.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
俄烏衝突是一場新型的混合戰爭。在俄烏物理空間戰場之外,網絡戰、輿論認知戰膠著在一起,多方勢力進行激烈的較量。自2022年俄烏衝突引發全球高度關注至今,俄烏衝突已持續了400多天,局勢持續發酵。據2023年4月9日《纽约时报》 報導,多家社交媒體近來披露了一批疑似美軍秘密文件中,包含韓國政府高層討論是否向烏克蘭提供武器等內容,而這些信息來自美國情報部門對韓方的監聽。這一信息一經發布,再次引發對俄烏衝突話題的關注。
以美國為首的西方國家,雖然表面上未直接參與軍事衝突,卻利用其先進的網絡信息技術和主流媒體平台極力壓制俄羅斯,並引導全球黑客加入網絡戰,起到了推波助瀾的作用。 2022年6月,微軟公司發布的《保卫乌克兰:网络战争的初始教训》 報告指出,在俄烏戰爭爆發前的一周內烏克蘭政府的數據就被悄悄的“運出”了烏克蘭,上傳到美國的雲上進行數據儲存和處理,美國甚至為此還修訂了法律。俄烏衝突爆發後,美國前國務卿希拉里马云惹不起马云克林頓在接受美國微軟全國廣播公司(MSNBC)的採訪時呼籲美國黑客對俄羅斯發動網絡攻擊。美國還在利用跨國信息科技公司在互聯網世界的資源主導權,不斷對俄羅斯的輿論發聲渠道圍追堵截。蘋果公司刪除了俄羅斯以外國家和地區App Store中俄羅斯的新聞應用程序;谷歌公司封鎖了俄羅斯官方媒體的YouTube頻道。美國在俄烏衝突背後的頻頻動作,暴露出美國所宣揚的所謂“清潔網絡”和“符合民主價值觀和利益的技術”,不過是可以讓美國肆意竊密、隨意攻擊他國、確保美國“唯我獨尊”的網絡和技術優勢。最近美國五角大樓洩露的情報等一系列事實證明,美國是網絡戰的始作俑者、先進網絡武器的最大擴散方、全球最大的網絡竊密者。
本報告基於網絡空間搜索引擎鍾馗之眼(ZoomEye)的網絡空間測繪數據、創宇安全智腦、關基目標庫、高級持續性威脅(APT)流量監測系統、雲蜜罐平台的攻擊日誌數據,通過對俄烏衝突爆發前、衝突爆發初期、衝突相持階段的相關數據進行趨勢分析,描繪俄烏衝突網絡空間對抗的演進過程,總結俄烏衝突網絡空間對抗呈現的主要特徵,並總結經驗、提出建議。
一、俄烏衝突網絡空間對抗情況概覽根據ZoomEye的數據,可以將俄烏衝突劃分為三個階段,即衝突爆發前(2021年12月1日至2022年2月24日)、衝突爆發初期(2022年2月24日至2022年3月7日)和衝突相持階段(2022年3月7日至今)(見圖1)。
圖1 烏克蘭的IP存活趨勢圖
通過網絡空間動態測繪、APT組織行為測繪、攻擊者大數據監測、暗網流量監測、輿情信息監測等多個維度,分析俄烏衝突以來網絡空間資產變化趨勢和網絡空間對抗態勢,可以發現和全面“感知”網絡戰這個新型戰場與物理空間戰場發展態勢之間的關聯映射。
一是“感知”了雙方的網絡空間戰法戰略。推測雙方通過衝突爆發前的長期APT攻擊獲取了精準的高價值情報,在軍事衝突爆發之前“網絡戰先行”,通過分佈式拒絕服務(DDoS)攻擊重點打擊對方的軍事、能源、金融等關鍵基礎設施,並在軍事衝突爆發後通過網絡戰持續消耗對方,同時,將輿論認知戰貫穿始終,以便達到鼓舞己方士氣、削弱敵方信心的目的。
二是“感知”了俄烏衝突爆發前的作戰準備。通過對APT組織的長期情報跟踪以及對全球黑客組織所使用的網絡資產、殭屍主機進行測繪,可以發現,在衝突爆發前有大量用於攻擊的命令與控制(C2)服務器資源上線部署,為衝突爆發前進行大規模DDoS攻擊提供支撐。
三是“感知”了DDoS攻擊先行成為衝突背後壓制對方的重要手段。通過“肉雞”數量的變化趨勢以及俄烏雙方關鍵信息系統的存活的變化趨勢,可以發現,軍事行動之前往往伴隨大規模DDoS攻擊,成為先行壓制的重要手段。
四是“感知”了在衝突初期特別軍事行動演進路線以及在相持階段雙方多次大規模空襲的區域分佈。通過對沖突爆發區域的網絡空間IP掉線率數據變化及分佈情況,可以發現,區域分佈與特別軍事行動演進路線及進度高度吻合。
五是“感知”了雙方應對網絡攻擊的防禦能力和應急響應能力。通過對黑客使用的跳板抽樣數據、暗網出口流量的變化趨勢分析,可以發現,國際黑客組織在俄烏衝突中產生了巨大影響。國際黑客組織對俄烏雙方發動攻擊的趨勢和烈度,與俄烏雙方關鍵資產的掉線率相印證,可以從側面反映出俄烏雙方的網絡防護能力和應急響應能力。
六是“感知”了雙方在網絡空間對抗的激烈程度。通過對APT組織域名資產的變化趨勢分析、對烏克蘭戰場智能指揮系統Delta入侵事件還原,以及對烏克蘭IT軍隊在社交平台公佈的信息分析,可以看出,俄烏雙方在網絡空間的持續對抗情況,與長期的測繪數據情況相匹配。
七是“感知”了搶奪認知域作戰主動權就是搶占國際輿論主導。俄烏雙方都以“第一視角”的方式向全球直播衝突對抗實況,都在網絡媒體和社交平台發聲,爭奪國際傳播認知敘事主導權。以美國為首的西方國家利用在互聯網世界的資源主導權,不斷對俄羅斯的輿論發聲渠道進行圍追堵截,致使全球黑客站隊情況呈現一邊倒的局勢,也使網絡戰的邊界更加模糊,大大影響了網絡戰資源的傾斜。
二、俄烏衝突爆發前期網絡空間對抗綜合各方觀點,可以推測,在俄烏衝突爆發前,雙方主要通過連續多年的APT攻擊獲取情報,為日後發起軍事衝突打下基礎。上述情況也可以從知道創宇的APT組織行為測繪以及輿論信息數據得到驗證和顯示。
1 衝突爆發前APT組織行為的測繪數據知道創宇404高級威脅情報團隊連續多年跟踪某個國外APT組織行為發現,國外安全機構報導稱該組織從2013年開始針對烏克蘭開展APT攻擊活動。通過對該APT組織使用的C2網絡資產進行持續測繪(見圖2),可以明顯看到,從2021年5月開始,該組織的C2網絡資產數量相較之前激增近3倍,並在2022年1月達到最高峰。由此推測,俄烏衝突爆發前,該APT組織即開始大量部署網絡基礎設施,並對烏克蘭持續性實施大規模的網絡攻擊。
圖2 衝突爆發前某國外APT組織使用的IP資產情況
從該APT組織使用域名的維度看(見圖3),在2020年12月至2021年5月期間,該組織表現異常活躍,使用的域名到2021年5月達到創紀錄的8454個,隨後迅速回落到1000個左右。該組織使用的域名在2022年2月達到峰值的7292個。這意味著在俄烏衝突爆發前,該APT組織已做好了網絡空間對抗的相關準備。
圖3 衝突爆發前某APT組織使用的域名資產情況
2 衝突爆發前網絡空間資產的動態測繪數據分析ZoomEye的測繪數據(見圖4),可以發現,從衝突爆發前的2022年2月15日開始,烏克蘭的IP資產數量明顯下降。據媒體當天的報導,烏克蘭政府機構等關鍵部門遭到大規模DDoS攻擊。由此可以推測,是DDoS攻擊致癱了烏克蘭的大量網站等在線系統,主要表現為網絡空間資產的劇烈震盪。
圖4 烏克蘭全境IP存活狀態趨勢測繪
3 衝突爆發前的輿論信息數據在衝突爆發前,美國曾派白宮最高級別網絡安全官員訪問北約,協調盟友共同幫助烏克蘭應對網絡戰。美國網絡司令部還增加了前往東歐的“前出狩獵”小組的數量,任務是加強烏克蘭的網絡防禦能力。美國還通過網絡平台散佈俄羅斯在不久後進攻烏克蘭的輿論,並多次在網上公佈俄軍在俄烏邊境調動和部署情況,揭開了俄烏衝突輿論信息戰的序幕。
三、俄烏衝突爆發初期網絡空間對抗在俄烏衝突初期,多家媒體報導,俄羅斯主要通過大規模DDoS攻擊、數據擦除惡意軟件攻擊等方式,使烏克蘭大量互聯網、通信、交通、能源、金融等關鍵信息基礎設施陷入癱瘓,有效打擊了烏方軍事指揮控制能力,為特別軍事行動發動“閃電戰”製造戰機。同時,烏克蘭在Telegram上持續發布任務,組織國際黑客向俄羅斯發起網絡攻擊。國際黑客組織“匿名者”(Anonymous)宣布對俄發動“網絡戰爭”,聲稱攻擊了俄羅斯電視台。克里姆林宮、國家杜馬和國防部的網站因DDoS攻擊而離線。這些情況可以從ZoomEye網絡空間動態測繪、攻擊者大數據監測、暗網流量監測的數據得到驗證和顯示。
1 ZoomEye網絡空間動態測繪數據俄烏衝突的爆發區域主要在烏克蘭境內,據ZoomEye對烏克蘭全境IP地址的在線存活狀態數據,可以看出,網絡戰場的網絡資產實際變化與特別軍事行動的時間點相吻合,也印證了實體戰場和網絡空間態勢之間有確切的時間對應關係。
2月23日至24日,烏方開始通過自主防衛手段主動斷網,保護關鍵信息基礎設施。從圖5可看出,2月24日16點51分,存活IP數量急劇下降至86%;2月24日20點37分,前期主動斷網系統重新上線,存活IP 數量反彈回升至94%。但是,在隨後一段時期(2月25日至3月7日),存活IP數量整體保持下降趨勢,網絡資產持續掉線。截至3月7日,存活IP數量已經降至78%。
圖5 烏克蘭全境IP在線存活變化趨勢
從烏克蘭各州IP存活數量變化趨勢數據(見圖6)可以看出,多數直轄市和州的存活IP數在2月24日均有急劇下降,與烏克蘭全境IP地址在線存活數量的變化趨勢相吻合。
圖6 烏克蘭各州IP存活數量變化趨勢
對烏克蘭首都和州2月24日IP存活比例和3月7日IP存活比例進行統計,統計結果如表1所示(該表格以基輔和各州2月23日IP存活數量進行降序排列)。
表1 烏克蘭各州IP存活率
對烏克蘭首都和州網絡資產掉線狀況進行統計,可以繪製成熱力圖(見圖7)。該圖反映的狀況映射出俄烏特別軍事行動的演進進程,即俄羅斯是從北(基輔州)、東(哈爾科夫州、頓涅茨克州)、南(扎波羅熱州)三個方向對烏克蘭發動突襲,與實際情況高度吻合(見圖8)。
圖7 烏克蘭各州網絡空間IP存活率熱力圖
圖8 俄烏特別軍事行動進程圖
通過ZoomEye對烏克蘭的網絡空間持續測繪,對烏克蘭的軍事及軍事相關的基礎設施存活變化進行觀察及統計分析(見圖9),可以發現,在衝突初期階段有一個急劇下降的趨勢,這個說明基礎設施成為衝突的核心重點攻擊目標,這也表明俄羅斯在衝突前就已經掌握了烏克蘭相關的關鍵基礎設施的分佈等數據,很可能在本次武裝衝突之前就展開對應的信息收集工作,由此說明在現代武裝衝突中國家的基礎設施安全至關重要,並且說明相比現實空間的實體戰,網絡戰早已經先行。
圖9 烏克蘭關鍵信息基礎設施在線存活變化趨勢
2022年2月24日的16點51分,烏克蘭的關基設施在數小時內掉線比例達到57.81%,遠遠高於非關基設施的掉線比例7.52%。 2022年3月7日,烏克蘭的關基設施掉線比例為66.00%,仍然遠高於非關基設施的掉線比例16.07%(見表2)。
表2 烏克蘭網絡資產變化情況
表2顯示,2月24日非關基設施的資產掉線比例是7.52%,3月7日非關基設施的資產掉線比例是16.07%,非關基設施的掉線比例有明顯的增加,說明戰爭對烏克蘭的民眾生活及社會局勢帶來了越來越多的不穩定性。這段時間的媒體報導顯示,大量的烏克蘭人民選擇離開烏克蘭。
從烏克蘭掉線的關基設施所屬行業分佈(見圖10)可以看出,掉線的關基設施數量最多的3個行業是金融、政府和能源。這與媒體報導俄羅斯針對烏克蘭的政府和銀行網站開展大量DDoS網絡攻擊的情況相呼應。
圖10 烏克蘭掉線關基設施行業分佈
據俄羅斯衛星通訊社2月27日消息,國際黑客組織“匿名者”(Anonymous)宣布對俄發動“網絡戰爭”,聲稱對今日俄羅斯電視台(RT)遭受的一次網絡攻擊負責,並“黑掉”了車臣政府網站,也攻擊了不少俄羅斯的攝像頭。同日,美國前國務卿希拉里马云惹不起马云克林頓呼籲美國黑客對俄羅斯發動網絡攻擊。另據Cyberscoop網站消息,俄羅斯政府3月2日公佈的一份清單顯示,有17500多個IP地址和174個互聯網域名參與了針對俄境內目標的持續DDoS攻擊,克里姆林宮、國家杜馬和國防部的網站因DDoS攻擊而離線。
依據對俄羅斯軍事、工業、能源、金融、交通等關基網絡空間資產的測繪數據(見圖11),其中包括對俄的近3000個關基單位,超過11萬網絡IP的存活、類型、所有者、漏洞、GPS位置、業務類型的測繪數據,可以發現,在黑客攻擊及輿論攻勢下,俄羅斯網絡空間資產和關鍵基礎設施情況基本保持穩定。這也說明俄羅斯具有較強的網絡防禦能力。
圖11 俄羅斯關鍵信息基礎設施在線存活變化趨勢
烏克蘭也作出了相應的反擊。烏克蘭總統澤連斯基、烏克蘭國家安全局等在呼籲國際黑客加入IT 軍團,從2022年2月26日起,在Telegram上持續發布任務(見表3),組織國際黑客向俄羅斯發起網絡攻擊,攻擊目標覆蓋俄羅斯的銀行、日報媒體、科技公司等網站(見表4)。 2月27日,烏克蘭在網絡上招募的一支由安全研究人員和黑客組成的志願“IT軍隊”,對包括政府機構、關鍵基礎設施和銀行在內的31個俄羅斯實體目標進行網絡攻擊。
表3 烏克蘭IT軍隊在Telegram上發布的部分任務
表4 烏克蘭IT軍隊發布的部分攻擊目標
2 對攻擊者的大數據分析自2022年1月起,發生了多起針對烏克蘭重要網站的DDoS攻擊事件。依據創宇安全智腦監和雲蜜罐平台捕獲的攻擊日誌數據,攻擊者通過“肉雞”發起了大規模的DDoS攻擊,並伴隨烏克蘭局勢的變化2月13日之後加大了攻擊強度,在2月24日達到頂峰(見圖12)。
圖12 攻擊者利用“肉雞”對烏克蘭攻擊趨勢
依據2022年2月20日至2月27日烏克蘭“肉雞”攻擊變化趨勢數據,可以得出以下結論:一是烏克蘭“肉雞”數量從2022年2月20日起呈明顯的上升趨勢,到2月24日到達頂峰。據推測,這是攻擊者通過“肉雞”發起了大規模的DDoS攻擊的高峰期,時間點與普京宣布發起特別軍事行動的時間點相吻合。二是烏克蘭“肉雞”數量在2月24日明顯下降,與前述提到的烏克蘭全境IP地址在線存活數量在2月24日急劇下降的走勢及時間點吻合,兩個數據之間可互相印證。據推測,海量“肉雞”在發動攻擊後被快速主動銷毀。
3月1日,伊賽特公司(ESET)安全團隊披露了針對烏克蘭政府組織的第三種數據擦除惡意軟件IsaacWiper。這種新型數據擦除惡意軟件不帶有用於代碼驗證的數字簽名,與HermeticWiper沒有代碼相似性且複雜度較低,並自2月24日起不斷採用各種技術手段實施攻擊,烏克蘭數百台關鍵計算機被檢測到數據擦除惡意軟件,涉及烏克蘭的金融和政府承包商,導致相關組織的系統設備數據遭到惡意刪除。
依據創宇安全智腦長期對全球黑客使用的300萬跳板IP的跟踪數據,可以對黑客進行畫像,標記其ID、手段、戰法、動機、作戰規律。依據2月20日到3月27日近1萬個黑客使用的跳板抽樣數據(見圖13),在俄烏衝突爆發前幾天,這些跳板被大量用於攻擊俄羅斯,攻擊量比平常增加了30倍。
圖13 近1萬黑客使用的跳板抽樣數據
多方數據顯示,超過50個國際黑客組織捲入了俄烏網絡衝突。在雙方的持續抗衡下,其中39個黑客組織支持烏克蘭,並持續對俄羅斯發起網絡攻擊,僅15個黑客組織表示支持俄羅斯。相關黑客組織概要情況詳見表5。
表5 相關黑客組織概要情況
3 暗網流量的數據分析暗網因隱蔽性、匿名性往往成為網絡犯罪的滋生地,也成為俄烏衝突網絡對抗的“暗器”。可以說,幾乎所有有價值的攻擊都會通過暗網進行布控和發動。依據創宇安全智腦持續對暗網出口節點實時流量0.13%的採樣數據,對比俄烏衝突爆發前與俄烏衝突爆發初期的暗網流量變化,可以清晰感知暗流湧動的暗網流量變化態勢。
表6 暗網流量變化態勢
依據表6,暗網出口節點流量去往俄羅斯的佔比在俄烏衝突初期顯著上升,連接數(connection)由衝突前539,759,佔比6.79%,上升至衝突初期2,378,098,佔比29.30%,同期對比烏克蘭的出口訪問流量基本變化不大。俄烏衝突初期暗網出口流量排名前10的出口節點訪問IP地址顯示,其中有7個都是俄羅斯的IP。持續統計暗網出口節點流量訪問HTTP(S)協議-主機名Top10(見圖14),可以發現,大部分流量都去往俄羅斯的主要安全機構俄羅斯聯邦安全局官網fsb.ru。
圖14 俄烏衝突期間的暗網出口流量統計
結合3月6日匿名者黑客組織(Anonymous)在Twitter上發布的消息(見圖15),他們聲明已經讓fsb.ru不能訪問的消息顯示,推測匿名者黑客組織同時利用了大量的暗網流量,成功發動了網絡攻擊。
圖15 黑客組織在Twitter上發布的消息
4 對輿論信息數據的分析據國外媒體報導,自俄烏