1.3 武器化:网络战
人类历史上出现一种新技术,一出现就可能被思考是否可以用作武器。如果可以,那么一定会被作为武器来使用。在物理、化学、生物、核能等领域,这样的例子数不胜数,分布式拒绝服务攻击也不例外。
已经发生的网络战中,攻击的目的有两种:一种是占领舆论制高点,赢得国际社会支持;另一种是宣扬决心和能力。几次事件都爆发在实力悬殊的国家之间,这决定了战争的方式和目标,所以这并不意味着网络战只有两种形式。
1.3.1 网络战爆发:爱沙尼亚战争
网络战的爆发并不出人意料,军事战略家早就对这种可能性做出了预测。一个国家对基础信息网络的依赖性越强,就越容易遭受网络打击。人们理所当然地将目光的焦点集中在美国这个世界上最大的经济体、信息系统最发达的国家身上。然而,世事总是出人意料,直到战争发生,大家才注意到一个宽带覆盖和互联网日常使用甚至超过美国的东北欧小国——爱沙尼亚。
爱沙尼亚是位于波罗的海沿岸的一个小国(图1-7),二战结束后成为苏联的一部分。为了纪念战争中牺牲的战士,苏联在众多的东欧国家首都修建了巨大的铜像,爱沙尼亚也不例外。而当冷战结束,爱沙尼亚宣布独立以来,这里生活的30万俄罗斯人和100万爱沙尼亚人之间的关系越来越紧张,首都塔林的纪念像成了焦点。2007年4月,爱沙尼亚首相安德鲁斯·安西普提出,将铜像从塔林转移到军人墓地。4月27日(后来被称为“铜像之夜”),激进团体在这里爆发了冲突。事件不仅引发本国骚动,也导致俄罗斯政府和民众的不满。俄罗斯外交部指责爱沙尼亚一手促成紧张局面,并在5月1日以“铁路维修”为由,停止向爱沙尼亚出口石油和煤。
图1-7 爱沙尼亚地理位置
2007年4月底至5月,爱沙尼亚的重要网络基础设施,包括国会、总统府、总理办公室、央行、主要媒体报社等网站都受到DDoS攻击而关闭。攻击的第一次高峰出现在5月3日,当天莫斯科爆发最激烈的示威抗议。另一次高峰是5月8日和9日,欧洲各国纪念战胜纳粹德国,攻击同步升级,最少六个政府网站被迫下线,其中包括外交和司法部。最后一次攻击高峰是15日,该国最大的几家银行被迫暂停国外连线。
爱沙尼亚国防官员追查攻击时,发现虽然攻击看似来自世界各地的电脑,但原始攻击直接来自俄罗斯,部分域名还以俄罗斯总统普京的名义登记。面对指责,俄罗斯多次否认与事件有关,并抨击爱沙尼亚虚构指控。俄罗斯驻爱沙尼亚大使弗拉基米尔·奇若夫向《卫报》指出:“说攻击来自俄罗斯或俄政府是严重指控,你必须拿出证据来。网络空间无处不在。我个人不支持这种行为,但人们应该先搞清楚袭击者来自哪里,为什么发动攻击。”[17]
爱沙尼亚是北约成员国,根据《北大西洋公约》有关条款规定,针对任何一个成员国的攻击都可视为针对所有成员国的攻击。据此,北约向爱沙尼亚派出了技术顾问,以帮助其消除网络攻击带来的损害。但除此之外,北约并没有进一步采取任何正式的外交或军事行动。
1.3.2 硝烟再起:格鲁吉亚战争
南奥塞梯位于高加索格鲁吉亚北部,曾为苏联时期格鲁吉亚苏维埃社会主义共和国管辖下的一个自治州(图1-8)。1990年,格鲁吉亚准备脱离苏联独立,南奥塞梯议会却宣布成立南奥塞梯共和国,脱离格鲁吉亚成为苏联的一部分。之后的几年冲突不断,直到1994年才进入和平状态。2008年4月,格鲁吉亚传出可能加入北大西洋公约组织的消息,双方冲突也因此一触即发。
图1-8 南奥塞梯的战争形势图(摘自维基百科)
2008年8月5日,南奥塞梯的新闻网站OSInform和OSRadio遭到黑客攻击,网站标识保持不变,内容却被替换为阿拉尼亚电视(格鲁吉亚政府支持,面向南奥塞梯人的电视台)的内容。南奥塞梯特使Dmitry Medoyev前往莫斯科,声称格鲁吉亚是在企图掩盖有关战争的信息。
2008年8月8日,格鲁吉亚展开全面军事行动进入南奥塞梯,很快控制了该地区三分之二以上的领土,并包围了首府茨欣瓦利。同日,俄罗斯军队进入南奥塞梯地区,9日展开军事行动,很快控制了茨欣瓦利,并在随后几日占领了南奥塞梯以外的格鲁吉亚领土和军事基地。
当俄军对格鲁吉亚的军事行动全面开始后,俄罗斯对格鲁吉亚的网络攻击也全面展开,包括媒体、通信和交通运输系统在内的格鲁吉亚官方网站都瘫痪了,对格鲁吉亚的军事行动造成了较大的影响,直接影响到了格鲁吉亚的战争动员与支援能力。格鲁吉亚总统萨卡什维利的个人主页被人替换(图1-9),黑客在网站上贴出了“精心”挑选的宣称“萨卡什维利和希特勒‘有相似性’”的照片。总统萨卡什维利的网站及一家著名电视台的网站,先是转移到一家美国公司的服务器上,但很快又受到攻击。迫于无奈,格鲁吉亚总统萨卡什维利向波兰总统莱赫·卡钦斯基“求救”,在征得后者同意后,格鲁吉亚政府将外交部的新闻稿张贴在卡钦斯基的网站上。[18]
图1-9 格鲁吉亚总统萨卡什维利
格鲁吉亚驻英国大使馆发言人8月11日在接受英国媒体采访时表示,格鲁吉亚的网站全面遭到封锁。
在国际调停下,2008年8月13日,格俄双方就停火原则达成一致。8月18日,俄军开始从南奥塞梯撤军。8月26日,俄罗斯总统梅德韦杰夫签署命令,宣布承认南奥塞梯和阿布哈兹独立。8月28日,格鲁吉亚宣布与俄罗斯断交。9月10日,俄罗斯与南奥塞梯建立正式外交关系。
阿塞拜疆新闻网站day.az声称,是俄罗斯情报部门通过代理实施了针对格鲁吉亚政府网站的DDoS攻击。但俄罗斯政府否认了这一指控,称这可能是某些个人行为。有人认为,是圣彼得堡的一个犯罪团伙——俄罗斯商业网(Russian Business Network)实施的攻击,因为正是他们在2007年攻击了爱沙尼亚(图1-10)。以色列的计算机应急响应小组的前首席Gadi Evron认为,这次攻击类似于网络暴乱,而不是网络战。Greylogic的安全研究人员则声称,俄罗斯国防部军事情报局和俄罗斯安全局(FSB)可能起到了关键作用,共同协调和组织了攻击。美国前情报官员John Bumgarner的研究结论是:第一波网络攻击是俄罗斯军事行动的一部分,而第二波则来源于对俄罗斯的同情者。
图1-10 俄罗斯商业网
事实上,俄罗斯也遭受到网络打击。8月8日,一家俄文网站发布消息称,南奥塞梯政府官方网站和俄罗斯官方通讯社俄新社网站均受到DDoS攻击。俄新社记者纳塔利娅·洛谢耶娃在博客中写道,这是“非常严重的预谋行动,是信息战的一部分”。但她并未透露黑客攻击究竟来自哪个国家。8月11日凌晨,俄罗斯英文电视频道“今日俄罗斯”受到黑客的集中攻击,网站资源库被锁,随后出现技术故障。据该电视频道信息安全部专家透露,IP地址显示,黑客攻击来自格鲁吉亚首都第比利斯。
1.3.3 美韩政府网站遭攻击
图1-11 2009年7月美韩受攻击网站
2009年7月4日,美国与韩国的政府及知名机构网站遭受了DDoS攻击。如图1-11所示,受害者包括美国和韩国议会、白宫、纽约证券交易所、华盛顿邮报等网站。[19]
攻击分三个阶段进行,期间峰值流量高达13GB/s。大部分的攻击(93%)采用了HTTP GET FLOOD,其他主要是UDP FLOOD和ICMP FLOOD攻击。如图1-12所示,对恶意程序的静态分析显示,构造的数据是完全合法的HTTP GET请求。[20]根据一份韩国的研究报告显示,大约115000台僵尸主机参与了攻击。[21]
图1-12 2009年7月攻击中的恶意程序片段
第一阶段:7月4日(美国独立日),攻击针对美国和韩国网站。受影响的网站包括白宫和五角大楼等网站。
第二阶段:7月7日,攻击针对韩国网站,目标包括韩国总统府青瓦台、国防部、公共管理和安全部、国家情报院和国民议会等。
第三阶段:7月9日,攻击针对韩国网站,目标包括该国的国家情报服务,以及其最大的银行之一和主要的新闻机构。美国国务院声称其网站也受到了攻击。
2009年10月30日,韩国国家情报局声称,攻击源来自朝鲜邮电部。
2011年3月4日,类似的攻击又发生了一次。韩国政府各部、国民议会、军队总部、驻韩美军和各大银行等29个机构受到影响,韩国的网上股票交易系统也被关闭数分钟。[22]