深度剖析 | 俄乌冲突中网络攻击的五大特征
据央视新闻报道,当地时间2月15日15时,包括乌克兰国防部、武装部队等多个军方网站和银行的网站遭到大规模网络攻击而关闭。乌克兰安全部门表示,此次攻击非常强大,为分布式拒绝服务攻击(DDoS)。此前,今年1月14日,包括乌克兰外交部、教育部、内政部、能源部等在内的多个政府网站曾遭到大规模网络攻击而关闭。
据环球网援引俄罗斯卫星通讯社消息,全球最大的黑客组织宣布对俄罗斯发起“网络攻击”。
据美国全国广播公司NBC报道,拜登已获得对俄罗斯进行大规模网络攻击的选项,提出的选择包括扰乱俄罗斯的互联网、关闭电力和停止火车等。
本文通过梳理相关事件的发展脉络,解读事件背后的潜在逻辑,对网络空间后续事态发展进行简要分析。
一、网络攻击关键时间节点
2022年1月15日,微软威胁情报中心发现针对乌克兰政府和多个组织的破坏性恶意软件(WhisperGate)操作的证据,该软件于2022年1月13日首次出现在乌克兰的被攻击对象系统上,伪装成勒索软件。
1月14日,乌克兰外交部、教育部、内政部、能源部等在内的多个政府网站因遭到大规模网络攻击而关闭。
2月15日,乌克兰国防部、武装部队等多个军方网站和银行的网站遭到大规模网络攻击而关闭。
2月23日,乌克兰境内多个政府机构(包括外交部、国防部、内政部、安全局及内阁等)以及两家大型银行(乌克兰最大银行Privatbank及国家储蓄银行Oschadbank)的网站再次沦为DDoS攻击的被攻击对象。
2月23日10时52分,在乌克兰数百台计算机上发现新型恶意数据擦除软件HermeticWiper(又名 KillDisk.NCV)的第一个样本,其中一个样本的PE编译时间戳为2021-12-28,涉及目标包括:金融及政府承包商。
乌克兰时间24日清晨,俄罗斯向乌克兰正式宣战。
2月24日,乌克兰政府呼吁地下黑客组织参与防护网络攻击,Anonymous报名参加。
2月24日22时,俄罗斯RT电视台称网站遭到DDoS攻击,大约27%的攻击地址位于美国,攻击时间持续6小时。
2月24日,俄罗斯国家互联网络托管的俄罗斯军方网站(mil.ru)和克里姆林宫网站(krylin.ru)因此无法访问或加载速度很慢,托管克里姆林宫.ru网站的一整块互联网域名都受到了攻击。
2月24日,在受到分布式拒绝服务攻击后,消息称俄罗斯政府似乎正在部署一种名为“地理围栏”的防御性技术措施,以阻止俄罗斯影响范围以外的地区访问其控制的某些网站,包括军事网站。
俄罗斯当地时间24日,警告其国内关键基础设施运营商“计算机攻击强度增加的威胁”,并表示应考虑任何没有“可靠确定”原因的关键基础设施运行故障可能是“计算机攻击的后果”。
2月25日5时,全球黑客组织Anonymous在推特声称针对俄罗斯政府发动网络攻击,而非针对平民,已关闭RT电视台网站。
2月25日,美国国家广播公司报道称,拜登已收到一份可供美国实施大规模网络攻击的选项,包括中断俄罗斯的互联网连接、关闭电力、篡改铁路道岔以阻碍俄罗斯为其部队补给的能力。随后,白宫否认考虑对俄罗斯进行网络攻击。
综合上述分析,360安全专家认为,目前可以明确的主要网络攻击类型包括分布式拒绝服务攻击(DDoS)外、恶意植入攻击、数据擦除攻击等。另外,从网络攻击的范畴看,舆论战、心理战也属于更高层次的网络攻击,同样在整体作战中时有应用。
二、本次网络攻击呈现哪些特点?
从作战样式、武器类型、发展升级等方面看,本次网络攻击整体特点如下。
第一,不分平时和战时,作战准备具有较高的隐蔽性。功在“平时”,用在“战时”,看得到的是作战效果,看不到的是作战准备,而作战过程在短时间内甚至瞬间完成。如俄乌网络攻击中的恶意软件WhisperGate就在纷争前已经完成植入,恶意软件HermeticWiper甚至提前3个月编译完成,植入时间大概率也应在2月24日之前。
第二,网络攻击成为纷争首选,而且粘合传统作战力量和作战方式,有效实现多域作战。在24日正式宣战前,乌克兰已遭受3个波次的大规模DDoS网络攻击,每个波次攻击的重点也有不同。但总体而言,军政安全、能源、金融成为主要的目标对象,通过影响政府运行、经济运行秩序等方式,警示的作用明显。正式宣战后,协同传统作战力量,根据前期网络侦查,对乌克兰数百台计算机实施数据擦除攻击。
第三,网络攻击深度军民融合,数据成为新的攻击对象。面对多波次的大规模DDoS攻击,乌克兰网络力量缺乏有效的应对之策。面对这种形势,乌克兰政府招募民间志愿者网络攻击力量进行反击,全球匿名者黑客组织响应招募令,对俄罗斯开展了DDoS攻击,俄罗斯部署“地理围栏”强化网络防御态势。另一方面,随着数据成为政府、社会和组织运行的关键要素,随之成为网络攻击的重点对象,勒索攻击的高发态势已说明这一点,而此次攻击中的数据擦除则是比勒索攻击更严重的数据攻击类型。
第四,基于漏洞和人性弱点的植入仍是作战准备重点。研究人员发现,Whispergate源于不安全的远程访问通道和使用窃取/获取的凭据,HermeticWiper伪装成勒索病毒部署到被攻击对象机器上的,结合2022年前后针对乌克兰的APT攻击,勒索病毒一般通过漏洞和社会工程学以鱼叉钓鱼的形式部署到被攻击对象机器。这种部署工作作为网络攻击平时最重要的任务,也属于作战准备阶段的重点。
第五,作为网络攻击的一部分,舆论战心理战也在发挥重要作用。通过网络空间发布有利于己方和不利于对方的虚实信息,既可以试探对手反应,也可以起到震慑的作用,最终达到瓦解人心、加速作战进程的意图。因此,舆论战、心理战的重要宣传平台也成为重点关注对象。
综合公开信息,对于俄乌军事冲突中,网络攻击进程下一步将呈现以下特点。
第一,伴随其他作战形态的深入以及网络防护措施的升级,网络攻击将逐渐弱于前期的强度和深度。网络攻击发生于虚拟空间,作战效果可控性强,易于实现精准打击,但与此同时,网络攻击实施过程中受制约因素也比较多,容易受到目标方如断网、隔离、下线等干扰,一旦实施物理空间的传统作战形态,网络攻击的制约因素可能使其难以达成作战目的。
第二,网络攻击向俄乌之外的第三方蔓延存在可能。网络攻击归因难,成本低,影响范围小,达成作战意图明显。作为虚拟空间,加之各种反溯源技术的应用,网络空间与物理空间难以做到精准映射,可以将国家行为的网络攻击隐匿于普通的黑客攻击,从目前发生的舆论战中可以初见端倪。
------------------------------------------
(市场有风险,投资交易需谨慎。所涉标的不做任何推荐,据此投资交易,风险自负。)
微信扫一扫,分享到朋友圈
