行业新闻
国家博弈的第二战场:俄乌网络战分析与启示
- 2022年3月23日
- 作者: 安鸾网络
- 分类目录 新闻资讯
2022年2月24日,俄罗斯针对乌克兰开展特别军事行动,俄乌爆发军事冲突。在物理战场之外,是以俄乌为主的多方势力在网络空间这个看不见硝烟的第二战场上的激烈较量。在俄乌网络战中,除了有直接的网络攻击引起系统瘫痪或数据损毁,还有网络信息战对舆论的影响与争夺。俄乌战争爆发现已过去三周,在此,奇安信安全威胁分析团队针对近期涉及两国的网络冲突进行梳理分析,总结俄乌网络战所呈现的几大特征,并分享这场数字战争给我们带来的思考和启示。
俄乌网络冲突演进过程
奇安信安全威胁分析团队根据奇安信内部数据视野及互联网公开渠道收集的网络攻击数据分析,俄乌双方在网络空间早于战争率先展开了网络攻击活动,在正式进入军事冲突后,则以破坏性攻击活动为主、网络信息战为辅。随着乌克兰局势的不断升级,俄罗斯与西方围绕乌克兰问题的博弈也延伸到网络领域,以北约为首的各国表面上并未参与实际的网络战,却利用自身的互联网优势引导全球黑客选边站队卷入俄乌乱局,导致网络战线全面拉开。
军事行动前的网络攻击
2022年2月24日,俄罗斯针对乌克兰开展特别军事行动,俄乌之间正式爆发军事战争。除牵动全球目光的战争局势发展外,还有伴随在战争之中的频繁网络战争。网络攻击一直伴随着军事冲突的发展而不断出现,网络空间成为俄乌战争的先行战场。根据奇安信的威胁情报分析研判,先于军事行动之前,便爆发了针对乌克兰政府机构等关键部门的大规模分布式拒绝服务攻击和数据擦除恶意软件攻击。
2022年1月13日,出现了一款针对乌克兰政府和商业实体的新型破坏性恶意软件“ WhisperGate ”,目标指向乌克兰的政府、非营利组织和信息技术实体。该威胁实际上是一种破坏性的擦除恶意软件,以多阶段攻击进行执行,“WhisperGate”的唯一目的似乎是破坏数据,这使得威胁组织很可能正在使用这种恶意软件来破坏或瘫痪目标组织。
2022年1月期间,约70个乌克兰政府网站遭分布式拒绝服务攻击(DDoS)暂时下线。2月14日起,乌克兰的军事、政府、金融等部门的网络系统再次遭到大规模DDoS攻击,包括乌克兰国家公务员事务局(nads.gov.ua)、乌克兰政府新闻网站(old.kmu.gov.ua)、乌克兰国家储蓄银行(oschadbank.ua)、乌克兰国内最大商业银行(Privatbank.ua)以及乌克兰外交部等在内的重要机构均遭到攻击。DDoS攻击通过系统资源消耗的方式造成乌克兰众多关键基础设施和重要网络系统瘫痪,严重影响了乌克兰的社会秩序。
冲突期间两国主要的网络攻击
1. 数据擦除破坏
2022年2月23日,在俄罗斯发动特别军事行动的前一天,一款名为“HermeticWiper ”(又名KillDisk.NCV)的新型数据擦除恶意软件在乌克兰的数百台重要的计算机上被发现,这成为开战后新一轮的针对性破坏型网络攻击。
2022年3月1日,ESET安全团队再次披露了针对乌克兰政府组织的第三种数据擦除恶意软件IsaacWiper。新型数据擦除恶意软件IsaacWiper不带有用于代码验证的数字签名,与HermeticWiper没有代码相似性,并且复杂度较低。IsaacWiper使用 ISAAC 伪随机数生成器生成的数据覆盖每个磁盘前0x10000字节数据。在2022年2月25日,攻击者释放带有调试信息的新版本IsaacWiper,此举可能表明攻击者无法擦除一些目标机器的数据从而想通过调试信息了解具体发生了什么事。IsaacWiper在2月24日针对乌克兰的新一轮网络攻击中出现。值得注意的是,IsaacWiper出现在未受HermeticWiper影响的乌克兰政府组织中。
北京时间3月9日,国外安全厂商发布题为《新的RURansom Wiper针对俄罗斯》的报告。报告中提到其最近发现了名为“RURansom”的恶意软件,该软件使用.NET编写,以蠕虫病毒的形式传播,并且会在目标机器上对文件进行不可逆的加密,因此这不是一款勒索软件,而是擦除器。同时在一些版本的代码当中会检查是否当前IP处于俄罗斯。通过以上线索可以判断此恶意软件是针对俄罗斯的文件擦除器。
2022年3月14日,ESET 研究实验室发布推特称在针对乌克兰组织的攻击中观察到新发现的破坏数据恶意软件“CaddyWiper”。新的恶意软件会从连接的驱动器中删除用户数据和分区信息,其设计用于在其部署的Windows域中擦除数据,但会检查是否是域控制器,域控制器上的数据将不会被删除,这可能是攻击者使用的一种策略,用于在受感染的网络内保持访问,同时仍然通过擦除其他关键设备进行破坏。
2. 拒绝服务攻击
分布式拒绝服务攻击(DDoS)是以向目标服务发起海量服务请求从而耗尽攻击目标资源,造成目标主机无法为用户提供正常服务,甚至导致系统崩溃。自俄乌开战以后,DDoS攻击一直是主流趋势。
例如Cyberscoop网站3月3日消息,俄罗斯政府周三(3月2日)公布一份清单,其中包括17,500多个IP地址和174个互联网域。据称,这些地址和域参与了针对俄境内目标的持续分布式拒绝服务(DDoS)攻击。所列清单包括美国联邦调查局、中央情报局主页及其他一些网站,这些网站的顶级域名表示这些网站在白俄罗斯、德国、乌克兰、格鲁吉亚等国及欧盟注册。俄政府未公布任何证明或证据支持其关于其列表中的IP地址或域的主张。俄国家计算机事件响应与协调中心在一份通知中发布了这些数据,其中包括20条防范攻击的建议,例如强大的日志记录、使用俄域名系统服务器、进行“计划外密码更改”以及禁用网站外部插件。
网络信息战与舆论宣传
1. 俄罗斯前期的网络信息战舆论攻势
俄乌局势紧张期间,俄罗斯曾开展多次网络信息战活动影响乌克兰舆论宣传。
2022年1月13日,乌克兰政府网站遭到篡改,网站页面发布了旨在引发恐怖的虚假信息。在2月15日攻击中,部分乌克兰Privatbank银行用户收到银行ATM机无法使用的虚假消息,乌克兰网络警察称这是旨在制造混乱的“信息攻击”。乌克兰有关部门还查封了一个拥有超过18万个社交媒体账号、用来散布假新闻的僵尸网络。2022年3月2日,美国NBC新闻记者Kevin Collier转发乌克兰国家特别通信和信息保护局(SSSCIP Ukraine)官方推文称,乌克兰安全部门发布警告称俄罗斯将开始传播乌克兰将投降的虚假信息。
2. 社交平台和主流信息渠道对俄的限制
乌克兰背后是以美国为首的西方国家阵营。西方国家尤其是美国利用自己对全球主流媒体、社交平台的掌控,以及诞生于美国的一批跨国信息科技公司在互联网世界的资源主导权,不断对俄罗斯的舆论发声渠道进行围追堵截。
2月27日,欧盟宣布禁止 “今日俄罗斯”(RT)和俄罗斯卫星通讯社(Sputnik)两家俄罗斯官方媒体继续在欧盟境内传播,相关制裁措施在3月2日正式生效。
主流社交平台和跨国信息科技公司也纷纷做出限俄的响应动作。
Facebook拒绝了俄罗斯让其停止对四家俄罗斯媒体进行独立事实核查和内容标记的要求,随后宣布限制“今日俄罗斯”和俄罗斯卫星通讯社在欧洲的传播,并表示在与乌克兰的冲突期间,禁止俄罗斯官方媒体在其所有平台上投放广告。
谷歌封锁了欧洲RT和Sputnik的YouTube频道,同样也宣布,禁止俄罗斯国家媒体在其网站、应用程序和YouTube平台的服务中投放广告及获得盈利,并将俄罗斯国家资助的出版商从谷歌新闻中除名。
微软从其全球微软应用商店中删除了俄罗斯新闻应用程序,计划降低Bing上相同新闻媒体的搜索结果的优先级,并将禁止俄罗斯国家赞助的广告。
苹果在俄罗斯以外国家/地区的App Store中删除了俄新闻应用程序,包括“今日俄罗斯”及Sputnik应用程序。
这一系列限制措施导致官方媒体被封难以发声,对俄罗斯的不利舆论呈一边倒趋势,俄罗斯在全球舆论战场上已落于下风。
3. 乌克兰、美国煽动黑客发起网络攻击
伴随着俄乌进入实质性军事冲突阶段,西方国家也针对性的炒作俄罗斯使用各种黑客攻击等战术破坏乌克兰稳定。同时乌克兰和美国政客开始煽动黑客对俄罗斯发起网络攻击。
乌克兰总统泽连斯基、乌克兰国家安全局等在俄罗斯入侵乌克兰后呼吁国际黑客加入IT军团,针对俄罗斯银行、企业和政府机构发动网络攻击,以对抗俄罗斯在网络空间的“数字入侵”,并在TG上成立军团频道。
2月25日,美国前国务卿希拉里·克林顿接受美媒MSNBC采访时,公然煽动美国黑客对俄罗斯发动网络攻击,以此回应俄罗斯对乌克兰的“入侵”。
在前面提到的美、乌舆论主导权的加持之下,这些煽动行为效果显著,引起许多黑客自发对俄进行网络攻击。
我们整理了俄乌舆论战时间线,详情请参阅附表1。
全球黑客选边站队卷入俄乌乱局
随着乌克兰局势的不断升级,俄罗斯与西方围绕乌克兰问题的博弈也延伸到网络领域,世界各国也纷纷参与俄乌隐蔽战争,局势持续升温。目前,在俄乌陷入混乱之时,全球黑客也一窝蜂的卷入乌俄乱局,各自站边,导致网络战线全面拉开。
奇安信总结了自俄乌冲突升级后,各黑客组织参与网络混战的具体情况。根据近日的持续追踪,可以看出目前各黑客组织公布的消息逐渐减少。原因是一些黑客为蹭热度而公布的数据“虚有其表”,导致其公信力下降。
俄乌网络战呈现三大特征及攻击手段分析
拒绝服务攻击瘫痪目标服务
根据奇安信技术研究院司南大网威胁监测平台早在2022年1月8日便监测到多起针对乌克兰重要网站的DDoS攻击事件。攻击者通过僵尸网络发起了大规模的DDoS攻击,主要受害网站包括乌克兰总统网(president.gov.ua)、乌克兰国家公务员事务局(nads.gov.ua)、乌克兰政府新闻网站(old.kmu.gov.ua)、等。伴随着乌克兰局势的变化, 2月13日之后攻击强度加大,并在2月23日后达到顶峰。
分析监测到攻击者利用了多种互联网上存在安全漏洞的网络服务器,涉及DNS、CLDAP、NTP、SSDP、Memcache、ONVIF等9种网络协议,被滥用的服务器分布在全球各地。
在DDoS攻击中,攻击者发出海量互联网流量以耗尽攻击目标资源,造成正常流量无法到达其预定目的地。针对网站、应用程序、网络或数据中心基础架构的发起的DDoS攻击会导致用户无法使用服务、获取信息或者进行其他正常访问。上述DDoS攻击通过消耗系统资源的方式造成乌克兰重要网络系统瘫痪,严重影响了乌克兰政府施政和社会秩序,并为全面军事行动和更具破坏性的网络攻击奠定了基础。
破坏型恶意软件损毁目标系统
本轮俄乌军事冲突发生前后,在乌克兰的多个重要部门的计算机系统上发现的超过4种恶意数据擦除软件目标直指向乌克兰的政府、非营利组织和信息技术实体。其中,名为WhisperGate的恶意软件旨在不可逆转地破坏受感染主机的数据,并试图伪装成勒索软件攻击来隐藏攻击方式和目的,分散调查人员对袭击发起者的注意力;而名为HermeticWiper的软件在部署后不仅会破坏本地数据,还会损坏硬盘驱动器的主引导记录(MBR)部分,从而阻止计算机在强制重新启动后引导至操作系统。另一个破坏性恶意软件IsaacWiper在2月24日针对乌克兰的新一轮网络攻击中出现。其复杂度较低。使用ISAAC伪随机数生成器生成的数据覆盖每个磁盘前0x10000字节数据,从而造成破坏。直至2022年3月14日,新型恶意数据擦除软件CaddyWiper被ESET研究实验室发现,新的恶意数据擦除软件会从连接的驱动器中删除用户数据和分区信息。
而针对俄罗斯进行数据擦除的攻击被国外安全厂商题为《新的RURansom Wiper针对俄罗斯》的报告所披露,报告中提到使用.NET编写的“RURansom”恶意软件,该软件以蠕虫病毒的形式传播,并且会在目标机器上对文件进行不可逆的加密,从而造成数据擦除。同时在一些版本的代码当中会检查当前IP是否处于俄罗斯,从而进行攻击。
擦除软件攻击具有严重的致命性和破坏性,甚至可以在不留任何攻击痕迹的情况下摧毁系统恢复工具,擦除数据并阻止操作系统恢复,从而达到摧毁或瓦解受害者的系统和数据的目的。俄罗斯对乌克兰国防、金融、航空和IT服务部门的擦除软件攻击,破坏了相关系统和数据,导致目标数据丢失或者业务运营受到严重影响。
网络信息煽动舆论动摇士气
以奇安信安全威胁分析团队对俄乌爆发军事冲突后的某一天舆论监控来看,围绕“俄乌信息战”话题发表了相关言论3393篇,其中话题参与账号共2791人,境外社交平台相关贴文3393篇。如:国际运动员倡议组织“全球运动员(Global Athlete)”发推称 ,乌克兰运动员已要求全球运动员向国际奥委会和国际残奥委会发布这封公开[]信,要求暂停俄罗斯和白俄罗斯国家奥林匹克和残奥会委员会的工作,取消两国所有运动员参加国际体育赛事,包括北京残奥会。俄乌冲突相关社交热词图如下:
总体来说,俄罗斯在冲突前期利用社交媒体宣传和虚假信息宣传的方式对乌克兰实施了系统性网络信息战活动,其目的是大规模地传播虚假信息、引发社会恐慌并打击军队士气。而西方国家则在冲突期间利用信息平台和渠道的主导优势,通过引导舆论、煽动黑客攻击等方式向俄罗斯施加战场外的巨大压力。
数字战争带来的思考和启示
伴随俄乌冲突而来的数字战争是国家之间在网络空间的博弈较量。在网络信息技术紧密联系社会生产运转、民众工作生活的当下,网络空间将不可避免地成为需要被保护的数字疆域,并在冲突爆发时变成各方争夺的焦点,这一点已在此次网络战中体现得淋漓尽致。在梳理分析俄乌网络战的发展过程和特征之后,我们整理了如下几条由这场数字战争引发的思考和启示。
1. 网络战成为融入现代战争不可或缺的一部分
通过上述俄乌网络战的深度分析,成本低、效果大等特点赋予了网络战极强的隐秘性和杀伤力。在现代战争开战之前,利用网络战损毁敌对国关键信息系统,窃取军事情报,瘫痪互联网、交通、能源金融等关键基础设施,成为现代战争的首选项。
更加重要的是,互联网、数字化时代,网络空间决定着一切,为此必须要意识到网络战的重要程度,重视网络战。
2. 破坏性APT攻击和DDoS攻击成为国家级网络战重要手段
DDoS攻击目前成为国家、政治团体甚至恐怖组织最为直接的常用手段。此次俄乌冲突中,尽管美国和西方在前期已经对乌克兰进行了网络防御支援,然而俄方仍旧多次调动攻击资源,对乌克兰实施大规模DDoS攻击,数百个重要服务器遭受破坏性恶意软件攻击。可以看出,破坏性APT攻击和DDoS攻击成为国家级网络战重要手段,目的正是配合真正的军事战争行动。当前,大量物联设备不断接入互联网,脆弱性广泛存在,成为DDoS攻击的作战资源。
3. 针对关键基础设施的攻防对抗成为网络战的关键
网络空间是物理空间的延续,而关键信息基础设施是物理空间的核心载体,关键信息基础设施的可用性、完整性、保密性在国家安全层面至关重要。当前国际安全风云变幻,境外具有国家背景的高级持续性攻击组织(APT)保持了高度活跃,持续针对我国开展网络攻击,其中的主要目标就是包括金融、通信、交通、能源、政务网络在内的关键信息基础设施。
近年来全球多个国家已经遭受类似事件。除去本次俄乌冲突相关的破坏性攻击事件外,近年来就有4起关键信息基础设施遭到破坏:如英国电网重要管理机构Elexon遭到网络攻击,内部IT网络受到影响、关键通信功能丧失;印度孟买遭遇大范围断电,直接导致铁路、股票交易所、医疗设施以及其它大部分关键基础设施瘫痪;2021年美国最大的燃油[]管道运营商、全球最大的肉类加工企业均因黑客攻击而在相当一段时间内停止运作,这一切持续地在给我国关键信息基础设施系统敲响警钟。
4.左右民众的认知域,舆论战成为网络战争中的重要一环
此次俄乌网络信息战中网络攻防和涉及舆论的认知控制战相互交织,舆论战成为网络战争中的重要一环。在现代网络出现之前,舆论战已经是军事战争中的常规手段,不过如今互联网的触手已经遍及每个人,这使得舆论战的覆盖面和影响度远超从前。无论是冲突前期俄罗斯通过网络攻击在乌克兰传播虚假信息引发社会恐慌情绪,还是后面西方国家凭借对主流信息渠道的控制权创造出对俄舆论的压倒性态势,都可以看出在网络攻防之外,左右民众认知的网络舆论战也发挥着不容忽视的作用。
5. 发展网络空间的攻防力量成为打赢未来战争的关键
当前,世界主要国家加速推进网络部队建设,全球网络空间军事化的趋势日益明显。近年来,五眼联盟等国继续完善网络部队机制和力量建设,新建、扩编或重组网络空间作战力量,改善网络设施和信息系统以优化军事信息环境,强化科技研发和军事应用,通过培训提高网络部队战备水平,谋求全面提升网络空间作战能力。