俄乌冲突,开启网络战向数字战的演化
2022年开年最大的黑天鹅事件,非俄乌冲突莫属了。除了常规战外,其间还爆发了人类历史上第一次真正意义上的网络战。
网络战与传统战争结合,正在演变为数字战争,成为影响战争态势的重要力量。在俄乌开战前,网络战已经提前开打,乌克兰和俄罗斯双方的政府部门和银行、通信、电力等关键基础设施均遭受了网络攻击。另一方面,星链卫星、无人机、人工智能等数字化技术为各种武器装备赋能,融为一体。乌克兰获得高科技加持,弥补了战力弱势;而俄罗斯由于数字化程度落后,战场损失扩大。可以说这次是网络战与传统战混合、网军和民间黑客组织与网安公司混合、线上和线下混合的一场大型战争。
值得注意的是,俄乌冲突体现出的一些新的特点。
一是网络战成为全域作战的优先战力。本轮网络对抗可以分为两个时间段,以双方的武力对抗开始为分割线。
首先是双方宣战之前:
2022年1月10日,360在荷兰捕获到处于测试阶段的WhisperGate,该软件于2022年1月13日首次出现在被攻击对象乌克兰的系统上,伪装成勒索软件。
1月14日,乌克兰外交部、教育部、内政部、能源部等在内的多个政府网站因遭到大规模网络攻击而关闭。
2月2日,黑客组织“UAC-0056”针对乌克兰的攻击被披露。
2月12日,360截获Mirai、Gafgyt、ripprbot、moobot等僵尸网络攻击乌克兰方向指令。
2月15日,乌克兰国防部、武装部队等多个军方网站和银行的网站遭到大规模网络攻击而关闭。
2月18日,360捕获高级持续性威胁组织Gamaredon启用多个新的网络武器对乌克兰相关目标发起攻击,包含政府机构、医疗、军事后勤等。
2月23日,乌克兰境内多个政府机构(包括外交部、国防部、内政部、安全局及内阁等)以及两家大型银行(乌克兰最大银行Privatbank及国家储蓄银行Oschadbank)的网站再次沦为分布式拒绝服务攻击(Distributed Denial of Service,DDos)的被攻击对象。
2月23日,在乌克兰数百台计算机上发现新型恶意数据擦除软件HermeticWiper(又名 KillDisk.NCV)的第一个样本,其中样本的PE编译时间戳为2021年12月28日,涉及目标包括金融及政府承包商。
第二波网络战,则是在乌克兰时间24日清晨,俄罗斯向乌克兰正式宣战之后,乌克兰开始反击。
2月24日,乌克兰政府呼吁地下黑客组织参与防护网络攻击,Anonymous(匿名者)报名参加;相对应的,另一个全球顶级勒索黑客组织Conti则站在了俄罗斯一方,并强调:“如果任何机构决定组织针对俄罗斯的网络实施攻击或任何战争活动,我们将利用所有资源对可能伤害俄罗斯关键基础设施的敌人进行反击。”
俄罗斯RT电视台称,其网站遭到分布式拒绝服务攻击,大约27%的攻击地址位于美国,攻击时间持续6小时。
俄罗斯国家互联网托管的俄罗斯军方网站(mil.ru)和克里姆林宫网站(krylin.ru)因此无法访问或加载速度很慢,托管克里姆林宫.ru网站的一整块互联网域名都受到了攻击。
在受到分布式拒绝服务攻击后,消息称俄罗斯政府似乎正在部署一种名为“地理围栏”的防御性技术措施,以阻止俄罗斯影响范围以外的地区访问其控制的某些网站,包括军事网站。
俄罗斯警告其国内关键基础设施运营商面临“计算机攻击强度增加的威胁”,并表示应考虑任何没有“可靠确定”原因的关键基础设施运行故障,可能是“计算机攻击的后果”。
2月25日,Anonymous在推特声称针对俄罗斯政府发动网络攻击,而非针对平民,已关闭RT电视台网站。
美国国家广播公司报道称,拜登已收到一份可供美国实施大规模网络攻击的选项,包括中断俄罗斯的互联网连接、关闭电力、篡改铁路道岔以阻碍俄罗斯为其部队补给的能力。随后,白宫否认考虑对俄罗斯进行网络攻击。
除了战争双方的网络攻击之外,这场“看不见的战争”的规模有愈演愈烈,甚至超出俄乌双方,卷入其他国家的趋势。
3月1日,据彭博社报道,白俄罗斯铁路管理计算机系统遭到了入侵,开关装置和路由器被破坏,其中的数据也被加密。受此次攻击影响,该国明斯克市、奥尔沙市、奥西波维奇镇的部分列车停运。
3月2日,360发现匿名者黑客组织AgainstTheWest基于Gogs代码服务器问题发起代码窃密攻击,我国也是被攻击的目标之一。
3月3日,黑客组织攻击了俄联邦航天局太空任务控制中心。
3月6日,360开启俄乌分布式拒绝服务攻击资产追踪。截至4月,发现全球有31767个,其中涉及我国资产2238个。
3月7日,鉴于网络环境逐渐恶化,Cloudflare、CrowdStrike和PingIdentity 3家公司决定联合发起一个关键基础设施防御项目。
3月31日,360追踪确认匿名者AgainstTheWest为东欧东二时区黑客组织。
通过时间线(图0-3)这样的梳理,相信大家能够清楚地了解,在双方常规武器的交锋之外,网络空间对抗的激烈程度也不遑多让。
图0-3 360追踪确认黑客组织匿名者AgainstTheWest的时间线
网络战之所以会成为全域作战的优先战力,是因为它不分平时战时,攻击非常隐蔽,贯穿整个战争前中后期。在战前,网络战能提前布局,攻击行为能导致网站瘫痪、重要数据泄露、数据被擦除,影响政府和经济正常运行,造成社会恐慌。而一旦战争开打,又能够攻击军事基地使用的卫星宽带网络,支援作战行动,大规模打击通信、电力基础设施,破坏敌方作战能力,影响社会正常运转,还可以通过持续攻击对方政府网站、金融机构,破坏敌方战争潜力。而且,还可以发动大规模信息战、认知战,打击敌方士气,影响敌方社会舆论,全方位地影响战争局势。
二是俄乌冲突开启了网络战的人民战争,民间黑客成为作战生力军。乌克兰网军实力本来较弱,但是在冲突中能和俄抗衡,主要是它不再分军用民用。在这场冲突中,双方除了“国家队”,还吸引了许多民间力量加入到了这场乱局当中,开启了网络战的人民战争。比如在乌克兰一方,通过telegram组织了民间“IT志愿军 ”。也是因为民间黑客组织的卷入,使得交战双方能够动用的网络战资源显著拓展。
据不完全统计,有超50个国际黑客组织卷入了俄乌网络冲突,其中39个公开支持乌克兰,针对俄罗斯政府、新闻媒体、关键基础设施发动了大规模网络攻击。乌克兰通过社交媒体招募的“IT志愿军”,据称达到30万人。
比如俄乌冲突中的“匿名者”(Anonymous) 就是全球最大黑客组织,主要分布于美国,其次为欧洲各国,非洲、南美、亚洲等地部分国家都有其分部。在3月16日,匿名者在推特上发文称,他们攻击俄罗斯一家核领域的国有企业,窃取到了大量的机密数据,并且泄露了一部分。除此之外,他们还攻陷了300多个俄罗斯政府、国家媒体和银行网站,可谓是“战功显赫”。
而在俄罗斯一方,除有国家背景的高级持续性威胁组织ARMAGEDON、沙虫APT-C-13、UNC1151之外,还有专业的黑客组织CyberBerkut、Ghostwriter、Free Civicilian、Cooming Project,以及勒索犯罪组织Conti Ransomware、The Red Bandits 也发起了对乌克兰网络的攻击。
民间黑客混杂在正规网军当中,使得攻击者的身份真假难辨。从大混战中,我们也应该注意到,雄厚的民间网络安全力量对一个国家来说,平时为民,战时为兵,招之即来,来之能战,也具有十分重要的战略意义。
三是作战组织“社区化”“众包化”,攻击行动马赛克化。由于此次网络战的参与者出现了大量民间黑客,而招募或组织网络民兵的途径也出现了“社区化”的新趋势,比如社交媒体、聊天室成为乌克兰招募“IT志愿军”的大本营。他们通过Instagram等平台分发攻击任务、攻击工具。由此就使得这些“网络游击队”的攻击呈现出了攻击点多且分布广泛、攻击手段灵活多样等特点,给俄罗斯一方造成了很大的困扰。
具体来说,“IT志愿军”采用Telegram频道进行任务分发与战场信息交换,有超过30万人订阅了该频道。在攻击工具方面,志愿军组织提供了多种分布式拒绝服务攻击工具,包含在线、短信和电话、可用网站、机器人和命令行等多种执行方式。
非常有意思的一个现象是,“IT志愿军”组织为了聚集更多平民老百姓的力量,开发了一款“Play For Ukraine”版本的2048网页游戏,任何人只要在线玩这款游戏,就可以向俄罗斯发动分布式拒绝服务攻击。
四是攻击手段推陈出新,多种手段组合运用。本次网络战的攻击手段可谓是层出不穷,从高级持续性威胁攻击、分布式拒绝服务攻击、数据勒索或擦除攻击到Web攻击,再到漏洞利用攻击、供应链攻击,以及针对工控系统、物联网设备的攻击,凡是大家能够想到的方式,能够使用的技术,几乎是“无所不用其极”。
而且值得注意的是,大部分攻击都是综合性质的,也就是用了不止一种技术。
比如乌克兰国家机构遭受俄罗斯、白俄罗斯高级持续性威胁组织的鱼叉式钓鱼攻击,钓鱼电子邮件增加了7倍,而俄乌政府、军事、国防、新闻、银行网站均受到大规模分布式拒绝服务攻击,导致数千个网站和系统瘫痪,其中双方部分政府网站、新闻媒体网站、金融网站等遭受WEB攻击,大量数据被篡改,影响士气。同时,针对乌克兰政府机构及关键基础设施的关键计算机系统,植入HermeticWiper等数据擦除软件,达到深度致瘫效果。
据官方描述,相关高级持续性威胁组织正在进行供应链攻击、OctoberCMS(一款乌克兰境内广泛使用的CMS程序)漏洞利用和Log4j漏洞组合式的网络攻击破坏活动。
1月18日,美国国土安全部下属的网络安全和基础设施安全局(CISA)发布乌克兰勒索攻击事件相关安全通告,通告称乌克兰的组织机构遭受了一系列恶意网络事件,包括分布式拒绝服务攻击、网站被黑和潜在破坏性恶意软件。其中破坏性恶意软件最让人担忧,因过往历史上有疑似假冒勒索软件(例如 NotPetya和WannaCry)的破坏性攻击,对关键基础设施造成了广泛破坏,网络安全和基础设施安全局要求美国的每个组织机构近期要采取紧急措施减缓潜在的破坏性攻击影响。
关于针对工控系统和物联网设备的攻击,我跟大家分享两组数据:匿名者对俄900多个工控目标发起攻击,包括Rockwell、SIEMENS和Schneider等厂商的设备;匿名者等黑客组织接管400+台俄罗斯摄像头,并公开分享控制摄像头的实时信息。
五是网络战武器体系化、平台化。据媒体报道,自冲突开始以来,俄罗斯分批次投入7款数据擦除软件,比如AcidRain、DoubleZero、CaddyWiper,再比如前文中提到的WhisperGate,这7款软件都是首次投入实战,但几乎都造成了重大的影响。此外,俄罗斯还调用了超过5个家族的僵尸网络,用于发起大规模分布式拒绝服务攻击,同样给乌克兰一方造成了困扰。这就是网络武器体系化的巨大威力。
除了体系化,网络武器平台化的趋势也十分明显。2022年3月下旬,乌克兰安全局(SSU)宣布,他们分别在该国国内的哈尔科夫、切尔卡西亚、捷尔诺波尔和扎卡尔帕蒂亚等地发现了5个机器人农场,涉及10万多个传播假新闻的虚假社交媒体账户。
以上这些武器都显示出俄罗斯具备体系化、平台化网络武器储备,并能够快速迭代攻击载荷,有效规避对手网络防护体系。
六是网络安全公司走向网络攻防对抗前沿。2022年3月10日,美国网络司令部司令、国家安全局局长兼中央安全局局长保罗·中曾根将军表示:“在实际入侵之前已经完成了大量工作,由美国网络司令部跨机构与一系列私营部门合作伙伴完成的工作,加强了乌克兰的基础设施。”这段话无疑向世人传递了一个十分明确的信息,私营部门合作伙伴,也就是网络安全公司已经走在了网络攻防对抗的最前沿。
比如在乌克兰一方,在对抗中发挥巨大作用的“IT志愿军”,就是由该国网络安全公司 Cyber Unit Tech向政府提议并组成的。大致时间线是这样的:
2022年2月24日战前,Cyber Unit Tech在乌克兰黑客论坛招募志愿者。
2月24日战发,受乌克兰国防部委托组织网安专家小组。
2月26日,乌克兰官方正式招募IT志愿军。
3月1日,发布Fuck Hack Russia悬赏攻击活动。
此外,美国微软、CrowdStrike、SentinelOne、Cloudflare、Lookout、SafeBreach,欧洲ESET、Bitdefender等诸多民间网安公司也给乌克兰提供了大量的技术、信息、数据援助。
比如,俄罗斯的黑客组织提前在乌克兰的政府和关键基础设施里植入相关木马、病毒和恶意软件等。但对手也没闲着,早在2021年下半年,微软的一个工程师小组就秘密进入了乌克兰,清理了所有木马,并为乌克兰政府建立了相当于美军作战级别的防火墙系统。2月24日开战前,俄罗斯网军向乌克兰发送木马唤醒程序,但被微软截获。进攻第一天,谷歌就开启了作战模式,在谷歌导航地图上,俄罗斯的手机无法查看路况,而乌克兰的手机则一切正常。在战前,谷歌就把乌克兰的相关网站都纳入了谷歌“神盾计划”保护之中。
在俄罗斯一方,大家耳熟能详的卡巴斯基公司也展现了强大的力量,基于规模巨大的终端安全软件用户数量,卡巴斯基公司既可以在攻击端植入病毒、开后门,也可以在防守端做即时拦截处置。因此,也成为被西方制裁的对象。
七是网络安全技术装备成为重要的跨国军事援助装备。2022年3月7日,美国常务副国务卿温迪·谢尔曼表示:“自 2017 年以来,美国已投资 4000万美元帮助乌克兰发展其信息技术部门,北约盟国和欧洲伙伴也为帮助改善乌克兰的网络安全做出了重大贡献。”
以前大家听到军事装备援助,第一时间想到的可能是传统武器,比如飞机、坦克、火箭弹、枪支弹药等,很少会想到网络武器。但是在本次网络对抗中,以美国为首的西方国家提供给乌克兰的援助,除了资金和常规武器之外,还特别强调了网络武器的援助。
比如在2022年2月24日,欧盟组建网络专家小组,为乌克兰提供网络防御能力,检测、识别和缓解网络攻击威胁。参与国家包括立陶宛、克罗地亚、爱沙尼亚、荷兰、波兰和罗马尼亚等国。
3月4日,北约合作网络防御卓越中心(CCDCE)接纳乌克兰成为该组织成员国,为其共享网络防御情报。
3月24日,北约特别峰会决定,将向乌克兰提供六大类军援武器装备,其中就包括网络安全技术装备。
八是断网、断供、断服、断证书、断域名、断舆论等“六断”开启全面脱钩,意图将俄罗斯从数字空间中抹去。西方主要互联网公司,包括微软、IBM、谷歌、甲骨文等对俄罗斯发起“断网”行动、停止骨干互联网传输、停发SSL证书、停止域名解析、中断国际传输网络、停止各种软件和服务等。芯片和硬件供应商如英特尔、AMD等对俄“断供”,脸书、推特禁止俄罗斯发声,一系列举措彻底将俄孤立。而俄由于缺乏市场化的数字产业生态支撑,完全处于被动挨打境地,对俄罗斯网络正常运转产生巨大冲击。
以“国际骨干网断网”为例,2022年3月6日,据《华盛顿邮报》报道,全球最大的互联网骨干网供应商之一Cogent Communications切断了对俄罗斯的服务。在给俄罗斯客户的说明信中,Cogent Communications解释道,停止服务的最大原因是“经济制裁”和“日益不确定的安全局势”。
根据互联网分析师Doug Madory的解读,俄罗斯电信巨头 Rostelecom、搜索引擎 Yandex以及两大移动运营商都受到严重影响。
再比如“芯片断供”。3月初,芯片制造巨头英特尔公司曾宣布停止向俄罗斯、白俄罗斯供应芯片产品。4月5日,又宣布停止在俄罗斯境内的所有业务。
九是网络空间成为认知战的主阵地。如今,网络社交平台已经全面取代电视台、报纸等传统媒体,成为战争信息传播的主阵地。俄乌冲突也可以说是首次社交直播时代的战争,在认知战层面,某种意义上是“得社交平台者得天下”。在这方面,乌克兰得到了西方主流媒体的支持,比如脸书(Facebook)、抖音国际版(TikTok)、油管(Youtube)、推特(Twitter)等公司或平台,这些公司通过图文信息、短视频、直播等碎片化内容占据平民的网络视野,在大数据算法推荐功能的帮助之下,进行了“洗脑式传播”,占据了舆论高地。
而俄罗斯一方,因为受到全面科技脱钩的影响,已经被排挤出了西方主流社交平台,发声渠道受限,完全处于下风。
十是战场数字化程度提升,网络战正在向数字战演进。其实单从两国的综合实力对比来看,俄罗斯绝对是占据巨大优势的。但是,由于得到了西方集团在卫星、无人机、移动终端等方面的帮助,乌克兰的战场情报感知能力大幅度提升,弥补了战力弱势,比如因为情报能力催生的“滴滴打车”式作战方式。
根据国外媒体的报道,美军和北约每天会派出多架电子战飞机、侦察机和预警机,用来侦察俄罗斯军队的动向,与飞机同时“工作”的,还有美国的卫星。此外,根据《纽约时报》的报道,美军在欧洲各地的情报部门,也加大了对俄军的监听和情报获取力度。
在获取并分析了相关情报之后不到1个小时的时间,情报分析报告就会直接发送给乌克兰军方。有了这些情报,比如在某某地区,甚至会精确到某某高速公路上,出现俄罗斯的部队,并且数据会准确到有几辆汽车、几辆坦克。有的放矢的乌克兰特种部队小分队便可以像“滴滴打车”一样“接单”,对俄军发动精准的伏击战。
在相关的作战过程中,因为人工智能、人脸识别技术的应用,极大地提高了目标识别准确性,也就变相保证了攻击的精准度。比如有黑客组织窃取俄罗斯人在社交媒体上的各种人脸图片,发给美国和乌克兰,然后匹配乌克兰方面的无人机、传感器人脸识别数据,或者传给狙击手,对俄军将领进行精准打击,致使开战不久,就有数名将领被射杀。反过来看,在俄罗斯一方,就暴露出由于数字化程度落后的问题,武器装备的数字化赋能不足,导致战场进展不如预期顺利,损失扩大。
网络战与传统战争不同,它没有硝烟,没有战火,但却对一场战争起到了举足轻重的影响。网络战实际上每时每刻都在发生,虽然近在眼前,但大多数人看不见摸不着。而俄乌网络战相当于一次“开卷考试”,进行了一次网络战的真实预演,俄乌正在发生的网络中断、网站瘫痪、服务中止和信息混乱,未来同样可能发生在我国。通过这次俄乌冲突中实实在在的、影响范围非常大的网络战,足以说明我们的对手已经不是小病毒、小蟊贼,而是“真枪实弹”的黑客组织和国家级网军。就像我们在新闻报道中看到的一样,不论是政府部门的网站,还是道路系统、航空航天系统,一旦被攻破,就会影响到关键基础设施、社会运转、百姓生活等的安全,甚至国家安全。
俄乌冲突带来的启示是多层次多方面的。站在更高一个层面来看,我们还应该看到数字技术在这次俄乌冲突中所起到的巨大作用。借用“混合战争”的概念,俄乌双方打出了一场形态前所未有的战争,双方对抗的场域不仅在于军事领域,还包括了科技、金融、贸易、认知、舆论等领域,参与对抗的力量也远远超出了俄乌两国的范围,两国背后的支持力量以不同方式深度参与这场战争,这也导致参与作战的力量不分军民,民间黑客、科技企业甚至是普通网民都体验并参与了战局。简而言之,这是一场作战双方的全方位较量,在这场或许代表未来趋势的战争中,数字技术不仅贯穿全局而且至关重要,影响至少包括以下5个方面:
一是乌克兰凭借更先进的数字技术,在战场态势感知和情报支援方面取得优势,提高了作战精准性,弥补了战斗力上的相对弱势,得以和俄军在战场上形成相持局面;
二是网络战既是战前先导,也是战时行动,一方面俄罗斯实施了持续、大规模的网络攻击和破坏行动,另一方面乌克兰在西方国家支持下,在战前完成了国内网络加固,缓解了俄罗斯网络攻击的破坏效果;
三是网络安全企业实现了“技术参战”和“人员参战”,微软、ESET等公司为乌克兰提供了大量的技术保障、情报支援和专家支援。同时,有人认为卡巴斯基在帮助俄罗斯抵御网络攻击方面也发挥了重要作用;
四是西方数字技术企业所实施的“六断”削弱了俄罗斯的战争潜力,芯片、软件、数字证书的切断,对俄罗斯国内后方的生产运转造成损失;
五是社交媒体、网络平台成为认知战的主战场,在西方打压下,俄方声音处于绝对弱势,左右了世界范围内的舆论导向,严重打击了俄罗斯前后方的作战士气和信心。
不得不说,数字技术在这场全方位较量中前所未有的重要。相比西方国家,俄罗斯数字技术无论在军事上,还是在科技上、产业上都处于明显劣势,而这种劣势很大程度上造成了战局被动。过去我们常说落后就要挨打,在全世界迈向数字文明时代的今天,数字技术落后就要挨打,数字安全落后更要挨打,因此要取得数字技术上的领先优势,就必须拥有强大的数字技术产业,构建完善的数字安全体系。