随着现代社会进入信息时代,各类丰富的网络服务不仅使得人们生活更加方便快捷,同时,网络也已成为现代战争中的“柔软的下腹部”。

最近的俄乌冲突中,俄方在尚未进行大规模军事行动的时候就已经开始对乌克兰进行了广泛的网络攻击。本文就此梳理相关报道并展开分析,仅供参考。

图:乌克兰的一些官方网站出现无法访问的状况

兵马未动,网军先行,俄乌危机中很容易被忽视的大规模杀伤性武器——网络攻击

作者:Walker(专研外军动态与国际时事)

本文主要内容及关键词

1.俄乌网络战主要事件:1月14日乌克兰约70个政府网站瘫痪(包含政府服务的关键系统);2月22日欧盟“网络快速反应小组”没有存在感;2月23日乌政府军队银行遭受更严重网络攻击,乌安全局中断状态

2.乌克兰这个“网安重灾区”有多弱?2017年网络勒索软件NotPetya经乌对全球65国造成影响

3.历史首次成功的公用设施的网络攻击,也在乌克兰!2015年6小时大面积断电,2016年基辅再次断电1小时,两次遭攻击形式极其相似

4.网络攻击杀伤性分析:新型大规模杀伤性武器;网络服务的两弱点!网络攻击最大的三个危险(信息阻断、信息篡改、获得系统的控制权-最核心危险)

5.不对称战争:俄多次练手早有准备;美提前预警俄度乌关键基础设施网络攻击

6.结语:美执法、军队、关键基础设施相关人员的网络防范意识弱,不知道报告可疑网络活动的具体流程(不知道向谁报告,怎么报告),暴露美国网络攻击预警防范机制十分薄弱!没有相关政策/落实!!

内容主要整理自外文网站相关资料

仅供学习参考,欢迎交流指正!

文章观点不代表本机构立场

*****

1.俄乌网络战

目标乌克兰:网络攻击此起彼伏

2022年2月24日,俄罗斯总统普京宣布对乌克兰展开军事行动。在此之前,乌克兰已经出现了频繁的网络遭受攻击的情况。

1.1 乌克兰约70个政府网站瘫痪

2022年1月14日,乌克兰有大约70个政府部门的网站由于遭受DDoS攻击和黑客入侵而瘫痪。遭受攻击的网站上出现了用三种语言(乌克兰语、俄语和波兰语)书写的警告:“乌克兰人!你们的所有个人数据都被上传到了公共互联网上。这是为你们的过去、现在和未来!”

同时遭到攻击的还有Diia网站,这是一个包含政府服务的关键系统,存储有个人疫苗接种数据和证书。

图:乌克兰网站在2022年1月份也遭到了网络攻击

1.2 欧盟“网络快速反应小组”,存在感几乎为零

在这次攻击之后,欧盟于2月22日宣布成立了一个由来自立陶宛、克罗地亚、波兰、爱沙尼亚、罗马尼亚和荷兰等国的专家组成的网络快速反应小组,通过远程以及在乌克兰当地协助抵御未来的网络攻击。但在俄罗斯发起军事行动之后,这个小组也就失去了存在的意义。

1.3 隔天,网络攻击愈演愈烈

据报道,从2月23日下午开始,乌克兰的政府、军事和银行网站开始遭受越来越严重的网络DDoS攻击,在大规模分布式拒绝服务攻击的冲击之下,这些网站相继出现无法访问的状况。尽管军队和银行的网站由于有了更加充分的准备和增强的技术手段而比以前更快地恢复过来,但乌克兰安全局的网站仍然处于高延迟和不时的中断状态。

2.长期重灾区

乌克兰:网络战的“长期重灾区”

实际上自从2014年克里米亚危机之后,乌克兰一直是网络战的重灾区,甚至将这种影响蔓延到全世界各个国家。

2017年6月27日,经由乌克兰传播的网络勒索软件NotPetya在全球对超过65个国家造成了较大影响。它利用微软的服务器信息块协议中的漏洞CVE-2017-0144,对硬盘主引导记录和其他文件进行加密,然后向用户发送一条信息,让其进行重启,之后系统就无法访问了。这使得操作系统无法定位文件,也没有办法解密数据。用户在电脑上存储的资料将会全部丢失。

图:被网络勒索软件NotPetya锁定后的提示

网络攻击者最初是利用乌克兰政府批准用于报税的仅有的两套会计软件之一的M.E.Doc开始传播的。据报道,有80%的乌克兰境内公司使用这套软件。攻击者利用M.E.Doc在2017年4月14日、5月15日和6月22日的更新,在软件中植入“后门”并且还注入代码,将每套软件唯一的法律实体标识符ERDPOU编码转发回攻击者的服务器。拥有EDRPOU编码,攻击者就可以分辨正在使用被感染的M.E.Doc软件的确切组织,然后据此制定进一步的入侵策略。

图:来自被感染的M.E.Doc软件模块的HTTP请求,在cookies中包含目标的EDRPOU编码

问题爆发之后,乌克兰中央银行、多个政府部门以及基辅鲍里斯波尔国际机场都受到影响,据说出于谨慎的考虑,切尔诺贝利核电站的辐射监测系统也被切换为手动状态。

同时这种勒索软件迅速传播到德国、比利时、英国、丹麦、巴西、俄罗斯和美国等国。

  • 美国西弗吉尼亚州农村的普林斯顿社区医院的信息系统被传染,导致电子健康记录无法访问,甚至无法打印出备份的纸质模板,因为这些模板存储在一台同样被加密锁定的个人电脑上。这家医院不得不报废并更换整个计算机网络。

  • 英国广告公司WPP集团、美国制药公司默克、丹麦航运巨头马士基也遇到了类似问题。

  • 马士基报告其子公司在美国、欧洲和印度经营的数十个港口的运营都受到干扰,在某些情况下,其集装箱码头无法接收船只。

3.历史首次

历史上第一次成功针对公用设施的网络攻击也出现在乌克兰

2015年12月23日,乌克兰电力公司突然出现不定期的停电,在长达6个小时的时间里影响到大约22.5万名用户的正常用电。这是历史上第一次出现针对社会公用设施的成功网络攻击。

经过调查发现,停电是因为三家区域性配电公司遭遇远程网络入侵而造成的。供电恢复之后,这些受影响的配电公司也只能继续在受限的情况下运行。此外,其他一些关键基础设施部门也受到了入侵,但业务没有受到影响。

图:2015年12月,乌克兰在连续断电后被迫转向使用备用电源

这次网络攻击可能是在对目标网络进行了广泛的侦察和准备之后才进行的。

据这些配电公司的人员说,每家公司遭受的网络攻击都是在30分钟之内发生的,并影响到多个中央和区域设施。

在攻击期间,多个外部人员利用操作系统层面的现有远程管理工具或通过虚拟专用网络(VPN)连接的远程工业控制系统客户端软件对电力断路器进行了恶意的远程操作。

攻击者在行动之前就已经获得了合法的数字证书。

攻击者在网络攻击结束之后还通过恶意软件删除目标系统上的选定文件并破坏主启动记录,使系统无法运行。据报道,至少在一个案例中,嵌入远程终端设备的基于Windows的人机界面也被覆盖了。攻击者还破坏了变电站一些设备的固件使其无法运行,而且通过不间断电源的远程管理界面将它们断开连接。 攻击者还向乌克兰公用事业的客户服务中心发送了大量虚假电话,阻止用户报告断电情况。

2016年12月17日,乌克兰首都基辅部分地区再次出现了持续1个多小时的停电事件,据调查人员判定仍然是与2015年的停电事件类似的网络攻击。

4.杀伤性分析

没有硝烟的大规模杀伤性武器

4.1 网络攻击:新型大规模杀伤性武器

目前,包括互联网在内的各种网络系统已经成为信息社会的基础设施,就像水、电、燃气一样不可或缺。不仅人们的日常生活越来越依赖于网络,而且很多基础设施的运作自身也随着工业互联网的发展越来越网络化。

在享受网络发展给我们所带来的各种生活便利,以及给社会生产和生活服务带来的自动化、高效率和降低成本等好处的同时,网络本身也越来越成为现代战争一个非常重要的攻击目标,而且针对网络的攻击,其效果甚至超过传统的物理攻击手段,日益成为一种具有极大潜在破坏力的大规模杀伤性武器。

4.2 网络服务的两大特点,也是弱点!

这是由于网络本身的特点所形成的:

一方面由于网络服务的基础性和广泛性,导致对其的攻击所造成的影响跨越地域限制和时间限制,影响面是传统的物理攻击手段所无法企及的。

另一方面,由于网络服务的开放性和互联互通的特性,使其在先天方面就很脆弱,容易遭到来自各方面的攻击,且很难使用物理手段完全隔绝。而且,对于网络的攻击是非常隐秘的,攻击者可以长期准备和潜伏,或者在不知不觉的情况下窃取关键信息,防御者却经常难以发现。

图:被攻击的电脑屏幕上显示NotPetya的勒索信息

4.3 网络攻击最大的三个危险

网络攻击所带来的最大危险来自于以下这三个方面:

1. 信息的阻断。最常见的DDoS攻击对于攻击方来说这是最便捷的攻击手段,但却是防御方很难彻底避免的问题。

2. 信息的篡改。攻击者可以篡改目标网络中流动的信息,或者假冒信息来源发布虚假信息,造成社会恐慌,削弱对手的社会组织能力。

3. 取得系统控制权。这是最核心也是最关键的一种危险。一旦成功,它可以带来两种后果:攻击者可以控制对方的基础设施并造成破坏,以及,攻击者可以窃取并破坏对方的关键信息和数据

5.不对称战争

另一种不对称作战样式

5.1 俄罗斯早有准备

从军事实力和军事技术水平上来说,俄罗斯的优势可能不是绝对的。但不对称战争已经成为现代冲突对抗的一个既定组成部分,而俄罗斯人已经证明自己早就开始这方面的准备。

在2008年俄格战争期间,格鲁吉亚政府网站就因遭受攻击而被迫下线。2014年的克里米亚危机爆发时,配合军事和政治行动当地也出现了各种网络攻击,以破坏通信稳定,并在争端期间散布混乱。

图:NotPetya勒索软件所影响到的国家分布

5.2 多次网络攻击,疑似俄在“练手”?

2021年,美国ColonialPipeline燃油管线公司遭遇勒索软件攻击,导致美国东海岸出现燃料短缺。另外,世界上最大的肉类供应商JBS的信息系统也被黑客入侵并锁定,最终不得不支付1100万美元的赎金才得以恢复。有一些报道称,这些攻击与俄罗斯存在着千丝万缕的联系。

5.3 美国土安全部提前预警!对乌关键基础设施的网络攻击

美国国土安全部2022年1月23日发给各地执法机构的情报和分析公告认为,如果美国对乌克兰东部边境日益紧张的局势作出反应,有可能遭受“一系列进攻性网络工具”的攻击,包括“低水平的拒绝服务攻击”;或者针对其关键基础设施的“破坏性”攻击。

图:美国国土安全部徽标

由于在网络化、信息化发展水平上不如对手先进,俄罗斯反而在网络战方面占据了相对优势,因为对手对其发动的网络战在落后的环境下很难达到预想的效果,而反过来俄罗斯在这方面的攻击则会对目标形成极大的威胁。

这也成为俄罗斯手中的另一种不对称作战样式。

结语:社会防范意识需要加强

由于不熟悉相关技术,很多专门岗位上的人员都缺乏防范意识。

美国联邦调查局和国土安全部在2月14日召开电话会议警告执法部门、军队和其他负责监督美国关键基础设施的人,要为可能来临的网络攻击做好准备。但据雅虎新闻报道,会议上似乎有很多人不知道报告可疑网络活动的相关程序和流程。

一名参加会议的人说:“这是最基本的事情:你如何以及向谁报告网络上的可疑活动?人们在这一点上不知道该怎么做,这实在是一个失败。”

图:在30个国家开展业务的跨国律师事务所DLA Piper因遭受NotPetya攻击,而在华盛顿特区办公区域设置临时白板要求员工不要开机

另外,在前述2017年影响非常广泛的NotPetya勒索软件事件中,被入侵的M.E. Doc软件开发商似乎发现了这个情况而自行更新修复缺陷,但并未通知乌克兰政府相关部门,也没有发布关于强制更新的安全通告。乌克兰警方表示,如果该公司发现了相关的攻击但没有认真对待,可能会面临刑事指控。

由此可见,目前社会对于网络攻击的防范意识确实需要进一步加强。

(全文完)

【参考链接】

https://www.bbc.com/news/technology-60500618

https://www.cisa.gov/uscert/ics/alerts/IR-ALERT-H-16-056-01

https://news.yahoo.com/exclusive-fbi-and-dhs-warn-us-officials-of-possible-russian-cyber-attacks-linked-to-invasion-of-ukraine-220516786.html

声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。