2022俄烏網絡戰事件回溯,我們應該做好哪些準備
俄烏大戰在現實世界打得如火如荼,當人們還在驚訝于軍事沖突的慘烈時,更令人擔憂的網絡戰爭已然打響。這一次博弈,俄羅斯國家層面的網絡作戰部隊規模已超過7000人。網絡戰是俄烏國家網絡空間作戰力的正面交鋒,同時雙方的民間黑客組織也快速集結開展行動。
· 1月14日 ·
烏克蘭多個主要政府網站遭到大規模網絡攻擊,包括外交部、農業、教育部和科學部、安全和國防部的網站,以及部長內閣的在線門戶網站。
· 1月15日 ·
針對烏克蘭組織的破壞性惡意軟件WhisperGate攻擊烏克蘭的政府、非營利組織和信息技術組織。
· 2月15日 ·
疑俄羅斯GRU黑客使用DDoS攻擊攻擊烏克蘭國防部、武裝部隊、國有銀行,導致銀行服務中斷,網站暫時關閉。
· 2月24日 ·
俄APT組織利用HermeticWiper新型數據擦除惡意軟件攻擊多個烏克蘭政府機構。
· 2月27日 ·
俄羅斯政府門戶網站面臨“前所未有的規模”的網絡攻擊,包括克里姆林宮在內的多個網站都已關閉。
· 3月1日 ·
在烏克蘭作戰的12萬俄羅斯軍人的個人信息首次被烏克蘭官方媒體公布,包含名字,注冊編號,服役地點,出生日期,職務,護照等信息。
針對外界網絡威脅,俄羅斯政府擬啟用本國互聯網Runet構建一個脫離全球互聯網的內部局域網。
1 關鍵攻擊技術分析
在此次網絡戰中,俄羅斯對烏克蘭主要采用的網絡攻擊技術如下。
WhisperGate數據擦除
烏克蘭的多個國家機關網站受到惡意攻擊,導致用戶訪問異常以及訪問某些資源時出現包含挑釁內容的圖片信息。攻擊團伙在攻擊的最后階段使用了一個名為“WhisperGate”的數據破壞程序,該程序會執行多個階段的攻擊流程,其中至少使用了兩種破壞性的惡意軟件分別用于擦除系統主引導記錄(BootPatch)和破壞指定后綴的文件數據(WhisperKill)。該惡意程序攻擊活動大致可以分為以下四個階段:
階段一,使用BootPatch程序擦除系統主引導記錄(MBR),并將其替換為假的勒索軟件贖金記錄。
階段二,使用WhisperGate程序從硬編碼的URL中下載階段三的DLL文件(WhisperPack)并執行。
階段三,在本地釋放第四階段的數據擦除文件,并執行。
階段四,遍歷A-Z的所有驅動器,擦除指定后綴的文件數據。
重寫MBR引導數據后,系統不會自動重啟,而是等待用戶手動重啟后在電腦屏幕上顯示偽裝成勒索軟件的贖金信息。它與其它勒索軟件最主要的區別是MBR主引導數據遭到破壞后是無法恢復的,結合后續階段的惡意組件,其主要功能就是破壞用戶重要數據,而非常規勒索軟件以勒索贖金為主要目的。
HermeticWiper數據擦除
HermeticWiper是比WhisperGate 危害性更強的數據擦除工具。
該數據擦除器以勒索軟件為餌,專注于破壞Windows系統盤的主引導記錄(MBR),HermeticWiper使用 EaseUS 分區管理器驅動程序,在重新啟動計算機之前損壞受感染設備的文件。數據擦除器還會破壞設備的主引導記錄,使所有受感染的設備無法啟動。攻擊主要包含以下六個步驟:
步驟一,提升自身權限,使后續操作得以進行;
步驟二, 判斷系統版本和架構,從資源中釋放sys文件并解壓;
步驟三,將釋放的sys文件作為服務運行,后續會使用該sys文件與磁盤進行交互;
步驟四,關閉系統卷影服務,防止恢復;
步驟五,擦除各種文件,包括MBR,MFT,所有驅動器上的$Bitmap,$LogFile等等;
步驟六,系統重新啟動。
此外,該惡意軟件與大多數惡意軟件完全不同,它不會竊取信息,只會破壞信息,清除存儲在關鍵人員電腦中的重要數據,甚至可以在不留任何攻擊痕跡的情況下摧毀系統恢復工具,擦除Windows數據并阻止操作系統恢復,具有嚴重的致命性和破壞性。
分布式拒絕服務攻擊DDoS
DDoS攻擊策略側重于通過眾多“僵尸主機”向受害主機發送大量看似合法的網絡包,從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務。本次DDoS攻擊的表現形式主要有兩種,一種為流量攻擊,主要是針對網絡帶寬的攻擊,即大量攻擊包導致網絡帶寬被阻塞,合法網絡包被虛假的攻擊包淹沒而無法到達主機;另一種為資源耗盡攻擊,主要是針對服務器主機的攻擊,即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網絡服務。
在對烏克蘭銀行和政府機構的網絡資源進行的DDoS攻擊中,發現僵尸網絡Mirai和Meris(惡意信息流)通過數千個存在漏洞的Mikrotik路由器發送以及許多其他使用ACL進行源過濾的物聯網設備。以及對DNS服務器進行DDoS攻擊來阻止訪問政府網站中的Web資源,導致對大量政府Web資源的訪問暫時中斷。
俄烏沖突中,雙方通過向對方的重要網站和關鍵基礎服務發動DDoS攻擊,一方面可以有效的使對手的重要服務在一段時間內失能,從而為沖突的推進爭取時間;另一方面,對重要網站的攻擊也會影響民眾的日常生活,助長恐慌情緒的蔓延。即使被攻擊方能夠很快的恢復下線的服務,攻擊本身也能夠給對方政府起到一定的威懾作用。
釣魚攻擊
釣魚攻擊,即網絡釣魚攻擊,通過向大量受害者發送偽裝成正常郵件的惡意郵件,引誘受害者運行惡意文件;或者誘導受害者打開偽裝成正常網站的惡意網站,并輸入用戶名和密碼,從而竊取受害者的信息,或者控制受害者的機器等。而魚叉式網絡釣魚,是指針對特定目標進行網絡釣魚攻擊的一種手法,通常帶有很強的目的性和指向性,從而使攻擊者可以更加精細于逼真的構造偽裝的郵件或網站,更容易獲得受害者的信任,使攻擊的成功率大大加強。
從2021年年末開始,大量烏克蘭用戶遭到了疑似俄羅斯APT組織的惡意文檔魚叉釣魚攻擊,該組織針對烏克蘭政府網站進行克隆,克隆對象包括司法部,總統辦公室等,構建了虛假政府和總統辦公室網站,誘騙政府人員登錄釣魚網站,獲取賬號密碼,進而向重要機構投遞精心構建的魚叉攻擊郵件,攻擊者利用誘餌文檔釋放并執行vbs腳本,通過創建計劃任務的方式完成惡意文件的駐留。此舉意在投放惡意軟件,傳播數據擦除惡意軟件、竊取重要敏感數據,以此破壞烏克蘭政府機構和關鍵信息基礎設施計算機的數據,達到深度致癱的效果。
當今時代,網絡戰作為常規軍事行動的輔助,配合軍事進攻行動。該次俄羅斯對烏克蘭的網絡攻擊涉及銀行、電信、電力、交通等關鍵基礎設施;外交部、教育部、內政部、能源部、安全局和內閣等政府部門;國防部、武裝部隊等多個軍方網站。俄羅斯有針對性地對重要機構發動定向攻擊,癱瘓烏克蘭的公共服務基礎設施,擾亂基于網絡的社會治理功能,制造社會混亂和恐慌。
2 兩國戰爭或引發全球網絡戰
在俄羅斯進攻之時,烏克蘭則得到了美西方的援手。
1月14日攻擊發生后,北約就與烏克蘭簽署了協議,向烏克蘭共享網絡攻擊情報。2月4日,美國《華爾街日報》稱,烏克蘭已向其他國家請求網絡力量支持,以保護其網絡免受潛在的網絡攻擊。美國網絡司令部派出幾十名人員幫助支持政府和關鍵部門的系統。2月23日,歐盟也宣布在整個歐洲部署網絡快速反應小組,新成立的由來自立陶宛、克羅地亞、波蘭、愛沙尼亞、羅馬尼亞和荷蘭的專家組成的團隊開始保護烏克蘭網絡。全球知名黑客組織“匿名者”響應烏克蘭的招募令,對俄羅斯開展了DDoS攻擊。
此外,北約秘書長斯托爾滕貝格警告稱,網絡攻擊可能觸發北約集體防御條款第5條,該條認為對任何北約盟國的攻擊都是對所有人的攻擊。美媒也報道稱,拜登表示美國可以用自己的網絡能力應對俄羅斯未來對烏克蘭的網絡攻擊。如果俄烏沖突不能盡快結束,在參與方擴大的情況下,網絡領域的沖突勢必進一步升級和蔓延。
3 對我國網絡安全建設的啟示
戰爭沒有贏家,俄烏沖突對雙方造成的損失是巨大的。俄烏網絡戰中暴露的網絡的問題也為我國網絡安全建設提供參考和警示。
一方面,中國需提前部署在網絡安全領域的各道防線,堅守中國國家安全底線,妥善化解各類風險挑戰。另一方面,在數字經濟兼容性、網絡數據處理及使用、打擊網絡犯罪、維護網絡空間安全等方面存在諸多的共性和利益契合點,中國也應及時抓住機遇尋求中國和美西方在網絡安全領域的利益契合點,以符合各自國家利益的方式達成諒解,進而塑造良好穩定的網絡空間秩序。
國與國之間的網絡對抗,以關鍵基礎設施為目標的網絡戰愈加頻繁。我們必須理性認識我國網絡安全所處位置,根據實際情況科學制定出一套具有全局性和前瞻性的網絡空間大國發展戰略,走出一條具有中國特色的網絡強國之路。具體而言,須注重以下幾點:
(1)聚焦提升關鍵信息基礎設施防護體系與能力建設,吸收借鑒美西方在該領域積累的經驗教訓,筑牢網絡安全防護屏障;
(2)著力實現網絡空間核心技術突破,在網絡空間掌握更大的發展自主權;
(3)專注提升網絡空間作戰能力建設,通過促進人才培養、加強網絡武器研發、以及強化網絡作戰模擬培訓等方式,打造一支專業性強且訓練有素的網絡作戰部隊,隨時隨地妥善應對日趨復雜嚴峻的網絡空間形勢。
(來源:安恒信息公共研究中心)
