俄乌冲突网空态势研判:关基成网攻重点 俄方克制使用高级能力
2022-03-18
来源:互联网安全内参
关基成为网攻重点,但未出现严重事件;
乌方发起网空“乱战”动员令,国际黑客团伙“浑水摸鱼”;
舆论信息对抗已在全球平台展开,俄方受挫。
自2月24日起,俄乌冲突已经进行到第五天。到目前为止,俄罗斯克制使用了自身的网络行动能力,这场冲突的网络空间对抗烈度处于控制范围内。反而乌克兰作为弱势国,通过“地下黑客”动员令、在社交网站上公开请求帮助等手段,实现了少许数字优势。
俄罗斯过往已展现出多种超高阶网络行动能力,比如类似NotPetya、Solarwinds事件中针对供应链的大规模渗透潜伏和破坏能力,类似乌克兰二次大停电事件中通过网络对物理设施的强大破坏能力。至于为何没有在此次冲突中使用,感兴趣的读者可以通过文末群联系方式一起讨论。
在此次俄乌冲突发生前,乌克兰重要政府和银行网站遭到破坏性攻击,nday利用、数据擦除软件等手法和NotPetya事件较类似,由于造成的破坏较为短暂,效果有限。
据《安全内参》研判,此次俄乌冲突下的网空态势呈现以下特点:
关基成为网攻重点,但未出现严重事件。战前乌克兰政务/金融基础设施多次受损,开战后乌克兰电信基础设施经常性中断服务,俄罗斯政务等基础设施也出现无法访问情况。
乌方发起网空“乱战”动员令,国际黑客团伙“浑水摸鱼”。乌克兰多次发布网络招募令,吸引民间黑客加入,抵御和反击俄方的攻击。美国政府宣称无意公开参与到俄乌冲突的网络对抗中,但相关政客借此推波助澜。从乌克兰地下黑客、俄罗斯民间“网络卫士”到勒索软件组织、国际黑客组织,多方势力纷纷表态和行动,为此次冲突增加了更多复杂性。
舆论信息对抗已在全球平台展开,俄方受挫。俄罗斯境内限制使用脸书、推特;乌克兰副总统在推特频频发声,希望国际科技巨头共同抗俄,获得了较大成果和关注度;我国“涉乌克兰恶俗言论”在台湾相关及疆独势力的联手推动下,成为异军突起的“重大负面舆论”。
以下为俄乌冲突期间网空态势的细节分析:
战前乌克兰
政务/金融基础设施多次受损
乌克兰重要政府单位和银行在本月二次、今年三次遭受大规模网络攻击,导致网站/APP等多次瘫痪被迫关闭。此外还发现了漏洞利用、数据擦除、恶意软件、克隆网站等攻击行为。
1月14-15日,乌克兰多个政府网站遭篡改、瘫痪,部分数据遭清除。涉及攻击手段包括OctoberCMS nday漏洞、数据擦除软件WhisperGate等。乌克兰国家安全与国防委员会副秘书长Serhiy Demedyuk将部分攻击归咎于白俄罗斯威胁组织UNC1151。
2月15日,乌克兰政府和银行遭受到大规模DDoS网络攻击,导致国防部、外交部、文化部以及国内最大两家银行Privatbank和Oschadbank等机构的网站停止运行,两家银行的APP和在线支付都无法使用,部分用户收到虚假消息。美英政府将此次攻击归因至俄罗斯GRU。
2月23日,乌克兰多个政府、金融机构(包括外交部、国防部、内政部、安全局、内阁以及两家大型银行等)再次遭到DDoS攻击瘫痪,数百台机器还遭到数据擦除攻击。涉及攻击手段包括Mirai等僵尸网络、数据擦除软件HermeticWiper等。
开战后乌克兰
电信基础设施经常性中断服务
乌克兰电信网络经常性中断服务,运营商维持网络运行的压力巨大。中断可能是因为停电、网络攻击、蓄意破坏等导致。
2月24日,参考消息编译自路透社消息,乌克兰国家紧急事务部门称,因为遭受网络攻击威胁,乌克兰已经临时切断互联网。
据NetBlocks互联网状态监控数据,自2月24日起,乌克兰多个城市出现网络中断情况。2月26日,乌骨干网运营商GigaTrans出现严重中断。经分析,电信网络中断是因为停电、网络攻击、蓄意破坏等导致。
2月27日,应乌克兰副总理的推特请求,美国公司Starlink创始人马斯克宣布,为乌克兰开通卫星互联网服务。该服务需要配合终端接收器使用,目前正在运送途中。
俄罗斯政务等基础设施
出现无法访问情况
尽管俄罗斯政府做了较多准备,但还是不可避免出现了少量政务系统无法访问的情况。
2月24日,俄罗斯国家计算机事件响应与协调中心发布警告称,针对俄罗斯信息资源(包括关基)的攻击强度可能会增加。攻击旨在破坏重要信息资源和服务,造成声誉打击,从而降低俄罗斯的国际形象。
2月24日,互联网监测公司Kentik主管Doug Madory对外媒The Record表示,俄罗斯疑似采用了按地理限制访问的防御策略,国际用户无法访问俄罗斯政府网站(包括军事),但境内可以访问。
2月24-25日,俄罗斯国家媒体RT电视台两天内有几个小时网站无法访问。RT电视台对外媒Motherboard表示,在Anonymous组织对俄宣战后,期间遭到了约1亿台设备的DDoS攻击,大多数设备位于美国。此前Anonymous宣称对攻击RT电视台网站事件负责。
2月26日早上,央视新闻消息,克里姆林宫官网、俄罗斯外交部、红星电视台等多家俄罗斯网站处于不稳定状态,部分用户无法正常打开页面。
2月26日,互联网监测组织NetBlocks在推特上称,经确认,克里姆林宫、国家杜马、国防部等俄罗斯政府网站在早上出现完全无法访问的情况。
网络空间“乱战”动员令
乌克兰多次发布网络招募令,吸引民间黑客加入,抵御和反击俄方的攻击。美国政客也借此推波助澜。
2月25日,参考消息编译自路透社消息,乌克兰国防部正在请求该国的地下黑客志愿者帮助保护关键基础设施,并执行针对俄罗斯军队的网络间谍任务。据执行者、乌一安全公司创始人透露,请求发布后已收到成百上千份申请。
2月25日,前美国国务卿希拉里·克林顿在接受MSNBC采访时,呼吁美国黑客对俄罗斯发动网络攻击。
2月25日,环球时报编译自路透社消息,乌克兰政府已向韩国提出请求,希望后者提供网络安全方面的援助,以提升乌克兰应对俄罗斯网络攻击的能力。
2月26日,乌克兰副总理费多罗夫在推特上表示,乌方将组建一支“IT军队”来对抗俄罗斯的数字入侵。推文中还有一个包含数十个俄重要网站列表的链接。
网空对抗限制在区域范围
从目前最新报道来看,美国政府无意公开参与到俄乌冲突的网络对抗中,目前参与方主要限制在冲突双方及各种APT和民间力量。
2月24日,美国商务部宣布针对俄罗斯实施全面的出口管制措施,限制包括技术在内的美国商品以及使用美国设备、软件和蓝图生产的外国商品出口到俄罗斯。该部门表示,这是迄今为止针对一个国家实施的最全面的出口管制措施。信息安全设备、产品等也在管制范围。
2月25日,NBC新闻爆料称,拜登政府已拿到就俄罗斯发动对乌军事行动而进行打击报复的方案清单,其中包括通过“前所未有之规模的”网络攻击行动,实现切断俄罗斯全国互联网、瘫痪电网、干扰铁路线运行等目标,从而令俄罗斯对乌军事行动后继乏力,但拜登政府目前尚未就是否要采取行动拿定主意。白宫国家安全委员会发言人艾米丽。霍恩则在一份声明中指出,该报道“毫无事实依据,完全不能反映拜登政府实际讨论的情况”。
国际黑客团伙“浑水摸鱼”
从乌克兰地下黑客、俄罗斯民间“网络卫士”到勒索软件组织、国际黑客组织,多方势力纷纷表态和行动,为此次冲突增加了更多复杂性。他们的攻击手段主要包括DDoS、网络钓鱼、常规漏洞利用等。
抗俄阵营
2月24日,黑客组织“匿名者”(Anonymous)在社交媒体发表声明称,宣布发起对俄罗斯的“网络战争”,并对攻击俄罗斯RT电视台网站一事负责。
2月24日,数据泄露交易网站Raidforums的管理员宣布将关闭从俄罗斯连接的用户,明确表达反对克里姆林宫行动的立场。第二天该网站又一次关闭,据称是域名被查封。
2月25日,乌克兰真理报消息,匿名者组织入侵了俄罗斯国防部并窃取了员工数据库。该消息可信度较低。
2月27日下午,Anonymous TV推特账号宣称,过去48小时内已经关闭了300多个俄罗斯政府、官方媒体和银行网站,其中大多数目前仍处于离线状态。
抗乌阵营
2月25日,Conti勒索软件团伙称,“全力支持俄罗斯政府”,但一小时后改为“不与任何政府结盟,谴责战争”,并威胁要对任何网络攻击俄罗斯的人发起网络攻击。
2月25日,乌克兰CERT称,监控到针对乌军事人员与相关人员私人账户的大规模网络钓鱼攻击,攻击者窃取账户内邮件、通讯录数据,并继续发送钓鱼攻击。乌方称归属白俄罗斯国防部的UNC1151黑客组织是幕后黑手。
2月26日,BBC报道了自称俄罗斯民间“网络卫士”的案例。该组织成员白天在俄网络安全公司上班,晚上对乌政军网站进行攻击。他们成功瘫痪了一些网站、窃取了一些账号权限。
此外,许多知名度较低的黑客组织也纷纷表态和行动,如RedBanditsRU、GhostSecurity、SandWorm、TheRedBanditsRU、CoomingProject等。
舆论信息对抗已在
全球社交平台展开
俄罗斯境内限制使用脸书、推特;乌克兰副总统在推特频频发声,希望国际科技巨头共同对抗俄罗斯,取得了较大成果和关注度;我国“涉乌克兰恶俗言论”在台湾相关及疆独势力的联手推动下,成为异军突起的“重大负面舆论”。
2月23日,福克斯新闻消息,美国情报官员正在密切关注可能被操控的视频和音频,包括寻找与俄罗斯总统普京、乌克兰总统泽连斯基和其他关键人物相关的深度造假视频。
2月25日,华尔街日报消息,俄罗斯通信监管机构 Roskomnadzor表示,将开始部分限制访问Facebook(如流量降速),直到该平台停止对俄四家媒体的事实核查标记。
2月26日,互联网状态监测平台NetBlocks称,早上开始,俄罗斯境内已经无法访问Twitter。
2月26日以来,乌克兰副总理、数字化转型部部长费多罗夫在Twitter上频频向国际科技巨头发声请求协助,停止在俄提供服务,如苹果、谷歌、Netflix、YouTube、Meta(Facebook等)、Starlink、SWIFT、Visa、万事达、PayPal、Viber等。
2月25-26日,Facebook、YouTube先后宣布禁止俄罗斯国家媒体在平台上投放广告、使用广告服务等。
2月27日,中央网信办举报中心微信公众号发布文章《台湾及疆独势力煽动“涉乌克兰恶俗言论”事件》。该文称,“涉乌克兰恶俗言论”在台湾相关及疆独势力的联手推动下,在大陆舆论场的“配合”下,成为了俄乌冲突中,异军突起的“重大负面舆论”。