总部位于瑞士日内瓦的非政府组织网络和平研究所近日发文,分析,以及此次战争背景下网络攻击的未来风险影响。
根据战争期间网络攻击数据,网络和平研究所认为俄乌战争爆发100天内的网络攻击体现出以下五大显著特征:一是网络攻击在俄乌战术推进中均未发挥主要作用,而是被用作一种破坏、中断、数据泄露和虚假信息的手段,导致网络空间动荡不安;二是俄乌冲突引发众多针对关键基础设施的网络攻击,上述攻击违反了国际人道法;三是平民黑客在俄乌冲突中发挥了重要作用,其主要攻击类型体现为反俄行为者开展的“黑客攻击和数据泄露”式攻击以及亲俄行为者对乌克兰盟友开展的拒绝服务攻击;四是随着世界各国政府实施或加大制裁力度,俄乌两国的能源、矿业和金融部门在冲突中遭受了大量攻击;五是除传统宣传手段外,网络攻击还被用来传播虚假信息并控制与战争有关的信息流,战争期间的虚假信息传播在线下和线上同步开展。
奇安网情局编译有关情况,供读者参考。
乌克兰:网络空间战100天
——乌克兰战争中的网络攻击和行动
如何损害社会和破坏网络空间稳定
6月3日标志着俄乌战争爆发100天。期间,乌克兰各城市不但炮火连绵还遭受了严重网络攻击。自2月24日以来,网络和平研究所汇总了针对两组目标的网络攻击的数据:
1. 对平民生存至关重要的乌克兰和俄罗斯关键基础设施以及平民物体,两者都受到国际人道法(IHL)保护。
2. 俄乌两国以外的因战争及其相关经济和地缘政治背景而受到网络攻击影响的目标。
这些数据已公开,并有助于分析战时网络的使用情况。在网络攻击和事件公开后,对其进行跟踪非常重要,以便可以记录攻击情况,并在可能的情况下确定对平民的伤害和风险。即使不是直接目标,世界各地的平民也可能会受到网络攻击的负面影响。因此,保护有关网络攻击的信息非常重要,以便可以确定与武装冲突中使用网络行动相关的法律发展或澄清,并在未来司法程序中进行问责。
一、俄乌战争中的网络攻击和行动
在俄乌冲突中,过去100天的网络攻击有几个关键要点:
1. 虽然网络攻击在双方的战术推进中都没有发挥主要作用,但除广泛使用的虚假信息外,网络攻击被用作一种破坏、中断和数据泄露的手段,导致网络空间动荡不安。
2. 这场冲突导致了很多针对关键基础设施的网络攻击,如对通信服务和发电站的攻击,违反了国际人道法。
3. 所谓的“黑客集体”在这场冲突中发挥了重要作用,其主要攻击类型为:反俄行为者开展的“黑客攻击和数据泄露”式攻击;亲俄行为者对乌克兰盟友开展的拒绝服务攻击(DDoS)。
4. 随着世界各国政府开始实施和/或加大制裁力度,乌克兰和俄罗斯的能源、矿业和金融部门都遭受了大量攻击。
5. 除传统宣传手段外,网络攻击还被用来传播虚假信息并控制与战争有关的信息流。
两个月前,我们发表了一篇关于乌克兰网络攻击的危害和影响的博客。从那时起,我们记录了与冲突有关的攻击事件,以及攻击对乌克兰境外组织和个人的影响情况。
我们严重关切的不是任何单起事件,而是严重影响平民的网络攻击和动能攻击的结合。网络攻击可以通过多种方式伤害平民。进一步分析采集数据所得出的一些关键意见涉及网络攻击的四种主要后果:
● 破坏——旨在永久删除数据或损坏系统使其无法恢复的攻击。在此次战争中,乌克兰政府实体和其他部门已经被安置恶意擦除软件。如果组织无法检索备份或重置系统,这些攻击可能会对组织产生长期影响。
●中断——由于流量增加或系统加密等原因导致服务或操作暂时中断的攻击。DDoS攻击在冲突期间非常突出,包括战争初期针对乌克兰组织、在乌克兰政府呼吁组建“IT军队”后针对俄罗斯组织,以及在对俄罗斯实施制裁后针对一些北约成员国公共机构的攻击。上述攻击严重影响了乌克兰全国的电信和互联网服务的连通性,以及乌克兰、俄罗斯和世界其他地区网站的可用性。
●数据泄露——导致数据被窃取或泄露,或出于间谍、侦察或情报目的获取数据的攻击。尽管后者是战争和地缘政治冲突中的已知做法,但前者是由行为者集体以激进主义名义开展的大量攻击。数据正在以前所未有的速度被泄露并在线发布,尤其是与俄罗斯私人和公共组织有关的数据。
● 虚假信息——以传播虚假信息和宣传和/或操纵信息空间为重点的攻击,此类攻击利用网络,并已成为武装冲突的一个特征。从传播ATM技术故障虚假信息的垃圾短信,到在滚动新闻中错误展示信息或者播放“深度造假”视频的电视台网络攻击,再到威胁行为者通过泄露电子邮件账户访问乌克兰知名人士社交媒体账户以发布虚假信息。
表1 网络攻击时间线及其数字化影响
二、俄罗斯升级——引入恶意擦除软件
恶意擦除软件攻击活动一直是俄乌战争的代名词。自1月份以来,已发现6款针对乌克兰实体和组织的重要数据擦除恶意软件,包括WhisperGate/WhisperKill、HermeticWiper、IsaacWiper、AcidRain、CaddyWiper、DoubleZero。其中3款软件在战争发生的前一天或当天首次被发现部署。关于这些攻击的影响目前还少有公开报道,但这些攻击似乎主要针对乌克兰的公共部门、金融和能源公司以及电信供应商。据报道,2月25日对边境控制站的一次恶意擦除软件攻击延缓了难民从乌克兰进入罗马尼亚的进程。
随着战争的发展,破坏性网络攻击和行动继续被使用。4月8日,一次使用恶意擦除软件对乌克兰变电站的攻击被挫败,如果此次攻击成功,将导致大约200万人断电,恢复供电将十分困难。而且,网络和平研究所还记录了“匿名者”相关团体所称的对俄罗斯公共部门以及金融、能源和旅游管理公司的破坏性袭击。例如,4月18日对一家俄罗斯银行的攻击导致了超过1TB的数据被泄露,其中包括财务报表、代币、税务表格、客户信息和敏感数据库。据称,为防止数据和功能恢复,此次攻击还删除了所有备份。
三、关键的基础设施未能幸免
信息和通信技术(ICT)行业是在战争期间成为攻击目标的最显眼领域之一。网络和平研究所记录了至少6次专门针对乌克兰电信服务提供商的网络攻击或活动。乌克兰国家特殊通信和信息保护局(SSCIP)5月4日表示,“入侵部队故意破坏了乌克兰境内的电视和广播基础设施,剥夺了乌克兰人民获得有关战争进展和乌克兰局势的可靠信息的所有机会。”虽然该简报指的是动能攻击,但收集到的针对媒体实体和电信服务提供商的网络攻击数据表明,网络也被用作破坏信息访问的手段。
在俄乌战争爆发当天,针对Viasat位于乌克兰的KA卫星网络的攻击影响了一家德国大型能源公司,导致该公司失去了对5800多台风力涡轮机的远程监控访问权限。尽管此次袭击貌似针对乌克兰军事目标,但乌克兰境内外的平民和民用目标都受到了影响。在3月28日乌克兰一家主要网络提供商遭到袭击后,乌克兰发生了全国范围的网络中断,网络连通性崩溃至战前水平的13%,在最初中断发生约15小时后才得以恢复服务。
表2:各国各行业受影响对比
*一些攻击或活动影响了多个行业
四、平民和集体在网络空间掀起波澜
2月26日,乌克兰数字转型部长迈哈伊罗·费多罗夫宣布成立一支在网络空间为乌克兰而战。这一行动号召(通常被称为乌克兰“IT军队”)的后果和潜在的长期影响尚不得而知。乌克兰政府宣布,在5月9日至15日这一周,有240多个俄罗斯在线资源遭到了其“IT军队”的攻击。
然而,相关集体的攻击引起了巨大轰动。在公开宣布对一方或另一方的效忠后,这些集体以空前罕见的速度和规模开展了网络攻击。自2月26日起,一个名为“分布式拒绝秘密”的组织开始发布主要来自俄罗斯组织的数百G数据。今年年初以来,黑客组织“匿名者”一直活跃于对俄罗斯和亲俄组织实施黑客攻击和泄密行动。网络和平研究所记录了44起“匿名者”承认的事件,其中39起攻击发生在俄罗斯,3起发生在白俄罗斯,德国和法国各1起但与对俄罗斯组织的袭击有关。
表3:不同国家攻击的结果
在这场冲突中,各类集体在网络空间中发挥了重要作用。其主要的攻击类型是:反俄行为者开展的“黑客攻击和数据泄漏”式攻击,亲俄行为者对乌克兰盟友开展的DDoS攻击。
五、乌克兰盟友和北约国家受到网络攻击
4月和5月发生的一系列DDoS袭击事件,影响了诸多支持乌克兰国家的公共管理部门、政府网站和国家铁路供应商。所记录的针对北约成员国和候选成员国的攻击涉及:芬兰、捷克共和国、罗马尼亚、爱沙尼亚、德国、加拿大、西班牙、法国和意大利。Killnet集体组织公开宣称对这些袭击负责,因为该组织已对“匿名者”公开宣战,这也是数个“匿名者”派系宣布与俄罗斯开展“网络战”的直接后果。Killnet在俄乌战争发生后走进人们视野,目前对该组织情况还知之甚少。
许多攻击都发生在与制裁、武器供应和正在进行的北约成员国身份谈判有关的地缘政治和经济背景下。
能源、矿业和金融行业深感压力
2022年1月以来,网络和平研究所记录了许多针对能源行业(特别是天然气)和采矿行业(特别是石油)的攻击事件,这些行业遭遇到了一系列袭击。已经记录了12起针对俄罗斯组织的攻击,其中多数(8起)是黑客攻击及后续数据泄露,2起攻击导致网站/公共界面篡改,以发布亲乌克兰信息。已经记录了6起针对乌克兰的攻击,但这些攻击在性质上有所不同,因为它们可以归类为更广泛的网络间谍或恶意擦除软件攻击类别。
针对德国(4起)、瑞士(1起)、西班牙(1起)和美国(1起)组织的攻击与战争间的有形联系较少,但被认为可能与对俄罗斯组织的制裁有关。例如,3月2日,总部位于瑞士的俄罗斯北溪2号天然气管道运营商表示,其移动和固定网络线路无法连接,并已因网络攻击关闭了网站。
俄罗斯联邦的金融部门也受到数据泄露(10起)和DDoS攻击(3起)的影响,自战争以来共记录了12次攻击,而乌克兰金融组织受到DDoS(4起)、恶意擦除(1起)和网络间谍(1起)攻击的影响。在俄乌之外,德国金融监管机构BaFin最近向金融部门发出警告,因为乌克兰战争导致了网络攻击增加。与对能源和采矿行业的攻击一样,如果没有进一步深入研究,就不可能在制裁和对金融行业的网络攻击间建立明确的因果联系,但网络和平研究所当然注意到对金融行业的网络攻击有所增加,因为该行业的制裁也已收紧。
七、通过网络攻击控制信息空间
每场战争都伴随着宣传。在俄乌战争爆发前的几年里,俄罗斯联邦一直试图在其领土内外牢牢掌控信息空间。近年,俄罗斯已经从宣传转向使用虚假信息。前者制造和传播政治或意识形态言论,即用于传播影响力的片面观点;后者作为故意误导和操纵的敌对行为,传播虚假信息。从使用“僵尸农场”吸引最大受众到开展网络攻击以破坏网站的各种策略,这场战争的虚假信息传播正在线下和线上同步开展。对媒体部门的攻击是无情的,试图通过传播虚假信息和中断服务来影响信息空间,以限制乌克兰和/或俄罗斯民众获得及时、可靠和官方的信息。3月16日,Ukraine
24电视台遭到袭击,错误地报道了乌克兰总统泽连斯基敦促乌克兰人停止战斗并放下武器的虚假信息。该节目滚动新闻被黑客入侵,显示了看似来自泽连斯基的信息。2月26日,包括塔斯社(TASS)、Fontanka和《生意人报》(Kommersant)在内的多家俄罗斯国内新闻网站遭到袭击,信息被替换为战争死者的“墓碑”。
威胁行为者试图影响主流媒体的信息流,他们访问或冒充乌克兰知名人士的账户、通过网络攻击篡改网站或修改信息,以传播地缘政治信息、传播虚假信息并影响公众舆论。乌克兰和俄罗斯联邦都在发生此类袭击,因为那些持反地缘政治观点的人正试图让人们听到他们的声音。
毫无疑问,针对平民的攻击通常与网络钓鱼、欺诈和恶意垃圾邮件活动相关联,因为威胁行为者试图在危机时期利用大众的脆弱性或慷慨之心。2月15日,在一场短信垃圾邮件事件中,平民成为了特定的目标。该事件似乎与一次针对银行和政府网站的DDoS攻击同时进行,目的可能是制造恐惧和混乱。
表4:各国哪些行业受影响最大
在这场战争背景下进行的网络攻击产生了广泛的后果,不仅涉及政府、公司和平民,也涉及安全、可靠和可信的技术使用。
在武装冲突期间,关联松散的个人参与网络攻击构成了以下挑战,并为未来的冲突树立了危险的先例:
● 直接参与敌对行动的平民可能会失去国际人道法赋予平民的保护,并可能成为网络战或动能手段的目标,和/或受到起诉。这将冲突的潜在影响扩大到了个人和社会。
● 个人(未受雇于政府的军事或文职人员)的参与对全球个人构成风险——组织松散的团体缺乏适当的协调、训练和交战规则,可能会通过其参与攻击的二级和三级后果造成附带损害。
● 集体的参与带来了归因挑战,这反过来会使对网络攻击造成损害的问责复杂化。
除因大量行动者加入战争而导致的网络空间不稳定外,网络和平研究所还注意到了一些其他挑战,其长期影响尚有待澄清。通常建立在协作原则基础上的开源技术被用来传播虚假信息和宣传,甚至嵌入了恶意软件。这一新趋势被称为“抗议软件”(protestware),引起了人们对其可能对项目和贡献者造成伤害的担忧。
当今世界仍在苦恼该如何处理勒索软件攻击导致的大量数据在线泄露问题,攻击者以激进主义和反对战争的名义在线泄露的大量数据令人担忧。公开发布这些包含数百万条个人数据的TB量级数据的后果尚不完全清楚,但可以肯定的是,无论个人是否在冲突中发挥作用,他们都极有可能受到影响。
九、呼吁保护受害者并尊重法律和规范
网络和平研究所正在跟踪针对平民人口生存所必需的关键基础设施和民用物体的网络攻击,以及因战争及其相关经济和地缘政治背景而受到网络攻击影响的目标。重要的是要强调,无论是在战时还是在和平时期,此类攻击都不应针对关键基础设施和民用物体。网络和平研究所呼吁各方依据国际人道法保护平民和其他受保护人员、民用物体和确保提供基本服务的基础设施。这是武装冲突各方的义务。遵守该法律对于挽救生命和减少磨难至关重要。
需要对网络的使用情况进行持续分析,从适用的法律和规范的角度理解这些攻击,也要对违反国际法的攻击(如过度和不加区别的攻击)进行追责。为此,网络和平研究所将继续监测俄乌战争背景下的网络攻击使用情况。
重要的是,在联合国开放工作组(OEWG)和其他国际论坛的框架内,从这次武装冲突中的网络使用中吸取教训,包括在战时能够获取准确信息,对和平与安全的影响,以及维护《联合国宪章》和网络空间负责任国家行为的国际法和规范。推动网络空间中负责任国家行为对于确保网络空间的开放、自由、稳定和安全至关重要,这需要各领域利益攸关方的承诺和参与,包括能够更好地了解网络攻击对受害者影响的民间社会组织。
声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。
