前情回顾·俄罗斯网络战研究

近日,西方媒体公开了一批匿名举报者泄露的文件,指责一家名为“NTC Vulkan”的私人公司与俄罗斯军事和情报机构合作,支持后者发动所谓“针对西方的网络战争”。

令人惊讶的“Vulkan文件”

据悉,这批被称为“Vulkan文件”的泄露资料是一名反乌克兰战争人士于2022年2月24日提供给德国媒体的。当时俄罗斯刚刚发起针对乌克兰的特别军事行动,但获得“Vulkan文件”的《南德意志报》并未急于利用这些文件对俄罗斯发起声讨,而是邀请了包括英国《卫报》、美国《华盛顿邮报》以及法国《世界报》在内的11家国际媒体进行了长达数月的研究,于今年3月30日将其公开。

报道称,“Vulkan文件”的时间跨度从2016年到2021年,文件种类繁杂,既有往来电子邮件、内部档案,也有项目计划、预算情况以及合同资料,总量超过5000页。综合这些文件的内容可知,NTC Vulkan公司正在与俄罗斯联邦安全局(FSB)、对外情报局(SVR)、格鲁乌(GRU)等军事和情报机构合作,支持后者开展开展黑客行动、在发起针对国家基础设施的攻击前训练操作员、传播虚假信息以及扫描互联网漏洞并对其进行分区控制;同时,该公司还帮助俄罗斯官方通过互联网影响社交媒体观点、公众意见走向以及西方国家的最终选举结果

文件的主要内容之一,是披露了NTC Vulkan公司帮助俄罗斯官方进行上述网络活动时使用的网络攻击工具。

其中之一代号“Scan-V”,可以在互联网上进行漏洞扫描,并将所获结果储存起来供日后网络攻击所用。

图:“Scan-V”系统架构示意

另外一个被称为“Amezit”,据称它相当于一个行动方案,可对俄罗斯治下区域的互联网进行侦察和控制,还可以利用创建虚假档案资料等方法,通过电子邮件、短信息以及社交媒体散布有利于克里姆林宫的虚假信息,操纵公众舆论。另有报道指出,“Amezit”工具还被用来“加强心理行动,存储和组织数据以便进行上游的沟通工作”。

图:“Amezit”系统内的虚假社交媒体账号资料页面

另外,NTC Vulkan公司的技术人员还编写了一套名为“Crystal-2V”的培训系统,可对网络行动人员进行培训,帮助他们掌握攻击铁路、航空以及海上基础设施所需的方法。该系统的说明文件称,“系统处理和储存的信息、数据等产品,保密等级均为最高的绝密级。”

某些内容引人担忧

有报道称,俄罗斯使用上述网络攻击工具的目的,在于影响外国事件的发展,并对俄罗斯影响范围内的互联网进行更严格、更有力的控制。NTC Vulkan公司做得最多的,就是利用网络机器人以及庞大的数据库,有针对性地向目标受众推送话题标签。但这并不是俄罗斯唯一的网络攻击活动。

谷歌旗下网络安全公司Mandiant负责情报分析的副总裁约翰·哈特奎斯特(John Hultquist)对“Vulkan文件”进行分析后认为,“俄罗斯把攻击民用基础设施和社交媒体视为同一种任务。在他们看来,这两种攻击的目的是统一的,即瓦解敌人的作战意志。

分析人士称,俄罗斯黑客目前正在对乌克兰展开持续不断的网络攻击,多个乌克兰政府部门和金融机构网站因此陷入瘫痪。在网络“软攻击”的同时,俄军还动用了“硬摧毁”手段,发射导弹打击基辅及其他乌克兰城市的关键基础设施,让对手“无网可上”。

除乌克兰外,被俄罗斯视为对立方的美国、英国、欧盟、加拿大、澳大利亚、新西兰等西方国家和组织也是克里姆林宫的网络战对手。“Vulkan文件”中的一份地图显示了遍布美国各地、可能代表互联网服务器集群的圆点另有一份文件包含了瑞士一座核电站的细节信息。这些内容透露出某些令人担忧的可能性,即上述目标非常可能成为俄罗斯潜在的网络攻击对象。

图:“Amezit”系统里发现的美国地图标注

《卫报》在评论中指出,有关莫斯科与私人公司合作进行网络活动的文件遭到泄露一事“非常罕见”,5个西方国家的情报部门均对文件的真实性表示了确认,但无论NTC Vulkan公司还是俄罗斯官方均未对此做出回应。不过可以确定的是,目前并没有确切证据证明NTC Vulkan公司在乌克兰或其他地区实际使用了前述网络攻击工具。

前俄罗斯军人创办的NTC Vulkan公司

西方媒体在报道中指出,尽管NTC Vulkan公司表面上是一家普通到不值一提的小型网络安全咨询公司,但其背后却与俄罗斯军方和情报机构有千丝万缕的联系。

首先,该公司两名创始人安东·马尔科夫(Anton Markov)和亚历山大·伊尔扎夫斯基(Alexander Irzhavsky)被指“有深厚的军方背景”,因为二人均毕业于圣彼得堡军事学院,随后在俄罗斯军中服役,直到军衔分别晋升到上尉和少校时才退出现役。一名曾在NTC Vulkan公司工作的职员透露,“他们与军方的接触非常多,也非常好。”

图:Vulkan CEO安东·马尔科夫(Anton Markov)

其次,NTC Vulkan公司可能搭上了俄军发展网络战能力的快车。在对外宣传上,NTC Vulkan公司声称自己专精信息安全,其客户通常是俄罗斯国有大型企业,比如该国最大的银行俄罗斯联邦储蓄银行。但实际上,NTC Vulkan公司刚刚成立一年就从政府手里取得特别执照(2011年)并将客户范围扩展到军方身上,开始承接机密的军队和国家网络项目。2012年,谢尔盖·绍伊古被任命为俄罗斯国防部长。该名人士一边致力于推进俄军网络能力的发展,一边着手筹建直接听命于他的网络部队。《卫报》称,NTC Vulkan公司可能在这个时候起更加被军方看重,成为“倍受官方依赖、可参与国家级秘密网络行动的行业精英”。

基于上述信息,有分析称NTC Vulkan公司已成为俄罗斯军工复合体的一部分,是俄罗斯网络战能力的“助推器”。

在俄罗斯,具体有几家私人公司能够获得授权参与国家级网络秘密项目并不清楚,但有人估计这个数字不会超过10家。《卫报》在报道中特别强调,NTC Vulkan公司办公地址位于莫斯科东北部郊区,“是当年彼得大帝对自己的强大军队进行训练的地方”,暗示了该公司之于俄罗斯网络战能力的地位和作用。

与军方和情报机构合作密切

分析人士根据“Vulkan文件”的相关内容指出,NTC Vulkan公司与俄罗斯军方和情报机构合作密切。

文件显示,NTC Vulkan公司和俄罗斯著名网络黑客组织“沙虫”(Sandworm)之间建立有“侦察员”与“猎手”式的关系

号称“特殊技术中心”的“沙虫”隶属于俄罗斯军事情报总局“格鲁乌”,内部代号74455,成立以来战绩辉煌。据称曾参与过对乌克兰电网的网络攻击,并被指控试图破坏或影响美国总统大选、法国总统选举,以及借助虚假身份信息盗取克林顿·希拉里的电子邮件。最著名的一次网络活动,是2017年制作并传播NotPetya勒索软件。该软件从乌克兰开始很快席卷全球,对船运、医院、邮政以及制药等行业造成巨大破坏,制造了一场“从虚拟世界溢出到现实世界的数字屠杀”。

“Vulkan文件”中的一份技术合同暴露了NTC Vulkan公司和“沙虫”组织的关系——在合同签名中,“沙虫”组织赫然做出“批准方”出现。该合同的内容,是要求NTC Vulkan公司在其开发的Scan-V工具与现有的军方数据库之间建立“数据交换协议”。据推断,Scan-V工具可对全球潜在网络目标实施自动扫描,找出存在漏洞和弱点的服务器以及硬件设备,并将所得结果储存在数据库内。“沙虫”组织实施网络攻击时,首先要做的就是从数据库中搜索出目标系统的弱点,然后对其进行有针对性的入侵。

网络安全公司Mandiant的技术专家加比·罗考恩(Gabby Roncone)在对“Vulkan文件”进行分析后认为,NTC Vulkan公司就如同一个侦察员,把敌人的炮兵和坦克位置标记在地图上;而“沙虫”则扮演猎手角色,根据NTC Vulkan公司的标记对目标实施打击。Scan-V工具系统的针对性与复杂性也得到了罗考恩等人的称赞。他们认为,该系统“完美贴合了格鲁乌的组织架构和战略思想……网络图和设计思路不可多见,确实非常复杂”。

NTC Vulkan公司还与俄罗斯联邦国家安全局合作,开发出名为“Fraction”的扫描工具,可在设置关键字后对Facebook或Odnoklassniki等社交媒体进行扫描,目的是利用开源数据找出并确认潜在的反政府分子。

“Vulkan文件”显示,频繁来往联邦国家安全局信息安全中心的NTC Vulkan公司职员与特工们关系之熟稔,甚至到了相互取绰号的地步,职员们把特工戏称为“书虫”。

参考资料:https://www.theguardian.com/technology/2023/mar/30/vulkan-files-leak-reveals-putins-global-and-domestic-cyberwarfare-tactics

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。