俄罗斯安全公司卡巴斯基评析俄乌网络战启示意义（上）

重新评估网络战：2022年的经验教训

此时此刻，说2022年没有任何事情像我们预期的那样已经成为陈词滥调。我们将新冠疫情危机抛在脑后，希望期待已久的恢复正常，但立即陷入了一场20世纪风格的军事冲突的混乱和不确定性中，这场冲突构成了在整个欧洲大陆蔓延的严重风险。虽然对乌克兰战争及其后果进行更广泛的地缘政治分析最好留给专家，但冲突期间发生了一些网络事件，我们的评估是这些事件非常重要。

在本报告中，我们建议回顾在网络空间观察到的与乌克兰冲突相关的各种活动，了解它们在当前冲突背景下的意义，并研究它们对整个网络安全领域的影响。

2月24日前的重大网络事件时间表

在当今世界，如果没有现场情报支持，发动任何形式的军事行动都变得非常困难。大多数情报是通过各种方法从各种来源收集的，例如人力情报（从位于未来冲突地区的人员那里收集）、信号情报（通过拦截信号收集）、地理空间情报（例如来自卫星的地图）或电子情报（不包括文本或语音）等。

例如，据《纽约时报》报道，2003年，美国制定了大规模网络攻击计划，以在入侵伊拉克前冻结萨达姆侯赛因银行账户中的数十亿美元并削弱其政府。然而，由于美国政府担心附带损害，该计划未获批准。相反，美国在2003年战争初期实施了一项更有限的削弱伊拉克军方和政府通信系统的计划。该行动包括炸毁手机信号塔和通信网络，以及对伊拉克电话网络进行干扰和网络攻击。根据同篇报道，另一次此类攻击发生在1990年代后期，当时美国军方攻击了塞尔维亚的电信网络。无意中，这也影响了国际通信卫星公司（Intelsat）通信系统数天，证明网络战期间附带损害的风险相当高。

从这些事件中吸取的教训可能让通过监测潜在冲突地区的新网络攻击来预测动态冲突成为可能。例如，在2013年底和2014年1月，我们观察到APT组织Turla在乌克兰的活动高于正常水平，APT组织BlackEnergy目击事件数量激增。同样，在2022年2月初，我们注意到与Gamaredon组织的命令和控制（C&C）服务器相关的活动量激增。这一活动达到了前所未有的水平，表明为大型信号情报收集工作进行了大量准备。

正如这些案例所示，在现代冲突期间，我们可以预期在军事攻击前的几天和几周内看到与情报收集和破坏性攻击有关的网络战的显著迹象和高峰。当然，我们应该注意到，相反的情况也是可能的：例如，从2016年6月开始，但最引人注目的是从2016年9月一直到2016年12月，Turla组织基于卫星的命令和控制（C&C）注册数量比2015年的平均水平增加了十倍。这表明Turla组织异常活跃，标志着该组织资源的前所未有的动员。同时，据我们所知，随后没有发生军事冲突。

重要见解：

在冲突首日（2022年2月24日），大量伪勒索软件和恶意数据擦除软件攻击不加区别地袭击了乌克兰实体。在目标方面，我们无法确定任何形式的一致性，这让我们相信这些攻击的主要目的可能是造成混乱——而不是实现精确的战术目标。相反，此阶段使用的工具在性质上也各不相同：

其中一些工具特别先进。据我们所知，HermeticWiper仍然被发现的最先进的活跃恶意数据擦除软件。Industroyer2是在一家乌克兰能源供应商的网络中被发现的，如果攻击者无法访问受害者使用的相同工业控制系统设备，则不太可能开发该恶意软件。也就是说，从软件工程的角度来看，其中许多工具都非常粗糙，而且似乎是仓促开发的。

除AcidRain（见下文）的显著例外，我们认为这些各种破坏性攻击都是随机的和不协调的——而且我们认为，在战争的宏伟计划中影响有限。

恶意数据擦除软件和勒索软件攻击的数量在第一波之后迅速消退，但仍数量有限的值得注意的事件被报道出来。2022年10月，Prestige勒索软件影响了乌克兰和波兰的运输和物流行业的公司。一个月后，一种名为RansomBoggs的新病毒再次袭击了乌克兰目标——这两个恶意软件家族都归因于“沙虫”（Sandworm）组织。其他参与最初攻击浪潮的“出于意识形态动机”的团体现在似乎不活跃了。

重要见解：

2月24日，依赖ViaSat拥有的“KA-SAT”卫星的欧洲民众面临严重的互联网访问中断。这个所谓的“网络事件”在世界标准时间4时左右开始，距离俄罗斯联邦公开宣布在乌克兰开始“特别军事行动”还不到2个小时。从乌克兰政府征求建议书可以发现，乌克兰政府和军方是KA-SAT接入的重要用户，据报道它们受到了该事件的影响。但中断也在其他地方引发了重大后果，例如中断德国风力涡轮机的运行。

ViaSat很快怀疑中断可能是网络攻击的结果。攻击直接影响卫星调制解调器固件，但截至3月中旬仍未被了解。卡巴斯基专家进行了自己的调查，并在分析调制解调器内部结构和可能涉及的恶意数据擦除软件植入程序的同时，发现了管理网络中远程访问点的可能入侵路径。“AcidRain”恶意数据擦除软件于3月下旬首次被描述，而ViaSat发布了对网络攻击的官方分析。后者证实，威胁行为者利用配置不当的VPN通过远程管理网络进入，并最终传递破坏性有效载荷，影响了数万个KA-SAT调制解调器。5月10日，欧盟将这些恶意活动归咎于俄罗斯。

关于这次攻击的很多技术细节仍然未知，以后可能会在政府视线之外公开。然而，这是迄今为止揭露的与乌克兰冲突有关的最复杂的袭击之一。恶意活动很可能是由熟练且准备充分的威胁行为者在准确的时间范围内进行的，这不是偶然的。虽然破坏活动可能未能严重破坏乌克兰的防御，但它在战场之外产生了多种影响：刺激美国参议院要求在卫星网络安全方面发挥作用，加速SpaceX公司“星链”（Starlink）部署（以及后来意想不到的费用账单），以及质疑武装冲突期间两用基础设施的规则。

重要见解：

一如既往，战时对信息格局有着非常具体的影响。在2022年尤其如此，现在人类掌握了有史以来最强大的信息传播工具：社交网络及其有据可查的放大效应。大多数与战争相关的真实世界事件（小规模冲突、死亡人数、战俘证词的叙述）都在网上以不同程度诚意被分享和批驳。传统新闻媒体也受到更广泛的信息战背景的影响。

DDoS攻击以及在较小程度上污损随机网站一直被安全社区视为低复杂性和低影响的攻击。DDoS攻击尤其需要生成攻击者通常无法维持很长时间的大量网络流量。一旦攻击停止，目标网站就会再次可访问。除非电子商务网站暂时失去收入，否则DDoS攻击或污损提供的唯一价值就是羞辱受害者。由于非专业记者可能不知道各种类型的安全事件之间的区别，因此他们随后的报道会形成一种无能和安全不足的印象，这可能会削弱用户的信心。网络攻击的非对称性在支持“大卫对歌利亚”形象方面发挥着关键作用，在网络领域的象征性胜利有助于说服地面部队在现实战场上取得类似的成就。

根据卡巴斯基DDoS保护服务数据，自2022年初以来的11个月内，该服务登记的攻击次数增长可能不会太显著，但与2021年相比，资源受到攻击的时间长了64倍。2021年平均攻击持续约28分钟，2022年为18.5小时，几乎是原来的40倍。最长的攻击在2021年持续了2天，在2022年持续了28天。

卡巴斯基 DDoS保护检测到的DDoS攻击总持续时间（以秒为单位），按周计算，2021年对比2022年

自俄乌战争开始以来，出现了一些（自认为是）黑客组织，并开始开展活动以支持任何一方。例如，声名狼藉的集体“匿名者”组织将数十辆出租车派往同一地点，造成莫斯科交通堵塞。

卡巴斯基DDoS保护服务也反映了这一趋势。大规模DDoS攻击在一年中分布不均，最激烈的时间是春季和初夏。

卡巴斯基DDoS保护服务检测到的DDoS攻击数量（以秒为单位），按周计算，2021年对比2022年

攻击者在2月至3月初达到顶峰，反映出黑客行动主义的增长，到秋天已经消退。目前，我们看到了定期的预期攻击动态，尽管攻击质量发生了变化。在5月至6月，我们检测到持续时间极长的攻击。然而，现在攻击时长已经稳定下来，而过去典型的攻击会持续几分钟，而现在攻击会持续数小时。

2022年2月25日，臭名昭著的Conti勒索软件组织宣布“全力支持俄罗斯政府”。该声明包含大胆的措辞：“如果有人决定组织针对俄罗斯的网络攻击或任何战争活动，我们将使用我们所有可能的资源来反击敌人的关键基础设施”。该组织很快跟进了另一个帖子，澄清了他们在冲突中的立场：“作为对西方战争贩子和美国威胁对俄罗斯联邦公民使用网络战的回应，Conti团队正式宣布，我们将全力采取报复措施，以防西方战争贩子试图攻击俄罗斯或世界任何俄语地区的关键基础设施。我们不与任何政府结盟，我们谴责正在进行的战争。然而，众所周知，西方主要以平民为目标发动战争，如果和平公民的福祉和安全因美国的网络侵略而受到威胁，我们将利用我们的资源进行反击。”

两天后，一名乌克兰安全研究人员泄露了一大批Conti组织成员间的内部私人消息，涵盖了从2021年1月开始的一年多的活动。此次信息泄露给该组织带来了重大打击，因为其内部活动被暴露给公众，包括与收到的数百万美元赎金相关的比特币钱包地址。与此同时，另一个名为“CoomingProject”的专门从事数据泄露的网络犯罪组织宣布，如果发现针对俄罗斯的攻击将支持俄罗斯政府：

其他团体更愿意保持中立，如Lockbit以非政治的方式声称他们的“渗透测试者”是一个国际社会，包括俄罗斯人和乌克兰人，并且这“只是生意”：

2月26日，乌克兰副总理兼数字化转型部长米哈伊洛·费多罗夫宣布创建Telegram频道以继续在网络战线上的战斗。最初的Telegram频道名称中有错别字（itarmyofurraine），因此又创建了第二个频道。

“乌克兰IT军队”Telegram频道

该频道运营人员不断给订阅者下达任务，例如对各种商业公司、银行或政府网站开展DDoS攻击：

乌克兰“IT军队”发布的DDoS目标列表

据报道，在短时间内，由志愿者组成的“乌克兰IT军队”通过Twitter和Telegram进行协调，对800多个网站开展了污损或DDoS攻击，其中包括莫斯科证券交易所等备受瞩目的实体。

其他团体也被观察到发起平行活动，这些团体随着冲突蔓延到邻国而选边站队。例如，“白俄罗斯网络游击队”声称他们通过将白俄罗斯铁路切换为手动控制来扰乱其运营。目标是减缓俄罗斯军队在该国的调动。

“白俄罗斯网络游击队”帖子

一些表达了对乌克兰冲突的看法的勒索软件或黑客组织的有限且迄今为止并不详尽的清单包括：

在公开的亲俄团体中，最初为应对“乌克兰IT军队”而成立的Killnet可能是最活跃的。4月下旬，他们攻击了罗马尼亚政府网站，以回应罗马尼亚众议院议长马塞尔·乔拉库在向乌克兰当局承诺“最大限度的援助”后发表的声明。5月15日，Killnet在其Telegram频道上发布了一段视频，向十个国家宣战：美国、英国、德国、意大利、拉脱维亚、罗马尼亚、立陶宛、爱沙尼亚、波兰和乌克兰。在这些活动之后，被称为“匿名者”的国际黑客组织于5月23日向Killnet宣战。

Killnet在整个2022年继续开展活动，在发动攻击前会在其Telegram频道上发布公告。10月，该组织开始攻击日本的组织，后来由于缺乏资金而停止了攻击。它后来袭击了美国机场和政府网站和企业，但通过没有取得重大成功。11月23日，Killnet短暂关闭了欧盟网站。Killnet还多次攻击拉脱维亚、立陶宛、挪威、意大利和爱沙尼亚的网站。虽然Killnet的方法并不复杂，但其不断成为头条新闻并引起人们对该组织的活动和立场的关注。

重要见解：

（未完待续）