冷战结束后,美国作为世界头号的超级大国并没有停止谋求全球霸权的步伐,不断通过地缘政治挤压、经济制裁以及代理人战争等手段挑战打击潜在竞争对手,特别是对于俄罗斯始终保持高压态势。

俄罗斯综合国力虽然比以往有所下降,但军事强国地位并没有改变,为扭转地缘政治不利局面,很早以来就运用成本较低的网络空间作战手段配合其政治斗争和军事行动,取得了较为突出的成果。

本文通过对俄罗斯这一网络空间超级玩家的网络攻击作战案例的梳理,分析其常用的网络作战模式和作战手段,以帮助相关机构在国家网络空间博弈过程中取得主动权,有效维护国家网络空间安全。

01 网络攻击作战主要案例

通过近年来各种方式曝光的材料分析结果可以看到,俄方在网络空间开展攻击作战行动十分娴熟,按照“施加政治影响、配合军事行动、运用民间力量、整体隔离防御”等原则,对其对手开展网络作战行动。

(一)2007年爱沙尼亚网络威慑攻击

图1 爱沙尼亚受到网络攻击

2007年,因爱沙尼亚拆除境内前苏联时期的纪念设施,并颁布去除俄罗斯影响的一系列措施,引发俄国内上下不满。4月27日,爱沙尼亚多个网站开始受到网络攻击,大量网站被迫关闭,一些网站的主页被换上俄国宣传口号及伪造的道歉声明,该国总统网站同样瘫痪。

2007年4月底至5月,爱沙尼亚重要网络基础设施,包括国会、总政府、总理办公室、央行、主要媒体报社等网站都受到DDoS攻击而关闭。攻击的第一次高峰出现在5月3号,当天莫斯科爆发最激烈的示威抗议。另一次高峰是5月8日和9日,欧洲各国纪念战胜纳粹德国,攻击同步升级,最少6个政府网站被迫下线,其中包括外交和司法部。最后一次攻击高峰是15日,该国最大的几家银行被迫暂停国外连线。三轮网络攻击的焦点目标包括:爱沙尼亚总统和议会网站、政府各部门、各政党、六大新闻机构中的三家、最大两家银行以及通信公司。

包括爱沙尼亚首相在内均指,虽然今次攻击看似来自世界各地的电脑,但国防官员追查攻击时,发现原始攻击直接来自俄罗斯,部分域名还以俄罗斯总统普京的名义登记,但俄罗斯多次否认与事件有关,并抨击爱沙尼亚虚构指控。

此次爱沙尼亚面对的网络攻击手法,主要是换面攻击、分布式拒绝服务。为应付庞大攻击,爱沙尼亚曾成立电脑紧急事件应变小组,他们追踪攻击者时,发现源头来自越南、美国全球各地的电脑,怀疑黑客可能利用僵尸网络发动分布式拒绝服务攻击。事发期间,网络上还流传了一批文件,教人如何攻击爱沙尼亚网站,文章亦呼吁网民推动这次全球首见的网络战争。

(二)2008年格鲁吉亚网络致瘫攻击

图2 格鲁吉亚外交部外交部网站首页被篡改

2008年7月20日,即“俄格战争”前几周,“僵尸”计算机就已经开始对格鲁吉亚发动网络攻击,时任总统萨卡什维利的网站成为目标,导致该网站超载下线。到2008年8月11日,格鲁吉亚总统的网站已被篡改,张贴了将萨卡什维利与阿道夫·希特勒进行对比的图片。

2008年8月初俄罗斯与格鲁吉亚爆发军事冲突,俄罗斯军队在越过格鲁吉亚边境的同时,对格鲁吉亚展开了全面的“蜂群”式网络阻瘫攻击,通过大规模高强度DDoS网络攻击,导致格鲁吉亚国内几乎所有政府机构和主要银行网络大规模瘫痪,包括格方电视媒体、金融和交通等重要系统瘫痪,机场、物流和通信等信息网络崩溃,急需的战争物资无法及时运达指定位置。

此次网络攻击行动致使格方战争潜力被严重削弱,直接影响了格鲁吉亚的社会秩序以及军队的作战指挥和调度、战争动员与支援能力。在网络攻击期间,俄罗斯网民可以从网站上下载黑客软件,安装之后点击“开始攻击”按钮即可进行网络攻击。媒体评论俄罗斯打了一场名副其实的“网络人民战争”。

(三)2015年乌克兰电力网络断电攻击

图3 乌克兰电力网络断电事件

2015年乌克兰境内发生大规模断电事件,12月23日,乌克兰区域配电公司 Kyivoblenergo 通知客户业务中断,原因是第三方非法入侵了公司的计算机与 SCADA 配电管理系统:当地时间下午3:35分起,7台110kV与23台35kV 变电站中断了三个小时。最初判断这次业务中断影响到了约8万名客户。不过,之后发现三家配电公司受到攻击,导致业务数次中断,多地断电,约22.5万名客户受到影响。

网络攻击发生后,乌克兰政府官员即声称断电由网络攻击造成,俄罗斯安全部门应对此事负责。随后,乌克兰调查人员联手私营公司及美国政府,对此事展开分析,帮助确定断电事件的根因。

图4 断电事件网络攻击过程

2020年据外媒报道,美司法部指控六名俄罗斯情报官员发布了一些“世界上最具破坏性的恶意软件”,其中包括2015年12月对乌克兰电网的攻击。在公布的指控中,这些黑客被控利用KillDisk和Industroyer(也被称为Crash Override)开发和发动攻击以锁定和中断乌克兰的电力供应,进而导致数十万用户在圣诞节前两天被断电。

图5 媒体报道的参与断电事件的APT组织

(四)2016年美国大选网络舆论攻击

图6 希拉里“邮件门”事件

2016年6月,多家美国媒体报道了俄罗斯黑客入侵民主党全国委员会和民主党国会竞选委员会的网络系统。美国时任总统奥巴马就公开宣称,俄罗斯网络黑客曾以多种方式干扰大选,要求情报机构就此问题提交调查报告。

此次网络行动主要特点是,综合各方面力量,运用切断、欺骗、宣传等多种手段,给希拉里制造不利影响。网络行动的基本流程,是由黑客小组通过钓鱼等方式侵入重要机构网站与关键人物电子邮箱等,从中窃取敏感信息,包括重要的竞选机构、智库和赞助单位。民主党国家委员会、民主党国会竞选委员会、希拉里竞选团队资深成员的个人电子邮件账户等,都遭受了黑客入侵,大量敏感信息被窃取和披露。并将筛选出的敏感信息,通过罗马尼亚独立黑客的Guccifer 2.0、DCLeaks.com网站和“维基解密”等网络平台予以披露;利用俄官方控制的媒体向俄国内及国际社会传递信息。通过这些方式,俄罗斯在大选前夕成功制造了明显不利于希拉里的舆论环境。

此外,在2016年美国大选期间,俄罗斯还通过470个虚假账号购买了价值10万美元的政治广告在Facebook平台上发布,试图对美国大选施加影响。根据Facebook在国会的书面证词看到,俄罗斯过去两年在 Facebook 上发表了8万篇试图影响美国政治的帖子,总计有1.26 亿人看过这些内容。

图7 利用Facebook平台发布影响大选信息

(五)2019年俄罗斯国家网络断网演习

图8 俄罗斯大规模“断网”测试行动

俄罗斯对外宣布2019年4月1日前,举行全国性的短期脱离全球互联网演习。2月20日,俄总统普京会见俄新闻机构和印刷媒介代表时表示,理论上存在切断俄罗斯与全球互联网联系的可能,俄罗斯有必要建立不依赖任何人的互联网。

其实早在2014年,俄罗斯通信部就曾举行过全国规模的大断网演习,当时俄罗斯断网的主要目的是测试对因特网有核心控制权的国家是否有能力通过停止对俄罗斯的网络服务对其造成威胁,通过演习,俄罗斯得出的结论是,本国的网络受控于美国,俄罗斯正面临“被断网”的巨大威胁。

2018 年俄罗斯通过一项名为“数字经济国家计划”的新法律草案,该草案提出在 2019 年初实施俄罗斯“断网”测试,即切断本国与全球的网络连接,旨在测试俄罗斯的网络防御系统。同时,新法律草案还要求俄罗斯创建自己的域名系统(DNS),以便在失去与国际服务器的连接时继续运营。时隔五年,俄罗斯再次进行断网演习,其实质是对过去五年所做的各项断网准备加以测试,得出不同系统对断网连接的反应,以及确定系统可能出现的弱点和问题。

(六)2020年SolarWinds供应链攻击

图9 SolarWinds供应链事件

2021年1月5日美国正式指控俄罗斯政府策划了SolarWinds供应链攻击。该APT组织攻陷了世界知名网管软件厂商SolarWinds作为入侵目标。该软件在全球有超过200,000个组织中使用,客户包括美国军方的所有五个分支机构、五角大楼、国务院、司法部、美国国家航空航天局、总统执行办公室和国家安全局

图10 SolarWinds供应链攻击时间线

奇安信CERT发现,截止2020年12月16日,至少有200家以上的机构被该APT组织采取了行动,受害者遍及北美、欧洲、亚洲和中东地区的政府、科技公司和电信公司,覆盖军工、能源等多个涉及国家安全的行业。截至12月16日,美国已有124家机构遭受到攻击,占比62%。同时发现,执行该行动的可能是一个数百人的集团化组织。

奇安信CERT此前分析,这次APT攻击首先是对SolarWinds旗下的Orion网络监控软件更新服务器进行黑客入侵,并植入恶意代码。目前被污染的SolarWinds软件带有该公司签名,这表明SolarWinds公司内部很可能已经被黑客完全控制。

图11 SolarWinds供应链攻击原理

SolarWinds攻击事件造成了深远和持久的影响,为了深刻反思SolarWinds事件,美国国会在2021年2月的最后一周连开两场听证会来复盘。白宫官方确认,有9个联邦政府机构和近100家公司在此次攻击中受到威胁,其中包括美国宇航局和联邦航空管理局。国会主席则表态,SolarWinds是美国历史上最严重的一次网络攻击事件。此次供应链攻击,造成SolarWinds的18000名客户下载更新后都中招了,其中一些公司遭到了攻击者的进一步入侵。

图12 SolarWinds供应链攻击步骤

02 网络攻击作战主要目标

俄方不具有像美军那样的全方位网络监控能力,因此在网络攻击目标的选取上具有很强的针对性,重点针对“政府首脑要员、知名社交媒体、政府官方机构、关键基础设施、供应链厂商”等能够产生重大效益的目标;更加注重建设“扰乱、瘫痪、拒绝服务”等具有一定毁伤效果的网络攻击手段;追求网络攻击成果效益最大化,常采用“一对多”网络攻击模式,通过一次攻击行动造成多个目标沦陷。

(一)首脑要员目标攻击

俄方一直将潜在对手国家政府首脑要员作为重要网络攻击目标,主要目的是通过曝光政府首脑的负面信息引导舆论走向,加剧对手国家政治不稳定态势。具体网络攻击目标主要有首脑个人电子邮件、政党邮件服务器和文件服务器等。网络攻击手段主要有社会工程学攻击、网络钓鱼攻击以及远程漏洞攻击等,直接或间接方式获取非公开文档。

图13 针对政府要员的网络攻击

(二)社交媒体目标攻击

俄方选取社交媒体作为攻击目标主要为了实现其保持盟国稳定政治关系和阻止外国势力扰乱周边的政治目的。社交媒体目标主要有媒体网站、知名社交媒体账户等。网络攻击时机选择主要在潜在对手举行国家选举、出现政党纷争和对外军事冲突等时机,采用的社交媒体网络攻击主要类型有假帐户(假装别人)、网络钓鱼和恶意软件、会员骗局、假朋友或追随者、身份盗用和伪造的带病毒应用程序等,通过对手实施“骚扰、恐吓、伪造、嫁祸、丑化、引导、曝光”达到政治目的。

图14 社交媒体网络攻击类型

(三)政府官方目标攻击

俄罗斯长期以来坚决反对北约向东欧和中亚扩张,为阻止或迟滞相关国家加入北约进程,会主动采取进攻性网络攻击行动实施“威慑”,攻击的目标锁定政府官方目标,如政府官方网站、官方媒体网站、官方通信系统、政党组织网络等,攻击方式以分布式拒绝服务攻击为主,造成潜在对手国家政府功能失效及社会生活混乱。

图15 乌克兰DDoS攻击图

(四)基础设施目标攻击

俄罗斯很早就重视关键基础设施网络攻击手段建设,主要聚焦电力、通信、交通、金融等能够影响国计民生的重点行业,综合运用社会工程学、远程漏洞植入、远程控制、核心工控系统攻击等多种战法,造成关键基础设施核心业务系统扰乱、失效、瘫痪,进而攻击影响放大到社会生活方方面面。

图16 关键基础设施网络攻击

(五)供应链目标攻击

俄罗斯在供应链攻击能力方面较为突出,太阳风攻击事件表明其已经具有大规模开展供应链网络攻击的组织协调力量以及相关技术储备。供应链目标也是经过精心挑选的,主要包含政府、大型机构均使用的办公应用系统、网络管理系统以及安防系统等第三方供应商,对于这些目标前期的技术情报收集和相关技术攻研持续时间较长,相关网络攻击行动启动后能够快速实现大规模网络突破,为后续窃取情报,甚至发动破坏性网络攻击提供良好条件。

图17 软件供应链攻击示意

03 网络攻击作战理念与模式

俄方受制于综合国力的限制,无法支撑大规模网络攻击手段建设和网络攻击实践活动,网络攻击作战理念并没有跳出传统作战理念框架,网络作战模式也可以从传统军事作战中找到对照案例,即便如此,俄方仍将网络攻击视为一种有效的作战手段,利用其情报组织在全球范围内发动网络攻击,以支撑外交战略、维护政治利益和配合军事安全策略,实践证明,在成本可控的前提下,网络攻击作战手段往往能达到超预期的效果,更加坚定了俄方持续推进网络攻击作战手段建设的信心。

俄罗斯网络作战理念

俄方在网络空间博弈中形成独具特色的网络攻击防御能力。长期以来,特别重视网络攻击手段和政治、军事等其他手段结合使用,通过网络空间向现实世界施加影响,致瘫、扰乱、舆论等多种网络作战样式运用得当。纵观其网络空间作战建设历史,网络作战战略和传统作战战略一脉相承,与其他手段衔接配合默契,作战理念沿袭“政治引领、军种协同、集群作战、自成一体”等思路,促使其成为网络空间作战领域不可忽视的一只力量。

俄罗斯网络作战模式主要有如下5种:

(一)大规模集团作战模式

俄方在多个网络攻击案例中使用了分布式拒绝服务(DDOS)攻击,达到扰乱瘫痪对手国家重要网络服务设施的目的。这是一种典型的大规模集团作战模式,作战目标方面常常选取政府部门、政府官网、政党组织、通信公司、银行机构、电视台、报纸媒体等对现实世界中国家社会秩序造成影响的目标,作战资源方面发动普通民众利用个人终端以及利用大规模僵尸网络形成大规模的网络攻击节点,作战实施方面集中向重点目标实施不间断大流量洪水攻击,快速抢占网络通信带宽资源和阻断网络服务响应流程,最终造成目标网络瘫痪和网络服务失效。

图18 大规模集团作战模式

(二)高烈度精准作战模式

同美方“震网”攻击一样,俄方也十分重视关键基础设施网络攻击手段建设,达到扰乱瘫痪对手国家关键基础设施的目的。这是一种高烈度精准作战模式,作战目标方面选取电力系统、交通系统、金融系统和通信系统等对现实世界中国家社会秩序造成重大影响的关基目标,攻击作战装备方面研制储备通用型文档漏洞、定制化远程控制工具、专业化工控漏洞以及工控系统瘫痪工具,攻击作战行动常使用钓鱼攻击、窃取凭证、固件驻留和拒绝服务等攻击战法,从多个网络通道隐蔽进入工控核心网络,破坏工控核心业务系统正常功能,最终造成关键基础设施停止提供业务服务,进而将影响传导到现实世界中。

图19 高烈度精准作战模式

(三)大面积舆论作战模式

俄方在舆论战和心理战方面造诣很深,通过在网络空间对对手国家施加舆论影响,达到扰乱干扰对手国家政治进程的目的。这是一种大面积舆论作战模式,作战目标方面选取政府高官、政党要人、官方媒体、网络社交媒体等对现实世界国家民众造成舆论影响的政治目标。攻击作战手段方面通过黑客钓鱼攻击窃取目标邮箱网站、账号搜集目标负面信息,通过网络水军注册虚假账号、创建社交自媒体等形式发布政治倾向帖子、购买政治广告。攻击作战资源方面在本国官方媒体发布官方评论、专题分析实施舆情引导和可信评估,在对手国家大众常用的社交媒体上通过转发帖子、发布政治广告、散布谣言信息以及倾向性评论等手段实施舆论引导,最终占领对手国家普通民众的心智,影响普通民众政治倾向,进而推动现实世界对手国家政治进程出现变数。

图20 大面积舆论作战模式

(四)全业务隔离作战模式

俄方很早就对互联网基础架构及运行体系进行了战略研判,基本结论是构建在互联网的各类系统安全性难以得到根本性保障,因此,推行“断网”计划,试图将整个国家的互联网转变成一个“大内网”,达到在关键时刻保持网络空间控制权的目的。这是一种全业务隔离作战模式,在作战实施方面通过部署俄自主控制的备份域名系统(Ru-DNS服务器)随时切断和国际互联网基础设施的网络通信。在防护对象方面主要面向互联网业务、通信网业务和物联网业务等关键信息基础设施网络。在保持业务正常方面主要通过自建俄国家互联网基础设施(RuNET),搭建监管机构服务器对访问流量实施流量迁移和流量监管。通过降低对国际互联网的依赖,实现国内网络业务不中断,进而确保在关键时刻防止对手国家利用互联网对俄实施大规模网络攻击。

图21 全业务隔离作战模式

(五)供应链短板作战模式

全球产业供应链越来复杂,作为供应链的上游国家,美国具有得天独厚的技术优势,其重点精力放在硬件供应链网络攻击方面,与美国不同,俄罗斯则将重点放在软件供应链网络攻击能力建设方面,通过在供应链的关键环节软件部分植入恶意代码,达到对使用该软件系统的众多重要机构组织实施攻击的目的。这是一种供应链短板作战模式,作战目标方面选取政府部门、科技、电信、军工、能源及金融等行业依托的第三方供应商,供应链攻击类型方面主要聚焦商业软件供应链攻击和开源软件供应链攻击。通过供应链迂回攻击不但拓展了网络攻击面,使得能够影响的潜在目标更加广泛,同时还具有较强的隐蔽性。

图22 供应链短板作战模式

04 总结

网络空间领域已经进入国家力量主导的时代,俄罗斯为对抗美国为代表的西方国家的政治、经济、外交等方面的全方位打压,在网络空间屡屡主动出击,实施了一系列效果显著的网络攻击行动,成功确立其网络作战强国地位。通过深入研究分析其网络空间作战能力,对建设符合自身特点的网络空间攻防能力具有很强现实意义。

参考文章:

[1] “战斗民族”俄罗斯网络空间作战研究

[2] 观察|黑客干扰美国大选?美俄是否会爆发网络版“古巴危机”

[3] 1.26 亿人在 Facebook 上面看过俄罗斯干扰美国大选内容

[4]俄罗斯邻国格鲁吉亚遭遇史上最严重网络攻击

[5]近年著名的网络战案列

[6] 俄罗斯和格鲁吉亚之间的冲突变成网络战

[7] 美国政府正式将SolarWinds黑客归咎于俄罗斯

[8] “金链熊”已致200多家机构受害 奇安信披露年度最严重APT攻击事件细节

[9] New Sunspot malware found while investigating SolarWinds hack

[10] 2007年爱沙尼亚网络战

[11] 乌克兰电网攻击分析

[12]从美国咨询公司博思艾伦报告看俄罗斯网络作战

关于作者

陈波:虎符智库专家、奇安信集团高级网络安全专家 、高级工程师。从事网络安全相关工作20余年;获得国家级二等奖1项、三等奖7项,部委成果奖10余项。具有数学、系统工程、通信、网络安全等专业知识背景,现从事网络攻防技术研究工作。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。