揭秘：乌克兰如何在俄乌冲突中保护关基网络安全？

© FT montage/Viasat/Redux/Eyevine

• 英国金融时报采访了乌克兰和西方官员，披露了乌克兰在俄乌冲突中保护关基网络安全许多未公开的细节；

• 自开战以来，乌克兰的电信网络和能源网络基本上保持了弹性；

• 乌克兰的网络安全体系能力大幅提高，已建立应对网络攻击的流程与行动手册，并能及时从西方获取网络威胁警告和协助支持。

1月14日，俄罗斯军队在边境集结时，数十个乌克兰政府网站内容被篡改，出现“恐惧吧，等待灾难降临吧”等字样。

乌克兰和西方网络安全官员认为，这次协调的黑客攻击是一个最初的警告，即俄罗斯将在发起军事行动的同时，还发动一场可怕的数字战争。不久之后，一系列针对能源和通信集团的重大网络攻击被发现，但很快被击退。

俄乌开战一个月后，乌克兰官员感到欣慰的是，关键网络经受住了数周的网络攻击。但正如一位官员所警告的那样，俄罗斯更庞大的资源，意味着它可以稳步削弱网上的抵抗。他说："我们的网络就是我们的人民，而俄罗斯正在占领我们的人民。"

这篇关于俄乌网络战争第一阶段的报道，是基于对直接了解这些事件的乌克兰和西方官员的采访，其中许多内容以前没有报道过。

开战后乌克兰关基网络承压

大约在1月乌克兰政府网站被篡改的同时，国有输电公司Ukrenergo观察到试图侵入其网络的行为有所上升。该公司的工程师们随即进入高度警惕状态，他们的任务是防止2015年的网络攻击再次发生，当时俄罗斯黑客切断了基辅部分地区的电力。

乌克兰能源部顾问Oleksander Kharchenko说，截至2月，失败的网络攻击数量比一年前多了三倍。其中还有一次极端案例，一名受影响的当地雇员试图将恶意代码偷偷带入公司场所。

Kharchenko说："他们想尽一切办法，试图入侵我们的网站，尝试DDoS。"他描述了一种分布式拒绝服务，即成千上万的计算机同时发送请求，以使系统瘫痪。"这是24*7的。"

俄罗斯总统普京在2月24日黎明前宣布正式发动地面战。就在俄军进入乌克兰领土的一个小时内，欧洲中部数千台调制解调器失去了与地球上空36000公里处一颗通信卫星的连接。

当连接美国Viasat卫星用户的调制解调器闪烁警告时，整个欧洲掀起一次数据突然丢失的浪潮。德国爱纳康公司约5800台风力涡轮机切换到备用模式，因为该公司失去了远程监控设备运行的能力。意大利、德国和波兰的数千人失去了互联网连接。Viasat公司承认发生了 "网络事件"，但没有将此归咎于俄罗斯。

据两名乌克兰官员介绍，网络连接突然中断对国内多处军事基地造成影响。不过在数十台军用级调制解调器停工后，部队迅速切换为其他加密通信设备。一位了解情况的消息人士表示，“部队肯定有备用系统。当时战争才刚刚开始，但各个部队都接受了这类情况的训练，会不惜一切代价避免灾难。”

负责与西方盟友协调网络防御事务的乌克兰高级官员Victor Zhora提到，乌克兰的电信网络和能源网络基本上保持了弹性。以马里乌波尔地区的网络为例，只有在大量导弹和迫击炮摧毁了实体基础设施后才崩溃。

他补充道，自开战以来，除对电力网络的攻击外，其他攻击的强度已经下降。“我们现在有比以前更平静的时期，这可以解释为我们的对手集中在针对乌克兰平民而不是IT基础设施的常规战争中。”

乌克兰的工程师们，特别是那些负责保护民用基础设施免受网络攻击的工程师们，已经能够从思科、微软和谷歌等西方企业获得支持。这些科技巨头目前正协助保护至少150家乌克兰公司。

乌克兰网安体系能力大幅提高

在此期间，偶尔也出现过几波强度极高的网络攻击。乌克兰国家安全和国防委员会副秘书、网络警察前负责人Serhii Demadiuk表示，就在2月24日ViaSat卫星连接被切断前后，来自俄罗斯和白俄罗斯十几个组织、总计约100人的高水平黑客开始对乌发动大范围攻击。

Demadiuk指出，“在对乌克兰城市展开地面入侵和轰炸之前，俄方就已经对这里的IT基础设施发动了史上最复杂的网络冲击，这也是网络战的首个真实案例。”

期间，一家拥有5000多名雇员、1000台服务器的大型乌克兰安全组织因及时收到美国合作方的警告，成功在90分钟内避免了所有数据遭受毁灭性打击。

这些攻击仍未止歇。赛门铁克研究人员表示，从开战第一天起，某家金融机构就始终处于俄方黑客的打击范围之内。3月14号，又一波擦除恶意软件出现，试图破坏该机构及另外一家主要IT服务商的所有数据。

“乌克兰人现在拥有2015年时还没有的专业知识，”思科内部威胁情报组织负责人Matt Olney说，“他们已经吸取了过去五、六年的教训。”

Olney帮助研究了2015年俄罗斯最初的攻击，该攻击摧毁了乌克兰部分电网。随后，2017年爆发的NotPetya恶意软件，清空了大部分计算机系统。思科公司有约500名员工致力于帮助客户应对攻击活动。

Olney表示，“乌克兰人建立了相应的流程与行动手册。在和平时期，这些都是枯燥、无聊的工作，但随着紧急状态的来临，一切付出终于有了回报。”

例如，开战后在一次轰炸中，工程师们需要将服务器运送至另一个城市，再重新上线。即使在和平时期，这也是一项艰巨而复杂的任务。如果没有事先准备，系统根本无法保证正常运行。

美国持续进行“网络威胁”威慑

美国官员表示，乌克兰在网络战场上惊人的恢复力，部分原因是俄罗斯还没有完全释放出其进行破坏性攻击的潜力。

“为什么我们没有看到真正的A队（注：王牌力量）？”美国参议员Mark Warner上周在一次会议上提到，“目前俄罗斯还没有真正启动自己的网络武器库，这让我感到比较惊讶。”

包括思科的Olney在内的其他专家猜测，俄罗斯正在利用其网络武器库进行更传统的间谍活动，比如黑客入侵西方网络，以便在制裁之前保持领先，或者监控部队调动。

人们也越来越担心莫斯科可能会对更广泛的目标发起猛烈攻击。美国总统拜登本周二警告美国企业，加强网络保障，以防俄罗斯的网络攻击。

拜登说，“俄罗斯拥有极强的大规模网络攻击能力，而且它正在到来。”

参考来源：金融时报

声明：本文来自互联网安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。