警惕俄羅斯烏克蘭網絡戰的“黑幫化”

俄羅斯與烏克蘭之間的網絡戰到目前為止都是較為“克制”的，并沒有發生類似2017年NotPetya那樣殃及全球的“武器泄露”。同樣，西方國家的黑客部隊顯然也在努力控制自己的網絡行動，防止類似的危機產生。根據微軟的報告，在烏克蘭計算機上檢測到新的破壞性惡意軟件，大多數是針對目標的，其本身并非旨在造成廣泛的基礎設施破壞。從一月份檢測到的WhisperGate，到近期發現的HermeticWiper、IsaacWiper和FoxBlade都是如此。

但是，越來越多的網絡犯罪團伙、民間黑客組織和個人黑客在俄烏網絡戰中的“選邊站”和“幫派化”對抗對全球構成新的威脅。因為這些黑客幫派既沒有國家黑客的紀律，也沒有足夠的技能來保證他們的行為不會使局勢升級。

Anonymous（匿名者組織）是最早“參戰”的集體之一。它于2月24日在推特上宣布正式與俄羅斯政府展開網絡戰。該組織的推特賬號現在充斥著大量對俄羅斯新聞和政府網站黑客攻擊（主要是DDOS攻擊）的戰果以及敏感信息泄露的消息。

勒索軟件組織Conti則是最早公開支持俄羅斯的犯罪團伙之一，2022年2月27日Conti發出警告，“如果美國的網絡侵略將危及平民的福祉和安全，我們將利用我們所有的資源對地方關鍵基礎設施進行反擊。”

但一個戲劇性的反轉凸顯了俄烏網絡戰局勢的復雜性。F-Secure戰術防御部門的高級經理Calvin Gan透露：“眾所周知，勒索軟件組織通常在俄羅斯和烏克蘭都有開發人員，而Conti的這種強硬立場導致其烏克蘭成員泄露了內部信息。”就在Conti發出警告的當天，Conti的烏克蘭成員在推特上開始持續泄露包括勒索軟件源代碼在內的Conti組織內部信息，并一直持續到今天。

Conti源代碼的泄露可能是俄羅斯烏克蘭民間網絡戰迄今為止對全球威脅最大的“武器泄露”事件，但這似乎并不完全是件壞事。全球的網絡安全廠商正在忙于分析Conti的代碼和組織信息，安全廠商Malwarebytes指出，關于Conti勒索軟件組織的信息非常有價值，特別是有助于我們了解勒索軟件組織如何運作以及他們如何針對受害者。

幫派化網絡戰甚至會威脅到平民的隱私安全。根據安全廠商Flashpoint在3月4日的報道，親烏克蘭的情緒越來越高。在物理戰爭打響的那一天，因大型數據庫泄漏而臭名昭著的地下Raid論壇網站（現已關閉）的一名管理員Kozak888宣布該網站將禁止所有俄羅斯IP地址用戶訪問。一天后，Kozak888泄露了一個俄羅斯快遞服務數據庫，包含8億條俄羅斯居民記錄，包括全名、電子郵件地址和電話號碼。Kozak888表示，數據庫泄露是俄羅斯入侵烏克蘭的結果（從該管理員的用戶名可以看出其支持烏克蘭的傾向，因為歷史上哥薩克騎兵與烏克蘭關系密切）。

一位安全研究人員通過一個名為CyberKnow的推特賬號跟蹤幫派網絡戰雙方的成員，該賬號本周二發布了最新統計表（下圖）：

以上統計圖表中黃色標注的是支持烏克蘭的組織，紅色是支持俄羅斯的組織。顯而易見，俄羅斯/烏克蘭戰爭在網絡犯罪分子中產生了非常兩極分化的影響。

其中，“黃色標注的（支持烏克蘭）黑客組織在推特上目前大多處于非活動狀態，要么關閉了他們的個人資料，要么賬號已經被關閉。”CyberKnow透露。

危險之處在于，這些黑客團體沒有中央控制，沒有國家黑客組織的紀律性，也很可能沒有足夠的技能。這些民間獨立團體擅自直接攻擊對方關鍵基礎設施的可能性，或者其數據擦除器（Wiper）等破壞性惡意軟件意外泄露到戰區地理邊界之外的可能性不容忽視。

這是各國政府和企業網絡安全部門都需要引起重視的新威脅。“破壞性惡意軟件可能對組織的日常運營構成直接威脅，影響關鍵資產和數據的可用性。”美國的CISA不久前宣布：“對烏克蘭組織的進一步破壞性網絡攻擊可能會發生，并可能無意中蔓延到其他國家的組織。組織應提高警惕并評估其能力，包括對此類事件的規劃、準備、檢測和響應。”

在英國，GCHQ國家網絡安全中心首席執行官Lindy Cameron表示：“在一個如此依賴數字資產的世界里，網絡彈性比以往任何時候都更加重要……如果情況繼續惡化，我們可能會看到具有國際后果的網絡攻擊，無論是有意還是無意。”

（來源：@GoUpSec）