IT軍隊：從未見過的獨特現象，網絡沖突的未來模式？

“烏克蘭IT軍隊”，一個為應對俄羅斯軍事行動而組織起來、與烏克蘭政府密切關聯的黑客組織，為了解戰爭中如何利用網絡空間、新的網絡攻擊形態提供了的獨特視角。

IT軍隊展示出比其他黑客主義者和網絡組織更持久、有效的攻擊能力。通過與各地黑客組織合作，烏克蘭 IT 軍隊成功侵入了圣彼得堡國際經濟論壇（SPIEF）系統，將俄總統普京的開幕致辭推遲1個多小時；泄露 12 萬名俄羅斯士兵的個人數據；攻入了俄羅斯國家電視臺，發布了親烏克蘭的內容。

IT軍隊的混合架構，同時結合了政府機構的效率和志愿軍的靈活性。在烏克蘭戰爭期間，IT軍隊已經發展成為協調國家和非國家網絡戰略的典范，可以成為眾多戰時伙伴關系的首個代表。鑒于其顯著的適應性，以及持續招募參與者和開展網絡活動的能力，IT軍隊有望成為一種高級持續威脅。 

烏克蘭IT軍隊誕生

2022年2月，俄羅斯攻擊烏克蘭兩天后, 烏克蘭數字化轉型部創建烏克蘭IT軍隊，成功動員了數千名志愿者，對俄羅斯目標發起高調的網絡攻擊，以回應俄羅斯的軍事行動。

在2022年2月的一次會議上，烏克蘭網絡安全公司聯合創始人葉戈爾·奧舍夫(Yegor Aushev)和烏克蘭數字轉型部長米哈伊洛·費多羅夫（Mykhailo Fedorov）提出了組建IT軍隊的想法，會議討論創建一個志愿者組成的IT公司，以保護烏克蘭的數字基礎設施免受俄羅斯網絡攻擊。

奧舍夫與烏克蘭國防部合作，集結了1000～1500名的烏克蘭IT專家，組建了一支防御部隊，來保護烏克蘭的關鍵基礎設施公司。與此同時，費杰羅夫和數字轉型部則開始組建進攻性的IT志愿者團體。2月26日，宣布創建名為itarmyofukraine2022的電報頻道，正式建立烏克蘭IT軍隊 ，全球任何有興趣參加的人都可以在該頻道中找到所有相關信息。在烏克蘭政府官員、數萬名國際參與者和業界領先工具的持續支持下，烏克蘭IT軍悄然從一支由志愿者組成的臨時團體轉變為一次組織嚴密的攻擊組織。IT軍隊基于加密通信工具Telegram頻道組織起來，到2022年3月，頻道成員數量激增至30.7萬，其中包括IT 專業人士、業余志愿者和感興趣的觀望者。

IT 軍隊的主要工具是分布式拒絕服務 (DDoS) 攻擊，攻擊者試圖用流量淹沒站點以阻止其正常使用。這些DDoS 工具網絡是由包括奧舍夫在內的烏克蘭網絡安全專家為軍隊開發的。志愿者通過云服務運行這些工具，攻擊工具及所使用代碼托管在美國流行的程序托管服務 GitHub 倉庫上。這些工具違反了 GitHub 的服務條款。研究人員表示，GitHub 的所有者微軟已選擇性地禁止此類工具：親俄團體的工具已被禁止，而大多數 IT 軍的工具仍然可用。

IT軍隊的第一個任務是：使用任何網絡攻擊向量和分布式拒絕服務，針對31個俄羅斯銀行、企業和政府網站開展攻擊。 就DDoS的有效性而言，IT軍隊比此前任何其他黑客行動主義者和網絡犯罪集團都更持久。IT軍隊可以系統性開展攻擊，使網站癱瘓數日、數周,有時甚至數月之久。黑客行動主義者和網絡犯罪分子往往只能斷斷續續地這樣操作一兩周。就俄羅斯的在線銷售和服務而言，IT軍隊能夠對俄羅斯企業施加重大經濟損失,并造成客戶不滿。

雖然迄今為止，IT軍隊的確切攻擊數量尚不清楚，但估計2022 年 6 月為 2,000起，并且此后可能有所增加，研究人員正在努力確定哪些攻擊是 IT 軍隊所為，哪些是來自其他烏克蘭黑客活動分子。這其中包括幾個引人注目的攻擊行動：2022 年 2 月，IT 軍隊癱瘓了莫斯科證券交易所和俄羅斯最大銀行 Sberbank 的網站。據報道，2022 年 10 月，他們獲得了為列寧格勒州供電的 Loesk 電力公司的訪問權，導致整個地區停電。當年11 月，IT 軍隊攻擊了俄羅斯國有能源公司的銀行——俄羅斯天然氣工業銀行 (Gazprombank)。自2022年以來，隨著獨立于IT軍隊的烏克蘭其他黑客組織組建，有關IT軍隊攻擊的記錄減少。

分析人士認為，到 2022 年 6 月，烏克蘭IT 軍已發展為兩個部分：公開號召開展行動，動員和協調志愿者，參與針對俄羅斯基礎設施目標的 DDoS 攻擊，以及據稱由烏克蘭國防和情報人員組成的內部團隊。

IT 軍隊面向公眾的一面逐步從單一的 Telegram 頻道發展成為由各單獨組織、DDoS工具開發人員和數據托管平臺組成的網絡。研究人員稱，IT 軍隊的 Telegram 頻道在最初崛起后，成員數量在2023年8月緩慢下降到17萬人。IT 專業人員和資深黑客等技術熟練攻擊者分布到多個 Telegram 頻道。除了這些活躍成員之外，許多國際志愿者通過為有組織的攻擊提供計算能力，來提供被動支持。IT 軍隊還利用強大的自動化工具網絡來協調志愿者的工作，可以實現以最小的付出持續參與攻擊行動。截至 2022 年 5 月，這些所謂的“沙發黑客” （可以坐在沙發上幫助烏克蘭）估人數估計為65,000 人。研究人員很難估計目前的真實數字，隨著時間的推移，志愿者的參與程度發生了很大變化。

此外，烏克蘭IT軍隊還維持著一個內部團隊，極有可能由烏克蘭情報部門和軍隊網絡行動人員組成。最初，這個團隊破壞俄羅斯的網站，傳播不實信息和不信任。之后,他們開始轉向更高級的攻擊行動，其中他們的第一次攻擊行動,入侵了俄羅斯視頻網站RuTube - 一個克隆Youtube的流行網站 - 并且幾乎成功破壞了平臺的基礎設施并刪除了全部內容。其他攻擊行動還包括破壞俄羅斯的圖片分享網站Rossgram —— 一個克隆Instagram的網站，以及泄露俄羅斯金融科技公司Right Line的源代碼和內部數據。該公司正在負責開發俄羅斯政府的數字盧布項目。

世界從未見過的獨特現象

烏克蘭 IT 軍隊不同于任何其他網絡威脅組織，它聚集、培訓和指導來自烏克蘭國內外的數千人參與針對俄羅斯民用基礎設施的持續 DDoS 攻擊。通過集成國家領導的指揮架構，IT軍隊保持了組織的專注和目標；通過允許獨立的攻擊行動，IT軍隊又吸引了成千上萬的國際志愿人員，使烏克蘭得以利用全球網絡力量，增強自身的實力。

烏克蘭IT軍隊的存在，及其動員全球成千上萬志愿者，對俄羅斯數字基礎設施發動分布式拒絕服務(DDoS)和復雜網絡攻擊的能力，顛覆了“力量”一詞背后的中央集權和國家主權的定義。

無論從任何角度， IT軍隊都是烏克蘭對抗俄羅斯聯邦的最有效和可靠的經濟戰和信息戰武器。IT 軍隊最初被宣布兼具防御和進攻任務，但研究表明，它很快就變得純粹是進攻性的組織。有證據表明，俄羅斯一直因為需要保護自己的網絡免受外部網絡攻擊而分心。IT 軍隊對俄羅斯系統的網絡攻擊，導致莫斯科重新分配自己的進攻力量，將部分注意力轉向應對針對俄羅斯的威脅。

2020年9月,哈佛大學貝爾弗中心發布了《國家網絡力量指數》，對30個國家的“網絡力量”進行排名。烏克蘭在30個國家中排名第26，俄羅斯排名第4。2022年9月，在沖突發生約7個月后，貝爾弗中心將烏克蘭的網絡力量排名的提高到第12位，俄羅斯則成為僅次于美國和中國的世界第三強國。烏克蘭在僅兩年內躍升14名，網絡力量排名第三的俄羅斯無法在網絡空間主宰烏克蘭，這些都可能與烏克蘭IT軍隊都存在不無關系。

烏克蘭IT軍隊都出現，引發了幾個非同尋常的問題，即其攻擊行動的合法性和風險。首先，戰爭期間的網絡攻擊的合法性是一個灰色問題，尤其是涉及到外國志愿者時。其次，向IT軍隊志愿者大規模散播DDoS工具可能會讓數千名黑客有能力進行網絡攻擊，并有可能將他們的能力用于更邪惡的目的，這是各國政府此前一直在努力應對的問題。

就其目前的形式而言，烏克蘭IT 軍隊既不是民間組織也不是軍事組織，既不是國家組織也不是私人組織，既不是地方組織也不是國際組織。值得注意的是，它是否合法或非法目前仍不清楚。可以說，IT軍隊是一個世界從未見過的獨特現象。 可以說，烏克蘭IT軍隊對國家網絡防御政策、現代戰爭行為的有效性以及國際法對于網絡空間的適用性都帶來深刻影響。

IT軍隊的主要攻擊目標

烏克蘭“IT軍隊”攻擊了俄羅斯經濟的多個不同領域，尤其是高度數字化的領域。該組織對金融業發起的攻擊次數最多，IT軍隊所發布的93條消息將金融業列為攻擊目標，幾乎總是使用DDoS攻擊，少數情況下會泄露從金融機構竊取的數據。

信息技術公司有57次成為IT軍隊的攻擊目標。這些攻擊主要集中在用作服務提供商的軟件上。作為中斷俄羅斯供應鏈、阻礙納稅和阻止俄羅斯人獲得國家福利的手段。

IT軍隊有55次將俄政府網站和網絡列為攻擊目標。這些目標通常是政府機構的網站，例如俄羅斯聯邦安全局（FSB）、執政的統一俄羅斯黨、國防部和外交部。這些攻擊手段通常是DDoS攻擊，會使網站在短時間內癱瘓。在少數情況下，“烏克蘭IT軍隊”發起了更長時間的DDoS攻擊活動，旨在致癱許可系統，例如2022年6月對用于認證待售動物產品的統一州自動信息系統（EGAIS）的攻擊。

“烏克蘭IT軍隊”還攻擊俄羅斯的藝術、娛樂和娛樂行業達42次，主要是攻擊俄羅斯新聞和社交媒體平臺。除兩個案例外，針對該行業的攻擊幾乎都是DDoS攻擊。自沖突開始以來，貿易公司已成為42次攻擊的目標，主要是在線購物和送貨公司以及技術進口商。作為對貿易部門的攻擊的一部分，“烏克蘭IT軍隊”經常對第三方設備供應商開展DDoS攻擊，以阻礙俄羅斯軍隊購買額外的裝備、食品或補給品。

IT軍隊對俄羅斯運輸部門發起了14次攻擊，其中包括戰爭初期針對航空公司票務系統的多次DDoS攻擊和針對航運公司的多次DDoS攻擊。在針對該行業的唯一的一次非DDoS攻擊中，“烏克蘭IT軍隊”于2023年2月泄露了莫斯科地鐵支付系統的相關文件。在運輸行業，“烏克蘭IT軍隊”避開攻擊鐵路網絡。這可能是由于俄羅斯軍方依賴其鐵路網絡將部隊、設備和物資運送到前線，這使得該部門對網絡間諜活動價值非凡。

“烏克蘭IT軍隊”還攻擊了包括石油和天然氣公司和采礦公司在內的采掘行業，共計9次。主要針對俄羅斯天然氣工業股份公司（Gazprom）等俄羅斯石油和天然氣巨頭的網站。該組織曾兩次泄露了Gazprom的文件，詳細列出了其在伊爾庫茨克地區的業務以及大量財務和員工記錄。最后，該組織已襲擊制造業達5次，主要針對生產支持俄羅斯戰爭活動企業，包括大型武器制造商卡拉尼什科夫集團（Kalashnikov Concern），以及為俄羅斯軍隊供應靴子的公司。

IT軍隊朝著什么方向發展?

IT軍隊是一個管理良好的組織，它足夠靈活，可以無縫地發展和適應新的挑戰。

在戰爭的初期，烏克蘭IT軍隊只是通過在Telegram頻道上發布目標URL，來指定DDoS攻擊目標，例如ria[.]ru和sberbank[.]ru。在那段時間，烏克蘭IT軍隊還沒有自己的網站，也沒有任何可以指導下載和使用DDoS工具的共享文檔。一切都非常業余和無計劃。攻擊者通過在IT軍隊的Telegram聊天相互幫助。這種方法的問題是，任何人都可以在聊天中發布任何內容,，包括將人們重定向到釣魚和惡意木馬下載網站。

IT軍隊可能就此瓦解，但它沒有。相反，烏克蘭IT軍隊迅速適應，并走向專業化。

IT軍隊逐漸改進了自己的行為。除了URL，開始發布IP和端口來定位特定的服務器和服務。他們還減少了每天的目標數量，以集中DDoS流量，而不是將其分散到多個目標上。2022年3月下旬左右，IT軍隊還開始針對單個公司的多個子域名進行了DDoS攻擊。例如,在3月26日，針對俄羅斯最大快遞服務公司cse[.]ru，攻擊了它19個不同的子域名。IT軍隊還在Telegram聊天中分享谷歌文檔(即“IT軍隊協調文件”)，為參與者提供了基本說明，包括在哪里下載DDoS工具，以及如何運行。從2022年4月開始，ddosukraine[.]com[.]ua網站遷移到itarmy[.]com[.]ua域名下，最終成為IT軍隊的官方網站。

IT軍隊還一直在試圖找到可行的解決方案，來遏制志愿者參與持續下降的問題。在2022年3月份最高峰時，IT軍隊的Telegram頻道擁有307,165名訂閱者。至2023年6月，有202,668名訂閱者。11個月以來減少了34%。平均而言，IT軍隊每天失去100名訂閱者。盡管目前還不清楚頻道訂閱者數量迅速下降的確切原因，但最有可能的解釋是：(a) IT軍隊不再被視為新鮮事物；(b) 由于任務重復導致的簡單厭倦，以及(c) 正在進行的戰爭本身很大程度上沒有受到IT軍隊的DDoS活動的影響。

IT軍隊為此提出了許多解決方案。一方面，他們建立了Telegram機器人來自動化DDoS攻擊的時間。為了讓志愿者能夠跟蹤自己的個人DDoS數據，IT軍隊于2022年10月1日又推出了一種新方法，可以讓參與者輕松提取個人DDoS數據。2023年2月，IT軍隊在其網站上創建排行榜，根據當周生成的DDoS流量，展示排名前15的攻擊者。

所有這些都指向一個目標——在DDoS攻擊方面，IT軍隊將繼續推進攻擊自動化和游戲化，以降低志愿者的流失率。IT軍隊內部團隊則可能會經歷專業志愿者的數量增加，預計由內部團隊實施的入侵、數據泄露和清除病毒行動數量將有所增加。總體而言，烏克蘭的IT軍隊極有可能成為烏克蘭的首個APT組織，或繼云圖后的第二個烏克蘭APT組織。

IT軍隊模式是否會被仿效?

烏克蘭IT軍的演進為網絡沖突的未來發展提供了重要的參考。

研究者認為，烏克蘭“IT軍隊”和俄羅斯網絡部隊的角力是網絡戰爭的預演，全球各國政府極有可能會調整、仿效并從讓烏克蘭政府在網絡空間中抵抗和反擊俄羅斯的大量攻擊行動中吸取經驗教訓。

理解IT軍隊則是這個學習模仿過程的核心部分，也是在沒有絕對主導地位的情況下，如何在網絡空間中實施網絡戰的答案的關鍵。但更多安全專家認為，烏克蘭在全球瘋狂擴招“IT志愿部隊”的做法存在很大風險。發動實際上不符合軍事目標的網絡攻擊行動只能被歸結為破壞行為，而魚龍混雜的網絡戰爭還可能導致網絡武器泄露、附帶傷害和連鎖反應。

因此，由于國內法律障礙，以及越來越意識到烏克蘭IT軍隊的組織設置極有可能違反國際法，破壞關于國家在網絡空間行為的既定規范，西方軍隊極不可能正式建立自己版本的IT軍隊。

相反，更有可能發生的是，全球各國的情報機構將牽頭規劃、預先計劃和測試各種類似IT軍隊的組織架構、敘事和觸發事件，在需要時動員全球志愿者開展攻擊行動。這種“激活”志愿者的做法，在國際武裝沖突之外的和平時期極有可能發揮作用。這意味著，社會和非政府組織可能被用作身份掩護，或者可能被間接啟用，以復制臨時的類IT軍隊組織架構，在網絡空間中實施自己的攻擊行動。

另一個令人擔憂的潛在演變可能是，攻擊方式從DDoS轉向其他攻擊向量。例如，某情報機構公開發布詳細的攻擊手冊、隨時可用的攻擊工具和持續更新的攻擊目標列表，支持志愿者獨立開展勒索軟件行動。

但無論如何演進，IT軍隊的組織與防范都值得關注與研究。由世界各地的志愿者組成、并由情報機構領導的IT軍隊，是無論戰場形勢如何演變，都會繼續戰斗的唯一組織。