俄罗斯通过“互联网隐身”获取战略性网络战优势

编者按

美媒报道称，俄罗斯近几个月正在迅速将其国内互联网基础设施与外界隔离，通过“数字隐身”获取战略性网络战优势。

2024年10月15日前，俄罗斯拥有约92万台面向公共互联网的设备和服务，但当日接近一半的设备从互联网上消失。俄罗斯公开的互联网基础设施在2024年底前一度飙升至超200万台设备，但目前又下降至27万台。相比之下，目前的美国互联网足迹是俄罗斯的26倍，有近700万台设备可供公众发现。上述公开的IP地址包括各种联网设备和服务，例如路由器（25%）、电子邮件服务器（20%）、VPN服务器（6%）、各种网络面板（5%）、负载平衡器（5%）、视频系统以及其他软件或连接硬件。其中，55%的暴露路由器由拉脱维亚网络设备制造商MikroTik生产，94%的电子邮件服务器由免费邮件传输代理软件Exim占据，72%的VPN由MikroTik提供，46%的网络面板是服务器管理工具Fastpanel，58%的负载平衡是Traefik Labs。

外界分析认为，俄罗斯的“互联网隐身”趋势主要受到加强对其互联网基础设施控制的努力的推动，涉及到数个因素：一是“主权互联网”因素，俄罗斯最近一直通过切断互联网连接来测试内部互联网基础设施，即一种替代全球互联网的国家互联网，例如测试了“密钥替换基础设施”在全球互联网断开连接时是否能够正常运行；二是网络安全因素，俄罗斯由于西方制裁很难更换或更新老化的网络设备和其他面向公众的设备，通过取消对硬件的访问权限可以缓解未打补丁的硬件所带来的网络安全风险；三是网络战因素，俄罗斯在俄乌战争爆发后持续遭受网络攻击，俄罗斯可能采取了运营安全措施，通过减少互联网暴露的物联网设备数量来刻意减少其受攻击面；四是限制境外互联网接入因素，俄罗斯投资开发了限制互联网流量的技术能力，并可能阻止了某些国外连接。

奇安网情局编译有关情况，供读者参考。

俄罗斯正在迅速将其互联网基础设施与外界隔离。不到半年的时间里，超过三分之二的以前可发现的服务和设备都消失在“防火墙”后面。

当前，如果扫描并计算面向公众的俄罗斯服务器和其他设备，俄罗斯看起来会比罗马尼亚或瑞典还要小，而这两个国家的人口比俄罗斯小5到10倍。

2024年10月15日前，俄罗斯拥有约92万台面向公共互联网的设备和服务。这些公开的IP地址包括各种联网设备和服务，例如路由器、电子邮件服务器、VPN服务器、各种网络面板、负载平衡器、视频系统以及其他软件或连接硬件。

非营利性安全组织Shadow Server基金会的物联网数据显示，一夜之间，几乎一半的设备都消失了。

2024年底前，这一数字一度飙升至200万台以上，随后又进一步下跌。2025年，俄罗斯公开的互联网基础设施仍接近27万台设备。

俄罗斯各类互联网设备和服务的急剧下降与其他国家形成鲜明对比，其他国家的设备数量保持相对稳定。

相比之下，美国现在在互联网上的足迹是俄罗斯的26倍，有近700万台设备可供公众发现。韩国和巴西各有210万台，其次是德国（180万台）和中国（120万台）。

俄罗斯为何突然主动降低互联网连接设备和服务的可见性？至少有几个因素在起作用。美国媒体Cybernews研究团队认为，俄罗斯的趋势主要受到加强对其互联网基础设施控制的努力的推动。

俄罗斯互联网发生了什么？

一段时间以来，俄罗斯一直限制对外国互联网服务的访问，并禁止使用VPN连接来绕过限制。

然而，俄罗斯最近一直在测试其“主权互联网”——一种替代全球互联网的国家互联网——方法是切断该国大部分地区的互联网连接。2024年12月，俄罗斯多个共和国无法访问外国网站和服务，例如YouTube和谷歌。

Cybernews信息安全研究员阿拉斯·纳扎罗瓦斯认为，这些测试可能是解开谜团的重要部分。他称，“俄罗斯正在试验自己的内部互联网基础设施，并切断各个地区，特别是少数民族聚居较多的地区与全球互联网的连接。”

据报道，俄罗斯联邦通信、信息技术和大众传媒监督局（Roskomnadzor）在过去几个月中造成了数次重大互联网中断。该机构证实，它测试了“密钥替换基础设施”在故意与全球互联网断开连接时是否能够正常运行。

网络安全和网络战是其他考虑因素。由于西方制裁，俄罗斯很难更换或更新老化的网络设备和其他面向公众的设备。未打补丁的硬件是一个巨大的网络安全风险，可以通过取消对硬件的访问权限来缓解。

阿拉斯·纳扎罗瓦斯表示，“俄乌战争爆发后，黑客组织发起了多次网络攻击，尽管强度有所降低，但攻击仍持续至今。对政府和银行部门的攻击可能会促使骨干层互联网流量控制发生变化，从而增强这些系统的安全性。”

2024年10月14日，即物联网数量大幅下降的前一天，俄罗斯的通信系统遭受了高达每秒1.7兆比特的强大DDoS攻击。

随后，俄罗斯联邦通信、信息技术和大众传媒监督局宣称，它创建了一个“全俄级的大型系统”，帮助抵御了超过10.5万次DDoS攻击。该系统“为俄罗斯互联网部分的资源提供了额外的保护”。

物联网网络安全公司首席产品官索努·尚卡表示，“俄罗斯互联网暴露的物联网设备数量下降可能是受网络战考虑和为应对持续冲突而采取的运营安全措施的影响。虽然有多种因素影响这一趋势，但考虑到该地区已知的攻击性网络行动，最可能的解释是故意减少其攻击面。”

索努·尚卡认为，俄罗斯政府实体和企业有意限制暴露，以保护基础设施免受网络攻击。俄罗斯互联网服务提供商可能还实施了更严格的政策，以防止某些服务暴露。

美国智库战争研究所在一份报告中称，俄罗斯已投资约590亿卢布（约合6.48亿美元）用于开发限制互联网流量的技术能力，并致力于迫使俄罗斯人从西方社交媒体平台迁移到俄罗斯更容易控制的国内平台。俄罗斯可能也希望限制其基础设施免受间谍的侵害。

阿拉斯·纳扎罗瓦斯表示，“正如俄罗斯当局控制俄罗斯境内的互联网接入一样，他们同样可以阻止来自国外的某些连接，这也许可以解释被跟踪的互联网连接设备数量的偶尔变化。”

这种做法的转变可能部分是由于西方实施制裁造成的，因为某些技术和基于云的服务在俄罗斯不再可用。

俄罗斯于2019年底通过了“主权互联网”法，其目标是保护该国不被切断与外国基础设施的联系，以及美国国家网络安全战略的“侵略性”。

哪些设备仍然可见？

俄罗斯面向公众的设备大部分（25%）是路由器，其次是电子邮件服务器（20%）、VPN（6%）、网络面板和负载均衡器（各占5%）。

要使路由器能够被外部扫描仪发现，必须至少有一个端口处于打开状态并响应外部查询。开放的端口通常表示正在运行活动服务，例如Web服务器、安全摄像头接口、远程管理门户等。开放的端口也可能表示存在潜在的配置错误。

超过一半（55%）的暴露路由器由拉脱维亚网络设备制造商MikroTik生产。Keenetic是第二大供应商（16%），其次是华为（11%）、华硕（7%）和TP-Link（6%）。

阿拉斯·纳扎罗瓦斯表示，“Mikrotik已正式宣布退出俄罗斯市场，并禁止其第三方合作伙伴在俄罗斯销售设备。该公司必须遵守欧盟的出口限制和制裁。MikroTik路由器在俄罗斯市场的主导地位可能部分归因于其他国家的出口管制薄弱，使得俄罗斯人得以通过黑市渠道进口受制裁的设备。”

统计数据并未显示路由器的生产或购买时间，某些设备甚至可能不会清楚地广播其类型、型号或其他数据。

Shadow Server基金会数据也不代表俄罗斯境内的所有物联网设备，只代表那些向公众暴露的设备。

俄罗斯的电子邮件服务器主要由免费邮件传输代理软件Exim（94%）占据。

暴露的网络面板主要包括服务器管理工具Fastpanel（46%）、网络服务器控制面板HestiaCP（18%）、网络托管控制面板软件cPanel（6%）和数据库管理工具phpMyAdmin（6%）。

暴露最多的VPN实例是MikroTik（72%），其次是Cisco（14%）、OpenVPN（4%）和SoftEther（4%）。

阿拉斯·纳扎罗瓦斯表示，“限制获取西方技术无疑给俄罗斯带来了新的挑战，因为在某些情况下，俄罗斯无法再接收某些软件的安全更新，因此需要开发自己的补丁，或者通过使用VPN欺骗公司相信互联网流量来自其他地方，以便接收安全更新。”

对于负载平衡，俄罗斯的实体大多使用Traefik Labs（58%）和Nginx（41%）。

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。