戰爭與地緣政治沖突:DDoS攻擊的新戰場
DDoS攻擊通常與政治、宗教和意識形態有關的爭端經常伴隨,而且越來越多攻擊活動的核心是破壞政府、企業、相關社區和個人的在線運營和通信能力。隨著全球化和社會經濟模式的相互聯系日益加深,這一點尤其如此。同樣地,有軍事能力的民族國家現在公開接受DDoS作為攻擊手段,因為他們明白,這樣的攻擊行為可能會導致物理空間的連鎖反應,將危險的不可預測性帶入本已令人擔憂的局勢。2021年2月,隨著俄羅斯地面部隊準備進入烏克蘭,烏克蘭政府部門、在線媒體組織、金融公司和托管服務提供商遭到了分布式拒絕服務(DDoS)攻擊的猛烈襲擊。隨著俄羅斯坦克越過邊界,這些攻擊的頻率和影響增加,加劇了當時的狂熱和混亂。
沖突初期,烏克蘭的IT軍隊如雨后春筍般涌現。就像地面上的烏克蘭志愿軍一樣,新兵從世界各地涌入,參加俄羅斯和烏克蘭之間正在醞釀的在線戰爭。雖然每個西方國家都迅速部署了DDoS防御解決方案,但烏克蘭的響應提供了快速響應威脅緩解的一個很好的例子。烏克蘭的SSCIP(國家特殊通信和信息保護局)迅速采取措施保護其網絡應用程序和通信系統等。他們采用b 行業領先的云DDoS保護和Web應用程序防火墻解決方案 (WAF) 來增強其對持續的容量攻擊的防御能力。
當然,烏克蘭及其支持者在同樣實施了DDoS以牙還牙。據觀察,針對俄羅斯目標的DDoS攻擊在2月至3月期間增加了236%。
顯而易見的是,無論是由黑客行動主義者還是民族國家發起,DDoS攻擊往往是當今地緣政治沖突中敵對勢力之間的開場白。與其他類型的網絡威脅相比,DDoS攻擊發起的速度相對較快。此外,雖然DDoS攻擊本身會造成重大破壞,但它們也可以掩蓋或分散對更重大威脅的注意力。
而且,正如在烏克蘭和其他地方所看到的那樣,在數字戰場上使用DDoS攻擊似乎正在增加。將地緣政治沖突的DDoS攻擊歷史與最近的攻擊進行比較,協助組織增強用來保護自己免受附帶損害的見解。總之,過去發生的事件證明,DDoS攻擊——無論是由民族國家、意識形態團體還是流氓個人發起的——不會很快減少。DDoS仍然是破壞網絡和打擊卷入社會政治動蕩國家士氣的有效工具,每天都會發生新的攻擊。為了在戰爭和地緣政治沖突時期保持安全,組織必須在防御中保持警惕。
2022年:DDoS創紀錄的一年
使用DDoS攻擊來獲得地緣政治優勢并不是什么新鮮事,但這些類型的攻擊的頻率正在增長,這一點值得注意。在最新的《DDoS威脅情報報告》中,Netscout報告稱,2022年上半年發生了超過600萬次攻擊。在這些攻擊中,大多數與國家或地區沖突有關。
繼續以烏克蘭為例,2022年4月,針對烏克蘭的DDoS攻擊頻率趨于平穩,而針對烏克蘭的潛在盟友的網絡攻擊則愈演愈烈。這可能是由于烏克蘭的互聯網資產遷移到了愛爾蘭等國家,因為烏克蘭內部互聯網的不穩定迫使許多網段依賴其他國家的連接。
這場沖突的回聲繼續在全球互聯網上引起共鳴。2022年3月,印度在聯合國安理會和大會投票譴責俄羅斯在烏克蘭的行動中棄權后,遭受的DDoS攻擊顯著增加。同樣,在今年上半年,中美洲小國伯利茲在發表支持烏克蘭的公開聲明的同一天遭受了單次最多的DDoS攻擊。
在其他地方,芬蘭這個國家——俄羅斯的近鄰——經歷了的DDoS攻擊增加了258%,這與它宣布申請加入北約相吻合。與此同時,波蘭、羅馬尼亞、立陶宛和挪威都成為了與Killnet相關的對手的DDoS攻擊目標,Killnet是一群與俄羅斯結盟的在線攻擊者。
隨著戰事的發展,DDoS攻擊也從烏克蘭蔓延到波羅的海地區的鄰國,例如立陶宛和愛沙尼亞。再后來,隨著北約對俄的指責,許多北約國家遭到了類似攻擊。最新的DDoS攻擊包括芬蘭議會網站、挪威勞動監察局網站、瑞典一家連鎖超市和斯德哥爾摩公共交通網站。美國及北約盟友也不例外。Killnet也被認為對日本各地的DDoS攻擊負責,日本電子政務網站斷斷續續宕機數日。另外20個政府網站,包括總務省、教育、文化、體育和技術部以及宮內廳,還有名古屋港務局,攻擊導致其網站關閉近一個小時。DDoS攻擊也波及美國,Killnet襲擊了芝加哥、亞特蘭大、丹佛、奧蘭多和鳳凰城的幾個美國主要機場的網站。
但這些植根于俄羅斯和烏克蘭之間沖突的例子并不是地緣政治斗爭的唯一在線戰場。隨著今年上半年臺灣與中國大陸的緊張局勢升級,DDoS 攻擊活動通常與公共事件同時發生。例如,在南希·佩洛西今年夏天對臺灣進行歷史性訪問之前,臺灣"總統"府網站和其他官方網站因DDoS攻擊而無法訪問。在拉丁美洲,在去年哥倫比亞的一場有爭議的選舉中,在最初的投票和有爭議的決選中發起了一波又一波的DDoS攻擊。
一個共同點是,其中許多攻擊使用已知的攻擊向量和現成的DDoS出租服務,也稱為引導程序/壓力源服務,可在暗網上找到。這些非法服務通常會向潛在客戶提供有限層級的免費DDoS攻擊演示,從而降低潛在攻擊者以極低成本甚至免費快速發起攻擊的門檻。但是,由于這些攻擊向量眾所周知,因此在大多數情況下都可以輕松緩解。
避免成為連帶受害者
DDoS攻擊有可能嚴重破壞其預定目標的互聯網運營,但它們也可能對旁觀者組織和互聯網流量造成重大的附帶影響。當數據托管和服務從烏克蘭等飽受戰爭蹂躪的地區流向國外時,這種風險尤其高。
在上面列出的許多示例中,攻擊的有效性在很大程度上取決于目標組織是否組織了 DDoS防御。在烏克蘭和其他國家/地區,隨著全球DDoS防御公司介入以幫助需要它的烏克蘭組織,不受保護的組織的中斷很快得到補救。然而,大多數組織仍然需要持續的防御。
在這種環境下,防止附帶損害或次生危害的最謹慎的行動方案是定期評估DDoS風險因素,尤其是與直接服務交付元素、供應鏈合作伙伴和其他依賴項相關的風險因素。組織應確保面向公眾的關鍵服務器、服務、應用程序、內容和支持基礎設施得到充分保護。他們還應該檢查以確保DDoS防御計劃反映了理想的當前配置和操作條件,并且定期測試這些計劃以驗證它們是否可以按要求成功實施。
總之,去年發生的事件證明,DDoS攻擊——無論是由民族國家、意識形態團體還是流氓個人發起的——不會很快減少。DDoS仍然是破壞網絡和降低卷入社會政治動蕩國家士氣的有效工具,每天都會發生新的攻擊。為了在戰爭和地緣政治沖突時期保持安全,組織必須在防御中保持警惕。
