网络战发展成“第五战场”,这些数据告诉你乌克兰的网络现状

 

作者:404积极防御实验室

网络战已经发展成与海、陆、空、天等领域具有相同的领域地位,也被列为“第五战场”

2022年2月24日(北京时间),俄罗斯总统普京宣布在乌克兰东部的顿巴斯地区进行特别军事行动。除了现实热战争以外,俄罗斯-乌克兰之间的“网络战”其实早已拉开序幕。

2015年的乌克兰断电事件至今也不断地被作为网络战经典的案例反复提及。本次俄乌战争我们也看到了网络战对乌克兰的影响,以下是近期的时间线整理:

1月14日,乌克兰外交部、教育部、内政部、能源部等网站因遭受DDoS而关闭。

2月15日,乌克兰国防部、武装部队等多个军方网站及银行的网站受DDoS攻击而关闭。

2月23日,乌克兰发现一种新的破坏性软件攻击了政府机构及一家金融机构的数百台计算机,乌克兰怀疑此攻击来自俄罗斯。

2月25日,乌克兰呼吁该国的地下黑客组织作为志愿者来帮助政府保护基础设施安全,并对俄罗斯军队执行网络间谍任务。

 

从数据看乌克兰网络现状

2022年2月24日(北京时间),俄罗斯总统普京宣布在乌克兰东部的顿巴斯地区进行特别军事行动,那么这场网络战对乌克兰实际造成的影响有多大呢?我们通过创宇安全智脑监测到的数据进行了分析。

根据监测到的数据显示,2月24日在受到军事行动的影响后,乌克兰网络访问量突然急剧下降:

图 1 20~27日来自乌克兰的访问趋势

同日,据路透社消息,乌克兰国家紧急事务部门称,因为遭受网络攻击威胁,乌克兰已经临时切断互联网。从创宇安全智脑监测到的数据来看也正好印证了这一点。

造成下降的原因还有:1)乌克兰人民大部分在逃难2)乌克兰许多机房出现断网情况,例如某乌克兰IDC厂商发出断网公告:

图 2 某乌克兰IDC厂商发出断网公告

在24日俄罗斯对乌克兰采取特别军事行动后,由于乌克兰大部分网络线路受到破坏、机房断网、遭受网络攻击等情况出现,截至27日创宇安全智脑监测到来自乌克兰的“肉鸡”数量呈明显的下降趋势,数量显著减少:

图 3 来自乌克兰的“肉鸡”数量趋势

从攻击规模来看,虽然乌克兰的“肉鸡”数量因俄罗斯军事行动的影响数量有明显下降,但黑产为了保持攻击力度,攻击规模没有明显的变动,以下为20日- 27日期间创宇安全智脑监测到来自乌克兰“肉鸡”的攻击量趋势

图 4来自乌克兰的攻击趋势

从以上数据可以看出,网络战在现代战争中的重要性,随着网络战时代的到来,对现代军事对抗形态将产生重大影响,制网权将成为赢得未来战争的关键制权。

 

从乌克兰遭受的网络攻击看当下“网络战”

2月15日-16日许多乌克兰网站因分布式拒绝服务 (DDoS) 攻击而下线,受影响的网站包括银行、政府和军事网站等。

根据2022年2月18日乌克兰CERT计算机应急响应小组(CERT-UA)发布的报告显示,在同一时间乌克兰还遭受了恶意软件攻击、钓鱼信息、数据盗窃等多种组合攻击,主要针对网络空间和某些行业的基础设施要素,包括具有信息的潜台词以及旨在破坏该国局势稳定的心理行动。

实施网络攻击计划的主要方法如下:

手法一,向公民发送虚假短信,举报涉嫌违反部分国有金融机构自动取款机正常制度的行为。

图 5 虚假短信

手法二,向多家金融机构发送电子邮件,告知其经营场所和建筑物的开采情况。(已确定此活动由顿涅茨克地区的居民进行)。

图 7 带有挖矿信息的电子邮件示例

手法三,对乌克兰银行和政府机构的网络资源进行分布式拒绝服务攻击(DDoS)。发现所涉及的攻击包括僵尸网络 Mirai和 Meris(恶意信息流)通过数千个存在漏洞的Mikrotik路由器发送以及许多其他使用ACL进行源过滤的IoT设备。

图 8 设置 Mikrotik 代理服务器和中转信息流的示例

手法四,通过对DNS 服务器(https://hostmaster.ua/news/?pr20220216)进行 DDoS 攻击来阻止访问 gov.ua 中的 Web 资源。由于无法确定各个域名的 A 记录(IP 地址),一些域名服务器的关闭导致对大量政府 Web 资源的访问暂时中断。

图 9 在 gov.ua 中无法获得 Web 资源 A 记录的示例

手法五,对 BGP 协议级别的自治系统设置的劫持。从 2022-02-15 13:30:21 UTC 开始,检测到可疑的 BGP 劫持。前缀 217.117.7.0/24,通常由 AS16284 Inq-Digital-Nigeria-AS, NG 公布。但从 2022-02-15 13:30:21 开始,ASN 15742 也宣布了相同的前缀 (217.117.7.0/24)。

图 10 BGP劫持事件回放

根据乌克兰CERT-UA公布的数据,自2022年初以来,CERT-UA 总共登记和处理了 5,970 起网络安全事件。

从CERT-UA官方公布的数据可以看出,“网络战”早已打响,从2021年同期的按危急程度划分的网络事件数量对比来看,随着2022年俄乌紧张局势的加剧,所遭受的网络攻击也明显的增多。

图 11 2022年CERT-UA按严重程度划分的网络安全事件数量

图 12 2021年同期按严重程度划分的网络安全事件数量

 

网络战特点

在现代战争中,网络战作为“第五战场”占据着重要地位,在这个看不见硝烟的战场上,同样体现着两国军事实力的差距。随着信息技术日新月异,网络战也越来越呈现出与传统战争不同的特点。

一、范围广

网络战的作战时空更加广阔。网络战不受时空条件限制,随时随地都有可能发生。网络覆盖的地方都在作战半径之中,所有的网络用户都可能成为作战目标。

而且,网络战可以瞬间完成作战目标、方向、兵力、地域的改变,攻防界限难以划分,传统的前方、后方、前沿、纵深等概念变得模糊。也就是说,网络战可以通过国际互联网将作战区域扩展到世界上任何网络可以到达的地方。

二、作战方式灵活

与其他战争形式相比,网络战的作战手段也更加隐蔽。除了各种看起来高深莫测的网络攻击技术,例如病毒、蠕虫、木马、拒绝服务攻击、信息篡改、网络监听等手段外,现代间谍窃密的一个典型方式就是“公开信息搜集”。由于信息技术本身具有很强的军民通用性,使得网络战的参战人员不再局限于军事人员,大量具有一定计算机操作水平的普通人也被纳入其中。

三、成本低廉,具有极高的作战效费比

据报道,曾经有专家研究了俄格网络战中的花费,俄罗斯每台电脑仅耗费4美分就可以实施攻击,整场战争的花费只相当于换一条坦克履带的钱。而格鲁吉亚的交通、金融通讯网络几乎全面瘫痪,连总统萨卡什维利个人网页上的头像也被换成了希特勒的头像,真可谓“一本万利”。

即便在网络技术最发达的美国,为对付黑客,其国防部每年也要付出300多亿美元的代价,比当年制造原子弹的曼哈顿工程花费还要多。

因此,有军事专家认为网络战在某种程度上可以达到战争的最高境界——“不战而屈人之兵”

 

如何做好网络关基设施的防御工作

乌克兰数字化转型部长米哈伊洛·费多罗夫27日在推特上称,“基辅正在组建一支IT军,我们需要数字化人才,继续在网络战线上作战”。他还转发了消息应用程序Telegram上一个频道的链接。报道称,该频道鼓励黑客对俄罗斯主要能源公司和金融公司实施网络攻击。

图 13 乌克兰数字化转型部长推特

这个消息从侧面也可以反映出乌克兰网络安全人员的匮乏,以及网络关键基础设施安全建设的“落后”,才会在这场“网络战”中出处于如此被动的局面。

正所谓“养兵千日,用兵一时”,在“战前”就应该做好重要关基设施的网络安全防御工作,才能在“战时”避免类似这样“临时抱佛脚”的情况出现。

作为重要关基设施尤其是对互联网开放的业务系统,也是政治黑客攻击的首要目标,国防军事系统、铁路电力、互联网连接、政府网站等正是关系国计民生的关键基础设施,更应该加强这方面的防御。为了保证网站平稳、高效、安全运行,政府机关需要建立起积极主动的防御体系,尤其要构建起应对大型网络攻击的能力。

当今网络空间安全对抗愈演愈烈,没有网络安全就没有国家安全,知道创宇将继续肩负起网络安全企业的社会责任,深耕于浩瀚的网络空间,继续为建设网络强国奉献力量!

参考:

1.深度剖析|俄乌冲突中网络攻击的五大特征,https://new.qq.com/omn/20220225/20220225A0BHZZ00.html

2.乌政府紧急招募地下黑客组织:对俄军执行网络间谍任务,https://www.thepaper.cn/newsDetail_forward_16852953

3.关于 CERT-UA 2022 年网络安全影响事实的活动背景信息,https://cert.gov.ua/article/37121

4.网络战:没有硝烟的战争 用看不见的方式摧毁你,http://www.china.com.cn/military/txt/2011-01/14/content_21738575.htm

(完)