2023年以來，谷歌的威脅分析小組（TAG）一直在監測俄羅斯針對烏克蘭專門制定的基礎設施的網絡攻擊行動。谷歌報告稱，從2023年1月到3月，烏克蘭受到的網絡釣魚攻擊中，有約60%來自俄羅斯。

在大多數情況下，攻擊活動的目標包括收集情報，破壞行動，以及通過Telegram泄露敏感數據，主要為了達成破壞烏克蘭信息的目的。

活躍在烏克蘭的三大威脅組織

谷歌TAG列出了一份名單，其中包括三個俄羅斯和白俄羅斯的威脅者，他們都在今年第一季度對烏克蘭進行過一系列網絡攻擊行動。

第一個是Sandworm，被谷歌稱為 FrozenBarents，自2022年11月以來，該組織對幾乎整個歐洲能源部門都實施了攻擊，這其中影響最大的就是里海管道財團（CPC）系統受損事件。

CPC釣魚網站頁面（來源：谷歌）

Sandworm最近還利用一個詐騙性質的烏克蘭國防工業網站對烏克蘭國防工業的工人、Ukr.net平臺的用戶，以及烏克蘭Telegram發起了多次釣魚活動。

詐騙性質的烏克蘭國防公司的網站（來源：谷歌）

該威脅組織還創建了多個在線的用戶，在YouTube和Telegram上傳播虛假信息，通常還會泄露他們通過網絡釣魚或網絡入侵竊取的部分數據。

Telegram的釣魚頁面（來源：谷歌）

另一個高度活躍的俄羅斯威脅組織是APT28, 谷歌將其稱為FrozenLake。在2023年2月至3月期間，APT28向烏克蘭人頻繁發送了非常多的網絡釣魚郵件。

此外，黑客還在烏克蘭政府網站上使用反射跨站點腳本(XSS)，將訪問者重定向到網絡釣魚頁面。

XSS重定向后受害者所處的釣魚頁面（來源：谷歌）

本周，英國NCSC、FBI、NSA和CISA聯合發布聲明稱APT28正在入侵思科路由器，并安裝定制的惡意軟件。

谷歌報告中提到的第三個威脅組織是Pushcha，有消息稱該組織總部設在白俄羅斯。近期Pushcha發起了針對烏克蘭網絡郵件提供商的入侵活動，比如“i”。Ua”和“meta”，該組織試圖通過建立虛假網站來竊取用戶的憑據信息等。

由Pushcha創建的虛假電子郵件登錄網站（來源：谷歌）

Gmail和Workspace的目標用戶將收到警報

谷歌的報告中還提到了YouTube和Blogger平臺上的一些錯誤信息。2023年第一季度，TAG 觀察到隸屬于互聯網研究機構（IRA）的人在YouTube等谷歌產品上發布了包括評論和互贊視頻等內容。

IRA (Glavset)是一家與瓦格納集團(Wagner Group)的所有者普里戈津(Y. Prigozhin)有關聯的俄羅斯公司，專門從事在線宣傳的相關工作，其運營決策受到俄羅斯政治利益的影響。

谷歌報道稱，該網站一直在觀察并屏蔽與共和軍有關的賬戶，因為這些賬戶會制作一些與烏克蘭戰爭相關的視頻內容，并發布到YouTube上，以達到向俄羅斯民眾宣傳相關新聞的目的。目前，所有與上述活動相關的網站都被谷歌添加到了“安全瀏覽”的黑名單中，而Gmail和Workspace的目標用戶則會直接收到有關惡意通信的警報。