烏克蘭秘密網絡防御挫敗俄羅斯網絡攻擊

Dmitri Alperovitch是網絡安全公司CrowdStrike的聯合創始人和前首席技術官，也是以安全為中心的智庫Silverado Policy Accelerator的主席。他表示，俄羅斯黑客于俄烏沖突爆發前一小時對衛星通信提供商Viasat發起的網絡攻擊，“或許是史上最大型的網絡事件，而且無疑是戰爭行為。”

6月7日的RSA安全大會上，Alperovitch與Mandiant Intelligence執行副總裁Sandra Joyce在一場全球威脅簡報上發表了上述觀點。

兩位網絡安全界資深人士表示，對衛星通信提供商Viasat的攻擊，其主要目的是中斷烏克蘭在沖突期間的通信，通過遠程擦除調制解調器固件，攻擊也搞癱了烏克蘭和歐洲的數千個小孔徑終端。因此，這場攻擊切斷了成千上萬的衛星連接，致使德國5800臺風力渦輪機失去遠程監控。  

連同烏克蘭政府和私營部門網絡遭到的其他幾起破壞性數據擦除惡意軟件感染，這些攻擊行為顯露出了關于俄羅斯網軍的幾個網絡安全要點。 

Alperovitch稱：“俄羅斯人的軍種聯合作戰十分可怕，空地聯合軍事進攻也是如此。” 

“網絡空間里他們也保持了這種作風。”Alperovitch補充道，“但盡管在很多情況下取得了Viasat之類的戰術成果，他們仍然無法以之繼續推動戰事。即使是在網絡空間，最好的戰術也無法彌補糟糕至極的計劃。”

不過，若說能從此事中學到什么重要的經驗，恐怕還是得看烏克蘭安全運營團隊。

操練韌性

“烏克蘭人直面俄羅斯網絡行動八年，我們能從他們的應對中學到的關鍵一點就是：韌性非常重要。”Alperovitch稱，“事實上，俄羅斯的很多網絡攻擊都很成功。” 

他補充道，在全球投放惡意軟件和滲透網絡方面，俄羅斯人可謂成就斐然。“但是，烏克蘭能在數小時內就重建網絡。” 

這是因為在俄羅斯部署了NotPetya（擦除了能源公司和銀行的數據）及相關Bad Rabbit惡意軟件后，烏克蘭有好幾年的網絡修復實踐經驗。

“因此，一個網絡被滅也不是什么大不了的事，因為他們已經做好了準備。”Alperovitch稱，“他們的備份就在手邊，可以非常快速且高效地重建。我們就沒這方面的實操經驗。”

在美國，從重大攻擊中恢復可能會耗去組織機構數周的時間，“真是毀滅性的”，他補充道，“我們不得不在網絡韌性上耗費大量精力。”

別懼怕影響力行動

能從俄烏沖突網絡戰中學到的另一課是，不要害怕影響力行動。

俄烏沖突期間，Mandiant追蹤了其中一些虛假信息活動，包括其命名為“Secondary Infektion”（繼發感染）的黑客團伙所散布的那些。Mandiant宣稱，該團伙在3月份傳播謠言，散布烏克蘭總統澤連斯基在基輔一軍事掩體中自殺身亡的假消息。在烏克蘭和俄羅斯兩邊，Secondary Infektion還推動了另一個影響力行動，謠傳烏克蘭和波蘭政府企圖在西烏克蘭部署波蘭軍隊。

Joyce稱，兩個影響力行動都沒在烏克蘭戰場上砸出什么水花。盡管俄羅斯Deepfake技術變得更加爐火純青，“觀眾的分辨能力也隨之水漲船高了。” 

烏克蘭還提供了如何在炸彈墜落、停電和IP地址被封的情況下進行事件響應的指南。

“事件響應就已經夠壓力山大了，更別說是在戰爭期間。”Joyce表示，“烏克蘭防御人員在網絡領域呈現的韌性令人驚訝。而對于我們Mandiant而言，坦白說，支持這些事件響應也是前所未有的。”