2022 年地区 — 多伦多 — 俄罗斯-乌克兰网络战的第一枪实际上是在 23 月 XNUMX 日打响的，在俄罗斯军队进入乌克兰的前一天，针对组织发起了破坏性攻击。微软象征性地“在那里”，观察着事态的发展——它的研究人员立即感到担忧。

这家科技巨头碰巧在国内的各种公共和私人网络中预先部署了传感器，并在之前的网络攻击后与乌克兰事件恢复团队一起安装。他们仍在运作，并随着俄罗斯军队在边境集结而发生了一系列令人担忧的滚雪球活动。

微软加拿大国家安全官员约翰·休伊 (John Hewie) 本周在多伦多举行的 SecTor 200 会议上发表题为“我们在乌克兰发现的不同地区，发现针对至少 2022 个不同政府系统的攻击开始在不同地区运行”。 “保卫乌克兰：网络战争的早期教训设立的区域办事处外，我们在美国也开设了办事处，以便我们为当地客户提供更多的支持。“

他补充说：“我们还已经与乌克兰政府各部门的高级官员以及乌克兰的组织建立了沟通渠道，并且我们能够来回共享威胁情报。”

从所有这些情报中可以看出，网络攻击浪潮最初针对的是政府机构，然后转向金融部门，然后是 IT 部门，最后专门针对支持该国政府机构的数据中心和 IT 公司。但这只是开始。

网络战：威胁身体伤害

随着战争的继续，网络状况恶化，因为用于支持战争工作的关键基础设施和系统 最终成为十字准线.

物理入侵发生后不久，微软发现它还能够将关键基础设施领域的网络攻击与动态事件关联起来。例如，当俄罗斯战役于三月份在顿巴斯地区展开时，研究人员观察到针对用于军事行动和运送人道主义援助的运输物流系统的协同雨刷攻击。

微软研究人员在整个战争期间一直看到，通过网络活动瞄准乌克兰的核设施，以在军事入侵之前软化目标。

“人们期望我们会发生一场类似 NotPetya 的大型事件，并蔓延到世界其他地区，但这并没有发生，”休伊指出。相反，这些攻击是经过专门定制的，以组织为目标，限制了其范围和规模，例如，使用特权帐户和使用组策略来部署恶意软件。

他说：“我们仍在学习，并试图分享一些有关该地区所涉及业务的范围和规模的信息，以及他们如何以一些有意义且令人不安的方式利用数字技术。”

现场危险 APT 的聚宝盆

休伊说，微软一直在报告其在俄罗斯-乌克兰冲突中看到的情况，主要是因为其研究人员认为“那里发生的攻击被大大低估了”。

他补充说 几名球员 针对乌克兰的已知的俄罗斯发起的高级持续威胁（APT）已被证明是极其危险的，无论是从间谍角度还是从资产的物理破坏角度来看，他称之为一系列“可怕”的能力。

“例如，锶负责 民主党全国委员会的攻击 早在2016年；他们在网络钓鱼、账户接管方面为我们所熟知——我们已经做到了 破坏活动 他们的基础设施，”他解释道。 “然后是铱，又名沙虫，它是一些早期针对宇宙的[黑能量]攻击的实体。 乌克兰电网，他们还负责 NotPetya。这是一个非常老练的演员，实际上专门针对工业控制系统。”

除其他外，他还点名了 Nobelium，APT 负责 SolarWinds 传播的供应链攻击。休伊说：“今年以来，他们不仅针对乌克兰，还针对支持乌克兰的西方民主国家进行了大量间谍活动。”

俄罗斯-乌克兰网络冲突的政策要点

研究人员无法解释为什么攻击范围如此之小，但休伊确实指出，这种情况的政策影响应该被视为非常非常广泛。最重要的是，很明显，必须建立未来的网络参与规范。

这应该在三个不同的领域形成，首先是“数字日内瓦公约”，他说：“世界是围绕化学武器和地雷规范发展的，我们应该将其应用于民族国家行为者在网络空间中的适当行为”。

这项努力的第二部分在于协调网络犯罪法律，或者首先倡导各国制定网络犯罪法律。 “这样一来，这些犯罪组织可以逍遥法外的安全港就会减少，”他解释道。

第三，更广泛地说，捍卫民主和民主国家的投票过程对网络具有重要影响，因为它使捍卫者能够获得适当的工具、资源和信息来破坏威胁。

“你已经看到微软在创造性民事诉讼的支持下，与执法部门和安全界的许多人合作，开展积极的网络行动——比如 Trickbot or Emotet 以及其他类型的破坏活动”，据休伊说，这一切之所以成为可能，是因为民主政府不会保密信息。 “这是更广阔的前景。”

另一个要点是防守方面；云迁移应开始被视为动态战争期间保卫关键基础设施的关键部分。 Hewie 指出，乌克兰的防御很复杂，因为那里的大部分基础设施都在本地运行，而不是在云端运行。

“因此，尽管他们可能是多年来防御俄罗斯攻击最好的国家之一，但他们仍然主要在本地进行这些工作，所以这就像肉搏战一样，”休伊说道。 “这很有挑战性。”