【資安日報】2022年3月1日，俄羅斯出兵烏克蘭，引發不同立場的駭客集團發動攻擊、汽車大廠Toyota疑因零件供應商遭駭停工

俄羅斯總統普丁自2月24日下令對烏克蘭出兵，兩國之間的武裝衝突便成為本週末全球觀注的焦點。但在此同時，俄羅斯與烏克蘭之間的網路攻防戰仍舊持續，甚至傳出烏克蘭政府向駭客招手，號召有志之士攻擊俄羅斯的關鍵基礎設施。

這場戰爭引起的效應可說是相當廣泛，一如許多國家和企業揚言抵制俄羅斯，多個駭客組織開始表態他們支持的國家。較早發聲的是匿名者（Anonymous），但比較特別的是，勒索軟體駭客Conti表明力挺俄羅斯政府，而使得成員近期的對話內容疑似遭烏克蘭人士公布。

而在俄烏戰爭之外，汽車大廠Toyota的供應鏈攻擊事故也相當值得留意，他們疑似因汽車內裝供應商遭駭，而決定日本14座工廠於3月1日停工。但由於時機過於敏感，許多人認為很可能是俄羅斯的駭客出手，報復日本的經濟制裁。

【攻擊與威脅】

針對俄羅斯對烏克蘭出兵，匿名者、Conti等駭客組織選邊站

俄羅斯2月24日出兵烏克蘭，多個駭客組織積極為支持的國家表態，且已有網路攻擊行動。例如，駭客組織匿名者（Anonymous）揚言將對俄羅斯政府下手；而根據資安新聞網站Bleeping Computer的報導，駭客論壇Raidforums封鎖來自俄羅斯的用戶，且有人上傳一份宣稱是俄羅斯聯邦安全局（FSB）資料庫，內容是電子郵件帳號與加鹽密碼，警告俄羅斯政府的意味濃厚。

勒索軟體駭客組織Conti、CoomingProject，則是聲援俄羅斯政府。不過，Conti在表態的1個小時後改變說法，表示他們不與政府單位結盟，但還是會對西方國家攻擊俄羅斯關鍵基礎設施的行動有所回應。

勒索軟體Conti內部機密外洩，起因是表態支持俄羅斯

在俄羅斯對烏克蘭發動武裝攻擊後，勒索軟體駭客組織Conti表態聲援俄羅斯，但不久之後疑似遭到烏克蘭人士起底。根據資安新聞網站Bleeping Computer、Recorded Future的報導指出，一名烏克蘭人士取得了6萬多筆Conti成員的對話內容，並向多個新聞網站發送，經威脅情報業者Advanced Intelligence（AdvIntel）、資安業者Hold Security與Trellix確認，這些資料是從Conti所使用的即時通訊系統Jabber挖掘而得。根據這些被洩露的資料，也證實先前資安人員對於該駭客組織的調查確有其事，例如，Conti與惡意軟體TrickBot、Emotet之間的關係，以及殭屍網路TrickBot日前遭到關閉等。

但對於洩露相關資料的人士身分，目前有兩派說法，Bleeping Computer、The Verge根據Hold Security的說法，認為是烏克蘭資安人員入侵Conti取得；而Recorded Future則認為是親烏克蘭的Conti成員洩露。但無論外洩的來源為何，研究人員指出，這些資料將有助於執法單位圍剿Conti。

烏克蘭招募IT軍隊，鎖定俄羅斯31個關鍵基礎設施發動網路攻擊

俄羅斯出兵烏克蘭之後，烏克蘭疑似打算透過網路攻擊還以顏色。烏克蘭數位轉型部部長Mykhaylo Fedorov，於2月26日在網路上徵求自願的資安人員或是駭客，想要組織IT軍隊，針對俄羅斯31個關鍵基礎設施（CI）下手，這些包含了俄羅斯政府機關的IP位址、網路儲存裝置、郵件伺服器，以及3家銀行、當地大型搜尋引擎業者Yandex等。

根據網路流量分析業者NetBlock指出，克里姆林宮、下議院（State Duma）、國防部等俄羅斯政府單位的網站，同日疑似遭到分散式阻斷服務（DDoS）攻擊而離線。而這是在傳出烏克蘭國防部與資安業者Cyber Unit Technologies合作，在駭客論壇招募保護該國關鍵基礎設施的志士後，烏克蘭新一波的網路攻擊行動。

白俄羅斯駭客鎖定烏克蘭武裝部隊，發動網路釣魚攻擊

俄烏開戰，傳出白俄羅斯駭客疑似對烏克蘭士兵發動網路釣魚攻擊的現象。烏克蘭電腦緊急因應小組（CERT-UA）於2月25日提出警告，白俄羅斯駭客組織UNC1151鎖定烏克蘭武裝部隊的成員發動釣魚郵件攻擊，駭客發送帶有釣魚網站URL的信件，以要求郵件信箱帳號所有者的身分驗證為由，騙取帳密資料，並要脅收信人若不依照指示操作，帳號將會被永久停用。一旦收信人上當，駭客還會透過受害者的通訊錄來散布釣魚郵件。

但與這場武裝衝突相關的網路釣魚攻擊行動，不光是針對軍隊而來，例如，烏克蘭國家特別通訊暨資訊保護局（SSSCIP）與資安業者ESET，先後發現針對烏克蘭民眾、向烏克蘭組織捐款的人士下手的網釣攻擊。

惡意軟體FoxBlade於俄烏戰爭爆發前夕，攻擊烏克蘭軍事單位與政府機構

針對烏克蘭政府機關的網路攻擊，直到俄羅斯的武裝行動之前，仍接連出現。微軟宣稱於2月24日俄羅斯發射飛彈的幾個小時前，偵測到針對烏克蘭基礎架構的破壞性網路攻擊，其中，駭客運用名為FoxBlade的木馬程式，鎖定該國軍事單位、政府機構下手，受感染的電腦會被殭屍網路控制，用於發動分散式阻斷服務（DDoS）攻擊。該公司已向烏克蘭政府通報，並將FoxBlade的特徵碼加入防毒軟體Micorosoft Defender。

汽車大廠Toyota宣布日本14家工廠停工，起因疑似零件供應商遭到網路攻擊

汽車大廠因零件供應商遭駭，面臨車輛生產雪上加霜的情況。日本汽車大廠豐田於2月28日發布公告表示，他們因零件供應商小島工業（Kojima Industries）系統故障，決定自3月1日開始，關閉日本14家工廠、暫停共28條生產線的運作。豐田旗下的商用車公司日野（Hino），也同樣宣布將於3月1日關閉2家工廠的營運。隨後豐田於3月1日中午宣布，3月2日日本工廠將恢復正常運作。

但這起事故發生的時機相當敏感，因為俄羅斯對烏克蘭出兵後，許多國家相繼對俄羅斯祭出制裁，有些人對於Toyota這起事故發生的原因，認為很可能是俄羅斯進行報復。對此，日本首相岸田文雄表示，政府正在了解整起事故，目前尚未發現與俄羅斯有關的跡象。

Nvidia遭網路攻擊，透過對駭客掌握的電腦進行加密來反制

GPU大廠Nvidia於2月25日，證實遭到網路攻擊，暗網情資業者DarkTracer、資安研究員Soufiane Tahiri發現，疑似是勒索軟體Lapsus$所為，駭客宣稱竊得員工密碼與NLTM密碼雜湊，並揚言要公布1 TB資料，但事隔2天有了新的發展。

資安業者Emsisoft研究員Brett Callow於2月27日指出，該駭客組織指控Nvidia對他們發動攻擊，將虛擬機器（VM）裡面的資料進行加密，不過駭客因已備份相關資料，而不受加密影響。

保險集團怡安驚傳遭到網路攻擊

因資安險的崛起，保險業者近年來被駭客鎖定的情況，也有數起事故，而最近又有業者成為受害者。根據資安新聞網站Bleeping Computer的報導，跨國保險集團怡安（Aon）向美國證券交易委員會（SEC）通報，他們於2月25日遭到網路攻擊，部分系統受到波及，但對於營運沒有造成影響。但除此之外，怡安並未透露進一步細節。