俄罗斯十万大军压境之际，乌克兰突遇大规模网络攻击

编者按

昨日，乌克兰突遇大规模网络攻击，多个政府政府部门的网站被瘫痪。目前俄乌边境战云密布，俄罗斯十万大军压境，这是否是俄罗斯地面部队大规模入侵乌克兰的前奏？今天小编就给大家带来一手分析。

乌克兰多个政府网站被黑

被攻陷的乌克兰政府网站 图片来源网络

“你所有的数据都上传到了网络上，电脑上的所有数据都被破坏了，无法恢复。关于你的所有信息都被公开了。恐惧并做好最坏的准备。这是为了你的过去、现在和未来。” 乌克兰外交部网站上的一条消息。

黑客用乌克兰语、俄语和波兰语发布了警告。这次袭击首先是由基辅的一名自由记者奥尔加·托卡里克 (Olga Tokariuk) 发现的。据托卡里克称，外交部、教育部、农业部、能源部和体育部的网站以及国家紧急服务部门的网站都受到了攻击。存储数百万乌克兰人个人数据的 Diia 门户网站和乌克兰内阁网站也关闭了一段时间。

这一幕是不是似曾熟悉？让我们回顾一下2008年俄罗斯入侵格鲁吉亚之前的网络攻击行动。那次高度协同的网络攻击行动为了配合俄罗斯地面的军事行动，应该说也达到了预期的战略目的。

2008年俄格战争的回顾

2008年8月，为了把格鲁吉亚从南奥塞梯驱逐出去，俄罗斯军队入侵格鲁吉亚。此次军事行动开展的同时，也伴随了大量经过协调的网络攻击行动。这是第一次与大规模地面作战行动配合的大规模网络攻击。这些网络攻击虽然与俄罗斯政府没有直接联系，但是却有效地断绝了格鲁吉亚这个高加索国家与外界的联系，在信息和心理上对格鲁吉亚人造成了重大的影响。

俄罗斯对格鲁吉亚的网络攻击分为两个阶段。第一阶段从8月7日晚俄罗斯黑客把格鲁吉亚新闻和政府网站作为主要攻击目标开始。俄罗斯军事预测中心负责人阿纳托利·采甘诺克上校（Anatoly Tsyganok）说第一阶段的这些行动，是俄罗斯对格鲁吉亚人入侵南奥塞梯媒体网站的反击。需要注意的是，所谓的反击也是只比地面行动早了一天。因此，许多安全专家认为，黑客至少事先知道入侵的日期。

在第一阶段中，俄罗斯黑客发起的攻击类型主要是分布式拒绝服务（DDoS）攻击。此阶段的DDoS主要通过僵尸网络开展。俄罗斯商业网络（Russian Business Network ，RBN）这类犯罪组织出于各种目的使用并租赁僵尸网络。攻击格鲁吉亚网站中所使用的僵尸网络都隶属于俄罗斯的犯罪组织，其中就有包括 RBN。第一阶段的攻击主要针对格鲁吉亚政府和媒体网站。俄罗斯的僵尸网络依靠强力的DDoS对这些目标采取行动。爱沙尼亚的网络在一年前受到俄罗斯黑客攻击，而格鲁吉亚的网络，由于其本身脆弱，比起前者更容易受到数据洪流包的影响。

格鲁吉亚媒体和政府网站持续受到DDoS攻击的同时，俄罗斯第二阶段的网络作战力求对更多目标进行破坏，其破坏目标名单上包括金融机构企业教育机构西方媒体（英国广播公司和美国有线电视新闻网络）以及一处格鲁吉亚黑客网站。对这些服务器的攻击不仅包括DDoS攻击，还包括篡改服务器的网站（如：在政府网站上添加将格鲁吉亚总统米哈伊尔·萨卡什维利比作阿道夫·希特勒的亲俄涂鸦）。此外，一些俄罗斯黑客利用格鲁吉亚政治人物公开可用的电子邮件地址，发起垃圾邮件攻击。

为了篡改网站，俄罗斯黑客使用了SQL注入攻击方式。在 SQL 注入攻击中，一个不受信任源的SQL代码被输入到网页表单中，并传递给应用程序的后台数据库中，更改后台数据库的内容或转储数据库。易受这种漏洞影响的系统，本质上完全给了黑客完全访问数据库机会——包含用户登录 ID 列表中的所有内容、金融交易、或者网站内容上的任何东西。

在这个阶段，俄罗斯僵尸网络将焦点集中在了一个被称为 TCP SYN 的协议漏洞上。在这个阶段的行动中，大部分的网络活动转移到了招募俄“爱国的”俄罗斯电脑用户，这些人经常被称为“黑客活动分子”。根据一些俄罗斯黑客网站上的帖子，很多“黑客活动分子”被认为是俄罗斯青年运动的成员。招募主要通过各种网站进行，其中最臭名昭著的网站是8月9日上线的 StopGeorgia.ru。一名黑客活动分子指出，网站提供的说明非常容易，即使新手也能理解。例如，StopGeorgia.ru 提供了让个人电脑都可以发动 DDoS 攻击的简便工具和简单说明。它甚至还有一个方便用户的，名为“洪水”的执行按钮，当用户点击时，就会对格鲁吉亚的目标展开多次DDoS攻击。虽然很多黑客活动分子的攻击靠的是不同的漏洞，而不是僵尸网络的行动，但他们还是通过强有力的 DDoS 攻击让格鲁吉亚的网络服务器不堪重负。

使用这样的工具进行DDoS攻击和通过僵尸网络进行DDoS攻击不同。僵尸网络通过底层网络协议（underlying network protocol）进行 TCP SYN 攻击，其中，“黑客活动分子”使用的许多工具都靠用大量的 HTTP 淹没服务器。基本上，这种攻击是通过对指定网站发送大量超出网络服务器处理能力的请求。

俄罗斯网络攻击的特点

攻击目标

俄罗斯网络攻击的目标是“隔离和压制”格鲁吉亚人。

（1）格鲁吉亚媒体沉默

（2）使格鲁吉亚从国际社会孤立开来。

虽然俄罗斯军事预测中心的负责人阿纳托利·采甘诺克上校小心翼翼地不把网络攻击归于俄罗斯政府，但他还是讲俄罗斯网络攻击描述成针对格鲁吉亚和西方媒体的更大规模的信息战争的一部分。

许多分析人士认为，俄罗斯网络攻击第一阶段的主要目标是阻止格鲁吉亚媒体讲述自己版本的事情经过。这个目标似乎与俄罗斯对信息战的强调相一致。将格鲁吉亚与外界隔离这一目标也可以解释网络战第二阶段对格鲁吉亚银行的攻击。在这个时候，几家银行被海量的虚假交易挤满。为了减轻损失，在冲突期间，许多国际银行停止了在格鲁吉亚银行的业务。结果，格鲁吉亚的银行系统瘫痪了10 天。同样在第二阶段期间，攻击格鲁吉亚商业网站的俄罗斯黑客可能也打算制造类似的经济损失。

同样需要注意的是，“隔离和压制”的目标范围是有限的。一般都避免了会对格鲁吉亚网络和工业控制系统（Industrial Control Systems，ICS）以及监控和数据采集（Supervisory Control and Data Acquisition，SCADA）目标造成永久性破坏的网络攻击。这类系统被设计用于实时数据收集、控制和监控关键基础设施，包括发电厂、石油/天然气管道、炼油厂和供水系统。显然，干扰这些系统会对格鲁吉亚的基础设施造成严重影响。俄罗斯黑客最可能有能力对这些目标采取行动，因此执行一些约束性措施以确保可以避免黑客对这些目标的行动。在遭受网络攻击的时候，格鲁吉亚通过土耳其、亚美尼亚、阿塞拜疆和俄罗斯的陆上线路连接到互联网，这种物理上的连接基本没有受到影响。没有证据表明俄罗斯黑客试图切断格鲁吉亚在现实世界或虚拟世界中的连接——包括途径俄罗斯的物理连接。这可能表明俄罗斯攻击者不打算对格鲁吉亚的互联网基础设施造成永久性的破坏，而是针对特定的服务器来实现他们的“隔离和压制”目标。战争中的这种限制实际上在常规军事行动也很常见。例如，电力和石油基础设施在“自由伊拉克行动”的初期阶段幸免于难。尽管有冲突，但俄罗斯和格鲁吉亚还是有着很深的经济和文化联系，认识到这一点十分重要。因此，对格鲁吉亚的互联网基础设施造成永久性的破坏，可能会给双方都带来负面的结果。

与常规部队的配合

网络攻击与常规部队的协调是非常有限的。虽然许多专家声称，俄罗斯黑客至少知道地面军事行动的开始时间，除了网络攻击的时间选择，没有证据表明网络攻击和常规部队有配合。两个可能的原因是

（1）俄罗斯政府、希望能够将自己和网络攻击行动（仍然没有确凿证据表明政府参与其中）分离出来。

（2）俄罗斯军队在冲突期间在很大程度上没有进行配合——导致网络行动成为隐秘行动。然而，一些安全专家认为，网络和地面部队之间存在某种协调。

侦察和准备

许多安全专家认为，在8月7日最初的网络攻击之前，俄罗斯黑客已经准备好行动。这是因为第一阶段僵尸网络攻击的速度和第二阶段的目标清单以及黑客工具——包括已知的 SQL 注入漏洞——的可用性。简单地说，由俄罗斯黑客发起的有效网络攻击让我们推断有关的侦察活动在这很早之前就进行了。

还有其他准备的指标：2008年7月，格鲁吉亚服务器（包括总统网站）被“在+俄罗斯+赢得+爱”这条消息淹没。这些DDoS攻击源自一个称为 Machbot网络的僵尸网络。众所周知，俄罗斯各种犯罪组织都有使用这个网络。一些分析家怀疑，这一早期攻击可能是 8 月那场攻击的预演。提前准备的另一个标志是基于分析用于篡改格鲁吉亚网站的涂鸦图片。安全专家发现，这些图片中有些早在2006 年就创建好。这可能意味着网络攻击在2008年前，可能有有应急行动的功能。

地面进攻的前奏？

俄乌矛盾由来已久，2014年发生了顿巴斯战争以来，大大小小的冲突不断，造成了数万名士兵和平民伤亡。矛盾主要集中在乌克兰东部顿巴斯地区，乌克兰东部亲俄罗斯的地区，如克里米亚举行公投脱离乌克兰并入俄罗斯，其它地区也纷纷效仿，多次举行公投欲脱离乌克兰。乌克兰这下坐不住了，出兵干涉。而俄罗斯也二话不说，直接下场进行军事干预，几方打成一片。乌克兰面对俄罗斯这个强大的敌人当然不会坐以待毙，多年来都在寻求西方国家的支持，而且也在寻求加入北约。北约当然不会放过这个在俄罗斯家门口施加政治影响的绝佳机会，对乌克兰提供了大量支持。北约部队和乌克兰军队在乌克兰举行大规模军事演习。俄罗斯在指责西方破坏和平进程的同时，开始在乌克兰边境大规模集结重装部队，普京即要震慑北约，也不排除通过全面的战争一劳永逸的解决问题。

2011年11月，乌克兰国防情报机构负责人伊洛·布达诺夫准将称，俄罗斯在乌克兰边境集结了超过9.2万名士兵，40个营级战斗群（BTG），已经准备在1月底或2月初从3个方向发动进攻。俄军计划发起的合成攻势可能包括空袭、炮兵火力突击和装甲突击，同时在乌克兰东部进行辅助空降行动，在敖德萨和马里乌普尔进行两栖立体夺控，并通过邻国白俄罗斯进行小规模牵制攻击。

俄罗斯在乌克兰边境集结了10万重装部队 图片来源网络

针对俄罗斯咄咄逼人的军事部署，北约当然不会坐视势态失控。欧美国家逐步加大对乌克兰的军事援助，支持很多重型装备。美国总统拜登和俄罗斯总统普京进行了多次视频通话，双方互撂狠话。普京威胁说如果西方要干预，那么俄罗斯和西方国家的关系面临全面倒退。拜登则祭出经济制裁的大杀器。甚至威胁要把俄罗斯排除在SWFIT国际美元结算体系之外。但这经济制裁是否能阻止俄罗斯的军事行动步伐目前存疑。目前还看不到北约直接出兵迹象。如北约直接出兵，就存在冲突扩大甚至核战的风险。前不久五大拥核安理会常任理事国放出新闻要管控核战风险也不是空穴来风。

说了这么多，此次网络攻击是否是俄罗斯网络战部队配合军事行动的前奏？结论是高度可疑。理由如下：

• 北约的经济制裁手段阻止俄罗斯军事行动的目的很难奏效。俄罗斯在乌克兰边境的军事部署已经箭在弦上，战事一触即发。北约还没有表现出坚决的军事干预意志。
• 这次网络攻击的时间节点和情报部门预测的俄罗斯的军事行动时间线高度一致。
• 这次网络攻击的规模很大，可以看出精密协同的迹象，单个黑客组织很难有这么强大的技术和组织能力。
• 这次网络攻击对象是政府部门，没有经济利益，政治目的非常明确。

• 这种攻击手段符合俄罗斯以往的攻击手法和特点。将网络战作为常规军事行动的辅助，配合军事进攻行动。

但是有一点需要特别指出的是，要网络战配合这种高烈度的军事行动仅针对政府部门的门户网站攻击是远远不够。要达到配合这种全面战争的军事行动的战略目的必须对整个国家的金融，能源，通讯等关键网络基础设施进行大规模攻击，瘫痪整个国家的网络基础设施才能达到战略目的，不然就是隔靴搔痒。网络战成为常规战争的前奏似乎是了未来战争的标准的模式。西方的军事专家也预测将来针对台湾的军事行动也是一场大规模网络攻击作为开端。所以如果此次网络攻击持续并将目标扩大乌克兰的基础设施，那么几乎可以肯定此次网络攻击是俄罗斯军事行动的前奏。

写在后面

2022新的一年刚开端，新冠病毒仍然在全球持续肆虐。这场大规模军事对峙下的网络攻击给新冠疫情笼罩下的2022年更添加了一丝惨淡色彩。不管怎样，小编还是希望疫情早日退散，世界少些争端，让来之不易的和平更长久些。

声明：本文来自网络安全与网络战，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。