察到与互联网研究机构 (IRA) 有关联的参与者发起了一场协调活动，他们在 YouTube 等谷歌产品上创建内容，包括评论和点赞彼此的视频。”谷歌 TAG 报告中写道。

IRA (Glavset) 是一家俄罗斯公司，与 Wagner Group 的所有者 Y. Prigozhin 有联系，代表俄政治利益从事在线宣传和影响力活动。

谷歌报告说，它一直在观察和阻止与 IRA 相关的账户在 YouTube Shorts 上创建内容，以宣传有关乌克兰战争的“新闻类”叙述。

与上述活动相关的所有网站都已添加到谷歌黑名单中，同时目标 Gmail 和 Workspace 用户收到了有关恶意通信的警报。