编者按:美国外交关系委员会数字和网络空间政策项目的助理研究员凯尔·芬多夫近日发表题为《“乌克兰IT军队”在俄罗斯的战役动态》的文章,分析“乌克兰IT军队”对俄罗斯目标开展网络攻击活动情况。
文章称,外界对网络行动的理解几乎完全由防御者驱动,网络安全公司、非营利组织和政府机构的报告提供了关于网络行动目标和对象的片面观点;通过泄露文件和美国网络部队的官方表态可以管窥进攻性网络行动的方式和目标,但仍无法理解整体网络行动情况;“乌克兰IT军队”可能与乌克兰政府有关联,该组织虽然可能不像其他国家支持的网络团体那样以同样先进的技术水平运作,但其可能提供了一个“独特窗口”,从而可以了解进攻方的决策和行动以及国家如何在战争中利用网络空间。
文章称,“乌克兰IT军队”攻击了俄罗斯多个经济领域,尤其是高度数字化的领域;根据美国外交关系委员会(CFR)网络行动跟踪器的标准,“乌克兰IT军队”开展了所有7类网络行动中的4类,包括破坏、拒绝服务、人肉搜索和污损;根据北美行业分类系统(NAICS)进行评估,“乌克兰IT军队”已攻击20个经济部门中的10个,包括金融和保险(93次)、信息技术(57次)、批发和零售贸易(42次)、运输(14次)、石油和天然气等开采(9次)、公用事业(3次)、教育(1次)、制造业(5次);政府(55次)以及艺术、娱乐和休闲业(42次);“乌克兰IT军队”避开攻击的领域包括军事和情报网络、公用事业、教育服务、住宿和餐饮、建筑、房地产、管理和咨询、废物处理、农林渔猎、医疗保健、社会援助以及专业、科学和技术服务,原因可能包括缺乏先进的黑客技术、目标具有情报价值、避免干扰其他高级网络行动、攻击资源优化配置、国际法限制等。
文章称,诸多黑客行动主义团体在俄乌冲突中选边站队,发起DDoS攻击,窃取和泄露大量数据,并参与旨在诋毁对方的信息战活动;对比而言,“乌克兰IT军队”较为公开透明,其Telegram群组充当了共享宣传、被盗文件和俄罗斯人个人信息的渠道,以及试图在俄罗斯社会制造混乱的代理人;“乌克兰IT军队”发布的信息展示了攻击者如何在战争期间在网络空间开展行动,并显示出其技术能力的界限,以及其偏离网络行动国际规范和攻击民用目标的意愿;“乌克兰IT军队”的主要攻击方式是DDoS攻击(占比90%以上),此类攻击容易发起且具有破坏性;“乌克兰IT军队”比大多数其他西方国家采取网络行动的意愿更强,攻击了政府控制外具有民用功能的目标,显示出对美西方关于对军事目标开展网络攻击规范的漠视。
奇安网情局编译有关情况,供读者参考。
“乌克兰IT军队”在俄罗斯的战役动态
我们对网络行动的理解几乎完全由防御者驱动。来自网络安全公司、非营利组织和政府机构的报告提供了网络行动的目标和对象的观点,但这种观点是片面的,只抓住了总体行动的点滴。通过泄露的文件可以一瞥进攻性行动的方式和目标,最著名的是爱德华·斯诺登泄露的《美国第20号总统政策指令》和美国国家安全局的其他文件,以及美国网络司令部偶尔发表的声明,但在理解整体情况方面仍然存在许多空白。然而,“乌克兰IT军队”,一个为应对俄罗斯军事行动而组织起来并且可能与乌克兰政府有关联的黑客组织,提供了一个独特的视角来了解进攻方的决策和行动以及如何在战争中利用网络空间。
“乌克兰IT军队”诞生于俄乌战争初期。该组织始于2022年2月26日乌克兰副总理兼数字转型部长米哈伊洛·费多罗夫的一条简单推文,他写道“我们正在打造一支IT军队。我们需要数字人才”,并包含一个Telegram频道的链接,访问者可以在该频道中找到要攻击的目标列表。该组织背后的概念很简单:该频道的运营者提供对俄罗斯网站开展分布式拒绝服务(DDoS)攻击的工具,并每周2到3次发布目标列表供志愿者攻击。然后,这些志愿者使用频道中的工具,在某些情况下还运用自己的黑客技能,来关闭俄罗斯互联网上的服务,包括银行网站、税务处理器和军用设备商店。该组织攻击了著名的俄罗斯网站,甚至成功地将俄罗斯总统普京在圣彼得堡经济论坛上的演讲推迟了1个多小时。
“乌克兰IT军队”提供一站式黑客体验;该Telegram频道识别范围广泛的目标,并为用户提供攻击这些目标的工具,经常以这样的方式结束消息“我们提醒您,我们有一个用于自动攻击的机器人!您可以向我们的机器人授予对您的云资源的访问权限,该机器人将从所有可用服务器发起协同攻击。”该工具将用户的计算机添加到乌克兰政府运行的僵尸网络中,使参与支持乌克兰的黑客活动就像下载单个程序一样容易。用户不再需要磨练自己的计算机技能并寻找小型论坛或孤立的黑客社区来参与爱国黑客活动。乌克兰当局降低了爱国黑客的进入门槛,并大规模实施,因为该Telegram频道在高峰期拥有超过300000名订阅者,个别消息已被浏览近100万次。
黑客行动主义并非新概念,黑客行动主义团体在俄乌冲突的双方都频繁出现,包括KillNet、Xaknet和“匿名者”等团体。这些组织和其他组织发起了DDoS攻击,窃取和泄露了大量数据,并参与旨在诋毁对方的信息战活动。黑客行动主义也出现在其他情况下;俄罗斯过去曾利用过爱国黑客,从2007年的“青铜战士事件”开始,俄罗斯爱国黑客和可能还有一些国家资助的团体在爱沙尼亚政府决定拆除一座二战阵亡苏联士兵纪念碑后攻击了该国互联网。在这些和其他情况下,相关国家政府可以在黑客活动分子活动方面保持合理推诿;它们可能在公开声明中攻击了目标实体,或者开玩笑说它们的助手是开展黑客攻击的人,但它们从未在公共论坛上指挥过攻击。
相比之下,“乌克兰IT军队”是透明的,公开和详尽地记录了网络冲突的进攻方。该Telegram群组充当了共享宣传、被盗文件和俄罗斯人个人信息的渠道,并充当了试图在俄罗斯社会的不同部分制造混乱的代理人。有关网络活动的信息通常是保密的,尤其是国家资助的活动,大多数信息是从网络安全公司和具有防御任务的政府机构的报告中收集到的。“乌克兰IT军队”虽然可能不像其他国家支持的网络团体那样以同样先进的技术水平运作,但它提供了一个了解各国在战时如何使用网络攻击的独特窗口。
值得注意的是,乌克兰政府曾表示只有文职官员参与了“乌克兰IT军队”,并否认有军方或情报人员参与其中。然而,外部研究人员表示,乌克兰情报团队可能与该组织密切合作,至少部分原因是“乌克兰IT军队”的攻击有可能导致“战略混乱和对国防和情报部门自身行动的战术干扰”。2022年10月,“乌克兰IT军队”频道还承认了与乌克兰特种作战部队(SSO)的合作,当时运营者泄露了“由IT军队和SSO专家共同努力获得的”俄罗斯纳税人数据。
01 方法
“乌克兰IT军队”的目标包含在米哈伊洛·费多罗夫在俄乌战争初期推文发布的Telegram频道中。该频道包含各种宣传公告、攻击特定目标的号召,以及源于“乌克兰IT军队”中执行更先进操作的较小型非公共团队行动的数据泄露。根据目标公司或组织所涉及的经济部门,将这些攻击呼吁和过去攻击的报告分为几类,为“乌克兰IT军”关注方向提供了有用的代理计量。
重要的是要注意2022年10月“乌克兰IT军队”的瞄准方法发生了变化,这影响了对“乌克兰IT军队”行动的任何分析。在此日期前,该Telegram频道被用来散布“乌克兰IT军队”想要攻击的IP地址和网站。然而,在2022年10月2日,“乌克兰IT军队”运营者分享称将使用DDoS工具来协调活动,以避免俄罗斯人使用频道中包含的信息来快速支持加强对受影响网站的防御。“乌克兰IT军队”表示,其将转向“在攻击结束后分享一份揭示结果的报告”。这种变化,加上“乌克兰IT军队”维护的内部团队实施的攻击,增加了整个战役的不确定性,并且需要使用部门而不是单个组织来细分“乌克兰IT军队”的行动。
对这些消息的分析根据两个标准,包括攻击方法和目标组织所在的经济部门,将各攻击呼吁或已经发生攻击报告分为几类。攻击方法使用美国外交关系委员会(CFR)网络行动跟踪器的标准进行评估,该标准将行动分为7类,其中4类已被“乌克兰IT军队”使用,包括破坏、拒绝服务、人肉搜索和污损。目标经济部门根据美国普查局维护的北美行业分类系统(NAICS)进行评估,该系统将企业分为20个部门,其中“乌克兰IT军队”已攻击10个:金融和保险;信息技术;批发和零售贸易;运输;石油和天然气钻探、采矿和其他开采;公用事业;教育;制造业;政府;艺术、娱乐和休闲业,其中包括新闻媒体组织。国有企业被算作各自行业的一部分,而不是政府的一部分。在可以确定一条消息针对多个部门的情况下,例如在2022年3月3日的消息中针对俄罗斯联邦安全局(FSB)内部通信渠道、俄罗斯航空公司(Aeroflot)通信系统和某莫斯科照明系统,该消息将被计入不同目标组织所在的类别。按经济部门分析并计算每条呼吁攻击的消息,而非每个目标组织,通过考虑从该日期之前记录在案的具体目标指示到之后发布的更一般的指导和报告的变化,提供了一种分析“乌克兰IT军队”2022年10月2日后行动的方法。
02 “乌克兰IT军队”的目标
“乌克兰IT军队”攻击了俄罗斯经济的多个不同领域,尤其是那些高度数字化的领域。该组织对金融业发起的攻击次数最多,在93条消息中将金融业列为攻击目标,几乎总是使用DDoS攻击,但在少数情况下会泄露从金融机构窃取的数据。信息技术公司超过57次成为攻击目标。这些攻击主要集中在用作服务提供商的软件上。作为减缓供应链、阻碍纳税和阻止俄罗斯人获得国家福利的手段,在这些公司中,电子文件准备和验证公司12次成为攻击目标。该组织还55次将政府网站和网络列为攻击目标。这些目标通常是政府机构的网站,例如俄罗斯联邦安全局(FSB)、执政的统一俄罗斯党、国防部和外交部。这些通常是DDoS攻击,会使网站在短时间内瘫痪。在少数情况下,“乌克兰IT军队”发起了更长时间的DDoS攻击活动,旨在致瘫许可系统,例如2022年6月对用于认证待售动物产品的统一州自动信息系统(EGAIS)的攻击。
“乌克兰IT军队”还42次攻击了艺术、娱乐和娱乐行业,主要是通过攻击俄罗斯新闻和社交媒体平台。除两个案例外,包括“乌克兰IT军队”污损克里米亚新闻网站和某俄罗斯寡头经营的一个设计网站,针对该行业的攻击几乎都是DDoS攻击。自冲突开始以来,贸易公司已42次成为攻击目标,主要是在线购物和送货公司以及技术进口商。作为对贸易部门的攻击的一部分,“乌克兰IT军队”经常对第三方设备供应商开展DDoS攻击,以阻碍经常因腐败而装备不足的俄罗斯军队购买额外的装备、食品或补给品。
该组织针对运输部门发起了14次攻击,其中包括战争初期针对航空公司票务系统的多次DDoS攻击和针对航运公司的多次DDoS攻击。在针对该行业的唯一一次非DDoS攻击中,“乌克兰IT军队”于2023年2月从与莫斯科地铁相关的支付系统中泄露了文件。在运输行业,除泄露俄罗斯铁路运输公司数据案例外,“乌克兰IT军队”避开攻击铁路网络。这可能是由于俄罗斯军方依赖其铁路网络将部队、设备和物资运送到前线,这使得该部门对网络间谍活动价值非凡。
“乌克兰IT军队”还袭击了包括石油和天然气公司和采矿公司在内的开采部门,共计9次。这些攻击主要针对俄罗斯天然气工业股份公司(Gazprom)等俄罗斯石油和天然气巨头的网站。该组织曾两次从Gazprom泄露文件,详细列出了其在伊尔库茨克地区的业务以及大量财务和员工记录。最后,该组织已袭击制造业5次,主要针对生产支持俄罗斯战争活动商品的公司,包括大型武器制造商卡拉尼什科夫集团(Kalashnikov Concern),以及为俄罗斯军队供应靴子的公司。
03 “乌克兰IT军队”避开的领域
该组织特别避开攻击俄罗斯互联网的几个领域。这些遗漏可能是多种因素造成的,包括缺乏先进的黑客技术,乌克兰方面不愿透露对更敏感目标的了解,或者如前所述,试图避免损害由更高级行为者开展的其他网络行动。正如今年早些时候在Discord上泄露的文件所示,美国情报机构经常使用从俄罗斯网络收集的信号情报来为成品情报产品提供信息。乌克兰的网络间谍活动不甚明了,也很少被报道,但“乌克兰IT军队”2022年10月与乌克兰特种作战部队(SSO)的合作提供了表明部分乌克兰军方正试图维持在俄罗斯网络上存在的证据。
未归入北美行业分类系统(NAICS)但基本上未被攻击的领域包括军事和情报网络。“乌克兰IT军队”几乎完全绕过这些区域,几乎可以肯定是由于这些网络中包含的情报。有两个“乌克兰IT军队”攻击机密网络的实例,均发生在2022年3月3日,目标是俄罗斯联邦安全局(FSB)和俄罗斯国家近卫军(Rosgvardia)的内部通信渠道。目前尚不清楚这些渠道的用途以及它们是否真的被破坏了。
包括电力系统和供水公司在内的俄罗斯公用事业公司也没有受到“乌克兰IT军队”攻击的冲击,仅成为3起攻击的目标。“乌克兰IT军队”只对电力公司发起过一次DDoS攻击:2022年2月对白俄罗斯国家电力集团公司(Belenergo)网站的攻击。“乌克兰IT军队”还在2023年2月泄露了俄罗斯一家自来水公司的数据,其中包括38000名客户个人信息。“乌克兰IT军队”2022年10月15日宣布了一次更严重的攻击,当时该组织发布了一段宣传视频,声称其内部团队已瘫痪圣彼得堡所在的列宁格勒州电网。电网是一个难以攻击目标,专家表示对电网的攻击需要“数月的计划、大量的资源和具有广泛专业知识的团队”。虽然由于缺乏公开的俄罗斯网络安全报告和“乌克兰IT军队”的宣传倾向,很难评估这次攻击的实际影响(甚至是否发生),但该事件表明“乌克兰IT军队”可能试图攻击俄罗斯能源基础设施,但由于对这些网络开展攻击需要高度的技能和准备,因此攻击是有限的。
除一个案例外,“乌克兰IT军队”还避免攻击教育服务部门。2022年6月20日,在俄罗斯学生开始申请学校之际,“乌克兰IT军队”对俄罗斯大学使用的申请系统发起了DDoS攻击。专家们对“乌克兰IT军队”可能对国际规范产生的影响表示担忧,它可能在攻击没有军事功能的机构或网络方面走得太远,这次攻击是“乌克兰IT”针对一个几乎完全脱离俄罗斯战争活动部门的最明显的案例之一。“乌克兰IT军队”对该应用系统发起攻击已将近一年时间,然而其仍未将目光放回教育领域。
除5月攻击俄罗斯一家酒店预订网站的案例外,“乌克兰IT军队”还基本上避开住宿和餐饮服务。鉴于“乌克兰IT军队”此前对航空公司预订网站的攻击,它花了一年多的时间才攻击俄罗斯旅游业的其他部分,这有点令人惊讶。
“乌克兰IT军队”还避开了建筑、房地产、管理和咨询以及废物处理部门。缺乏攻击的原因尚不清楚,尽管一种可能是乌克兰操作人员认为他们的资源更适合用于与战争活动更直接相关的其他俄罗斯经济部门。
专业、科学和技术服务部门也逃脱了攻击。这一遗漏的原因也不清楚,因为俄罗斯的大学和研究机构过去一直是寻求窃取信息的国家支持黑客的热门目标。
一般来说,“乌克兰IT军队”基本上避开了农业、林业、渔业和狩猎部门。然而,它对用于认证农产品的政府系统发起了DDoS攻击,包括2022年6月对EGAIS的攻击,目前尚不清楚为什么这些破坏仅限于政府系统,而不是攻击整个行业。
最后,“乌克兰IT军队”还未攻击医疗保健和社会援助部门。长期以来,国际法将医疗系统划为非战斗人员,至少到目前为止,“乌克兰IT军队”似乎尊重这一区别。
04 结论
“乌克兰IT军队”的信息展示了攻击者如何在战争期间在网络空间开展行动,并展示了其技术能力的界限,以及其偏离网络行动国际规范和攻击民用目标的意愿。DDoS攻击占“乌克兰IT军队”消息中提及攻击的90%以上,与其他网络攻击相比通常很容易发起,并且仍然具有破坏性。“乌克兰IT军队”的破坏性攻击展示了更深层次的能力。根据美国外交关系委员会(CFR)网络行动跟踪器,每年成功的破坏攻击次数从未超过7次。虽然这个数字几乎肯定是不完全统计,但它让人感觉到“乌克兰IT军队”据称实施的某些行动的难度。
尽管依赖于相对简单的技术,但“乌克兰IT军队”通过其目标选择在其他领域(即国际规范)突破了极限。其攻击政府控制外区域的意愿,其中大部分具有民用功能,例如对金融部门的93次攻击和对俄罗斯新闻媒体的每周攻击,显示出对由美国和志同道合国家发布的关于对军事目标使用网络攻击的一些规范的漠视。然而,“乌克兰IT军队”似乎并非完全不受限制地开展行动。该组织在2022年年发动一次攻击后撤回了对教育部门的攻击,再加上它不愿攻击医疗保健部门的事实证明,尽管“乌克兰IT军队”比大多数其他西方国家更愿意采取网络行动,但至少,一些领域仍然是禁区。
声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
