乌克兰IT军队围绕网络攻击建立高效内部协调机制

大约3年前，在俄乌战争爆发前，一位化名“泰德”（Ted）的乌克兰企业家表示，他花时间在乌克兰和国外建立科技公司。当俄罗斯向乌克兰城市发射第一枚导弹时，“泰德”和其他当地技术人员加入了一个名为“IT军队”的组织，该组织由乌克兰数字化转型部众包，在网络空间中使用破坏网站和使其离线等零散攻击与俄罗斯作战。

“泰德”对黑客攻击从来没有太大兴趣，但他认为他的一些技能可能对该志愿“军队”有用。此后，他专注于代表“IT军队”与媒体接触，并策划该组织的Telegram频道，该频道是其主要沟通平台。

自成立之初，乌克兰“IT军队”的工作就在全球网络社区引发了许多问题：它与政府有何联系？它在正在进行的网络战争中扮演什么角色？参加该团体可能会产生什么后果？随着乌克兰战争的愈演愈烈，大多数问题仍然没有答案。然而，“IT军队”并没有放慢脚步——该组织正在改进其工具并强化其策略，希望他们的攻击将有助于扭转战争的局面。

就在3个月，“IT军队”声称对俄罗斯卫星通信系统、多家互联网提供商和票务支付系统的攻击负责。尽管黑客经常强调俄罗斯媒体对黑客事件的报道以及受分布式拒绝服务（DDoS）攻击影响的公司的声明，但该组织的许多说法都难以核实。

与大多数DDoS攻击（这些攻击会用垃圾流量淹没目标服务，使其无法访问）类似，“IT军队”实施的攻击很少会造成长期中断。“泰德”表示，该组织意识到其局限性。该组织的攻击不会赢得与俄罗斯的战争，但可能会给人们带来精神损失，扰乱俄罗斯的商业运营，并迫使公司在网络防御上花钱。

“泰德”称，“我们希望成为压垮骆驼的最后一根稻草。”

“泰德”在俄乌战争初期加入“IT军队”，他回忆称“没有人真正知道它为何创建或它应该如何运作”。除攻击尽可能多的俄罗斯公司外，该组织没有任何结构或战略。最初，“IT军队”的目标包括俄罗斯送货服务、电影网站和电子商务平台。后来，它转向了更具战略意义的目标，例如电信公司、大型银行和支付系统。

该组织在其Telegram频道上获得了大量追随者，最多时拥有约300000名成员。并非所有人都积极参与黑客活动；有些人只是对该组织的活动感到好奇，而另一些人则是俄罗斯用户，他们正在收集有关黑客下一步行动的见解。

乌克兰国家官员表示，“IT军队”和其他黑客组织在战争一开始发挥了重要作用。乌克兰国家网络安全协调中心（NCSCC）业务活动负责人谢尔希·普罗科彭科表示，“俄罗斯没有预料到乌克兰和国际社会会出现如此强烈的反应。”他称，“黑客活动分子的行动将俄罗斯的资源从攻击乌克兰转向加强自身防御，我们从中受益匪浅。”

国际专家也对该组织的活动表示赞赏。总部位于日内瓦的非营利组织网络和平研究所的发言人表示，“我们的分析强调了IT军队在亲乌克兰威胁行为者中发挥的重要作用。”

该所研究人员在过去两年中检测到至少92起由“IT军队”发起的网络攻击——该组织本身声称，仅2023，其攻击就影响了400多家俄罗斯公司。

大多数此类攻击都是轻而易举的成果，包括DDoS攻击、篡改和黑客泄露操作。

“泰德”称，“DDoS攻击对于没有特殊黑客技能的人来说非常简单且易于攻击。此外，你永远无法完全免受此类攻击。”

“泰德”解释称，为使该组织发动更具破坏性的攻击，他们需要彻底改革其行动，考虑到该社区由遍布乌克兰和国外的数千名志愿者组成，这是一项具有挑战性的工作。他称，“最好是改进和扩展我们已有的东西，而不是转向新的东西。”

然而，过去两年该组织的运营发生了很大变化。“泰德”表示，将早期的“IT军队”与现在的情况进行比较，就像将一家初创公司与一家规模较小但成熟的公司进行比较一样。

他称，“一开始，我们没有任何软件，也没有情报团队，但现在我们的流程更加高效，允许兼职志愿者执行复杂的操作。很少有人相信志愿者可以变身进入这样一个协调的机器。”

现在，“IT军队”由几个不同的单位组成：一个选择目标和计划攻击的情报团队、软件开发人员和一个通信团队。每个单位都有一个负责其运作的人，但没有一个小组的领导者。

推出新产品的过程与初创公司使用的过程类似。“泰德”称，“有人提出一个想法，提出最简可行产品（MVP），然后对其进行测试，然后团队决定是否推出它。”

网络和平研究所表示，多年来，黑客行动主义一直是一种流行的民间抵抗形式，但“IT军队”因其成立而成为独特的威胁行为者。

英国安全与国防智库皇家联合军种国防研究所（RUSI）研究分析师皮娅·休施表示，“虽然乌克兰政府一再强调它不控制‘IT军队’，但它最初呼吁黑客加入他们的行动，提供指示，并继续从他们的活动中受益。这留下了关于乌克兰政府的参与以及随之而来的任何法律影响的疑问。”

“IT军队”是应乌克兰数字化转型部长米哈伊洛·费多罗夫的号召而成立的。然而，该组织和乌克兰政府官员均声称，他们的合作尚未超出最初的范围。

“泰德”称，“我们没有期待政府提供任何东西，他们也没有提供任何东西。商业部门也不支持我们，因为我们处于灰色地带。”

乌克兰数字化转型部表示，不会对“IT军队”发表评论，这是一个独立的志愿者社区，黑客活动人士的任何言论都代表“IT军队”的立场，而不是该部的立场。

然而，许多研究人员不同意“IT军队”的黑客行动主义地位，认为它可能与乌克兰的国防和情报人员合作，并召集平民和专业专业人员对俄罗斯实施进攻行动。

苏黎世联邦理工学院安全研究中心（CSS）高级研究员斯特凡·索桑托在其关于“IT军队”的报告中称，“对于乌克兰的国防和情报部门来说，让‘IT军队’自由独立地开展行动——特别是在战时——似乎不仅是一种分析延伸，而且很可能导致战略混乱以及对国防和情报部门自身在网络空间行动的战术干扰。”

“泰德”表示，该组织只能在非官方和个人层面上与国家合作。乌克兰国家网络安全中心的谢尔希·普罗科彭科表示，政府官员不会向“IT军队”分配任何任务，但有时该组织的成员会直接联系乌克兰情报部门的代表并提供帮助。

“IT军队”在乌克兰不被视为法人实体，因此即使根据当地法律，其活动也会受到惩罚。俄乌战争开始时，该组织并不关心黑客入侵俄罗斯的法律后果。然而，现在许多乌克兰黑客活动分子以及国际社会都担心战争结束后国际人道法将如何适用于平民黑客。

皮娅·休施表示，根据国际法，该组织的活动可能会产生法律后果。皮娅·休施称，“例如，如果他们的行动相当于直接参与敌对行动，那么‘IT军队’成员就会失去对平民免受对手直接攻击的保护。”

这意味着俄罗斯可以合法地打击通过网络手段直接参与战争的“IT军队”成员。

“泰德”表示，该组织的成员并不害怕此类袭击，称 “俄罗斯已经向所有人发射导弹。”不过，他确实承认，有必要采取某种监管措施，为乌克兰黑客活动分子提供更多保护。他称，“我们希望乌克兰为全世界树立榜样，使此类活动合法化。士兵杀人，游击队杀人——他们这样做是合法的，而我们的袭击是非法的。”

“泰德”建议，将“IT军队”成员指定为战斗人员可能是一种可能的解决方案。根据网络和平研究所的说法，战斗人员如果被俘、受伤或生病，将享有特定的法律保护，并且不能因合法的战争行为而受到起诉。然而，参加“IT军队”的平民可能无法获得同样的保护，如果违反法律，可能会被追究责任。

研究人员表示，“IT军队”的国际成员面临着更大的风险。根据联合国网络规范，各国不得允许其领土被用于涉及信息技术的国际不法行为。从事此类活动的个人可能会面临国家、地区或国际法的起诉。

皮娅·休施警告称，“在另一个国家舒适的客厅里发起网络行动可能看起来远离前线，但它仍然可能带来严重的法律后果。”

尽管关于如何合法地看待“IT军队”的工作进行了多次讨论，但乌克兰和国际社会都没有得出明确的结论。

谢尔希·普罗科彭科表示，该组织在乌克兰的地位不太可能改变。相反，乌克兰正在考虑建立一个独特的网络预备役的可能性，其中将包括黑客活动社区的最佳成员。

皮娅·休施表示，网络预备役团体有助于最大限度地发挥“IT军队”的网络能力。她称，“例如，爱沙尼亚就拥有一支成熟的网络预备役部队。乌克兰政府此前曾表示，希望将其结构改造成类似于爱沙尼亚的结构。”

正如谢尔希·普罗科彭科解释的那样，乌克兰的网络预备役力量将由具有网络安全专业知识的专业人员组成，并可能被要求协助国家开展网络行动或网络防御。谢尔希·普罗科彭科表示，乌克兰的网络预备役可能隶属于该国国防部，但最终决定尚未做出。

谢尔希·普罗科彭科表示，除网络预备役外，乌克兰还考虑与国际合作伙伴建立联合响应小组，乌克兰黑客活动分子在其中可以利用他们的专业知识。他补充称，但当乌克兰战争仍在继续时，“我们希望这些人留在我们身边。”

“泰德”表示，黑客行为的法律后果问题最近变得更加紧迫，因为乌克兰人将国家拱手让给俄罗斯的可能性较小。他称，“现在我们可以考虑我们自己的安全。”

然而，法律上的模糊性并没有阻止该组织的成员继续针对俄罗斯采取行动。“泰德”称，该组织之所以坚持这么久，是因为其成员觉得他们不能袖手旁观。他称，“对于大多数人来说，在‘IT军队’工作是对没有身处第一线的愧疚的补偿。”