烏克蘭國際黑客部隊，志愿軍還是罪犯？

近日，俄羅斯政府公布了一份包含17576個IP地址的列表（鏈接在文末），據稱這些IP地址被用于針對俄羅斯組織及其網絡發起分布式拒絕服務(DDoS)攻擊。

該列表由俄羅斯聯邦安全局(FSB)創建的國家計算機事件協調中心(NKTsKI)發布，同時還提供了防御指南和包含攻擊者引用的網址信息的第二個列表。

俄羅斯政府機構在一份通知中說：“俄羅斯信息資源遭遇大規模計算機攻擊，國家計算機事件協調中心(NCCC)建議采取措施應對信息安全威脅。”

雖然公布的IP地址列表沒有提供有關攻擊者身份的信息，但網址信息指向歐盟和美國組織，包括FBI和CIA的多個站點（盡管可以欺騙來源標頭信息）。

列表中的一個地址指向Google Docs文檔，其中包含有關如何在在Windows、macOS、iOS和Android設備上使用開源低軌道離子炮(LOIC)DDoS攻擊工具，開展針對俄羅斯資源的聯合DDOS攻擊的說明。

俄羅斯國家計算機事件協調中心公布的DDoS防御建議包括：

• 使用DDoS防護服務
• 根據共享的引用信息限制網絡流量
• 禁用插件和網絡統計腳本
• 使用俄羅斯DNS服務器

烏克蘭的

“黑客志愿軍”

雖然俄羅斯政府機構沒有提供證據指明上述DDoS地址清單背后的攻擊者，但顯然與烏克蘭新成立的“IT部隊”發動的DDoS攻擊存在直接關系。

烏克蘭的所謂“IT部隊”實質上是在烏克蘭國防部招募的一個國際化黑客部隊（社區），主要針對俄羅斯的目標實施網絡攻擊。烏克蘭副總理米哈伊洛·費多羅夫上周六在Twitter上宣布了烏克蘭IT部隊計劃。

根據本周一的最新統計，烏克蘭IT部隊在其公共Telegram頻道上的訂閱者已經超過29萬人——其中相當一部分都是來自國外的“黑客志愿軍”。

烏克蘭IT部隊使用Telegram頻道協調工作，并分享俄羅斯攻擊目標名單，該名單包括30多個俄羅斯目標，例如俄羅斯政府機構、IP地址、存儲設備和郵件服務器，以及國有銀行、支持俄羅斯關鍵基礎設施的大公司，以及俄羅斯搜索引擎Yandex和電子郵件門戶。

網絡安全人士Partridge使用全球探針網絡RIPE Atlas探測發現，隨著目標列表的增長（截至發稿該列表的目標數量已經增長到197個），目標站點下線的百分比有所下降，但幅度不大。在他周日的第一個樣本中，有56%的俄羅斯目標站點處于離線狀態。

本周一，烏克蘭IT部隊讓197個目標中的105個俄羅斯網站下線（全球范圍監測，https站點），但在俄羅斯的可用性采樣則顯示只有79個目標站點下線。

總的來說烏克蘭IT部隊在電報群中公布的“戰果”有很大水分，雖然IT部隊在Twitter和Reddit上宣布一些網站下線，但俄羅斯方面則表示沒有下線，這是因為很多站點的國際流量雖然堵塞，但是國內本地服務并沒有癱瘓。

例如，克里姆林宮網站在Reddit和Twitter上被許多人宣布下線，但根據Partridge的掃描，雖然kremlin.ru的國際流量經常出現“下降”，但它在俄羅斯的可用性接近正常（80%+）。

Partridge表示，烏克蘭IT部隊正在不斷提升實力。

該組織傳統上一直瞄準“前門”——公司和政府機構的公共網絡應用程序。然而，Partridge指出，隨著目標站點的運營商部署反DDoS保護或增強其當前保護，DDoS針對每個站點的效力通常會隨著時間的推移而降低。

上周四，烏克蘭IT軍隊挑選出俄羅斯的SIP服務器，這些服務器提供基于互聯網的語音通話服務。此類服務器更難保護，而且需要保持時刻在線以實現業務功能。

“黑客志愿軍”

或帶來新的威脅

雖然很多安全業內人士認為此次烏克蘭IT部隊和俄羅斯網絡部隊的角力是網絡戰爭的預演，但是更多安全專家認為烏克蘭在全球瘋狂擴招IT部隊的做法存在極大風險。

Netenrich的首席威脅獵手約翰·班貝內克(John Bambenek)表示，在某個時刻，發動實際上并未與軍事目標協調的網絡攻擊可能只不過是破壞行為。

魚龍混雜的黑客戰爭還可能導致網絡武器泄露、附帶傷害和連鎖反應。Nozomi Networks網絡安全策略師Chris Grove表示：“毫無疑問，黑客戰爭可能會產生意想不到的后果。例如，網絡武器可能會偏離目標，最終打擊普通公民所依賴的服務。我們的供應鏈生態系統是如此交織在一起，以至于攻擊一個環節可能會在其他地方產生意想不到的后果”。

Bugcrowd的創始人兼首席技術官Casey Ellis表示，雖然他可以理解烏克蘭這樣做的動機，但“這肯定會增加圍繞這場沖突產生的網絡戰爭迷霧。”對IT部隊攻擊的錯誤歸因是另一個巨大的危險。

Coalfire副總裁John Dickson說：“要快速確定攻擊的來源或攻擊的幕后黑手是極為困難的。事情很快就會變得一團糟。結果俄羅斯人針對美國和西方的報復性網絡攻擊的風險變得更大。”

展望未來，Dickson說，“我擔心烏克蘭志愿者所做的事情更有可能擴大東歐以外的網絡戰爭，而不是對俄羅斯人產生實際影響。”

此外，安全專家認為，烏克蘭IT部隊的行動也有可能干擾西方國家的情報收集。

最后，Ellis表示，參與這種類型的工作對個人來說也是極其危險的，因為對于那些試圖加入烏克蘭IT軍隊的人來說，首先要明確的一點是法律后果，因為無論你選擇什么目標，采用何種攻擊方式（拒絕服務攻擊、破壞網絡等），在大多數國家都是違法犯罪行為。

根據俄羅斯國家計算機事件協調中心公布的IP地址列表，許多針對俄羅斯的DDoS攻擊來自住宅互聯網用戶的IP地址，如果這些攻擊者所在國家追究法律責任（實施DDoS攻擊在大多數國家都是違法行為），這些用戶將會面臨法律指控。

參考鏈接：

https://safe-surf.ru/upload/ALRT/proxies.txt

（來源：@GoUpSec）