从俄乌军事冲突看恶意数据擦除软件攻击

关键基础设施是支撑多个重要行业的信息系统和工业控制系统，它的运转主要依赖于易受攻击的网络系统。在俄乌军事冲突中，各方黑客势力势要攻陷的目标，国防军事系统、铁路电力、互联网连接、政府网站，正是关系国计民生的关键基础设施，任何一个陷入瘫痪都将对本国造成“核爆级”的毁灭式打击。自从俄乌军事冲突爆发以来，根据俄乌双方发表的正式报道，两国的电网、通信网、银行系统、工业控制系统等关键基础设施都遭到过非法入侵，攻击者通过植入恶意软件对关键数据进行数据擦除，从而造成关键基础设施的大面积、长时间瘫痪。战前乌克兰政务、金融基础设施多次受损，开战后乌克兰电信基础设施经常性中断服务，俄罗斯政务等基础设施也出现无法访问情况。3 月 28 日，乌克兰报道其最大固网电信运营商遭遇重大网络攻击下线。而俄罗斯电信监管机构也发文，称其正遭到定期的网络攻击。所以在战争情况下，国家的关键基础设施往往成为网络攻击的主要目标，此次俄乌军事冲突下的网络攻击事件就是最佳例证。

2、数据成为新的攻击对象

在此次俄乌军事冲突中，随着数据成为政府、社会和组织运行的关键要素，随之成为网络攻击的重点对象，勒索攻击的高发态势已说明这一点，而此次攻击中的数据擦除则是比勒索攻击更严重的数据攻击类型。各方势力通过传播数据擦除恶意软件（HermeticWiper），破坏政府机构和关键信息基础设施计算机的数据，达到深度致瘫的效果，同时窃取重要敏感数据。俄乌战争爆发后，匿名者黑客组织（Anonymous）宣布对俄罗斯发动网络战争，该团伙声称已通过 DDoSecrets 公布了约 5.8 TB 的俄罗斯数据，并发誓要泄露更多俄罗斯企业、政府、商业银行等实体组织的数据信息。

3、高级别黑客军团和新攻击方式登场

此次俄乌军事冲突，还凸显出黑客的军事职能以及网络攻击在现代战争中的核心地位。网络战的主力是国家级黑客军团，军事级别的黑客攻击技术将有组织、有预谋、有计划地发挥巨大威力。针对俄罗斯在乌克兰的军事行动，全球最大的黑客组织“匿名者”日前在社交网站上号召全球黑客对俄发起“网络战争”。社交网站上有匿名账户宣称，“匿名者”黑客组织在 72 小时内就攻击关闭了 1500 多个与俄罗斯和白俄罗斯政府、官方媒体、主要银行和企业有关的网站。从技术来看，各方利益团体的黑客组织以分布式拒绝服务(DDoS)攻击、钓鱼欺诈、漏洞利用、供应链攻击、伪装成勒索软件的恶意数据擦除攻击等多种“网络武力”，向敌对国政府、军工、铁路电力、国防等部门发起破坏袭击。

1、从攻击目标上看，专注破坏性，摧毁或瓦解受害者的系统和数据

俄乌军事冲突表明，恶意数据擦除软件攻击具有严重的致命性和破坏性，甚至可以在不留任何攻击痕迹的情况下摧毁系统恢复工具，擦除数据并阻止操作系统恢复，从而达到摧毁或瓦解受害者的系统和数据的目的。本轮俄乌军事冲突发生前后，在乌克兰的多个重要部门的计算机系统上发现恶意数据擦除软件目标直指向乌克兰的政府、非营利组织和信息技术实体。

3 月，美国网络安全公司 SentinelLabs 曝出针对乌克兰的数据擦除恶意软件“酸雨”（AcidRain），专门为针对乌克兰的行动而开发的，用于破坏调制解调器和路由器；该软件通过使用 KA-SAT 管理机制被部署在调制解调器和路由器上，随后会对设备文件系统进行深度擦除，完成擦除后会重新启动设备导致设备无法启用。同时，网络安全公司 ESET 还发现了另一种破坏数据的恶意擦除软件 CaddyWiper，该软件可以从附加的驱动程序中删除用户数据和分区信息，还可以擦除其部署的 Windows 域中的数据。名为WhisperGate 的恶意软件旨在不可逆转地破坏受感染主机的数据，并试图伪装成勒索软件攻击来隐藏攻击方式和目的，分散调查人员对袭击发起者的注意力；而名为 HermeticWiper 的软件在部署后不仅会破坏本地数据，还会损坏硬盘驱动器的主引导记录（MBR）部分，从而阻止计算机在强制重新启动后引导至操作系统。另一个破坏性恶意软件 IsaacWiper 在 2 月 24 日针对乌克兰的新一轮网络攻击中出现。其复杂度较低。使用 ISAAC 伪随机数生成器生成的数据覆盖每个磁盘前 0x10000 字节数据，从而造成破坏。

2、从攻击方式上看，呈现隐蔽性，伪装成勒索软件开展擦除攻击

俄乌军事冲突中曝出的恶意擦除软件在进行攻击时，不分平时和战时，作战准备具有较高的隐蔽性。我们能看得到的是作战效果，看不到的是作战准备，而作战过程在短时间内甚至瞬间完成。如俄乌军事冲突中的恶意软件 WhisperGate 就在纷争前已经完成植入，恶意软件 HermeticWiper 甚至提前 3 个月编译完成，植入时间大概率也应在 2 月 24 日之前。

在俄乌军事冲突爆发前一天，网络安全公司 ESET 还发现了一种现在称为 HermeticWiper 的数据擦除恶意软件，该恶意软件与勒索软件诱饵一起用于攻击乌克兰机构。无独有偶，乌克兰国家特殊通信和信息保护局发现了另外一种恶意擦除软件 WhisperKill，该机构表示它重复使用了 80%的Encrpt3d 勒索软件代码（又名 WhiteBlackCrypt 勒索软件），并试图伪装成勒索软件攻击来隐藏攻击方式和目的，分散调查人员对袭击发起者的注意力。3 月，Trend Micro 网络安全公司发布题为《新的 RURansom Wiper 针对俄罗斯》的报告。报告中提到了 RURansom 擦除器，该擦除器的出现代表了亲乌克兰黑客活动家对擦除器的首次使用，并可能预示着正在进行的针对俄罗斯的网络活动进入一个新阶段。报告中提到其最近发现了名为“RURansom”的恶意软件，该软件使用.NET 编写，以蠕虫病毒的形式传播，并且会在目标机器上对文件进行不可逆的加密，因此这不是一款勒索软件，而是擦除器。同时在一些版本的代码当中会检查是否当前 IP 处于俄罗斯。通过以上线索可以判断此恶意软件是针对俄罗斯的文件擦除器。

3、从攻击后果上看，极具致命性，数据无法恢复

截止目前，据不完全统计，在俄乌军事冲突中共发现 8 种恶意数据擦除软件，网络攻击规模巨大。8 月，乌克兰国家特别通信和信息保护局表示，自今年年初以来，乌克兰国家计算机应急响应小组（CERT-UA）已经跟踪了“1600 多起重大网络事件”，已经确定了战争期间使用的 10 多种不同类型的恶意软件“雨刷”（Wiper），从网络安全的角度看，恶意数据擦除软件仍然是巨大挑战，此外还有数据泄露或利用网络攻击制造混乱和破坏。冲突发生至今，最大的网络安全挑战之一是恶意数据擦除软件的广泛使用和影响，这种恶意软件旨在破坏其所感染系统的硬盘驱动器。

2、积极防范恶意数据擦除软件攻击和提升网络防御能力迫在眉睫

当前，俄乌军事冲突“硝烟”弥漫网络空间，伴随俄乌军事冲突，国家级网络攻击频率不断提高，恶意数据擦除软件盛行，导致网络空间风险进一步加剧。面对这一情况，一方面我们要从俄乌军事冲突中分析相关恶意数据擦除软件攻击特点和后果，总结经验教训，积极有效防范恶意数据擦除软件攻击，制定异地数据备份、事件响应和灾难恢复计划，另一方面，我们应继续提升整体网络防御能力，避免陷入被动局面。持续加强企企合作、政企合作及军民融合，持续进行网络攻防技术创新，加强网络安全能力建设，加快完善网络安全体制机制，共建网络空间安全领域命运共同体。

3、以摧毁国防军工关键基础设施为主要目标之一的数字时代网络战已经到来

俄乌军事冲突不会从根本上改变原有的网络空间格局，伴随俄乌军事冲突而来的数字战争是国家间在网络空间领域的博弈较量，作为发生在数字时代的新形态战争，网络战和信息战从暗处走向前台，特别是非国家行为体的参战，使全球网络空间的对抗态势更加复杂化。

供稿：三十所信息中心