“自入侵前开始,我们已经看到至少六个由俄罗斯支持的黑客组织对乌克兰发动了超过 237 次行动 —— 包括正在进行的威胁平民福祉的破坏性攻击。” 微软负责客户安全与信任的公司副总裁 Tom Burt 如此说道。“破坏性攻击还常伴随着广泛的间谍和情报活动。我们还观察到涉及其他北约成员国的有限间谍攻击活动,以及一些虚假信息活动。”
微软威胁情报中心(MSTIC)观察到,与 GRU、SVR 和 FSB 俄罗斯情报部门(包括 APT28、Sandworm、Gamaredon、EnergeticBear、Turla、DEV-0586 和 UNC2452 / 2652)相关的黑客组织为冲突做好了准备,并从 2021 年 3 月就开始加强了对乌克兰及其盟国的攻击。
微软还注意到网络攻击与军事行动之间的直接联系,黑客攻击和入侵之间的时间与俄罗斯军方协调的导弹袭击和围攻的时间非常接近。
报告显示,微软观察到的针对乌克兰数十个组织的破坏性攻击(2 月 23 日至 4 月 8 日之间近 40 次)中,有 32% 直接针对乌克兰政府机构,超过 40% 是针对关键基础设施。
微软已经看到俄罗斯黑客利用多个恶意软件家族对乌克兰目标进行破坏性活动,包括 WhisperGate/WhisperKill、FoxBlade(又名 HermeticWiper)、SonicVote(又名 HermeticRansom)、CaddyWiper、DesertBlade、Industroyer2、Lasainraw(又名 IsaacWiper)和 FiberLake(又名 DoubleZero)。
微软威胁情报中心将其中三个(FoxBlade、CaddyWiper 和 Industroyer2)归属于 Sandworm。他们的成员在微软看来是俄罗斯 GRU 主要特殊技术中心(GTsST)74455 部队的军事黑客。