乌克兰IT 军在俄罗斯的网络行动态势

当前，大家对网络行动的认识几乎完全来自防御一方，比如对网络行动目标的看法就源于网络安全公司、非营利组织和政府机构发布的报告。然而，网络防御只是网络行动的一部分，经由这些报告形成的观点难免失之偏颇。尽管美国泄露的各类文件 [ 尤其是爱德华 • 斯诺登（Edward Snowden）泄露的美国白宫第 20 号总统政策令和美国国家安全局文件 ] 以及美国网络司令部偶尔发布的声明多少揭露了进攻性网络行动的方式和位置，但仅靠这些信息仍不足以了解网络行动的全貌。为应对俄罗斯的持续入侵，乌克兰方面组建了名为“乌克兰 IT 军”的黑客组织（以下简称“IT 军”，该组织很可能隶属于乌克兰政府），从而为人们提供了一个独特的视角来了解网络攻击方的决策和行动，以及如何在战争期间利用网络空间等事宜。

乌克兰“IT 军”成立于俄罗斯入侵乌克兰的 2 天后，即 2022 年 2 月 26 日。当时，乌克兰副总理兼数字化转型部部长米哈伊洛·费多罗夫（Mykhailo Fedorov）在社交平台“推特”上发文称，“我们正在创建一支‘IT 军’，这支力量团队需要数字人才”，并附了一条“电报”（Telegram）频道链接，该频道列出了“IT军”的攻击目标。“IT 军”的行动方式并不复杂：其频道运营方提供了用于分布式拒绝服务（Distributed Denial of Service，DDoS）攻击的工具，并每周发布 2 ～ 3 次目标清单，以便志愿者利用这些工具对清单上的“敌方”网站发动攻击。除运营方提供的工具外，志愿者有时也会利用自身的黑客技能来瘫痪敌对阵营的互联网服务，比如银行网站、税务处理器和军事硬件商店等。迄今为止，“IT 军”已攻击过一些著名的俄方网站，甚至迫使俄罗斯普京总统在圣彼得堡经济论坛上的演讲推迟了一个多小时。

“IT 军”为志愿者提供了一站式的黑客活动体验，其“电报”频道会指出一系列目标，并为志愿者提供攻击这些目标的工具。其“电报”频道还会经常在所发布内容的末尾附上这样一句话：“请别忘了我们有一款用于自动攻击的机器人！您可授权我们的机器人程序访问您的云资源，以便我们协调所有可用的服务器发动攻击。”具体而言，该机器人程序会将志愿者的计算机添加到由乌克兰政府运作的僵尸网络中，从而使志愿者能像下载软件那样轻松地支持乌方黑客活动。换而言之，支持乌方的黑客志愿者既无须像传统黑客那样锻炼自己的计算机技能，也无须寻找小型论坛或孤立的黑客社区，这意味着成为“黑客”的门槛大大降低。“IT军”的“电报”频道订阅者人数在高峰时超过了 30 万，消息浏览量则接近 100 万次，可见已有大量的志愿者加入了这一组织。

黑客行为主义并不是一个新概念。在俄乌冲 突 中，KillNet、Xaknet 和 Anonymous 等 黑 客组织纷纷站队，并因此发动 DDoS 攻击，窃取和泄露大量数据，以及开展旨在诋毁对方的信息战活动等。黑客行为主义当然并不仅出现在俄乌冲突中，一些国家都曾出现过基于爱国主义的黑客行为。例如，在 2007 年的“青铜士兵”事件中，爱沙尼亚政府决定拆除一座第二次世界大战苏联阵亡士兵纪念碑，于是俄罗斯爱国黑客和一些很可能受政府支持的团体便攻击了爱沙尼亚的互联网。在此类情形下，各国政府可以合理地否认黑客活动：政府会宣称黑客只是口头上表示攻击某一目标，或谎称参与了某次黑客活动，但实际上并未出手。

网络行动（尤其是政府支持的网络行动）的信息通常在保密之列，因此人们在分析网络行动时，所参考的信息大多来自网络安全公司和政府网络防御部门发布的报告。而乌克兰“IT军”比其他国家的爱国黑客更加透明，其会通过“电报”频道等平台，为外界展示网络进攻行动的来龙去脉。一言以蔽之，“电报”频道既是分享俄方宣传信息、被盗文件和个人信息的渠道，也是乌方在俄罗斯社会的各个角落制造混乱的媒介。虽然“IT 军”的技术水平不如其他国家级网络团队，但也提供了一个观察“各国如何在战时实施网络攻击”的独特窗口。

值得注意的是，乌克兰政府曾表示只有文职官员参与了“IT 军”的事务，军事或情报官员则与该组织无关。不过外界研究人员表示，鉴于“IT 军”的攻击可能“为国防与情报部门的行动带来战略上的混乱和战术上的干扰”，乌克兰情报机构很可能与“IT 军”进行了密切合作。此外，在 2022 年 10 月，“IT 军”在其频道中表示“‘IT 军’与乌克兰特种部队（Ukrainian Special Operations Forces，SSO）的专家合作窃取了俄罗斯纳税人的数据”，这表明“IT 军”与SSO 之间也存在合作关系。

“IT 军”在其“电报”频道中介绍了该组织的目标及其他信息，包括各种宣传公告，攻击特定目标的号召，以及“IT 军”内部的非公开小团队通过高端行动窃取的数据等。根据成为目标的公司或组织所涉及的经济门类，分析人员可将这些攻击号召和攻击报告分为若干类，从而摸索出“IT 军”所关注的方向。

需要指出的是，“IT 军”在 2022 年 10 月改变了其选择目标的方式，从而影响了对其行动的分析。具体而言，“IT 军”此前一直通过“电报”频道公布打算攻击的 IP 地址和网站，但从 10 月 2 日起，“IT 军”运营方表示将使用DDoS 工具来协调行动，而该工具不会揭露成为目标的网页和 IP 地址，以免俄方根据“IT 军”频道中的信息迅速加强相应网站的防御。“IT 军”表示，日后该组织将改为“攻击结束后才会分享报告以展示其‘战果’”。不论是运作方式上的转变，还是来自“IT 军”内部非公开团队的攻击，都会使整个网络行动存在更大的不确定性，同时也意味着分析人员需要按照门类（而非具体组织）来划分“IT 军”的行动。

不论是攻击号召还是已发生的攻击，分析人员都会根据“攻击方法”和“成为目标的组织所属的经济门类”这两项基准进行分类。一方面，本文采用了美国外交关系委员会“网络行动追踪平台（Cyber Operations Tracker，CFR）”的标准来评估攻击方法：该标准将网络行动划分为7 类，而“IT 军”开展过其中 4 类行动，即破坏、拒绝服务、人肉搜索和污损。另一方面，本文采用了美国人口普查局的“北美行业分类系统”（North American Industry Classification System，NAICS）来评估成为目标的经济门类：NAICS 将各行各业划分为 20 个门类，“IT 军”攻击过其中 10 个门类，即金融与保险、信息技术、批发与零售贸易、交通运输、石油与天然气钻探、采矿及其他开采行业、公用事业、教育、制造、政府，以及艺术、娱乐和休闲业（新闻媒体组织属于其中最后一个门类）。NAICS 将国有企业视为所属行业的一部分，而非政府的一部分。需要指出的是，有时“IT 军”的一次攻击会同时涉及多个经济门类，比如在 2022 年 3 月 3 日发布的消息中，其同时攻击了俄罗斯联邦安全局的内部通信渠道、俄罗斯航空公司（Aeroflot）的通信系统以及莫斯科市的照明系统，在这种情况下本文会将此次攻击同时计入不同的经济门类。本文之所以按经济门类进行分析，并据此统计每条攻击号召的消息（而不是统计所有成为目标的组织），是因为“IT 军”在 2022 年10 月 2 日之前会提供具体的攻击目标，2 日之后则只提供更加笼统和宽泛的指导与报告。

“IT 军”已攻击过俄罗斯的许多经济门类，特别是那些高度数字化的门类。具体而言，“IT军”对金融业发动攻击的次数最多，其共发布了 93 条攻击金融业的消息，这些攻击几乎都是DDoS 攻击，不过偶尔也会泄露从金融机构窃取的数据。“IT 军”对信息技术公司发动攻击的次数则超过 57 次，攻击目标主要是各类服务的软件提供商。举例来说，“IT 军”对编制和验证电子文件的公司发动过 12 次攻击，希望借此拖慢俄罗斯的供应链、阻碍俄罗斯人纳税以及阻止俄罗斯人获得国家福利。“IT 军”还对俄政府的网站和网络发动过 55 次攻击，其攻击目标包括俄罗斯联邦安全局的网站、执政党“统一俄罗斯”党的网站以及俄国防部和外交部的网站等。针对俄政府网站的攻击通常为 DDoS 攻击，此类攻击可令这些网站瘫痪一小段时间。不过为瘫痪俄方的各类许可证系统，“IT 军”偶尔也会发起持续时间较长的 DDoS 行动，比如在 2022 年 6 月，“IT 军”就攻击过用于核验动物制品销售许可证的“统一国家自动化信息系统”。

“IT 军”对艺术、娱乐和休闲业发动过 42次攻击，攻击目标主要是俄罗斯的新闻平台和社交媒体平台。除污损克里米亚的新闻网站和由俄罗斯寡头运营的设计网站外，“IT 军”对该经济门类的攻击几乎都为 DDoS 攻击。自冲突爆发以来，“IT 军”已对贸易公司发动过 42 次攻击，攻击目标主要是在线购物公司、快递公司和技术进口商。此外，作为贸易门类的一部分，“IT 军”还经常针对第三方设备供应商发动 DDoS 攻击，希望以此阻止本就因腐败而装备欠佳的俄军购买额外的装备、食品或补给。

“IT 军”对交通运输业发动过 14 次攻击，其中包括在战争初期针对俄罗斯各航空公司票务系统的数次 DDoS 攻击，以及之后针对各航运公司的数次 DDoS 攻击。“IT 军”只对交通运输业发动过一次 DDoS 以外的攻击，即在 2023 年2 月泄露了莫斯科地铁相关支付系统的文件。值得注意的是，除泄露过一次俄罗斯铁路（Russian Railways）公司的数据外，“IT 军”基本未攻击过俄方的铁路网络。这可能是因为俄军依靠铁路网络将部队、装备和补给运送到前线，因此乌方更希望对俄铁路实施网络间谍活动而非破坏性攻击。

“IT 军”对开采业（包括石油与天然气公司以及采矿公司）发动过 9 次攻击，攻击目标主要是俄罗斯天然气工业股份（Gazprom）公司等俄罗斯石油与天然气巨头的网站。“IT 军”曾两度泄露 Gazprom 公司的文件，这些文件详细展示了 Gazprom 公司在伊尔库茨克（Irkutsk）地区的业务，以及该公司的大量财务记录和员工记录。“IT 军”还对制造业发动过 5 次攻击，攻击目标主要是为战争提供物资支持的生产商，比如大型武器制造商卡拉什尼科夫企业集团（Kalashnikov Concern），以及向俄军供应靴子的公司等。

从统计数据来看，“IT 军”明显放过了敌对阵营的某些经济门类。之所以如此，可能是因为“IT 军”缺少先进的黑客技能，或是不愿意表露出对某些敏感目标的了解，抑或如上文所述，“IT 军”不希望妨碍到由高端团队发动的其他网络行动。正如今年早些时候在 Discord平台上泄露的文件所示，美国情报机构经常利用从俄罗斯网络收集的信号情报来编制情报报告。外界对乌克兰的网络间谍活动不甚了解，相关报道也寥寥无几，但“IT 军”在 2022 年 10月与 SSO 的合作表明，部分乌军正试图长期潜伏在俄方网络中。

“IT 军”基本未攻击过军事和情报网络（此类网络也不在 NAICS 的分类范围之内），而该组织之所以对此类网络“视而不见”，极有可能是因为这些网络中存在重要情报，所以不宜实施破坏。“IT 军”在 2022 年 3 月 3 日对俄方保密网络发动过两次攻击，攻击目标分别是俄罗斯联邦安全局和俄罗斯国民警卫队（Rosgvardia）的内部通信信道，但迄今仍不清楚这些信道的用途以及它们是否真的受到了干扰。

至于包括电力系统和供水公司在内的公用事业公司，也仅遭受过“IT 军”的 3 次攻击。“IT军”仅对电力公司发动过一次 DDoS 攻击，即在2022 年 2 月攻击白俄罗斯能源集团 Belenergo 的网站。此外，“IT 军”还在 2023 年 2 月泄露了俄罗斯一家自来水公司的数据，其中包括 3.8 万名客户的个人数据。值得一提的是，“IT 军”于 2022 年 10 月 15 日发布了一段宣传视频，其中声称其内部团队瘫痪了列宁格勒州（州首府为圣彼得堡）的电网。然而有专家表示，虽然对电网的攻击影响重大，但攻击此类目标需要“长达数月的策划、大量的资源和一支具有广泛专业技能的团队”，而俄方并未就此次事件公开发布网络安全报告，加之考虑到“IT 军”的宣传战倾向，人们很难评估这次攻击的实际影响，甚至不确定是否真的发生过此次攻击。不过该事件至少表明“IT 军”很可能有意攻击俄罗斯的能源基础设施，只是攻击此类设施需要高超的技能和充分的准备，所以相关事件屈指可数。

“IT 军”也基本放过了教育服务业，迄今只对该门类发动过 1 次攻击：2022 年 6 月 20 日，正当俄罗斯学生开始申请学校时，“IT 军”对俄罗斯各大学使用的申请系统发动了 DDoS 攻击。针对此次事件，专家们既担心“IT 军”可能对相关国际规范产生负面影响，也担心该组织在攻击没有军事职能的机构或网络的道路上可能走得太远，比如“IT 军”这次攻击的大学申请系统就与俄乌冲突几乎毫无关联。不过那次攻击已过去近一年，从之后的情况来看，“IT军”并未把教育业视为攻击重点。

“IT 军”还基本放过了住宿与餐饮服务业，迄 今 同 样 只 对 该 门 类 发 动 过 1 次 攻 击， 即 在2023 年 5 月攻击了一家俄罗斯酒店的预订网站。考虑到“IT 军”之前对航空公司预订网站的攻击，该组织过了一年多才攻击俄罗斯旅游业的其他领域反倒令人惊讶。

“IT 军”还放过了建筑业、房地产业、管理与咨询业以及废物处理业，具体原因并不清楚，可能是因为该组织认为最好把资源用到与战争更加息息相关的门类上。

专业、科学和技术服务业也没有成为“IT 军”的攻击目标，考虑到俄罗斯的大学和研究机构过去一向是国家级黑客窃取信息的重点目标，难以理解“IT 军”为何会放过这些行业。

“IT 军”还基本放过了农业、林业、渔业和狩猎业，但对核验农产品的政府系统发动过DDoS 攻击（如 2022 年 6 月对统一国家自动化信息系统的攻击）。目前尚不清楚“IT 军”为何只破坏这些行业的政府系统，而不是把攻击扩大到整个门类。

最后要指出的是，“IT 军”尚未攻击过医疗保健和社会救助行业。长期以来，国际法一直将医疗体系划分为非战斗领域，而“IT 军”迄今为止似乎也遵守了这一原则。

通过乌克兰“IT 军”发布的种种消息，分析人员得以了解战时进攻方如何在网络空间内开展行动，该组织的技术水平，以及该组织在“违反关于网络行动的国际规范并攻击民用目标”方面的意愿。在“IT 军”所宣称的攻击中，90%以上都属于 DDoS 攻击，可见 DDoS 攻击通常比其他类型的网络攻击更容易实施，但仍具有破坏力。“IT 军”发动的破坏性攻击则表明该组织拥有更强大的能力，但根据 CFR“网络行动追踪平台”的数据，该组织每年成功实施的破坏性攻击不超过 7 次。虽然几乎可以肯定这一数字被低估了，但多少也表明“IT 军”的实力恐不足以开展其所宣称的每项行动。

尽管“IT 军”所依赖的技术相对简单，但由于该组织不顾国际规范攻击民用设施和网络，所以仍取得了一定的“战果”。该组织攻击的非政府领域大多都具有民事职能（比如针对金融门类的 93 次攻击和每周针对俄罗斯新闻媒体的攻击），这表明该组织无意遵守美国及部分国家发布的关于“仅对军事目标发动网络攻击”的规范。不过“IT 军”的行动似乎也并非无所顾忌，比如该组织仅对教育业发动过 1 次攻击，同时也不愿攻击医疗保险行业。这一事实表明，尽管“IT 军”比大多数西方黑客组织都更乐于发动攻击，但仍保持了一定的底线。