通过网络测量分析战争对乌克兰关键基础设施的影响

工作来源

TMA 2023

工作背景

俄乌冲突不仅在现实世界造成了巨大破坏，在网络空间也掀起了轩然大波。网络攻击也会影响现实世界，发电厂、制造厂、供水厂与污水处理厂等关键基础设施都受工控系统控制。此前研究表明，双方开战后一些地区网络状况急剧恶化，平均丢包率相对之前增加了 500%。

工作准备

在 2022 年3 月至8 月与 2022 年10 月至12 月收集相关数据，整个过程如下所示：

扫描仅限于乌克兰 IPv4 空间中2193 个ASN 与3058 个IPv4 子网，重点关注 502 端口的Modbus 协议与20000 端口的DNP3 协议。并且在扫描结果中进一步过滤，去掉不属于乌克兰的、其他服务、蜜罐等。

工作评估

扫描发现的唯一 IP 数量如下所示，一共观测到435300 个DNP3 与429650 个Modbus 唯一IP。

通过被动指纹识别过滤掉噪音：

基辅与哈尔科夫的情况如下所示：

赫尔松地区如下所示：

顿涅茨克地区如下所示，值得注意的是马里乌波尔在完全被俄罗斯控制后关键基础设施开始缓慢恢复。

切尔尼⼽夫地区如下所示，与马里乌波尔的情况类似，俄罗斯从此处撤退转由乌克兰方面完全控制后，关键基础设施就在持续恢复。

基辅州其他城市的情况如下所示：

埃内霍达尔与尼古拉耶夫地区的情况如下所示：

2022年10 月31 日，俄罗斯发射50 余枚导弹袭击18 个关键基础设施。2022 年11 月15 日，俄罗斯发射一轮导弹，导致了严重的电力与水资源短缺。2022 年11 月24 日，俄罗斯向乌克兰能源基础设施发射导弹。2022 年12 月5 日，俄罗斯发射约70 枚导弹。2022 年12月17 日左右，俄罗斯发射76 枚导弹。2022 年12 月29 日，俄罗斯可能向乌克兰发射了120 余枚导弹。乌克兰方面声称其拦截了大多数导弹，俄罗斯方面则表示许多导弹都成功命中了目标。不管双方的话有几成可信，攻击造成的影响是实实在在的。

乌克兰的 IP 地址当然也对外发起了攻击：

网络空间的情况可以与真实世界的情况进行对照，例如马里乌波尔的情况。4 月14 日交火暂停允许人道主义疏散，活跃IP 数量突然增加。5 月16 日，俄罗斯宣布占领该地区并开始重建，此后活跃IP 数量也开始增加。

2022 年12 月10 日，俄罗斯使用无人机袭击敖德萨的能源基础设施，导致港口与150 人失去电力供应。对应时刻敖德萨的Modbus 与DNP3 设备迅速减少，但相邻的基辅却没有这种情况。

工作思考

有点像炒冷饭了，在之前双方交战正酣的时候很多人写过很多很多文章，都很有参考价值。本文是从工控的协议的视角，看俄乌冲突对乌克兰关键基础设施的影响。通过网络空间的测量，不仅可以反映现实世界的变化，也可以推测双方冲突的情形。

声明：本文来自威胁棱镜，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。