2022年全球网络空间安全态势分析

卷　首　语

2022 年，全球地缘政治冲突加剧、新冠肺炎疫情再次来袭、俄乌冲突陷入胶着，全球网络空间安全态势更加复杂紧张。数据泄露、高危漏洞、勒索软件、太空安全等问题也呈现出新的变化，严重危害国家关键基础设施安全和社会稳定，给全球安全态势带来了极大地不确定性。为此，各国积极推进网络安全领域的顶层规划与设计，密集出台安全战略，持续优化体制建设，加强网络安全新技术在军事领域的应用，以更坚实的安全体系迎接全球网络安全新机遇和新挑战。

网络空间安全态势方面，今年爆发的俄乌冲突引发全球多方势力的广泛关注，网络战烈度攀升，网络对抗伴随着传统的军事行动密集发生，网络版块明细分化；勒索软件攻击更具“靶向”特点，目标更多地聚焦重点企业和政府；数据泄露事件持续高发，国家安全机构和网络安全巨头也未能幸免；太空网络建设步入正轨，其安全问题深受美欧各国重视。

2022 年，俄乌冲突严重动摇了本就危机重重的全球网络空间，对立双方持续对对手的政府机构、关键基础设施和企业等发动大规模网络攻击，泄露对手保密数据，同时散布海量虚假信息打击对手的民心士气。这些网络行动给各国造成严重的经济损失，甚至引发社会动荡，导致全球网络空间安全形势急转直下。同时在网络战之外，勒索软件、数据泄露和安全漏洞等传统网络安全问题也并未有所好转，反而在俄乌冲突的推波助澜下呈现出进一步恶化之势。

1 俄乌冲突引爆网络对抗，网络形势严重恶化

2022 年，举世震惊的俄乌冲突爆发，这场数十年来最严重的地缘政治危机对包括网络空间在内的全球格局产生了深远的影响。整个冲突期间，网络战和基于网络的认知战无时无刻不在发生，数十个国家受到直接波及，大量网站陷入瘫痪，无数社交帐户遭到封杀，甚至连核电站都受到网络攻击的威胁。而受冲突影响，原本相对中立的各国黑客组织也纷纷站队，投身到无休止的网络对抗之中。

1.1 网络战烈度持续攀升，对立双方损失惨重

2022 年，随着俄乌冲突的爆发，全球网络战烈度持续攀升，导致网络安全形势每况愈下。俄罗斯与乌克兰及其背后的北约在网络空间展开激烈较量，双方的政府机构、关键基础设施乃至商业机构纷纷遭到重大网络攻击，成千上万的网站被迫关停，许多政府和企业的数据惨遭恶意软件清除，银行系统、卫星网络和电网等关键基础设施也在密集的网络攻势下陷入危险，交战双方均因网络战而损失惨重。

1.1.1 乌克兰遭到多轮数据擦除类网络攻击

1 月，微软公司警告称，乌克兰的十多家政府机构、非营利组织和信息技术机构遭到数据擦除型恶意软件 Whispergate 的攻击。

Whispergate 会擦除目标 Windows 系统中的主引导记录，使其无法运行，然后覆盖 Word 文档、网页、图像和数据库等系统中的所有内容。尽管 Whispergate 像勒索软件那样向受害方索要 1 万美元的赎金，但研究人员发现该软件并没有设置加解密机制，被感染的系统已遭到不可逆的破坏。

事实表明，Whispergate 只是一系列对乌数据擦除攻击的开始 ：自2 月起，网络安全专家在乌克兰的网络中先后发现了 HermeticWiper、IssacWiper 和 CaddyWiper、DoupleZero 和 AcidRain 这六款数据擦除型恶意软件，这些恶意软件在一定程度上阻碍了乌克兰政府的运行和社会稳定。

1.1.2 乌克兰接连遭到大规模 DDoS 攻击

1 至 2 月，包括乌克兰外交部、国防部、内政部、安全局及内阁在内的多家政府机构以及大型银行接连遭到大规模 DDoS 攻击，其中许多机构的网站一度瘫痪。

1 月 13 日，乌克兰外交部、教育和科学部、国防部、国家紧急事务部和内阁等机构的 70 余个网站遭到 DDoS 攻击，其中至少 10 个网站的内容遭到篡改 ；2 月 15 日，乌克兰国防部、公共广播电台、乌最大银行Privatbank 和国家储蓄银行 Oschadbank 等机构的网站遭到 DDoS 攻击，导致这些网站瘫痪，且乌民众无法使用在线支付等服务；2 月 23 日，乌克兰国防部和 Privatbank 等机构的网站再次遭到 DDoS 攻击，导致这些网站再次陷入瘫痪，部分信息系统也无法顺利运行。

美国政府将这一连串 DDoS 攻击归咎于俄罗斯武装部队总参谋部情报总局（GRU），乌克兰计算机应急响应组（CERT-UA）则表示攻击者动用了包括 Mirai 与 Meris 在内的多种僵尸网络来发动 DDoS 攻击。

1.1.3 卫星网络运营商 Viasat 遭大规模网络攻击

2 月，在俄乌冲突爆发的一小时前，为乌克兰地区提供卫星通信服务的美国运营商 Viasat 突遭网络攻击，导致包括数千乌克兰用户在内的数万名欧洲用户断网。

据称攻击者通过虚拟专用网络（VPN）设备的配置错误获得了 KASAT 卫星管理网段的远程访问权限，然后利用该权限向数以万计的用户端调制解调器投送了名为“酸雨”（Acid Rain）的恶意擦除软件。该恶意软件以数据覆盖的方式擦除了调制解调器闪存上的数据，导致这些调制解调器无法接入网络，也无法通过简单的重启来恢复设备。此次攻击是迄今为止规模最大的一起太空网络攻击事件，不但波及乌克兰、德国、法国、意大利、匈牙利、希腊和波兰等若干欧洲国家，甚至还影响到了数以千计的风力涡轮机。不过遭受攻击的并非 KA-SAT 卫星本身，而是使用 KASAT 卫星服务的一部分地面用户网络，因此并未对卫星和地面站造成影响。

鉴于攻击不久后就爆发了俄乌冲突，加之攻击手法和软件代码与俄军 GRU 辖下黑客组织的手段颇为相似，北约和欧盟已将此次事件认定为俄方所为。

1.1.4 俄罗斯政府采取保护措施避免国家网站关闭

3 月，俄罗斯数字发展部要求国内所有网站和服务在 3 月 11 日之前切换到俄罗斯域名系统“.ru”，放弃由外国托管的网页服务，并加强“密码管理策略”。

数字发展部表示，为保护俄罗斯的信息基础设施，俄罗斯的所有网站都需要改用位于俄罗斯的 DNS 服务器，以免这些网站遭到网络攻击。Yandex、Rostelecom 和 VKontakte 等俄罗斯的信息技术（IT）企业将为这些网站提供公共云服务。同时鉴于西方社交媒体平台对俄罗斯的封杀，数字发展部建议各政府机构在“电报”（Telegram）等加密通信工具和VKontakte 等国内社交平台上创建帐户。

不过数字发展部也强调，尽管俄罗斯会为各种情况做好准备，但并不打算切断俄罗斯与全球互联网之间的连接。

1.1.5 网络攻击导致乌克兰互联网大范围中断

3 月，乌克兰移动流量排名第七的互联网服务提供商 Ukrtelecom 遭受网络攻击，导致乌克兰出现冲突爆发以来最严重的网络中断事件。

乌克兰国家特殊通信与信息保护局（SSCIP）称此次事件源于俄罗斯的大规模网络攻击，并导致乌克兰的网络连通性一度降至冲突前的13%。Ukrtelecom 公司则表示其关键基础设施继续运行，但 12 个区域中心的网络速度较慢。此外为优先保障面向军队和关键基础设施的服务，Ukrtelecom 在事发时暂时关闭了私人和企业客户服务。

尽管 Ukrtelecom 在此次攻击后恢复了网络连接，但由于俄军从 10 月起持续打击乌方能源基础设施，截至 11 月 23 日，乌境内的网络连通性已因大规模停电而降至冲突前的 35%。

1.1.6 乌克兰电网险遭大规模网络攻击

4 月，乌克兰政府称俄罗斯试图通过网络攻击摧毁多座变电站和为200 万人服务的电网，但乌方成功抵御住了此次攻击。

乌克兰政府表示，其在攻击开始前一天从“合作伙伴”处得知部分电网可能于 4 月 8 日遭受俄方网络攻击。乌方在部分电网中检测到恶意软件Industroyer2，该软件可利用泄露的凭据感染 Windows、Linux 或 Solaris 等系统，从而控制特定的工业控制系统来切断电力供应，而其触发时间则被设置为 4 月 8 日。乌方及时识别并清除了 Industroyer2 等恶意软件，此次攻击只造成一座变电站短暂停电数分钟时间。

CERT-UA 认为此次攻击由隶属于俄军 GRU 的黑客组织“沙虫”（Sandworm）实施，而对 Industroyer2 样本的分析表明，“沙虫”组织从 3月起就开始策划此次攻击。

1.1.7 俄罗斯最大商业银行遭到大规模网络攻击

5 月，俄罗斯乃至东欧地区最大的商业银行俄罗斯储蓄银行 Sherbank

接连遭到大规模网络攻击。

Sberbank 董事会副主席表示，自俄乌冲突爆发以来，该行就遭受了源源不断的网络攻击，黑客活跃度增高，每天同时发生的 DDoS 攻击多达数十次。5 月 6 日是网络攻击最激烈的一天，攻击规模超过 400 Gbps，攻击流量由美国、英国、日本和中国台湾地区的 2.7 万多台设备组成的僵尸网络生成。Sberbank 遭受的攻击类型多种多样，包括将代码注入广告脚本、恶意 Chrome 扩展程序，以及被 DDoS 工具武器化的 Docker 容器等。不过Sberbank 成功抵御了这一系列攻击，银行网络并未受到影响。

Sberbank 曾于 4 月中旬表示，乌克兰应用程序开发商以俄罗斯民众的银行卡为目标发动了大规模网络攻击，每分钟的划账尝试次数多达一万次，试图划走银行内全部客户的资金，但最终被该银行成功阻止。

1.1.8 俄罗斯政府网站遭到黑客入侵

6 月，俄罗斯联邦建设、住房和公用事业部的网站遭到黑客入侵，其网站标题被改为乌克兰语的“荣耀属于乌克兰”。

俄罗斯新闻机构 RIA Novosti 援引该部代表的话称，黑客以用户数据为筹码，要挟该部在 6 月 7 日前支付 100 万卢布（约合 16000 美元）的赎金，否则将公开其窃取的数据。不过建设、住房和公用事业部否认发生数据泄露事件，称其数据始终受到保护和定期监控。该部网站在遭到攻击后一度下线，现已恢复运行。

自俄乌冲突爆发以来，俄罗斯的公私机构遭受了规模前所未有的网络攻击。但按照俄罗斯副外长奥列格·西罗莫洛托夫（Oleg Syromolotov）的说法，为了应对近年来持续不断的制裁和网络攻击，俄方已在逐步建立自己的信息安全系统，而几乎所有的网络防御系统都采用的是俄罗斯自己开发的软件。

1.1.9 乌克兰核电运营商遭到网络攻击

8 月，乌克兰核电运营商 Energoatom 称遭到俄方“前所未有的”网络攻击，但表示其运营并未受到干扰。

Energoatom 公司称，名为 popular cyberarmy 的俄罗斯黑客组织使用超过 700 万个互联网机器人程序攻击了该公司网站，攻击时间长达三个小时，但并未对 Energoatom 网站的工作产生太大影响。此前 popular cyberarmy 曾在通信工具“电报”的频道中呼吁其追随者攻击乌克兰核电运营商的网站，但此后将攻击目标转向了乌克兰国家纪念研究所，导致该研究所网站运行缓慢。

网络攻击发生之际，俄罗斯和乌克兰相互指责对方炮击了欧洲最大的核设施扎波罗热核电站，引发全球各国对核事故的担忧。

1.1.10 乌克兰网军成功瘫痪数以千计的俄罗斯网站

8 月，乌克兰数字转型部报告，仅在 8 月 29 日至 9 月 11 日的两周内，乌克兰“IT 军队”就瘫痪了 2400 个俄罗斯网站，其中包括俄罗斯联邦最大银行、汽车在线销售平台、俄罗斯主要媒体等。而在此前的 7 月 11 日至 24 日期间，乌克兰数字化转型部也曾宣布“IT 军队”瘫痪了 750 多个俄方网站。

遭受攻击的俄方网站包括 Rambler、Gazeta.Ru 和 MK 等俄罗斯媒体，Gazprombank、Moscow Credit Bank 和 Sovcombank 等俄罗斯大型银行，以及 Drome 等俄罗斯在线销售平台。这些攻击导致俄罗斯人一度无法使用网上银行和网络购物等服务，并妨碍俄军士兵领取津贴和抚恤。乌克兰数字化转型部希望通过这些攻击扰乱俄罗斯社会，进而激化俄罗斯人的反战情绪。

“IT 军队”是由乌克兰政府牵头成立、主要由全球各地的志愿者构成的对俄网络攻击团体，成员多达数十万人。“IT 军队”成员会通过“电报”等加密通信工具分享情报和工具，并协调针对俄罗斯的网络攻击。

1.2 俄方频繁发动认知战，西方绞杀亲俄舆论

2022 年，在俄乌两军交战的同时，俄罗斯也频频利用社交平台、通信工具乃至黑客组织入侵等手段，频繁发布各种有利于俄方的真实或虚假信息，希望能以此不战而屈人之兵。然而由于掌握网络话语权的西方政府和企业竭力封杀俄方信息，加之乌克兰也在积极打击俄方认知战平台，导致俄方认知战的效果不尽如人意。

1.2.1 俄罗斯利用乌克兰政府网站发布诱降信息

3 月，乌克兰 SSCIP 称俄罗斯黑客入侵了部分地方政府网站，并利用这些网站散布乌政府已经投降的虚假信息。

SSCIP 在社交平台“推特”（Twitter）上表示，俄罗斯入侵了数量不详的地方政府官方网站，并利用这些网站来散布关于战争已经结束的谎言。乌克兰议会也发出类似警告，称俄军已接管赫尔松州的公共广播系统，并计划利用该系统来散布“乌克兰已经投降并与俄罗斯签署和平条约”的虚假信息。

乌方并未公布这些虚假信息活动的细节，但据称隶属于白俄罗斯政府（俄罗斯的盟友）的黑客组织“代笔者”（Ghostwriter）过去确实曾入侵新闻网站发布虚假信息。

1.2.2 西方政府和企业强力封杀俄方舆论

2 至 3 月期间，俄乌冲突刚一爆发，西方政府和企业便开始严厉打压俄罗斯媒体及所谓的“亲俄信息”，试图让支持俄罗斯的一方从国际舆论中消音。

在政府层面上，3 月 2 日，欧盟最高决策机构“欧盟理事会”以传播虚假信息为由，禁止“今日俄罗斯”（RT）电视台和俄罗斯卫星通信社（Sputnik）在欧盟境内播出；3 月 3 日，RT 美国频道被迫无限期停止运营；3 月 16 日，加拿大广播电视与电信委员会以违反当局政策和“破坏民主”为由，禁止 RT 和 RT 法国频道的播出活动 ；3 月 18 日，英国通信管理局以“难以遵守新闻公正”为由，撤消 RT 的播出许可证。

在企业层面上，2 月 28 日，微软公司从“Windows 应用商店”下架RT 的移动 APP，并降低 RT 等俄方媒体在“必应”（Bing）搜索引擎中的结果排名 ；3 月 1 日，掌握“谷歌”（Google）和“油管”（Youtube）等重量级平台的美国科技巨头 Alphabet 公司采取一连串对俄信息封杀措施，包括在欧洲地区屏蔽 RT 和 Sputnik 的“油管”频道，删除 7 万多条“亲俄”视频及 9000 多个相关账号，从“谷歌应用商店”下架 RT 和 Sputnik 的移动 APP，甚至禁止俄罗斯用户下载所有付费 APP ；3 月 1 日，掌握“脸书”（Facebook）用户和“照片墙”（Instagram）平台的 Meta 公司禁止欧洲地区的用户访问 RT 等“受俄罗斯官方资助”的媒体账户，还允许用户在这些平台发布针对俄罗斯人的仇恨言论 ；同样在 3 月 1 日，“推特”公司对数百个俄罗斯官方账号进行限流，甚至给反对北约东扩的英国前议员加上“受俄罗斯官方支持”的账户标签 ；3 月 6 日，Tiktok 公司禁止俄罗斯用户在 Tiktok 上发布新内容。

西方世界的全面舆论封杀极大削弱了俄罗斯的认知战实力，导致俄方的各种宣传手段无从发挥，对国际舆论场的影响力严重下滑。但与此同时，西方的此轮封杀完全撕下了“言论自由”的虚伪面目，已引起世界各国对西方舆论操纵的高度警惕。

1.2.3 俄罗斯强化本国网络舆论审查力度

3 月，面对西方世界的舆论绞杀，俄罗斯也随即加强本国信息审查力度，以遏制西方舆论对俄罗斯民心士气的影响。

3 月 4 日和 22 日，俄罗斯议会下院先后立法严惩涉及军事行动和政府机构的虚假消息，违法者最高将被处以 15 年监禁和数百万卢布的罚款；3 月 4 日，俄罗斯联邦通信、信息技术与大众传媒监督局（Roskomnadzor）以宣传极端主义和传播虚假信息为由，相继封杀了“脸书”、“照片墙”和“推特”平台以及谷歌搜索引擎的新闻聚合器，并禁止谷歌公司在俄境内投放广告。

尽管俄罗斯并未直接封杀西方媒体，但令人玩味的是，俄方出台关于虚假信息的法律后，包括英国广播公司（BBC）、美国广播公司（ABC）和彭博社（Bloomberg）在内的多家西方主流媒体就立即暂停了在俄罗斯境内的活动。

1.2.4 乌克兰摧毁俄罗斯“水军农场”

3 至 9 月期间，乌克兰安全局（SBU）接连发现并关闭了 7 座俄方用于发动认知战的“水军农场”。

这些“水军农场”分布在乌克兰的哈尔科夫州等地，每座“农场”都掌管着 7000 到 10 万个以上的社交媒体帐户，可利用机器人程序在社交平台上大批量发布亲俄信息，从而动摇乌克兰的社会稳定和抵抗意志。3 月，SBU 突袭了五座“农场”，总共缴获了 100 套 GSM 网关、约 1 万张用于实施认知战的 SIM 卡以及用于控制和协调机器人程序的计算机。9 月，SBU再次突袭了位于基辅和敖德萨地区的两座“农场”，缴获了 4 台服务器、250 多个 USB 调制解调器、有非法活动证据的手机以及 400 多张移动运营商的 SIM 卡。

俄乌冲突期间，俄罗斯一直在利用“水军农场”发动针对乌克兰和西方社会的认知战。俄方之所以使用乌境内的设备和 SIM 卡，是因为乌克兰网络运营商在冲突初期便禁用了俄方 SIM 卡，且西方社交平台全面封杀俄方帐户，导致俄方不得不假借乌克兰人的身份来发动认知战。

1.2.5 黑客利用俄罗斯电视媒体播放反战信息

5 月，在俄罗斯“胜利日”当天，多家俄罗斯电视媒体遭到网络入侵，这些媒体在智能电视上的节目表被篡改为反战信息。

俄罗斯主要的电视媒体 Russia-1、Channel One 和 NTV-Plus 遭到黑客入侵，每个节目的名称都被替换为谴责俄乌冲突和呼吁民众反对战争的信息。除电视外，俄罗斯 IT 巨头 Yandex 的视频平台 Rutube 也因网络入侵而出现了同样的反战信息，导致 Rutube 平台一度无法访问。

此次认知战攻击正值俄罗斯庆祝“胜利日”之际，这种公然羞辱可能会在一定程度上打击俄罗斯的民心和士气。

1.2.6 俄罗斯指控美国以虚假信息抹黑俄政府

5 月，俄罗斯对外情报局（SVR）表示，美国国务院指示受其控制的非政府组织围绕“对乌特别军事行动”抹黑俄罗斯。

SVR 称，美国在加密通信工具“电报”的频道上和社交网络上大肆宣传一些简单但危言耸听的口号，其主要内容可归纳为“在西方的支持下，‘基辅民主政权’即将对‘极权主义俄罗斯’造成毁灭性打击，俄罗斯人民只有大规模抗议，才能将国家从必然的灾难中拯救出来。”SVR 指出，美国认为这种宣传攻势针对居住在城市的年轻一代俄罗斯人更为有效，并希望俄罗斯年轻人在听信这种宣传后，走上街头发动“民主革命”。

为避免国内发生社会动荡，SVR 建议俄罗斯政府重视这些虚假信息。

1.2.7 乌克兰称俄罗斯在控制区发布虚假信息

5 月，乌克兰智库 Detector Media 称俄罗斯在其占领的控制区建立了基于加密通信工具“电报”的超本地化网络，以便向各控制区发布针对性的虚假信息。

该机构表示，俄罗斯利用“电报”上的超本地化频道来开展亲俄宣传，并建立对信息环境的控制。自冲突爆发以来，至少已有 88 个此类“电报”频道，其中大部分频道的宣传目标都是基辅附近的城镇。这些频道的宣传重点是诋毁包括各市市长和地区政府在内的乌克兰领导层，宣扬俄罗斯的军事胜利，妖魔化乌克兰军队，以及鼓动乌克兰人撤离到被俄军控制的克里米亚、顿涅茨克和卢甘斯克等地。由于这些频道的订阅用户增加过快，且在当地移动通信网络中断时订阅数仍在增加，Detector Media认为其中许多“用户”实为俄方的机器人程序。

卡内基国际和平基金会指出，这种基于超本地化网络的虚假信息行动将帮助俄罗斯找出当地的支持者，从而更好地控制占领的地区，并削弱乌克兰人的民心士气。

1.2.8 黑客利用乌克兰媒体发布乌总统病危的虚假信息

7 月，乌克兰媒体集团 TAVR Media 证实其系统遭到网络入侵，并被用于散布“乌克兰总统泽连斯基病危”的虚假信息。

乌克兰 SSCIP 称攻击者入侵了 TAVR Media 的服务器和广播系统，进而利用该系统在 TAVR Media 旗下的电台中宣称乌克兰总统已处于重症监护之下，其职责已由议长代行。TAVR Media 及时否认了这一信息，泽连斯基本人也在社交平台“照片墙”上驳斥了此消息。

这并非第一次出现针对泽连斯基的虚假信息 ：在俄乌冲突爆发之初，社交平台“脸书”上就曾出现过“泽连斯基要求乌军投降”的深度伪造视频，但很快便被“脸书”平台删除。

1.2.9 Meta 摧毁俄罗斯认知战网络

9 月，社交平台“脸书”和“照片墙”的母公司 Meta 称其摧毁了一个庞大的俄罗斯认知战网络。

Meta 公司表示，从 5 月起，俄罗斯模仿英国《卫报》和德国《明镜周刊》等新闻媒体的网站创建了 60 多个虚假新闻网站，这些网站并不提供真实的媒体报道，而是向受众提供亲俄宣传信息和关于乌克兰的虚假信息。除虚假新闻网站外，俄罗斯还创建了 1600 多个“脸书”和“照片墙”帐户，以用于向德国、意大利、法国、英国和乌克兰的受众推送这些虚假新闻网站的信息。不过当 Meta 公司开始调查该网络时，许多帐户已被Meta 的自动化审查系统删除。

Meta 公司表示，这是俄乌冲突爆发后其摧毁的规模最大、技术最复杂的俄方认知战网络。

1.3 网络版图严重分化，阵营对抗愈演愈烈

2022 年，俄乌冲突导致各国政府和黑客组织的政治立场严重分化。在政府层面，乌克兰与美国等西方国家的网络合作显著加强，包括美国网络安全与基础设施安全局在内的诸多政府机构纷纷为乌克兰提供协助；在黑客层面，以“匿名者”为代表的国际黑客组织与以 Killnet 为代表的亲俄黑客组织针锋相对，频频入侵和瘫痪对方阵营的政府网站和关键基础设施。

1.3.1 乌克兰加入北约网络防御机构

3 月，北约国家一致决定允许乌克兰加入北约的网络防御合作卓越中心（CCDCOE）。

北约官员表示，加入 CCDCOE 将有助于乌克兰抵御来自俄罗斯的网络攻击，乌克兰则可为北约提供俄罗斯网络行动的宝贵信息和经验，从而便于北约开展相应的研究、演习和训练。之后北约和乌克兰将签署加强网络合作的协议，以允许乌克兰访问北约的恶意软件信息共享平台。

尽管北约此前就在为乌克兰提供网络支持，但为避免激怒俄罗斯，北约去年才拒绝了乌克兰加入 CCDCOE 的申请。不过在俄乌冲突的背景下，北约开始全面支持乌克兰，允许后者加入 CCDCOE 并不令人意外。

1.3.2 “匿名者”组织称入侵俄罗斯央行

3 月，国际性黑客组织“匿名者”（Anonymous）宣称成功入侵俄罗斯中央银行，并窃取了数万份保密文件。

“匿名者”宣称这些文件多达 3.5 万份，共 28 GB，涉及到知名客户的姓名、内部通信、银行对账单、发票及其它文件，最早可追溯到 1999 年。据信“匿名者”已在 DDoSecrets 等网站上发布了这些文件，西方媒体认为这些文件有助于揭示俄罗斯的经济计划以及财政和腐败问题。

“匿名者”组织自俄乌冲突伊始就宣布对俄罗斯发动网络战，在冲突期间重点攻击了包括“今日俄罗斯”和塔斯社在内的许多俄罗斯和白俄罗斯新闻媒体，导致部分媒体网站暂时瘫痪。此外该组织还宣称控制了俄罗斯卫星，但遭到俄方否认。

1.3.3 “匿名者”组织入侵多个俄罗斯政府系统

4 月，俄罗斯联邦文化部、Blagoveshchensk 市政府和 Tver 州长办公室均遭到国际性黑客组织“匿名者”的入侵，共有超过 700 GB 的政府数据被泄露。

“匿名者”在 DDoSecrets 网站上发布了这些数据，其中与俄罗斯文化部有关的数据多达 446 GB（包含 23 万封电子邮件），涉及俄罗斯关于艺术、电影摄影、档案、版权、文化遗产和审查的政策，Blagoveshchensk 市政府和 Tver 州长办公室的相关文件则分别为 150 GB 和 116 GB。

俄乌冲突爆发以来，“匿名者”组织对许多俄罗斯政府和企业发动网络攻击，甚至对继续和俄罗斯保持来往的外国企业也发出了网络威胁。

1.3.4 美国政府帮助乌克兰对抗俄方网络攻击

5 月，美国国务院宣布，美国政府的各机构都在帮助乌克兰加强网络防御能力，以确保乌克兰人能够访问互联网。美方提供的具体协助如下：

美国联邦调查局（FBI）一直在向乌克兰国家安全和执法机构积极提供关于俄罗斯网络行动的信息，包括指出潜在的或正在进行的恶意网络活动，帮助乌方打压俄罗斯关于其军事进展的信息，并分享网络事件的最佳响应方法。

美国国际开发署的技术专家正在为乌克兰政府的基本服务提供商提供亲手支持，以便在发生攻击事件后识别恶意软件并恢复系统。同时该署已向能源和电信等关键行业的基本服务提供商、政府官员和关键基础设施运营商提供了 6000 多台应急通信设备，其中包括卫星电话和数据终端。

美国能源部正与乌克兰当局展开合作，以便将乌克兰电网与欧洲输电系统运营商的网络进一步整合，从而增强乌方电网在战争中的恢复能力。

美国网络安全与基础设施安全局（CISA）则与包括乌克兰在内的主要合作伙伴交换了与俄乌冲突有关的网络安全威胁的技术信息。

1.3.5 黑客组织 Killnet 宣布对美欧十国政府发动网络战

5 月，为支持俄罗斯，黑客组织 Killnet 宣布对美国、英国、德国、意大利、拉脱维亚、罗马尼亚、立陶宛、爱沙尼亚、波兰和乌克兰十国政府发动网络战。

自 Killnet 组织宣战以来，意大利海关、外交部、文化和遗产部、教育部和最高司法委员会等诸多意大利政府部门网站一度因 DDoS 攻击而关闭；德国国防部、联邦议院、联邦警察和数个州的警察机构也遭到 Killnet组织的网络攻击，但德方表示此次攻击未造成数据泄露或永久性系统破坏。

此前在 4 月末，罗马尼亚国防部、边防警察和国家铁路公司的网站就曾遭到 Killnet 组织的攻击，导致大范围系统瘫痪。

1.3.6 “匿名者”组织对俄罗斯黑客组织 Killnet 发起网络战

5 月，国际性黑客组织“匿名者”宣布向支持俄罗斯的黑客组织Killnet 发起网络战。

“匿名者”在社交平台“推特”上发布了这一消息，不久后 Killnet 的官方网站（Killnet.ru）便因网络攻击而下线。“匿名者”还泄露了 Killnet的用户数据库，其中包含 146 个电子邮件地址及其纯文本密码。作为回应，Killnet 攻击了波兰政府门户网站，并在“电报”频道上列出了将要攻击的目标网站列表。

Killnet 自称由俄罗斯各地的普通民众组成，并只以 DDoS 的方式发动网络攻击。

1.3.7 立陶宛全国网络遭到 Killnet 组织重创

6 月，为报复立陶宛禁止俄罗斯本土与其飞地加里宁格勒之间的铁路运输，亲俄黑客组织 Killnet 攻击了上百家立陶宛网站。

包括立陶宛国家税务监察局（STI）和该国最大会计服务提供商之一B1.lt 在内的大量立方网站遭到 Killnet 组织的 DDoS 攻击，一度陷入瘫痪。立陶宛政府承认此次攻击破坏了国家安全数据传输网络，而该网络正是立陶宛最重要的关键基础设施之一。Killnet 组织则称其瘫痪了 1652 个立陶宛网站，并使 70% 的立陶宛网络基础设施无法接入国际互联网。

在其它欧洲国家的压力下，立陶宛不久后恢复了俄罗斯本土与加里宁格勒之间的铁路运输，Killnet 组织也未再对立陶宛发动大规模网络攻击。

1.3.8 俄罗斯黑客组织入侵乌克兰能源公司

7 月，支持俄罗斯的黑客组织 XakNet 称其入侵了乌克兰能源公司DTEK 的网络，并在加密通信工具“电报”频道上发布 DTEK 数据截图以作证据。

DTEK 在乌克兰各地都设有火力发电厂，该公司称黑客攻击的目标是打断其旗下配电公司和发电公司的技术流程，传播关于该公司运营情况的不利信息，并让乌克兰消费者无电可用。DTEK 特意指出，其遭受网络攻击的同时，俄罗斯军队正在炮击该公司位于乌克兰中部 Kryvyi Rih 的一座火力发电厂，因此网络攻击可能是俄军攻势的一部分。XakNet 表示已私下向企业所有者提出了一些诉求，不过 XakNet 和 DTEK 均未透露此次攻击的实际影响以及哪些计算机系统遭到破坏，目前也没有因此次攻击而导致停电的报告。

美国网络安全公司 Mandiant 称 XakNet 可能与俄罗斯政府之间可能存在联系，但 XakNet 对此予以否认。

1.3.9 “匿名者”组织入侵俄罗斯打车平台造成交通拥堵

9 月，由俄罗斯 IT 公司 Yandex 开发的打车平台 Yandex Taxi 遭到国际性黑客组织“匿名者”的入侵，导致莫斯科出现大范围交通拥堵。

据称“匿名者”绕过了 Yandex Taxi 的安全机制，在该平台上创建了数十份指向 Kutuzovsky Prospekt（莫斯科市的一条主干道）的虚假订单，从而诱使大量不明真相的出租车司机前往该地接客，最终导致长达一小时的交通拥堵。“匿名者”称是在乌克兰“IT 军队”的协助下发动了此次网络攻击。

Yandex 公司称其已重新设计了路由算法，以防未来发生类似事件。尽管此次攻击并未造成实际破坏，但却是迄今为止规模最大的交通网络安全事件之一。

1.3.10 美国多地机场网站遭到 Killnet 组织的大规模网络攻击

10 月，黑客组织 KillNet 对美国多座主要机场的网站发动 DDoS 攻击，导致这些网站一度瘫痪。

此次攻击使美国一些重要机场的网站瘫痪，导致旅客无法获取有关其预定航班或预订机场服务的信息。受到影响的机场包括亚特兰大国际机场（ATL）、洛杉矶国际机场（LAX）、丹佛国际机场（DIA）、奥兰多国际机场（MCO）、凤凰城国际机场（PHX）以及肯塔基州、密西西比州和夏威夷州的一些机场，其中 LAX 等机场的网站响应速度变得很慢，ATL 等机场网站则直接瘫痪。据称 KillNet 此前在加密通信工具“电报”上发布了这些机场的网站，以号召其成员和志愿者发动 DDoS 攻击。

此次攻击并未破坏各机场的内部系统，但在一定程度上妨碍了美国航空业的运作。

1.3.11 乌克兰军用系统遭到黑客入侵

11 月，支持俄罗斯的黑客组织 Joker DPR 宣称成功入侵乌克兰武装部队（AFU）使用的所有军事指挥和控制程序，包括可接入美国 DELTA 数字地图战场指挥系统。

Joker DPR 宣布其入侵了接入 DELTA 系统的计算机，并且篡改了其中的数据。Joker DPR 还发布了大量软件屏幕截图（包括俄乌双方的作战单元）和视频证明自己的说法，顿涅茨克地方政府的新闻发言人则表示顿涅茨克部队确实已获得了敌方软件的访问权限。不过俄罗斯、乌克兰和美国三方均未对此做出评论。

DELTA 系统是一款用于后勤管理的指挥与控制程序，可帮助用户确定部队的位置、规模和装备等信息，不过并不直接用于指挥作战。可以预见，美国和乌克兰会在此事后迅速修复 DELTA 系统的漏洞。

2 太空网络建设步入正轨，军民融合大势所趋

2022 年，Viasat 和“星链”等商用卫星网络深度介入俄乌冲突，美国的太空网络也从构想进入实际建设阶段。美国一方面稳步推进“国防太空架构”（NDSA）等军用太空体系的建设，另一方面也积极利用 5G 和民用卫星等商用技术来打造更加灵活且有弹性的军民混合型太空网络，同时也不忘开发安全硬件和网络靶场来降低网络安全风险。

2.1 美国太空管理局继续建设“传输层”卫星网络

2 月，美国太空管理局（SDA）与洛克希德·马丁公司、诺斯罗普·格鲁曼公司和 York Space Systems 公司签订三份合同（分别价值 3.82 亿美元、7 亿美元和 6.92 亿美元），以建造第 1 期“传输层”（简称 T1TL）卫星网络。

这三家公司将分别建造并验证 T1TL 六个绕极近地轨道面中的两个面，其中每个轨道面包含 42 颗卫星。T1TL 属于 NDSA 的一部分，是由 126 颗卫星组成的网络，这些卫星之间通过光通信技术相互连接，将为美军提供高弹性、低延时、大容量的数据传输能力。T1TL 将充分利用第 0 期“传输层”建设工作的成果，其将充当“联合全域指挥与控制”（JADC2）的骨干，为美军提供覆盖全球的通信能力以及从传感器直通武器平台的数据传输能力。

整套 T1TL 网络预计将于 2024 年 9 月建成，届时 NDSA 将具备初步的作战能力。

2.2 美国国防部推动海军 5G 网络建设

3 月，美国国防部授予美国 Hughes Network Systems 公司一份价值1800 万美元的合同，以便在华盛顿州 Whidbey 岛的海军航空站建设一套独立的军用 5G 网络。

Hughes 公司将以主承包商的身份为上述航空站建设安全的 5G 网络，以支持航空站的运行、维护和飞行交通管理。Hughes 公司的 5G 网络将使用 DISH Wireless 公司（后者是美国唯一能够提供低频段、中频段和高频段（毫米波）频谱组合的运营商）的频谱，而地球同步轨道（GEO）和近地轨道（LEO）上的卫星也将支持这一网络。整份合同为期三年，Hughes公司将利用数据包处理核心、无线电接入、边缘云、安全和网络管理等技术来建设弹性且安全的专用 5G 网络，该网络将取代现有的对讲机、书面记录和电话交谈设施，从而实现航空站流程和系统的自动化和持续优化。

此类军用 5G 网络的建设是美国国防部最优先的实验性项目之一，旨在通过高速网络将遍布美国各地的军事基地连接起来。

2.3 美国诺·格公司开发天基网络安全硬件

6 月，美国军工巨头诺斯罗普·格鲁曼公司称将于 2023 年春天开始测试名为太空端加密单元（Space ECU）的硬件设备，以保护大型互联卫星网络免受网络攻击。

太空 ECU 由诺·格公司与 Aeronix 公司合作开发，是一种内置多种算法、符合美国国家安全局（NSA）标准的加密设备，采用单芯片、可重编程和高通量设计，支持多种波形和数据链之间的安全通信。太空 ECU 尤其适用于低地球轨道（pLEO）的太空环境，但也可部署在飞机或地面站等其它环境中。

太空 ECU 预计将于 2024 年交付美国国防部，按照诺·格公司的说法，届时该装备将为美军提供任务所需的数据、通信和加解密能力，从而将美军联合部队的各个单位充分整合起来。

2.4 美国诺·格公司演示卫星激光通信系统

6 月，美国诺斯罗普·格鲁曼公司近期为美国太空发展局（SDA）演示了近地轨道卫星星座“1 期传输层”（T1TL）所需的激光通信系统。

据称此次演示证明了诺·格公司开发的商用激光通信系统能够与美国政府的安全加密硬件协同工作，并为该公司未来的太空交叉链接通信构想（包括 SDA 的多个传输与跟踪项目）建立了基准。

T1TL 由 SDA 提出，是一套由 126 颗近地通信卫星组成的卫星网络。这些卫星通过激光通信系统相互链接，可为美军提供高弹性、低延迟、大容量的天基数据传输能力，也是美军 JADC2 构想中的一个重要组成部分。除诺·格公司外，洛克希德·马丁航天公司等美国知名军工企业也参与了 T1TL 的建设，而整套 T1TL 网络预计将于 2024 年 9 月建设完毕。

2.5 美军启动混合式太空架构的建设工作

7 月， 美 国 国 防 创 新 单 位（DIU） 宣 布 与 Anduril、Aalyria Technologies、Atlas Space Operations 和 Enveil 五家公司签订“混合式太空架构”（HSA）项目合同，以推动军用、政用和商用卫星之间的数据共享。

HAS 项目将重点推进以下四项工作 ：1）建立安全的软件定义型网络（SDN）；2）融合不同来源的数据 ；3）开发采用人工智能技术的云基分析工具 ；4）制定可变的信任协议。HSA 项目的初期目标是实现“在不同轨道上运行的政用和商用卫星能按需收集图像及其它战术数据”，为此将在24 个月内演示相应的太空能力。

HSA 概念由时任太空军司令于 2020 年提出，旨在将美国乃至其盟国的各类军用、政用和商用卫星连结成一套庞大的“同心圆”网络体系，其中位于最中心的是高度加密的美国军用卫星，中间是安全性稍差的盟国卫星，最外层则是非保密的商业卫星。美军希望 HSA 能显著加强其卫星通信的弹性和可靠性，并提供更加丰富的天基情报、监视与侦察（ISR）情报。

2.6 美国陆军制定战术级太空网络计划

8 月，太空通信公司 SpaceLink 称将帮助美国陆军制定战术网络计划，以便后者能更快地分发数据和图像。

SpaceLink 公司宣布与美国陆军太空与导弹防御司令部技术中心达成合作研发协议，该协议允许双方共享设施、知识产权和专业知识，从而改善陆军和企业的解决方案。虽然该协议与具体的陆军计划无关，但陆军正在制定“战术太空层”计划，以便利用天基情报来发现超视距威胁。

除 SpaceLink 公司外，陆军也一直在与其它商业公司和军事机构合作开展实验和原型设计，以减少收集卫星数据并将其传输至武器系统所需的时间。

2.7 美国空军开发太空网络安全训练场

10 月，美国空军研究实验室（AFRL）信息局宣布正在为太空军及其它机构开发一套名为“星际太空网络靶场”（SSCR）的天基网络靶场，以模拟针对卫星和地面系统的网络攻击。

不同于以虚拟环境为主的其它网络靶场，SSCR 将采用真实的在轨卫星作为靶场，为此 AFRL 计划于 2024 财年发射四颗立方体卫星（cubesat），以搭建一套真实的卫星运营体系。ARFL 的合作方 Stephenson Stellar 公司表示所需的立方体卫星已制造完毕，但发射活动和开发云基地面站所需的资金尚未到位。

与地面系统相比，太空系统存在通信频率和卫星位置受限、信号功率较低和数据传输可靠性差等劣势，因此不宜将地面的网络攻防经验直接挪用到太空系统上，而基于真实卫星的网络靶场显然更适合开展相关训练。预计美国太空系统司令部、太空发展署以及太空军的其它单位也将参与SSCR 的建设和使用，从而为美国所有涉及太空的单位提供良好的天基网络攻防训练环境。

2.8 美国 L3Harris 公司开发战术级卫星通信模块

10 月，L3Harris Technologies 公司推出一款支持战术无线电通信的新型任务模块，该模块将使手持式作战无线电台能够接入美国太空军（USSF）的战术卫星通信网络。

L3Harris 公司在 2022 年的美国陆军年会（AUSA）上推出了这一模块，装备了该模块的 AN/PRC-163 双通道手持式无线电台可接入太空军的“分布式战术通信系统”（DTCS），从而使美国武装部队不再需要单独携带铱星卫星通信无线电台。为适应各种通信状况，除 DTCS 外，该模块还可采用移动自组织网络或视距通信模式。

该模块即可直接插入 AN/PRC-163，也可通过系留电缆与 AN/PRC-163 相连，并可使用 AN/PRC-163 内置的最终用户控制面板进行操作。该模块还与双通道 PRC-163 使用同一款电池，以便在减小尺寸、重量和功率（SWaP）的前提下实现高可靠性的语言与数据移动中卫星通信（SOTM）能力。

3 勒索软件活动日趋猖狂，多国政府深受其害

222 年，勒索软件的活跃程度再度飙升，攻击事件数量同比增长13%，超过以往五年的总和。勒索软件活动也不再集中于大型企业，包括意大利、智利、阿根廷和哥斯达黎加在内的多国政府均惨遭毒手，甚至连网络安全企业都未能幸免。勒索软件团伙甚至公然发布“漏洞悬赏”，其嚣张气焰反映出勒索软件已成为全球最严峻的网络安全问题之一。

3.1 哥斯达黎加因 Conti 勒索软件攻击而进入全国紧急状态

5 月，由于国内诸多政府机构接连遭到勒索软件团伙 Conti 的重大网络攻击，哥斯达黎加新任总统宣布进入全国紧急状态。

自 4 月 18 日起，包括财政部、劳动与社会保障部、科学、创新、技术与电信部和国家气象局在内的不少哥斯达黎加政府机构相继遭受网络攻击。而哥新任总统更是在 5 月 16 日表示，遭受攻击的机构多达 27 家。此轮攻击导致哥斯达黎加税收和海关部门的系统一度瘫痪，公职人员的工资发放和货物运输也受到影响。Conti 团伙宣称对此次事件负责，并表示已窃取 672 GB 的政府数据。在哥政府拒绝支付 1000 万美元的赎金后，Conti 已泄露了 97% 的所窃数据。攻击发生后，美国、西班牙和以色列向哥斯达黎加提供了援助，以帮助后者保护和修复计算机系统。

Conti 是一个具有俄罗斯背景的勒索软件团伙，据美国 FBI 统计，Conti 团伙在过去两年中攻击了数百家组织，并从 1000 多名受害者手中勒索了 1.5 亿美元的赎金，是有史以来“收入”最高的勒索软件团伙。不过一名乌克兰网络安全人员于 5 月攻破了 Conti 的服务器，并公布了该团伙超过 17 万条内部聊天消息及其勒索软件的源代码。此举导致 Conti 宣布解散，其部分成员加入了 BlackCat 等规模更小的勒索软件团伙。

3.2 意大利市政府因勒索软件攻击而陷入瘫痪

6 月，意大利南部的巴勒莫市遭到勒索软件攻击，导致该市被迫关停了所有网络服务和公共网站。

据当地多家媒体报道，巴勒莫市政府使用的 Veeam 服务器和 VMware基础设施均已瘫痪，只能依靠 Arcserve 公司和甲骨文（Oracle）公司保存的备份数据恢复系统。受影响的范围包括公共视频监控管理系统、市警察行动中心以及市政府的所有服务，博物馆、剧场和体育场等公共设施也无法在线预约。不过巴勒莫市议员强调，并非所有市政系统都遭到了入侵，关闭所有系统只是为了阻止勒索软件在政府系统内的传播。

勒索软件团伙 Vice Society 宣称对此次事件负责，该团伙可能已窃取巴勒莫居民的个人身份信息以及任何使用该市数字服务之人的敏感信息。Vice Society 已要求巴勒莫市政府支付赎金，后者则未作公开表态。

3.3 勒索软件团伙 LockBit 公然发布悬赏计划

6 月，勒索软件团伙 LockBit 在发布最新版“勒索软件即服务”（RaaS）平台 LockBit 3.0 的同时，还公布了一项悬赏计划。

LockBit 宣称欢迎包括执法人员在内的任何人参与其悬赏计划，悬赏的内容则分为网站漏洞、加密工具漏洞、TOX messenger 漏洞、洋葱（Tor）网络漏洞、人肉搜索方法和有用建议。LockBit 提供的赏金最低 1000 美元，最高超过 100 万美元。

自 Conti 解散以来，LockBit 已成为 2022 年中最活跃的勒索软件团伙，5 月期间全球范围内 40% 的勒索软件攻击都来自该团伙。LockBit 的悬赏计划成效未知，但主动为犯罪组织提供帮助无疑也属于犯罪行为。

3.4 知名数字安全公司 Entrust 遭到勒索软件攻击

6 月，美国知名数字安全公司 Entrust 证实遭受网络攻击，有黑客破坏了该公司的网络并窃取了部分数据。

Entrust 公司承认其内部系统遭到越权访问，并被窃取了一些内部数据。Entrust 并未公布此次攻击的任何细节，仅表示其产品和服务与公司内部系统之间设置了气隙（air gap）隔离，因此前者的安全性并未受到影响。网络安全研究人员则表示黑客可能是通过购买 Entrust 凭证而得以入侵该公司。勒索软件团伙 LockBit 于 8 月宣称对此次事件负责，并发布了Entrust 的一些会计文件、法律文件和营销电子表格的截图作为证据。然而在 LockBit 发布这些信息不久后，其数据泄露站点便因遭到 DDoS 攻击而被迫关闭。

Entrust 是一家专注于在线信任与身份管理的安全公司，为包括美国能源部、国土安全部和财政部在内的诸多单位提供保密通信、安全数字支付和 ID 签发等解决方案，这意味着此次攻击或许会影响到这些重要机构。

3.5 英国老牌汽车经销商遭遇严重勒索软件攻击

8 月，英国的老牌汽车经销商之一 Holdcroft Motor Group 遭遇严重的勒索软件攻击，导致一些系统和文件被不可逆地删除，同时很可能有数据被盗。

Holdcroft 公司称攻击发生于 2022 年 7 月 28 日，此次攻击严重破坏了该公司的 IT 基础设施，并导致其内部存储区域的数据丢失。Holdcroft 还表示，内部调查表明被盗数据可能包含了员工的个人数据。Holdcroft 敦促其员工不要用工作设备访问个人账户或网站，并更改网上银行、电子邮件和养老金账户等个人账户的密码。

Holdcroft 公司于 7 月 30 日称该公司的大多数系统已恢复正常，且托管客户数据的核心经销商管理系统始终都未受到影响。

3.6 多米尼加农业部遭到勒索软件攻击

8 月， 多 米 尼 加 共 和 国 农 业 部 下 属 的 农 业 研 究 院（IAD） 遭 到Quantum 勒索软件团伙攻击，导致该机构的一些工作站被加密。

当地媒体称，IAD 的几乎所有服务器（包括四台物理服务器和八台虚拟服务器）及数十台电脑都受到影响，数据库、应用程序和电子邮件等被攻击者窃取，只有一台使用 Linux 系统的服务器未受影响。协助 IAD 从攻击中恢复的国家网络安全中心（CNCS）表示，攻击者的 IP 地址来自美国和俄罗斯。

Quantum 团伙声称已窃取了超过 1 TB 的数据，并威胁如果 IAD 不支付 65 万美元的赎金，就会公布这些数据。但 IAD 官员表示该部门没有足够的资金来支付赎金，因此只能承受数据泄露的后果。

3.7 智利政府遭到勒索软件攻击

8 月，智利计算机安全事件响应组（CSIRT）称该国政府机构遭到勒索软件攻击，相关业务和服务受到影响。

受害机构包括智利消费者保护局等，具体的攻击目标则是由政府运行的 Microsoft 服务器和 VMware ESXi 服务器。CSIRT 称勒索软件关闭了所有正在运行的虚拟机，并使用 NTRUEncrypt 公钥加密算法加密了文件。除加密外，涉事勒索软件还能够从 Web 浏览器窃取凭证、列出可移动设备以便加密和利用超时设置来逃避杀毒软件等功能。此次攻击的幕后黑手已要求智利政府支付赎金，但智利内政与安全部拒绝了这一要求。

CSIRT 未指明实施攻击的勒索软件团伙，网络安全研究人员则表示攻击者使用了一种全新的勒索软件，因此难以判断是否与已知的勒索软件团伙有关。

3.8 意大利能源企业遭到勒索软件攻击

9 月，意大利能源企业 Gestore dei Servizi Energetici SpA（简称 GSE）遭到勒索软件团伙 BlackCat 的网络攻击。

GSE 公司称，其在检测到攻击后便关闭了公司网站和系统，以阻止攻击者窃取数据。而此前 BlackCat 在其数据泄露网站上新增了相关条目，声称从 GSE 的服务器上窃取了约 700 GB 的文件，其中包括合同、报告、项目信息、会计文件及其它内部文件。意大利的网络安全部门和警方已启动相关调查，而 GSE 则表示此次攻击对该公司的运营影响不大。

BlackCat 勒索软件团伙从 2021 年 11 月开始活动，有研究人员认为该团伙其实就是去年因美国科洛尼尔输油管道网络攻击事件而声名大噪的DarkSide 团伙。

3.9 阿根廷首都立法机关遭到勒索软件攻击

9 月，阿根廷首都布宜诺斯艾利斯的立法机关遭到勒索软件攻击，其内部操作系统遭到破坏，WiFi 连接中断。

布宜诺斯艾利斯立法机构的社交媒体帐户称该机构于 9 月 11 日遭到勒索软件攻击，导致机构大楼的 WiFi 网络及其它系统瘫痪。该机构称已采取必要措施来确保工作的连续性，并计划从 9 月 13 日起开始恢复 WiFi网络，并逐渐让其它系统重新上线。

在隔离被感染的计算机并更改系统密码后，该立法机关从 9 月 14 日起逐步恢复网络，一周后其网站已恢复正常。

3.10 印度最大电力公司遭到勒索软件攻击

10 月，勒索软件团伙 Hive 攻击了印度规模最大的电力公司 Tata Power，并因谈判失败而泄露了该公司的大量数据。

Hive 团伙于 10 月 3 日称窃取并加密了 Tata Power 公司的数据，该公司则于 10 月 14 日承认遭到入侵，但表示已采取措施恢复系统，其所有关键操作系统均在正常运行，并采取了一些限制客户访问的预防性措施。可能由于赎金谈判破裂，Hive 团伙于 10 月 24 日在其网站上公布了 TataPower 公司的大量数据，包括该公司员工的身份证号、税号、电话号码、电子邮箱、家庭住址和工资信息等个人敏感信息，以及该公司的私钥、财务记录、客户合同和工程图纸等机构敏感信息。

Hive 是 2021 年 6 月出现的勒索软件团伙，主要攻击医疗企业和能源企业等停运成本高昂的机构。Hive 团伙相当活跃，截至 2022 年 10 月，该团伙已在其网站上发布了 194 家不愿支付赎金的机构的数据。

4 数据泄露事件持续高发，IT 行业沦为重灾区

2022 年，数据泄露事件持续高发，微软、三星和 AMD 等全球 IT 巨头深受其害。俄乌冲突也显著影响了全球数据泄露形势，与 2021 年相比，发生数据泄露的俄罗斯帐户数量增长 136%，一跃超过美国成为数据泄露事件最多的国家。俄罗斯的盟友白俄罗斯也同样受到拖累，其数据泄露事件不但猛增 4 倍，甚至有反政府黑客组织泄露白政府的机密信息。

4.1 多家 IT 巨头遭到黑客组织 Lapsus$ 入侵

3 月，包括微软公司在内的多家 IT 巨头先后遭到黑客组织 Lapsus$ 入侵，大量内部数据被该组织窃取。

3 月 1 日，Lapsus$ 声称成功入侵芯片巨头英伟达（Nvidia）公司，并公开了包括英伟达图形处理器（GPU）驱动程序源代码在内的一些数据 ；3 月 7 日，Lapsus$ 声称从三星公司窃取了 Galaxy 设备的源代码 ；3 月 22日，Lapsus$ 声称从微软内部的 Azure DevOps 服务器窃取了 Bing、Cortana及其它项目的源代码 ；同样在 3 月 22 日，数据管理公司 Okta 承认遭到Lapsus$ 入侵 ；4 月 22 日，德国电信巨头 T-Mobile 公司承认 3 月时遭到Lapsus$ 入侵，一些项目的源代码被窃取。

Lapsus$ 是一个 2021 年末出现的网络犯罪团伙，据信其总部位于南美。该团伙擅长入侵受害者的系统，然后通过盗窃和破坏数据的手段勒索对方。Lapsus$ 在 2022 年上半年活动频繁，不过与该组织的部分黑客于 3 月和 9 月先后在巴西和英国被捕，导致该组织在 2022 年下半年的活动明显减少。

4.2 黑客组织发布白俄罗斯政府机密

6 月，名为“网络游击队”（Cyber Partisans）的白俄罗斯反政府黑客组织发布了据称来自白俄罗斯内政部的音频文件，并声称这些文件是白情报机构从外国驻白大使馆、领事馆及其它电话窃听到的音频信息。

“网络游击队”披露的一些音频揭露了白俄罗斯政府与俄罗斯政府之间的一些分歧，其代表表示已从白俄罗斯内政部窃取了约 1.5 TB 的语音通话信息，长度大约相当于 5 万个小时，涉及到 2.2 万个以上的组织和 4.9万名以上的人员。“网络游击队”称将继续披露此类机密信息，而目前俄罗斯和白俄罗斯政府对此事均未作出回应。

“网络游击队”是由二十多名 IT 专家和原政府官员组成的反政府黑客组织，其目标是推翻白俄罗斯现政府，并为此多次攻击了白俄罗斯政府的网络系统。

4.3 美国芯片公司 AMD 发生数据泄露

6 月，黑客组织 RansomHouse 宣称从美国芯片巨头 AMD 公司窃取了450 G 数据，AMD 公司则表示正在调查此事。

RansomHouse 称其“合作伙伴”大约在一年前入侵了 AMD 的网络，并窃取了 450 G 的数据。RansomHouse 称这些数据中包括研究信息和财务信息，其中一份泄露的 CSV 文件似乎包含了 AMD 内部网络中 7 万多台设备的列表，以及 AMD 为弱密码用户提供的企业凭证。RansomHouse 称其不想浪费时间与 AMD 交涉，因此会直接将这些数据卖给其它机构或黑客组织。AMD 公司则表示已知晓此事并正在展开调查。

RansomHouse 是一个专门窃取数据的黑客组织，其会破坏公司网络，窃取数据，然后以公布或出售数据为要挟向受害公司勒索赎金。尽管有报道称该组织与 WhiteRabbit 等勒索软件攻击有关，但该组织否认了这一说法，表示其从不加密数据，也未对 AMD 公司使用过勒索软件。

4.4 黑客组织公布伊朗钢铁制造企业保密文件

7 月，曾于 6 月入侵三家伊朗钢铁制造企业的黑客组织“掠食麻雀”（Predatory Sparrow）发布了近 20 GB 的保密数据，这些文件揭示了这些企业与伊朗伊斯兰革命卫队的隶属关系。

“掠食麻雀”发布了 19.76 GB 文件，其中似乎包含了钢铁厂内部图像，而该组织称日后还将发布其它文件。此前“掠食麻雀”于 6 月 27 日攻击了伊朗的三座钢铁厂，并发布了视频，其中显示伊朗主要钢铁生产设施之一的 Khouzestan 国营钢铁厂似乎因网络攻击而发生火灾。

“掠食麻雀”亦称 Gonjeshke Darande 或 Indra，其自称是旨在推翻伊朗政府的独立黑客组织，但从其攻击手法的复杂程度和攻击前后的各方反应来看，该组织很可能得到了以色列方面的支持。

4.5 黑客兜售 540 万“推特”用户数据

7 月，有黑客在暗网上以 3 万美元（约合 21 万元人民币）的价格兜售社交媒体“推特”平台上 540 万名用户的数据。

出售数据的黑客称，其售卖的数据涵盖了一些知名人士、公司机构和普通用户的账户信息。网络安全研究人员下载了此黑客提供的样本进行分析，结果表明这些数据属实。研究人员指出受害者来自世界各地，泄露的数据既包含了公开的个人资料，也包括与“推特”账号绑定的电子邮件和电话号码等。对此“推特”公司表示已启动相关调查。

尚不清楚黑客是如何获取这些数据的，但网络安全研究人员曾于今年1 月发现“推特”平台的一个安卓（Android）设备授权漏洞，攻击者可利用该漏洞获取用户的账号 ID、电话号码和电子邮件等。

4.6 三星公司承认泄露大量美国客户敏感数据

9 月，全球 IT 巨头三星公司承认其美国分部的系统曾于今年 7 月遭到网络攻击，大量客户敏感数据被盗。

三星公司表示，攻击者获取了客户的姓名、出生日期、联系信息、人口统计数据和产品注册信息等数据，但社会保障号码和信用卡详细信息并未受到影响。三星称已采取必要的安全措施，但并未透露有多少客户受到影响、公司数据是否也被泄露以及攻击者是如何入侵公司系统的。

这是三星公司在 2022 年第二次发生数据泄露，此前勒索软件团伙Lapsus$ 曾于今年 3 月入侵该公司，并公布了 Galaxy 设备的源代码，其中包括受信任小程序（TA）的源代码、生物识别算法和传感器通信源代码等。

4.7 美国 IT 企业思科公司发生数据泄露

9 月，全球 IT 巨头思科（Cisco）公司承认黑客组织 Yanluowang 于今年 5 月入侵该公司并窃取了部分文件。

Yanluowang 称窃取了总计 55 GB 的数千份文件，其中包括保密文件、技术示意图和源代码等。思科公司则称此次事件并未对其产品或服务、敏感的客户数据或员工信息、知识产权或供应链运行状况造成任何影响。

据称 Yanluowang 首先入侵了思科员工的个人谷歌帐户，然后利用其中保存的凭证获取了对思科公司网络的访问权限。随后 Yanluowang 向其他思科员工频繁发送虚假的多重认证通知，然后利用接受通知的思科员工获取了思科公司的专用虚拟网络（VPN）权限。之后 Yanluowang 便通过横向移动入侵 Citrix 服务器，进而获得域控制器的管理员权限。最终Yanluowang 向思科公司系统中投放了 ntdsutil、adfind 和 secretsdump 等多种枚举工具来收集信息，并将恶意软件安装到内部系统中。

可能由于思科公司未支付赎金，Yanluowang 已于 9 月期间公布了部分所窃取的数据。

4.8 黑客窃取美国国防工业基础的敏感信息

10 月，美国国土安全部（DHS）称有黑客入侵了美国的一家国防企业，并“长期、持续”访问该企业网络，最终窃取了该企业的敏感数据。

DHS 的公告称，其辖下的 CISA 发现了一起从 2021 年 11 月持续至2022 年 1 月的恶意活动，这些活动的目标很可能是一家美国国防承包商，但 CISA 并未透露该公司的名称。

上述公告称，身份不明的攻击者利用名为 Impacket 的开源工具包在公司系统中站稳脚跟，然后用一种名为 CovalentStealer 的定制渗透工具来窃取重要文件。调查表明黑客早在 2021 年 1 月就获得了初始访问权限，但其攻击的影响尚不清楚。

4.9 微软或已泄露大量客户敏感数据

10 月，微软公司承认部分客户的敏感信息可能因其互联网服务器配置有误而发生泄露。

微软表示，此次配置错误可能导致黑客无需认证就能访问微软与潜在客户之间的某些商业交易数据（比如某些微软服务的规划、落实和供应情况），这些数据可能包括姓名、电子邮箱地址、电子邮件内容、公司名称和公司电话号码等。不过微软表示经过调查，没有任何迹象表明客户帐户或系统已经被入侵。

虽然微软没有提供更多细节，但网络威胁情报公司 SOCRadar 称问题出在微软的云存储平台 Azure Blob Storage。按照 SOCRadar 的说法，可能泄露的数据包括执行证明（PoE）、工作说明书（SoW）文件、用户信息、产品订单／报价、项目详细信息、个人身份信息（PII）和知识产权文件等，涉及到 111 个国家／地区的 6.5 万家机构，时间跨度为 2017 年至 2022 年8 月。对此微软回应称，SOCRadar 严重夸大了数据泄露的范围和程度。

4.10 伊朗核能机构因网络攻击而发生数据泄露

10 月，负责监管伊朗核能事业的“伊朗原子能机构”（AEOI）证实，其某下属机构的一台电子邮件服务器遭到黑客组织“黑色报偿”（Black Reward）的入侵，并因此泄露了一些数据。

AEOI 称黑客组织从被入侵的服务器中窃取了电子邮件，其中包括每日通信和技术备忘录。“黑色报偿”则发布了一个 27 GB 的文件集，据称其中包含 8.5 万封据称“非常适合研究人员”的电子邮件，内容涉及与该AEOI 合作的伊朗人和俄罗斯人的护照和签证，以及核电站的状况、绩效报告、合同和技术报告等。

AEOI 表示“黑色报偿”的目的是吸引公众关注并抹黑 AEOI 的形象，而 AEOI 已采取了必要措施来减轻事件后果，并通知了所有涉事方。

5 漏洞武器化程度加深，供应链漏洞备受关注

2022 年，WordPress 等常用系统的漏洞被用于俄乌冲突，漏洞武器化程度明显加深。在此形势下，美国更加积极地修复漏洞，国土安全部和海军等部门均开展了漏洞排查工作，同时五分之四的企业据称都存在软件供应链漏洞风险，促使美国政府和企业高度重视 Log4j 等与软件供应链有关的安全漏洞。

5.1 亲俄黑客利用 WordPress 漏洞对乌发动大规模攻击

2 月，亲俄黑客组织 theMx0nday 利用开源内容管理系统 WordPress 的漏洞，对乌克兰方面的 WordPress 网站发动大规模网络攻击。

负责保护 8320 个乌方 WordPress 网站的网络安全公司 Wordfence 表示，仅 2 月 25 日一天就记录到了 14.4 万次攻击，而在 25 日至 27 日期间，共有 376 个乌方 WordPress 学术网站遭受了 209624 次攻击。此次攻击导致至少 30 所乌克兰大学的网站遭到破坏，其中大部分网站已完全无法使用。Wordfence 称此轮攻击并未采用 DDoS 等简单粗暴的攻击方式，而是试图利用 WordPress 的漏洞。Wordfence 并未指明具体漏洞，但值得注意的是，研究人员于 2 月初发现 WordPress 插件 PHP Everywhere 存在严重漏洞，黑客可以利用该漏洞在受感染的系统上执行任意代码。Wordfence 发现黑客的地址位于巴西，并借助匿名互联网服务提供商 Njalla 的服务，利用芬兰的 IP 地址发动攻击。

为防范类似的攻击，Wordfence 已迅速将相关网络威胁情报迅速告知所有受其保护的乌克兰网站，并将攻击者使用的 IP 地址添加到了网站防火墙的黑名单中。

5.2 美国国土安全部开展首届漏洞悬赏活动

4 月，美国 DHS 宣布其首届漏洞悬赏活动“入侵国土安全部”（Hack DHS）的第一阶段顺利结束，活动期间在 DHS 的系统中共发现了 122 个漏洞。

DHS 表示，共有 450 多名通过审查的安全研究人员参与第一阶段活动，他们发现了 122 个漏洞，其中 27 个被确定为严重漏洞。为表彰此贡献，DHS 向参与者共发放了 12.56 万美元的奖励。

“入侵国土安全部”活动启动于 2021 年 12 月，主要目的是寻找和上报所有面向公众的信息系统资产中的 log4j 漏洞，以此提高网络弹性。该活动即将进入第二阶段，即让通过审查的网络安全研究人员和善意黑客参与面对面的现场黑客活动，之后第三阶段的内容则是由国土安全部总结和吸收该悬赏计划的经验教训。

5.3 美国国防部发现军工企业存在数百个安全漏洞

5 月， 参 与“ 国 防 工 业 基 础 漏 洞 披 露 项 目 ” 的 漏 洞 悬 赏 公 司HackerOne 宣布，其在数十家美国军工企业中发现了约 400 项问题。

“国防工业基础漏洞披露项目”于 2021 年 4 月启动，由美国国防部网络犯罪中心和国防反情报与安全局牵头开展。起初只有 14 家公司参与该项目，检查对象则是 141 件可公开访问的资产，最终这一数字扩展到 41家公司和 350 件资产。鉴于美国的军工企业多达 20 万家，该项目的结果已引发了各方对国防产业网络漏洞的担忧。

按照美国国防部的说法，这种面向善意黑客的众包项目既有助于加强国防部信息网络的纵深防御水平，也有助于确定军工企业中是否存在类似的严重漏洞，从而降低国防供应链的潜在风险。

5.4 美国海军启动“网络巨龙”漏洞排查行动

6 月，美国海军称其于今年 3 月启动了“网络巨龙”（Cyber Dragon）行动，以识别和减轻云托管类型的商用对外资产的攻击面和漏洞。

负责美国海军网络安全事务的舰队网络司令部／第 10 舰队的副首席信息官桑迪·拉德斯基（Sandy Radesky）表示，“网络巨龙”行动侧重于非保密系统和影响级别达到 5 级的云服务，并得到了海军预备役人员的大力支持。该行动中使用了一种商业工具，不同于在网络内部开展的传统扫描和漏洞评估，该工具允许用户从外部（即从攻击者的角度）查看网络是否遭到来自外国的入侵。该工具的显示界面可根据设备的地理位置和所属单位进行分类，比如用户可以看出当前设备是 Microsoft Exchange服务器还是工业控制系统（ICS）。

拉德斯基表示，“网络巨龙”行动的第一阶段已发现了约 1.4 万个漏洞，并已修复了其中的 23%。该行动的第二阶段于 7 月开始，持续时间 6周，参与人数为 75 人（是第一阶段人数的 3 倍）。第二阶段的重点是扫描海军网络、识别和调查所有权以及继续与各“梯队二级”司令部合作修复漏洞，从而开发、测试和简化标准操作程序。第二阶段处理的漏洞数量预计为 7000 个。

5.5 西门子工控系统被曝存在网络安全漏洞

6 月，网络安全公司 Claroty 披露称，德国工业巨头西门子公司的SINEC 网络管理系统（NMS）存在 15 个网络安全漏洞。

Claroty 公司称，攻击者可利用这 15 个漏洞实现拒绝服务（DoS）攻击、窃取证书和远程执行代码，而其中最危险的漏洞是 CVE-2021-33723和 CVE-2021-33722。具体而言，攻击者可利用这两个漏洞获取 SINEC 系统的 NT AUTHORITY\SYSTEM 权限（即完整的系统访问权限），从而通过远程执行代码的方式破坏由 SINEC 系统管理的其它西门子设备。另外还有两个漏洞也值得注意 ：一是 CVE-2021-33727，攻击者可利用该漏洞通过身份认证，然后下载任何用户的配置文件，从而获取保密信息；二是CVE-2021-33733，攻击者可利用该漏洞向受影响应用程序的网络服务器发送特定请求，从而得以在本地数据库中执行任意指令。

西门子 SINEC 系统是为运营技术（OT）网络设计的一套 NMS，专门用于集中监控、管理和配置西门子设备。鉴于 SINEC 系统广泛用于制造、油气和电网等诸多行业，其一旦被黑客操控，后果可能不堪设想。

5.6 美国国土安全部称 Log4j 漏洞可能影响深远

7 月，美国 DHS 网络安全审查委员会发布报告称，与 Log4j 漏洞相关的风险可能持续十年或更长时间。

DHS 的网络安全审查委员会深入探讨了 2021 年末曝光的 Log4j 漏洞。其发布的报告称，由于 Log4j 使用广泛，2022 年内已有不法分子利用其漏洞开展各种非法活动，比如植入挖矿软件、窃取证书和数据以及部署勒索软件等，不过尚未发现有人利用 Log4j 漏洞攻击关键基础设施。该报告亦指出，美国已付出巨大代价来修复 Log4j 漏洞，比如某政府机构已花费了 3.3 万小时来消除 Log4j 漏洞的影响，以至于耽误了其它重要工作。尽管如此，该报告还是认为 Log4j 漏洞将在今后十年乃至更长时间内持续构成网络安全风险。为帮助各机构减轻 Log4j 漏洞的网络风险，上述报告提出了 19 条建议，其中包括企业应该动监控和升级易受攻击的版本，以及向 CISA 上报任何 Log4j 漏洞等。

DHS 的警告并非空穴来风，就在 2022 年 11 月，CISA 和 FBI 发现伊朗黑客组织利用 Log4j 漏洞入侵了两家联邦文职机构的 VMware Horizon 服务器。

5.7 美国国土安全部发现紧急警报系统存在严重漏洞

8 月，美国 DHS 应急管理局（FEMA）警告称，美国的国家公共预警系统“紧急警报系统”（EAS）的编码设备／解码设备存在严重漏洞，攻击者可利用该漏洞向公众发布虚假的紧急警报。

FEMA 未指出具体漏洞，仅表示 EAS 中存在若干个多年都未能修复的漏洞。攻击者可利用这些漏洞轻松获得证书和设备的访问权限，入侵Web 服务器，利用伪造的消息发送虚假警报，让警报信号失效或将之删除，甚至使 EAS 的合法操作员无法登录系统。

鉴于 EAS 的影响范围十分广泛，FEMA 敦促与 EAS 有关的各方安装最新版的软件和安全补丁，加强防火墙的保护力度，并定期审查监控与审计日志，以查明是否有越权访问。

5.8 全球最大加密货币 ATM 制造商遭到零日漏洞攻击

8 月，全球最大加密货币自动柜员机（ATM）制造商 General Bytes 承认其 ATM 服务器存在零日漏洞，且已有黑客利用该漏洞窃取了一定数量的比特币，但具体金额未知。

General Bytes 公司称，其用于管理 ATM 的加密应用服务器（CAS）存在零日漏洞，攻击者可利用服务器默认安装页面上的 URL 调用功能创建第一个管理账户，从而获得管理员权限。该公司发现有黑客在互联网上扫描 TCP 端口为 7777 或 443 的服务器（包括 Digital Ocean 公司和 General Bytes 公司的云服务器），再利用漏洞将名为“gb”的默认管理员用户添加到 CAS 中，然后修改加密货币的买卖设置和无效支付地址，使得 CAS 收到的任何加密货币都会转入黑客的钱包。General Bytes 称早在 2020 年 12月 8 日发布的 CAS 版本中就已存在该漏洞，但此前一直未被发现。

General Bytes 已敦促客户在其升级 ATM 服务器之前暂时不要使用该公司的 ATM，并建议客户修改服务器防火墙设置，以使 ATM 只能从授权的 IP 地址访问 CAS 管理界面。

5.9 美国 CISA 要求政府机构尽快修复六大漏洞

9 月，隶属于美国 DHS 的 CISA 将 6 个漏洞添加到《已知被利用漏洞》（KEV）目录中，并要求各政府机构按照供应商的说明修复这些漏洞。

这 6 个漏洞中只有一个是 2022 年发现的，其它漏洞则最早可追溯至2010 年的“震网”（Stuxnet）蠕虫病毒。这些漏洞有 4 个可供攻击者获取系统管理员级别的权限，即“本地权限提升”（LPE）漏洞 ；2 个可供攻击者远程执行代码（RCE），即 RCE 漏洞。这些漏洞具体如下：

CVE-2013-6282（LPE 漏洞）：在验证 Linux 内核的不正确输入项时允许读／写内存，曾被用于安卓（Android）设备的刷机。

CVE-2013-2597（LPE 漏洞）：导致 Code Aurora 音频驱动程序发生基于堆栈的缓冲区溢出。

CVE-2013-2596（LPE 漏洞）：导致 Linux 内核整数溢出。

CVE-2013-2094（LPE 漏洞）：导致 Linux 内核权限提升。

CVE-2010-2568（RCE 漏洞）：当 Windows 操作系统错误解析快捷方式时，允许通过显示恶意快捷方式文件的图标来执行代码，大名鼎鼎的“震网”病毒就利用了这一漏洞。

CVE-2022-40139（RCE 漏洞）：会影响 Trend Micro 公司的自动威胁检测与响应 Apex One 平台。

根据 CISA 于 2021 年 11 月发布的操作指令 22-01，所有联邦文职行政机构都必须修复 CISA 添加到 KEV 目录中的安全漏洞。

供稿：三十所信息中心