编者按
美国网络安全公司曼迪昂特情报分析副总裁约翰·赫尔奎斯特发文分析乌克兰在当前俄乌危机中面临的网络威胁。文章称,当前危机是更多侵略性网络活动的“催化剂”,乌克兰面临着俄罗斯及其盟国的三重网络威胁,包括网络间谍活动、信息行动和破坏性网络攻击。
网络间谍活动方面,此类活动已经成为全球活动的常态,与俄罗斯情报部门有联系的俄罗斯网络间谍活动行为者几乎肯定已经在执行围绕危机提供情报的任务;俄罗斯还利用其他网络间谍活动行为者开展活动;上述行为者经常性地攻击全球范围内的政府、军事、外交和相关目标,以获取有利于俄罗斯外交政策决策的情报。
信息行动方面,涉及创建和传播捏造内容以及社交媒体操纵内容以促进所需叙事的行动已经在危机的背景下发生;俄罗斯和白俄罗斯利用各种策略来实现其目标,包括利用社交媒体开展协调性虚假信息活动,以及入侵相关实体从而开展“黑客攻击和数据泄露”行动或传播捏造内容以促进所需叙事;上述活动旨在利用敌对国家内部和之间现有的分歧、破坏对民主制度的信心以及在北约、在欧盟和西方内部制造不信任来促进俄罗斯利益。
破坏性网络攻击方面,此类网络攻击相对较少,但俄罗斯行为者可能已经入侵基础设施,从而为潜在的严重破坏做准备;此类网络攻击通常涉及大量目标,以及通过战略性网络入侵和软件供应链的大规模传播活动;攻击的肇事者经常捏造罪证或发表虚假责任声明,旨在将事件责任转嫁他方,从而可以合理推诿;勒索软件已经成为一种网络攻击形式,被国家相关行为者用作具有可疑金融动机的“锁定和泄漏”活动的一部分;网络攻击最常被用作一种信息行动形式,旨在操纵感知而不是产生持久的破坏性影响。
奇安网情局编译有关情况,供读者参考。
事实证明,乌克兰危机是更多侵略性网络活动的“催化剂”,这种活动随着局势恶化可能会增加。与最近的网页篡改和破坏性袭击不同,未来的活动将不会仅限于乌克兰目标或公共部门。
1、活动范围
在这场危机中,俄罗斯及其盟国将开展网络间谍活动、信息行动和破坏性网络攻击。尽管网络间谍活动已经成为全球活动的常态,但随着局势的恶化,乌克兰境内外将会出现更多的侵略性信息行动和破坏性网络攻击。
UNC2452、Turla 和 APT28 等与俄罗斯情报部门有联系的俄罗斯网络间谍活动行为者几乎可以肯定已经接到了围绕危机提供情报的任务。这些行为者已经经常性地攻击全球范围内的政府、军事、外交和相关目标,以获取有利于俄罗斯外交政策决策的情报。
俄罗斯利用该地区的许多其他网络间谍活动操作者,例如在被占领的克里米亚和乌克兰东部开展活动的 TEMP.Armageddon (UNC530)。
信息行动,例如涉及创建和传播捏造内容以及社交媒体操纵以促进所需叙事的行动,已经在危机的背景下发生。亲俄罗斯的行为者以及那些宣传符合俄罗斯利益言论的行为者定期对东欧境内的北约盟国和伙伴国开展信息行动。
值得注意的是,一名乌克兰官员将最近对乌克兰政府网站的篡改归因于UNC1151(与白俄罗斯有关联的行为者)。此前,与俄罗斯联邦军队总参谋部情报总局(GRU)相关的行为者 Sandworm Team 和 APT28 开展了类似的活动。
与网络间谍活动和其他形式的信息行动相比,颠覆性和破坏性网络攻击相对较少。Sandworm Team 是俄罗斯卓越的网络攻击武器,曾开展过导致乌克兰电力中断的复杂攻击以及历史上造成最大损失的破坏性攻击:NotPetya。另一名为 TEMP.Isotope(UNC806/UNC2486 ,又名Berserk Bear、Dragonfly)的行为者在入侵美国和欧洲的关键基础设施方面有着悠久的历史。虽然未发现该行为者试图破坏基础设施,但相信这些入侵行为是为俄罗斯准备造成严重破坏时的应急准备。
2、信息行动
信息行动是俄罗斯和白俄罗斯网络活动的常规特征。此类行为者利用各种策略来实现其目标,包括但不限于使用涉及协调和不真实活动的社交媒体活动,以及在“黑客攻击和数据泄露”行动中或用于传播捏造内容以促进所需叙事的实体入侵活动。
从广义上讲,信息行动行为者试图通过利用敌对国家内部和之间现有的分歧、破坏对民主制度的信心以及在北约、在欧盟和西方内部制造不信任来促进俄罗斯的利益。
伪造内容,例如伪造的文件、篡改的照片和伪造的请愿书,经常被用于影响力活动的行动中,包括 Ghostwriter 和 Secondary Infektion。
通过入侵活动获得的数据被泄露,造成了巨大的影响,引发了具有持久后果的丑闻。亲俄罗斯的行为者在泄露被盗数据前会篡改或伪造数据,有时还伴随着未篡改数据,以支持特定行动的预期叙事。
信息行动行为者使用第三方(例如记者和“黑客主义者”)来使信息和叙事合法化并清洗其内容。虽然许多此类第三方有意或无意地与这些行为者合作,但由网络间谍活动行为者 UNC1151 支持的 Ghostwriter 等活动会入侵和利用合法信息源。这包括新闻或市政府网站或社交媒体账户,以传播材料。
俄罗斯的信息行动活动,例如由互联网研究机构(IRA)开展的活动,也创造和利用了不真实的角色和媒体渠道来发布和宣传传播虚假叙事的内容,以达到其目的。
3、网络攻击
颠覆性和破坏性网络攻击有多种形式,从分布式拒绝服务攻击到对关键基础设施的复杂攻击。与其他国家一样,俄罗斯在危机时期利用了这种能力。
成功的颠覆往往是规模问题。最有效的颠覆具有广泛的影响。为实现这一目标,操作者可以专注于破坏具有下游客户和依赖关系的关键目标(例如乌克兰电网),或者直接破坏多个目标(例如 NotPetya)。
与其他方法相比,针对关键基础设施和运营技术网络的攻击可能需要更多的手动工作和准备时间。像 TEMP.Isotope 这样的行为者似乎对入侵这些目标采取了积极主动的立场。因此,出于此类应急的目的,这种性质的目标可能在这场危机之前就已经被入侵。上述网络的捍卫者应该考虑搜索诸如 TEMP.Isotope 之类的行动者。
或者,可以同时针对大量目标利用破坏性工具和其他更简单的方法。通常,俄罗斯行为者使用战略性网络入侵和软件供应链来获得这种规模的访问权限。通过这些方法开展的大规模传播可能是对即将发生的网络攻击的预警。
攻击的肇事者经常捏造罪证或发表虚假责任声明,旨在暗示其他方应对事件负责。他们在代码中植入证据,并发表公开声明,暗示事件是由以前不为人知的民族主义分子、犯罪分子或政府黑客实施的。数据清除软件曾多次伪装成勒索软件,例如最近发生在乌克兰的事件。尽管这些“虚假标记”通常很薄弱,但它们使说服公众相信归因的努力复杂化并使这些行动更可推诿。
勒索软件是一种网络攻击形式,被国家相关行为者用作具有可疑金融动机的“锁定和泄漏”活动的一部分。由于其成熟的地下犯罪活动,俄罗斯拥有无与伦比的能力。俄罗斯安全部门以前曾出于国家安全目的利用犯罪行动,并可以让上述行动以多种方式承担其任务。
尽管迄今为止在这场危机中观察到的破坏性攻击似乎集中在政府系统上,但民用系统通常会受到最大的影响。这些行为者在针对公用事业以及针对运输和物流、金融和媒体方面取得了特别成功。
网络攻击最常被用作一种信息行动形式,这意味着它们旨在操纵感知而不是产生持久的破坏性影响。防御者经常高估这些行为者实现其目标所需的技术能力,而低估技术上简单操作的价值。
4、展望
网络能力是各国争夺政治、经济和军事优势的一种手段,而不会造成可能升级为公开冲突的暴力和不可逆损害。虽然 2016 年美国大选行动和 NotPetya 事件等信息行动和网络攻击可能会产生严重的政治和经济后果,但俄罗斯可能会青睐它们,因为他们可以合理地预期这些行动不会导致冲突的重大升级。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
