從俄烏軍事沖突看惡意數據擦除軟件攻擊

在世界正在經歷的百年未有之大變局中，俄烏軍事沖突無疑是一個重大事件，也是一個重要節點。從 2022 年 2 月 24 日爆發的俄烏軍事沖突到今天仍在持續，愈演愈烈。在此次俄烏軍事沖突中，惡意擦除軟件攻擊活動一直是俄烏戰爭的代名詞，惡意數據擦除軟件扮演了重要角色，攻擊主要針對公共部門、金融和能源公司以及電信供應商等關鍵基礎設施。

一、俄烏軍事沖突下的網絡戰特點

自俄烏軍事沖突正式爆發以來，在物理戰場之外以俄烏美歐為主的多方勢力在網絡空間這個看不見硝煙的第二戰場上展開激烈較量。除了有直接的網絡攻擊引起系統癱瘓或數據損毀，還有網絡信息戰對輿論的影響與爭奪。俄烏軍事沖突中除傳統軍事交戰手段外，還同步使用了網絡戰、輿論戰、信息戰等多維度非對稱混合型戰爭手段。

1、關鍵基礎設施是網絡攻擊的首要目標

關鍵基礎設施是支撐多個重要行業的信息系統和工業控制系統，它的運轉主要依賴于易受攻擊的網絡系統。在俄烏軍事沖突中，各方黑客勢力勢要攻陷的目標，國防軍事系統、鐵路電力、互聯網連接、政府網站，正是關系國計民生的關鍵基礎設施，任何一個陷入癱瘓都將對本國造成“核爆級”的毀滅式打擊。自從俄烏軍事沖突爆發以來，根據俄烏雙方發表的正式報道，兩國的電網、通信網、銀行系統、工業控制系統等關鍵基礎設施都遭到過非法入侵，攻擊者通過植入惡意軟件對關鍵數據進行數據擦除，從而造成關鍵基礎設施的大面積、長時間癱瘓。戰前烏克蘭政務、金融基礎設施多次受損，開戰后烏克蘭電信基礎設施經常性中斷服務，俄羅斯政務等基礎設施也出現無法訪問情況。3 月 28 日，烏克蘭報道其最大固網電信運營商遭遇重大網絡攻擊下線。而俄羅斯電信監管機構也發文，稱其正遭到定期的網絡攻擊。所以在戰爭情況下，國家的關鍵基礎設施往往成為網絡攻擊的主要目標，此次俄烏軍事沖突下的網絡攻擊事件就是最佳例證。

2、數據成為新的攻擊對象

在此次俄烏軍事沖突中，隨著數據成為政府、社會和組織運行的關鍵要素，隨之成為網絡攻擊的重點對象，勒索攻擊的高發態勢已說明這一點，而此次攻擊中的數據擦除則是比勒索攻擊更嚴重的數據攻擊類型。各方勢力通過傳播數據擦除惡意軟件（HermeticWiper），破壞政府機構和關鍵信息基礎設施計算機的數據，達到深度致癱的效果，同時竊取重要敏感數據。俄烏戰爭爆發后，匿名者黑客組織（Anonymous）宣布對俄羅斯發動網絡戰爭，該團伙聲稱已通過 DDoSecrets 公布了約 5.8 TB 的俄羅斯數據，并發誓要泄露更多俄羅斯企業、政府、商業銀行等實體組織的數據信息。

3、高級別黑客軍團和新攻擊方式登場

此次俄烏軍事沖突，還凸顯出黑客的軍事職能以及網絡攻擊在現代戰爭中的核心地位。網絡戰的主力是國家級黑客軍團，軍事級別的黑客攻擊技術將有組織、有預謀、有計劃地發揮巨大威力。針對俄羅斯在烏克蘭的軍事行動，全球最大的黑客組織“匿名者”日前在社交網站上號召全球黑客對俄發起“網絡戰爭”。社交網站上有匿名賬戶宣稱，“匿名者”黑客組織在 72 小時內就攻擊關閉了 1500 多個與俄羅斯和白俄羅斯政府、官方媒體、主要銀行和企業有關的網站。從技術來看，各方利益團體的黑客組織以分布式拒絕服務(DDoS)攻擊、釣魚欺詐、漏洞利用、供應鏈攻擊、偽裝成勒索軟件的惡意數據擦除攻擊等多種“網絡武力”，向敵對國政府、軍工、鐵路電力、國防等部門發起破壞襲擊。

數據擦除作為一種兼具大規模破壞、巨額損失、漫長恢復時間成本，以及摧毀式特性的攻擊手段，一直被稱之為最惡劣的攻擊方式。與勒索軟件不同，勒索軟件的目的是加密文件以換取付款，數據擦除軟件的目的是破壞數據，而無法恢復文件。從表 1 看出，自 1 月份以來，已發現 8 款重要數據擦除惡意軟件。其中 7 款針對烏克蘭實體和組織，1 款針對俄羅斯實體和組織。這些攻擊的影響目前還少有公開報道，但這些攻擊似乎主要針對烏克蘭的公共部門、金融和能源公司以及電信供

二、俄烏軍事沖突中的惡意數據擦除軟件

三、惡意數據擦除軟件攻擊的特點

本輪俄烏軍事沖突發生前后，在烏克蘭的多個重要部門的計算機系統上發現惡意數據擦除軟件目標直指向烏克蘭的政府、非營利組織和信息技術實體。

1、從攻擊目標上看，專注破壞性，摧毀或瓦解受害者的系統和數據

俄烏軍事沖突表明，惡意數據擦除軟件攻擊具有嚴重的致命性和破壞性，甚至可以在不留任何攻擊痕跡的情況下摧毀系統恢復工具，擦除數據并阻止操作系統恢復，從而達到摧毀或瓦解受害者的系統和數據的目的。本輪俄烏軍事沖突發生前后，在烏克蘭的多個重要部門的計算機系統上發現惡意數據擦除軟件目標直指向烏克蘭的政府、非營利組織和信息技術實體。

3 月，美國網絡安全公司 SentinelLabs 曝出針對烏克蘭的數據擦除惡意軟件“酸雨”（AcidRain），專門為針對烏克蘭的行動而開發的，用于破壞調制解調器和路由器；該軟件通過使用 KA-SAT 管理機制被部署在調制解調器和路由器上，隨后會對設備文件系統進行深度擦除，完成擦除后會重新啟動設備導致設備無法啟用。同時，網絡安全公司 ESET 還發現了另一種破壞數據的惡意擦除軟件 CaddyWiper，該軟件可以從附加的驅動程序中刪除用戶數據和分區信息，還可以擦除其部署的 Windows 域中的數據。名為WhisperGate 的惡意軟件旨在不可逆轉地破壞受感染主機的數據，并試圖偽裝成勒索軟件攻擊來隱藏攻擊方式和目的，分散調查人員對襲擊發起者的注意力；而名為 HermeticWiper 的軟件在部署后不僅會破壞本地數據，還會損壞硬盤驅動器的主引導記錄（MBR）部分，從而阻止計算機在強制重新啟動后引導至操作系統。另一個破壞性惡意軟件 IsaacWiper 在 2 月 24 日針對烏克蘭的新一輪網絡攻擊中出現。其復雜度較低。使用 ISAAC 偽隨機數生成器生成的數據覆蓋每個磁盤前 0x10000 字節數據，從而造成破壞。

2、從攻擊方式上看，呈現隱蔽性，偽裝成勒索軟件開展擦除攻擊

俄烏軍事沖突中曝出的惡意擦除軟件在進行攻擊時，不分平時和戰時，作戰準備具有較高的隱蔽性。我們能看得到的是作戰效果，看不到的是作戰準備，而作戰過程在短時間內甚至瞬間完成。如俄烏軍事沖突中的惡意軟件 WhisperGate 就在紛爭前已經完成植入，惡意軟件 HermeticWiper 甚至提前 3 個月編譯完成，植入時間大概率也應在 2 月 24 日之前。

在俄烏軍事沖突爆發前一天，網絡安全公司 ESET 還發現了一種現在稱為 HermeticWiper 的數據擦除惡意軟件，該惡意軟件與勒索軟件誘餌一起用于攻擊烏克蘭機構。無獨有偶，烏克蘭國家特殊通信和信息保護局發現了另外一種惡意擦除軟件 WhisperKill，該機構表示它重復使用了 80%的Encrpt3d 勒索軟件代碼（又名 WhiteBlackCrypt 勒索軟件），并試圖偽裝成勒索軟件攻擊來隱藏攻擊方式和目的，分散調查人員對襲擊發起者的注意力。3 月，Trend Micro 網絡安全公司發布題為《新的 RURansom Wiper 針對俄羅斯》的報告。報告中提到了 RURansom 擦除器，該擦除器的出現代表了親烏克蘭黑客活動家對擦除器的首次使用，并可能預示著正在進行的針對俄羅斯的網絡活動進入一個新階段。報告中提到其最近發現了名為“RURansom”的惡意軟件，該軟件使用.NET 編寫，以蠕蟲病毒的形式傳播，并且會在目標機器上對文件進行不可逆的加密，因此這不是一款勒索軟件，而是擦除器。同時在一些版本的代碼當中會檢查是否當前 IP 處于俄羅斯。通過以上線索可以判斷此惡意軟件是針對俄羅斯的文件擦除器。

3、從攻擊后果上看，極具致命性，數據無法恢復

自俄烏軍事沖突爆發以來，惡意擦除軟件頻頻曝出，網絡攻擊事件接連發生，并呈現愈演愈烈的攻擊趨勢。惡意擦除軟件攻擊具有嚴重的致命性和破壞性，從俄烏沖突開始，俄羅斯就對烏克蘭國防、金融、航空和 IT服務部門的擦除軟件攻擊，破壞了相關系統和數據，導致目標數據丟失或者業務運營受到嚴重影響。3 月，WhisperGate 數據擦除器對烏克蘭的多個國家機關網站受到惡意攻擊，導致用戶訪問異常以及訪問某些資源時出現包含挑釁內容的圖片信息。根據最新發布的安全研究發現，最近對美國衛星通信提供商 Viasat 的網絡攻擊可能是源于一種名為“酸雨”（AcidRain）的新型惡意擦除軟件攻擊，該事件引發了中歐和東歐的衛星服務中斷，影響了位于烏克蘭的數千名客戶和歐洲各地的數萬名客戶，包括斷開了對德國約 5800 臺風力渦輪機的遠程訪問。4 月，惡意擦除軟件對一家俄羅斯銀行的攻擊導致了超過 1TB 的數據被泄露，其中包括財務報表、代幣、稅務表格、客戶信息和敏感數據庫。據稱，為防止數據和功能恢復，此次攻擊還刪除了所有備份。

四、幾點啟示

1、惡意數據擦除軟件仍是最大網絡安全挑戰之一

截止目前，據不完全統計，在俄烏軍事沖突中共發現 8 種惡意數據擦除軟件，網絡攻擊規模巨大。8 月，烏克蘭國家特別通信和信息保護局表示，自今年年初以來，烏克蘭國家計算機應急響應小組（CERT-UA）已經跟蹤了“1600 多起重大網絡事件”，已經確定了戰爭期間使用的 10 多種不同類型的惡意軟件“雨刷”（Wiper），從網絡安全的角度看，惡意數據擦除軟件仍然是巨大挑戰，此外還有數據泄露或利用網絡攻擊制造混亂和破壞。沖突發生至今，最大的網絡安全挑戰之一是惡意數據擦除軟件的廣泛使用和影響，這種惡意軟件旨在破壞其所感染系統的硬盤驅動器。

2、積極防范惡意數據擦除軟件攻擊和提升網絡防御能力迫在眉睫

當前，俄烏軍事沖突“硝煙”彌漫網絡空間，伴隨俄烏軍事沖突，國家級網絡攻擊頻率不斷提高，惡意數據擦除軟件盛行，導致網絡空間風險進一步加劇。面對這一情況，一方面我們要從俄烏軍事沖突中分析相關惡意數據擦除軟件攻擊特點和后果，總結經驗教訓，積極有效防范惡意數據擦除軟件攻擊，制定異地數據備份、事件響應和災難恢復計劃，另一方面，我們應繼續提升整體網絡防御能力，避免陷入被動局面。持續加強企企合作、政企合作及軍民融合，持續進行網絡攻防技術創新，加強網絡安全能力建設，加快完善網絡安全體制機制，共建網絡空間安全領域命運共同體。

3、以摧毀國防軍工關鍵基礎設施為主要目標之一的數字時代網絡戰已經到來

數字時代萬物互聯，當網絡空間足以映射現實，關鍵基礎設施中的每一個環節都是現實世界的中樞神經，任何一絲風吹草動，都將為物理世界、虛擬空間帶來無法挽回的災難。俄烏軍事沖突中，烏克蘭遭受網絡攻擊致“斷網”、多個政府、金融機構再次遭到 DDoS 攻擊癱瘓，數百臺機器還遭到數據擦除攻擊等等，無疑不透露出新型網絡戰已經具備實體攻擊能力。同時，這場由局部沖突所演化而來的網絡戰，必將繼續蔓延成為全球各個利益體系之間的持續較量，世界各國必將迎來更加嚴峻的網絡戰軍備競賽考驗。

五、結　語

俄烏軍事沖突不會從根本上改變原有的網絡空間格局，伴隨俄烏軍事沖突而來的數字戰爭是國家間在網絡空間領域的博弈較量，作為發生在數字時代的新形態戰爭，網絡戰和信息戰從暗處走向前臺，特別是非國家行為體的參戰，使全球網絡空間的對抗態勢更加復雜化。