微软披露了自入侵以来俄罗斯支持的针对乌克兰的网络攻击的真实规模，多个俄罗斯黑客组织针对该国的基础设施和乌克兰公民进行了数百次尝试。

这些攻击还包括使用破坏性恶意软件，旨在摧毁关键系统并破坏平民对关键生命服务和可靠信息的访问。

微软公司副总裁汤姆伯特说： “从入侵前夕开始，我们已经看到至少有六个与俄罗斯结盟的民族国家行动者对乌克兰发动了超过 237 次行动——包括正在进行的破坏性袭击并威胁到平民福利。”客户的安全和信任。

“破坏性攻击还伴随着广泛的间谍和情报活动。[..]我们还观察到涉及其他北约成员国的有限间谍攻击活动，以及一些虚假信息活动。”

Microsoft 威胁情报中心 (MSTIC) 观察到 [ PDF ] 与 GRU、SVR 和 FSB 俄罗斯情报服务（包括 APT28、Sandworm、Gamaredon、EnergeticBear、Turla、DEV-0586 和 UNC2452/2652）相关的威胁组预先定位从 2021 年 3 月开始，加强对乌克兰及其盟国的攻击。

微软还注意到网络攻击和军事行动之间存在直接联系，黑客攻击和入侵之间的时间与俄罗斯军方协调的导弹袭击和围攻时间非常接近。

军事打击 - 网络攻击相关性（微软）
在它观察到的针对乌克兰数十家组织的破坏性攻击（2 月 23 日至 4 月 8 日期间近 40 起）中，微软表示，32% 的攻击直接针对乌克兰政府组织，超过 40% 的攻击目标针对关键基础设施组织。

微软已经看到俄罗斯威胁参与者利用多个恶意软件家族对乌克兰目标进行破坏性活动，包括WhisperGate/WhisperKill、FoxBlade（又名HermeticWiper）、SonicVote（又名HermeticRansom）、CaddyWiper、DesertBlade、Industroyer2、Lasainraw（又名IsaacWiper）和 FiberLake（又名DoubleZero）。

MSTIC 将其中三个（即 FoxBlade、CaddyWiper 和 Industroyer2）归因于 Sandworm。他们的成员被认为是俄罗斯 GRU 特殊技术主要中心 (GTsST) 74455 部队的军事黑客。

“WhisperGate、FoxBlade、DesertBlade 和 CaddyWiper 都是覆盖数据并使机器无法启动的恶意软件系列。FiberLake 是一种用于数据删除的 .NET 功能，”微软数字安全部门 (DSU) 表示 [ PDF ]。

“SonicVote 是一种文件加密器，有时与 FoxBlade 一起使用。Industroyer2 专门针对操作技术，以在工业生产和流程中实现物理效果。”

微软还发现，在 2 月入侵之前，1 月中旬，WhisperGate 恶意软件被用于对乌克兰的数据擦除攻击，伪装成勒索软件。

正如微软总裁兼副主席布拉德史密斯所说，这些针对乌克兰组织和基础设施的破坏性恶意软件攻击“已经成为目标”。

正如乌克兰安全局（SSU）在俄罗斯入侵之前所说的那样，它们是“大规模混合战争浪潮”的一部分。

今年俄罗斯支持的针对乌克兰的网络攻击具有高度针对性和精确性，这与 2017 年袭击全球各国（包括乌克兰）的 NotPetya 全球恶意软件攻击形成鲜明对比，该攻击也与俄罗斯 GRU Sandworm 黑客有关。

“虽然微软迄今为止观察到的大部分情况表明，威胁行为者 DEV0586 和 IRIDIUM 通过将恶意软件部署限制在特定目标网络来限制执行破坏性攻击，”微软 DSU 补充说。

“然而，与俄罗斯结盟的民族国家行为者正在积极寻求与全球政府和关键基础设施组织的初步接触，这表明未来可能会成为目标。”

今天的报告是在 3 月下旬谷歌威胁分析小组 (TAG) 发布的一份报告之后发布的，该报告揭示了由俄罗斯威胁组织协调的针对北约和欧洲军队的网络钓鱼攻击。

3 月初 Google TAG 的另一份关于与俄罗斯在乌克兰的战争有关的恶意活动的报告暴露了俄罗斯、中国和白俄罗斯国家黑客试图破坏乌克兰和欧洲组织和官员的努力。