編者按
總部位於瑞士日內瓦的非政府組織網絡和平研究所近日發文,分析俄烏戰爭期間的網絡攻擊情況,以及此次戰爭背景下網絡攻擊的未來風險影響。
根據戰爭期間網絡攻擊數據,網絡和平研究所認為俄烏戰爭爆發100天內的網絡攻擊體現出以下五大顯著特徵:
一是網絡攻擊在俄烏戰術推進中均未發揮主要作用,而是被用作一種破壞、中斷、數據泄露和虛假信息的手段,導致網絡空間動盪不安;
二是俄烏衝突引發眾多針對關鍵基礎設施的網絡攻擊,上述攻擊違反了國際人道法;
三是平民黑客在俄烏衝突中發揮了重要作用,其主要攻擊類型體現為反俄行為者開展的「黑客攻擊和數據泄露」式攻擊以及親俄行為者對烏克蘭盟友開展的拒絕服務攻擊;
四是隨着世界各國政府實施或加大制裁力度,俄烏兩國的能源、礦業和金融部門在衝突中遭受了大量攻擊;
五是除傳統宣傳手段外,網絡攻擊還被用來傳播虛假信息並控制與戰爭有關的信息流,戰爭期間的虛假信息傳播在線下和線上同步開展。
奇安網情局編譯有關情況,供讀者參考。
烏克蘭:網絡空間戰100天
6月3日標誌着俄烏戰爭爆發100天。期間,烏克蘭各城市不但炮火連綿還遭受了嚴重網絡攻擊。自2月24日以來,網絡和平研究所匯總了針對兩組目標的網絡攻擊的數據:
1. 對平民生存至關重要的烏克蘭和俄羅斯關鍵基礎設施以及平民物體,兩者都受到國際人道法(IHL)保護。
2. 俄烏兩國以外的因戰爭及其相關經濟和地緣政治背景而受到網絡攻擊影響的目標。
這些數據已公開,並有助於分析戰時網絡的使用情況。在網絡攻擊和事件公開後,對其進行跟蹤非常重要,以便可以記錄攻擊情況,並在可能的情況下確定對平民的傷害和風險。即使不是直接目標,世界各地的平民也可能會受到網絡攻擊的負面影響。因此,保護有關網絡攻擊的信息非常重要,以便可以確定與武裝衝突中使用網絡行動相關的法律發展或澄清,並在未來司法程序中進行問責。
一、俄烏戰爭中的網絡攻擊和行動
在俄烏衝突中,過去100天的網絡攻擊有幾個關鍵要點:
1. 雖然網絡攻擊在雙方的戰術推進中都沒有發揮主要作用,但除廣泛使用的虛假信息外,網絡攻擊被用作一種破壞、中斷和數據泄露的手段,導致網絡空間動盪不安。
2. 這場衝突導致了很多針對關鍵基礎設施的網絡攻擊,如對通信服務和發電站的攻擊,違反了國際人道法。
3. 所謂的「黑客集體」在這場衝突中發揮了重要作用,其主要攻擊類型為:反俄行為者開展的「黑客攻擊和數據泄露」式攻擊;親俄行為者對烏克蘭盟友開展的拒絕服務攻擊(DDoS)。
4. 隨着世界各國政府開始實施和/或加大制裁力度,烏克蘭和俄羅斯的能源、礦業和金融部門都遭受了大量攻擊。
5. 除傳統宣傳手段外,網絡攻擊還被用來傳播虛假信息並控制與戰爭有關的信息流。
兩個月前,我們發表了一篇關於烏克蘭網絡攻擊的危害和影響的博客。從那時起,我們記錄了與衝突有關的攻擊事件,以及攻擊對烏克蘭境外組織和個人的影響情況。
我們嚴重關切的不是任何單起事件,而是嚴重影響平民的網絡攻擊和動能攻擊的結合。網絡攻擊可以通過多種方式傷害平民。進一步分析採集數據所得出的一些關鍵意見涉及網絡攻擊的四種主要後果:
●破壞——旨在永久刪除數據或損壞系統使其無法恢復的攻擊。在此次戰爭中,烏克蘭政府實體和其他部門已經被安置惡意擦除軟件。如果組織無法檢索備份或重置系統,這些攻擊可能會對組織產生長期影響。
● 中斷——由於流量增加或系統加密等原因導致服務或操作暫時中斷的攻擊。DDoS攻擊在衝突期間非常突出,包括戰爭初期針對烏克蘭組織、在烏克蘭政府呼籲組建「IT軍隊」後針對俄羅斯組織,以及在對俄羅斯實施制裁後針對一些北約成員國公共機構的攻擊。上述攻擊嚴重影響了烏克蘭全國的電信和互聯網服務的連通性,以及烏克蘭、俄羅斯和世界其他地區網站的可用性。
● 數據泄露——導致數據被竊取或泄露,或出於間諜、偵察或情報目的獲取數據的攻擊。儘管後者是戰爭和地緣政治衝突中的已知做法,但前者是由行為者集體以激進主義名義開展的大量攻擊。數據正在以前所未有的速度被泄露並在線發布,尤其是與俄羅斯私人和公共組織有關的數據。
●虛假信息——以傳播虛假信息和宣傳和/或操縱信息空間為重點的攻擊,此類攻擊利用網絡,並已成為武裝衝突的一個特徵。從傳播ATM技術故障虛假信息的垃圾短信,到在滾動新聞中錯誤展示信息或者播放「深度造假」視頻的電視台網絡攻擊,再到威脅行為者通過泄露電子郵件賬戶訪問烏克蘭知名人士社交媒體賬戶以發布虛假信息。
表1 網絡攻擊時間線及其數字化影響
二、俄羅斯升級——引入惡意擦除軟件
惡意擦除軟件攻擊活動一直是俄烏戰爭的代名詞。自1月份以來,已發現6款針對烏克蘭實體和組織的重要數據擦除惡意軟件,包括WhisperGate/WhisperKill、HermeticWiper、IsaacWiper、AcidRain、CaddyWiper、DoubleZero。其中3款軟件在戰爭發生的前一天或當天首次被發現部署。關於這些攻擊的影響目前還少有公開報道,但這些攻擊似乎主要針對烏克蘭的公共部門、金融和能源公司以及電信供應商。據報道,2月25日對邊境控制站的一次惡意擦除軟件攻擊延緩了難民從烏克蘭進入羅馬尼亞的進程。
隨着戰爭的發展,破壞性網絡攻擊和行動繼續被使用。4月8日,一次使用惡意擦除軟件對烏克蘭變電站的攻擊被挫敗,如果此次攻擊成功,將導致大約200萬人斷電,恢復供電將十分困難。而且,網絡和平研究所還記錄了「匿名者」相關團體所稱的對俄羅斯公共部門以及金融、能源和旅遊管理公司的破壞性襲擊。例如,4月18日對一家俄羅斯銀行的攻擊導致了超過1TB的數據被泄露,其中包括財務報表、代幣、稅務表格、客戶信息和敏感數據庫。據稱,為防止數據和功能恢復,此次攻擊還刪除了所有備份。
三、關鍵的基礎設施未能倖免
——通信服務受到影響
信息和通信技術(ICT)行業是在戰爭期間成為攻擊目標的最顯眼領域之一。網絡和平研究所記錄了至少6次專門針對烏克蘭電信服務提供商的網絡攻擊或活動。烏克蘭國家特殊通信和信息保護局(SSCIP)5月4日表示,「入侵部隊故意破壞了烏克蘭境內的電視和廣播基礎設施,剝奪了烏克蘭人民獲得有關戰爭進展和烏克蘭局勢的可靠信息的所有機會。」雖然該簡報指的是動能攻擊,但收集到的針對媒體實體和電信服務提供商的網絡攻擊數據表明,網絡也被用作破壞信息訪問的手段。
在俄烏戰爭爆發當天,針對Viasat位於烏克蘭的KA衛星網絡的「酸雨」(AcidRain)惡意擦除軟件攻擊影響了一家德國大型能源公司,導致該公司失去了對5800多颱風力渦輪機的遠程監控訪問權限。儘管此次襲擊貌似針對烏克蘭軍事目標,但烏克蘭境內外的平民和民用目標都受到了影響。在3月28日烏克蘭一家主要網絡提供商遭到襲擊後,烏克蘭發生了全國範圍的網絡中斷,網絡連通性崩潰至戰前水平的13%,在最初中斷發生約15小時後才得以恢復服務。
表2:各國各行業受影響對比
*一些攻擊或活動影響了多個行業
四、平民和集體在網絡空間掀起波瀾
2月26日,烏克蘭數字轉型部長邁哈伊羅·費多羅夫宣布成立一支IT專家軍隊在網絡空間為烏克蘭而戰。這一行動號召(通常被稱為烏克蘭「IT軍隊」)的後果和潛在的長期影響尚不得而知。烏克蘭政府宣布,在5月9日至15日這一周,有240多個俄羅斯在線資源遭到了其「IT軍隊」的攻擊。
然而,相關集體的攻擊引起了巨大轟動。在公開宣布對一方或另一方的效忠後,這些集體以空前罕見的速度和規模開展了網絡攻擊。自2月26日起,一個名為「分布式拒絕秘密」的組織開始發布主要來自俄羅斯組織的數百G數據。今年年初以來,黑客組織「匿名者」一直活躍於對俄羅斯和親俄組織實施黑客攻擊和泄密行動。網絡和平研究所記錄了44起「匿名者」承認的事件,其中39起攻擊發生在俄羅斯,3起發生在白俄羅斯,德國和法國各1起但與對俄羅斯組織的襲擊有關。
表3:不同國家攻擊的結果
在這場衝突中,各類集體在網絡空間中發揮了重要作用。其主要的攻擊類型是:反俄行為者開展的「黑客攻擊和數據泄漏」式攻擊,親俄行為者對烏克蘭盟友開展的DDoS攻擊。
五、烏克蘭盟友和北約國家受到網絡攻擊
4月和5月發生的一系列DDoS襲擊事件,影響了諸多支持烏克蘭國家的公共管理部門、政府網站和國家鐵路供應商。所記錄的針對北約成員國和候選成員國的攻擊涉及:芬蘭、捷克共和國、羅馬尼亞、愛沙尼亞、德國、加拿大、西班牙、法國和意大利。Killnet集體組織公開宣稱對這些襲擊負責,因為該組織已對「匿名者」公開宣戰,這也是數個「匿名者」派系宣布與俄羅斯開展「網絡戰」的直接後果。Killnet在俄烏戰爭發生後走進人們視野,目前對該組織情況還知之甚少。
許多攻擊都發生在與制裁、武器供應和正在進行的北約成員國身份談判有關的地緣政治和經濟背景下。
六、制裁與否?
能源、礦業和金融行業深感壓力
2022年1月以來,網絡和平研究所記錄了許多針對能源行業(特別是天然氣)和採礦行業(特別是石油)的攻擊事件,這些行業遭遇到了一系列襲擊。已經記錄了12起針對俄羅斯組織的攻擊,其中多數(8起)是黑客攻擊及後續數據泄露,2起攻擊導致網站/公共界面篡改,以發布親烏克蘭信息。已經記錄了6起針對烏克蘭的攻擊,但這些攻擊在性質上有所不同,因為它們可以歸類為更廣泛的網絡間諜或惡意擦除軟件攻擊類別。
針對德國(4起)、瑞士(1起)、西班牙(1起)和美國(1起)組織的攻擊與戰爭間的有形聯繫較少,但被認為可能與對俄羅斯組織的制裁有關。例如,3月2日,總部位於瑞士的俄羅斯北溪2號天然氣管道運營商表示,其移動和固定網絡線路無法連接,並已因網絡攻擊關閉了網站。
俄羅斯聯邦的金融部門也受到數據泄露(10起)和DDoS攻擊(3起)的影響,自戰爭以來共記錄了12次攻擊,而烏克蘭金融組織受到DDoS(4起)、惡意擦除(1起)和網絡間諜(1起)攻擊的影響。在俄烏之外,德國金融監管機構BaFin最近向金融部門發出警告,因為烏克蘭戰爭導致了網絡攻擊增加。與對能源和採礦行業的攻擊一樣,如果沒有進一步深入研究,就不可能在制裁和對金融行業的網絡攻擊間建立明確的因果聯繫,但網絡和平研究所當然注意到對金融行業的網絡攻擊有所增加,因為該行業的制裁也已收緊。
七、通過網絡攻擊控制信息空間
每場戰爭都伴隨着宣傳。在俄烏戰爭爆發前的幾年裡,俄羅斯聯邦一直試圖在其領土內外牢牢掌控信息空間。近年,俄羅斯已經從宣傳轉向使用虛假信息。前者製造和傳播政治或意識形態言論,即用於傳播影響力的片面觀點;後者作為故意誤導和操縱的敵對行為,傳播虛假信息。從使用「殭屍農場」吸引最大受眾到開展網絡攻擊以破壞網站的各種策略,這場戰爭的虛假信息傳播正在線下和線上同步開展。對媒體部門的攻擊是無情的,試圖通過傳播虛假信息和中斷服務來影響信息空間,以限制烏克蘭和/或俄羅斯民眾獲得及時、可靠和官方的信息。3月16日,Ukraine 24電視台遭到襲擊,錯誤地報道了烏克蘭總統澤連斯基敦促烏克蘭人停止戰鬥並放下武器的虛假信息。該節目滾動新聞被黑客入侵,顯示了看似來自澤連斯基的信息。2月26日,包括塔斯社(TASS)、Fontanka和《生意人報》(Kommersant)在內的多家俄羅斯國內新聞網站遭到襲擊,信息被替換為戰爭死者的「墓碑」。
威脅行為者試圖影響主流媒體的信息流,他們訪問或冒充烏克蘭知名人士的賬戶、通過網絡攻擊篡改網站或修改信息,以傳播地緣政治信息、傳播虛假信息並影響公眾輿論。烏克蘭和俄羅斯聯邦都在發生此類襲擊,因為那些持反地緣政治觀點的人正試圖讓人們聽到他們的聲音。
毫無疑問,針對平民的攻擊通常與網絡釣魚、欺詐和惡意垃圾郵件活動相關聯,因為威脅行為者試圖在危機時期利用大眾的脆弱性或慷慨之心。2月15日,在一場短信垃圾郵件事件中,平民成為了特定的目標。該事件似乎與一次針對銀行和政府網站的DDoS攻擊同時進行,目的可能是製造恐懼和混亂。
表4:各國哪些行業受影響最大
八、網絡空間動盪不安
在這場戰爭背景下進行的網絡攻擊產生了廣泛的後果,不僅涉及政府、公司和平民,也涉及安全、可靠和可信的技術使用。
在武裝衝突期間,關聯鬆散的個人參與網絡攻擊構成了以下挑戰,並為未來的衝突樹立了危險的先例:
●直接參與敵對行動的平民可能會失去國際人道法賦予平民的保護,並可能成為網絡戰或動能手段的目標,和/或受到起訴。這將衝突的潛在影響擴大到了個人和社會。
●個人(未受僱於政府的軍事或文職人員)的參與對全球個人構成風險——組織鬆散的團體缺乏適當的協調、訓練和交戰規則,可能會通過其參與攻擊的二級和三級後果造成附帶損害。
●集體的參與帶來了歸因挑戰,這反過來會使對網絡攻擊造成損害的問責複雜化。
除因大量行動者加入戰爭而導致的網絡空間不穩定外,網絡和平研究所還注意到了一些其他挑戰,其長期影響尚有待澄清。通常建立在協作原則基礎上的開源技術被用來傳播虛假信息和宣傳,甚至嵌入了惡意軟件。這一新趨勢被稱為「抗議軟件」(protestware),引起了人們對其可能對項目和貢獻者造成傷害的擔憂。
當今世界仍在苦惱該如何處理勒索軟件攻擊導致的大量數據在線泄露問題,攻擊者以激進主義和反對戰爭的名義在線泄露的大量數據令人擔憂。公開發布這些包含數百萬條個人數據的TB量級數據的後果尚不完全清楚,但可以肯定的是,無論個人是否在衝突中發揮作用,他們都極有可能受到影響。
九、呼籲保護受害者並尊重法律和規範
網絡和平研究所正在跟蹤針對平民人口生存所必需的關鍵基礎設施和民用物體的網絡攻擊,以及因戰爭及其相關經濟和地緣政治背景而受到網絡攻擊影響的目標。重要的是要強調,無論是在戰時還是在和平時期,此類攻擊都不應針對關鍵基礎設施和民用物體。網絡和平研究所呼籲各方依據國際人道法保護平民和其他受保護人員、民用物體和確保提供基本服務的基礎設施。這是武裝衝突各方的義務。遵守該法律對於挽救生命和減少磨難至關重要。
需要對網絡的使用情況進行持續分析,從適用的法律和規範的角度理解這些攻擊,也要對違反國際法的攻擊(如過度和不加區別的攻擊)進行追責。為此,網絡和平研究所將繼續監測俄烏戰爭背景下的網絡攻擊使用情況。
重要的是,在聯合國開放工作組(OEWG)和其他國際論壇的框架內,從這次武裝衝突中的網絡使用中吸取教訓,包括在戰時能夠獲取準確信息,對和平與安全的影響,以及維護《聯合國憲章》和網絡空間負責任國家行為的國際法和規範。推動網絡空間中負責任國家行為對於確保網絡空間的開放、自由、穩定和安全至關重要,這需要各領域利益攸關方的承諾和參與,包括能夠更好地了解網絡攻擊對受害者影響的民間社會組織。
推薦閱讀
網安智庫平台長期招聘兼職研究員
歡迎加入「安全內參熱點討論群」
文章來源:網絡空間安全軍民融合創新中心
留言列表