雷思磊/文
【知远导读】本篇文章以时间线汇总梳理了2022年全年俄乌冲突中发生在网络战场上的所有安全事件,并做简单的统计分析,为读者更好地了解这场混合战争的网络战场提供数据资料支撑,并能提供一定的启示。文中俄罗斯方面,包含俄罗斯及白俄罗斯;乌克兰方面,则包含美国、英国、意大利、保加利亚、波兰、德国、法国、立陶宛、瑞士、北约、欧盟等。
文章全篇长约15000字,详细梳理了俄方及乌方在2022年四个季度中发生的全部网络被攻击事件。限于篇幅,推送部分仅节选了2022年一季度、也即是冲突爆发初期,交战双方网络战场上的情况。需要阅读完整版本的读者可直接访问知远外军防务开源情报数据库(http://www.knowfar.net.cn/)或与客服联系。
2022年2月24日,俄罗斯宣布对乌克兰采取特别军事行动,目的是在乌克兰“去军事化、去纳粹化和迫使乌克兰保持中立”。俄军行动开始后,美国联合其盟友对俄罗斯发起了前所未有的制裁,同时向乌克兰提供大量军事援助。俄乌冲突至今已持续了10个多月,造成大量人员和财产损失。这场冲突从一开始就有两个战场,一个是物理战场,另一个则是网络战场,其中网络战场既有网络战,也包括舆论战、宣传战、认知战,甚至还有网络领域的经济战。因此,俄乌之间爆发的,实际是一场名副其实的混合战争。
俄罗斯方面的网络被攻击事件回顾
2022年一季度
(1)1月24日,白俄罗斯黑客组织“网络游击队”攻击,方式是勒索软件,目标是交通,影响是信息不可用。使用勒索软件感染了白俄罗斯铁路系统内部网络,大部分服务器、数据库以及工作站被加密。目的是向白俄罗斯政府施压,要求其释放政治犯,并阻止俄罗斯军队进入白俄罗斯,利用其领土对乌克兰进行攻击。
(2)2月24日,国际黑客组织“匿名者”攻击,方式是DDoS,目标是公共通信和信息服务,影响是信息不可用。今日俄罗斯电视台(RT)网站遭到DDoS攻击,持续了6个小时,其中1/4的攻击来自美国境内。
(3)2月25日,国际黑客组织“匿名者”攻击,方式是DDoS,目标是电子政务,影响是信息不可用。俄多个政府网站被黑下线,总统普京的官方克里姆林宫、俄罗斯国防部、俄罗斯议会、今日俄罗斯电视台等核心政府门户关闭。
(4)2月25日,国际黑客组织“匿名者”攻击,方式是DDoS,目标是能源,影响是信息不可用。俄罗斯天然气工业股份公司Gazprom被DDoS攻击。Gazprom是一家能源企业,专注于上下游石油、天然气业务、热力和发电,是俄罗斯四大石油生产商之一,拥有世界上最多的天然气储量之一。
(5)2月27日,白俄罗斯黑客组织“网络游击队”攻击,方式是DDoS,目标是交通,影响是信息不可用。黑客攻击了白俄罗斯的铁路系统,导致部分火车在明斯克、奥沙市、奥西波维奇镇停了下来。此次袭击的目的是阻止并延缓俄罗斯军队从白俄罗斯基地向乌克兰北部的转移,为乌克兰人争取更多时间。黑客表示,他们已将列车系统置于“手动控制”模式,该模式将“显著降低列车运行速度,但不会造成紧急情况”。
(6)2月27日,国际黑客组织“匿名者”攻击,方式是DDoS,目标是电子政务,影响是信息不可用。车臣政府官方网站遭受网络攻击被迫停止运营。
(7)2月28日,国际黑客组织“匿名者”攻击,方式是DDoS,目标是电子政务,影响是信息不可用。黑客对白俄罗斯国防部军事信息门户发动DDoS攻击。
(8)2月28日,国际黑客组织“匿名者”攻击,方式是DDoS,目标是公共通信和信息服务、金融、电子政务,影响是信息不可用。黑客在48小时内关闭了300多个俄罗斯政府、国家媒体和银行网站。
(9)3月1日,国际黑客组织“匿名者”攻击,方式是DDoS,目标是金融,影响是信息不可用。黑客对白俄罗斯Priorbank银行官方网站、白俄罗斯储蓄银行官方网站发起DDoS攻击。
(10)3月1日,未知组织攻击,方式是非法入侵,目标是军事机构,影响是信息不保密。在乌克兰作战的12万俄罗斯军人的个人信息被发布在《乌克兰真理报》网站上,乌克兰媒体称这些信息由乌克兰国防战略中心获取,这些资料详细地记录了12万俄军军人的名字、注册编号、服役地点、职务等信息,页数多达6616页。
(11)3月1日,乌克兰IT军攻击,方式是DDoS,目标是金融,影响是信息不可用。俄罗斯最大银行俄罗斯联邦储蓄银行(Sberbank)、莫斯科交易所的网站遭受DDoS攻击,被迫下线。
(12)3月2日,国际黑客组织“匿名者”攻击,方式是DDoS,目标是公共通信和信息服务、电子政务,影响是信息不可用。黑客对俄罗斯驻丹麦大使馆领事处官方网站和4家俄罗斯媒体发起DDoS攻击。
(13)3月2日,国际黑客组织“匿名者”攻击,方式是非法入侵,目标是电子政务,影响是信息不保密。黑客入侵并泄漏了俄罗斯经济发展部等政府单位数据。
(14)3月3日,国际黑客组织“匿名者”攻击,方式是DDoS,目标是交通,影响是信息不可用。黑客对俄罗斯航空公司PegasusFly官网发起DDoS攻击。
(15)3月4日,国际黑客组织“匿名者”攻击,方式是非法入侵,目标是能源,影响是信息不保密。黑客入侵俄罗斯国家原子能公司Rosatom并泄漏相关数据,Rosatom是俄罗斯较大的发电公司,作为一个超级核电企业,该公司所从事的业务非常广泛,涉及核医学、科学研究、材料科学、超级计算机和软件的生产以及生产各种核和非核类新型产品。
(16)3月4日,国际黑客组织“匿名者”攻击,方式是非法入侵,目标是国防科技工业,影响是信息不保密。黑客破坏了一个属于俄罗斯空间研究所的网站,并在推特上发布了指向俄罗斯联邦航空局(Roscosmos)泄露数据的缓存页面的链接。
(17)3月4日,国际黑客组织“匿名者”攻击,方式是DDoS,目标是国防科技工业,影响是信息不可用。俄罗斯国防产品出口公司(Rosoboronexport)官方网站遭受DDoS攻击。俄罗斯国防产品出口公司由负责出口新式武器装备的原“俄罗斯国家武器装备和军事技术进出口公司”,以及负责销售苏联时期旧武器系统及其改进型系统的原“俄罗斯工业品出口公司”合并组建而成,该公司在俄罗斯国防工业中占有十分重要的地位。
(18)3月6日,黑客组织AnonGh0st攻击,方式是非法入侵,目标是公共服务,影响是信息不可控。俄罗斯SCADA系统被黑客入侵,黑客共享了与供水系统有关的各种泵和管道的屏幕截图。SCADA系统是每个行业处理工业设备的核心,尤其是在处理“核操作”的工厂。
(19)3月7日,国际黑客组织“匿名者”攻击,方式是非法入侵,目标是公共通信和信息服务,影响是信息不可控。黑客入侵了俄罗斯最流行的流媒体服务平台,将播放内容篡改为与俄乌战争相关的画面。俄罗斯国内受影响的流媒体服务包括Wink和Lvi,以及全天电视频道Russia 24、Channel One和Moscow 24,大部分画面转变成了乌克兰战场现况的纪录片段。
(20)3月9日,未知组织攻击,方式是蠕虫病毒导致数据擦除,目标未知,影响是信息不完整。黑客通过“RURansom”恶意软件对俄罗斯进行数据擦除攻击,该软件以蠕虫病毒的形式传播,并且会在目标机器上对文件进行不可逆的加密,从而造成数据擦除。
(21)3月16日,国际黑客组织“匿名者”攻击,方式是非法入侵,目标是能源,影响是信息不保密。黑客入侵了俄罗斯能源巨头Rosneft德国子公司的系统,并窃取了20TB的数据。
(22)3月17日,国际黑客组织“匿名者”攻击,方式是非法入侵,目标是电子政务,影响是信息不可用。黑客入侵了俄罗斯紧急情况部的网站,并对其进行了破坏。
(23)3月18日,国际黑客组织“匿名者”攻击,方式是非法入侵,目标是能源,影响是信息不保密。黑客对俄罗斯国家原子能公司Rosatom发动网络攻击,从该企业窃取了大量数据,并泄露了其中部分数据。
(24)3月21日,国际黑客组织“匿名者”攻击,方式是非法入侵,目标是能源,影响是信息不保密。黑客入侵了世界最大的石油管道公司Transneft的内部研发部门Omega公司,共窃取其79GB的电子邮件信息,并将它们发布在DDoSecrets网站上。Transneft是俄罗斯国有垄断石油运输公司,也是全球首屈一指的输油管公司,负责运输俄罗斯90%以上原油及30%以上原油产品的运输。
(25)3月22日,国际黑客组织“匿名者”攻击,方式是非法入侵,目标是非国家关键信息基础设施,影响是信息不保密。雀巢公司遭到黑客攻击,致10GB敏感资料外泄,包括公司电子邮件、密码和与商业客户相关的数据,攻击者称此举是为惩罚该公司拒绝停止在俄罗斯的业务。
(26)3月24日,国际黑客组织“匿名者”攻击,方式是非法入侵,目标是金融,影响是信息不保密。黑客入侵了俄罗斯中央银行,声称将公布超过3.5万份文件,其中包括一些秘密协议文件。
乌克兰方面的网络被攻击事件回顾
2022年一季度
(1)1月13日,未知组织攻击,方式是非法入侵,目标是电子政务,影响是信息不真实。乌克兰政府网站遭到篡改,网站页面发布了旨在引发恐慌的虚假信息。
(2)1月13日,APT组织DEV-0586攻击,方式是蠕虫病毒导致数据擦除,目标是公共通信和信息服务、电子政务,影响是信息不完整。黑客使用了一款新型破坏性擦除恶意软件WhisperGate,可执行多阶段攻击,目标指向乌克兰的政府、非营利组织和信息技术实体。
(3)1月16日,未知组织攻击,方式是DDoS,目标是电子政务,影响是信息不可用。黑客对乌克兰政府网站发动攻击,致使包括教育部、外交部、国家紧急事务局、部长内阁、能源部等在内的政府网站陷入瘫痪。
(4)2月15日,未知组织攻击,方式是DDoS,目标是金融、电子政务,影响是信息不可用。黑客对乌克兰国防和武装力量部、PrivatBank和Oschadbank发动攻击,使其陷入瘫痪状态。
(5)2月23日,未知组织攻击,方式是勒索软件,目标是金融、国防科技工业、交通、公共通信和信息服务,影响是信息不可用。黑客使用了一种名为“HermeticRansom”的勒索病毒,该勒索病毒的主要目标是位于乌克兰境内的金融、国防、航空及网络服务机构。一旦被感染,该勒索病毒会自动识别计算机硬盘当中的所有目录和文件(不包括Windows根目录和Program Files文件夹),并对它们进行加密。
(6)2月23日,未知组织攻击,方式是蠕虫病毒导致数据擦除,目标是金融、国防科技工业、交通、公共通信和信息服务,影响是信息不完整。黑客使用了一种复杂新型恶意软件Hermetic Wiper(又名KillDisk.NCV),乌克兰国防、金融、航空和IT服务部门的数百台设备受到影响。该恶意软件利用颁发给Hermetica Digital Ltd的代码签名证书进行签名,并调用磁盘分区管理软件“EaseUS Partition Master”的合法驱动程序,可避开系统中的防病毒保护,清除或破坏系统数据,具有极大的危害性。
(7)2月23日,未知组织攻击,方式是DDoS,目标是电子政务,影响是信息不可用。乌克兰境内多个政府机构(包括外交部、国防部、内政部、安全局及内阁等)以及乌克兰最大银行Privatbank、国家储蓄银行Oschadbank的网站也在攻击中遭受重创,在事发后与政府网站一同陷入瘫痪状态。
(8)2月24日,俄罗斯组织攻击,方式是DDoS,目标是公共通信和信息服务,影响是信息不可用。黑客对覆盖乌克兰地区的美国卫星运营商Viasat开展网络攻击,导致数千乌克兰用户、数万名欧洲其他地区用户断网。攻击者利用错误配置的VPN设备入侵卫星网管理后台,向数万用户侧Modem下发破坏性指令,从而造成断网。为恢复网络服务,Viasat为用户更换了近3万个调制解调器。
(9)3月1日,未知组织攻击,方式是蠕虫病毒导致数据擦除,目标未知,影响是信息不完整。黑客使用了破坏数据恶意软件“CaddyWiper”,该软件会从连接的驱动器中删除用户数据和分区信息。
(10)3月14日,未知组织攻击,方式是蠕虫病毒导致数据擦除,目标未知,影响是信息不完整。黑客使用了数据擦除“破坏式”攻击的恶意软件CaddyWiper,这也是2022年以来公开披露的第四款针对乌克兰的数据擦除恶意软件。
(11)3月16日,未知组织攻击,方式是DDoS,目标是公共通信和信息服务,影响是信息不可用。乌克兰互联网服务提供商 Triolan 受到攻击,导致其乌克兰用户的互联网严重中断。
(12)3月17日,未知组织攻击,方式是伪造信息,目标是公共通信和信息服务,影响是信息不真实。黑客在Facebook上传播了一段假视频,在这则假视频中,乌克兰总统泽连斯基要求乌克兰军队放下武器投降。
(13)3月22日,俄罗斯有关APT组织InvisiMole攻击,方式是木马、鱼叉攻击,目标是电子政务,影响是信息不可控。黑客主要针对乌克兰国家机构发起了鱼叉式网络钓鱼邮件攻击。
(14)3月28日,未知组织攻击,方式是伪造信息,目标是公共通信和信息服务,影响是信息不真实。乌克兰摧毁了5个从事恐吓乌克兰公民活动的机器人农场。机器人农场的总容量至少有10万个传播有关俄罗斯入侵乌克兰的错误信息和假新闻的账户。乌克兰声称,这些机器人农场试图在乌克兰公民中引发恐慌,并破坏不同地区的社会政治局势。
(15)3月28日,未知组织攻击,方式是DDoS,目标是公共通信和信息服务,影响是信息不可用。乌克兰主要的通信运营商Ukrtelecom遭到了大规模的网络攻击,造成严重的网络中断。根据互联网监控服务NetBlock的数据,实时网络数据显示连接性下降到正常水平的13%。
(16)3月28日,未知组织攻击,方式是DDoS,目标是电子政务、金融,影响是信息不可用。黑客利用WordPress中的漏洞入侵了上百个网站,然后插入该恶意脚本对乌克兰的网站执行DDoS攻击,涉及乌克兰政府机构、智囊团、国防军招募和金融等相关网站。
俄乌冲突中的网络安全事件统计分析
相关各方受网络攻击次数统计
如图1所示,从中可以发现,俄罗斯、乌克兰受网络攻击次数都是40次,各自相关盟友也受到不同程度的网络攻击,俄罗斯盟友白俄罗斯受网络攻击5次,乌克兰盟友美国、英国各受攻击3次,意大利受攻击2次,保加利亚、波兰、德国、法国、立陶宛、瑞士各受攻击1次,此外,北约、欧盟两个组织也各受到1次网络攻击。
网络安全事件时间统计
如图2所示,显示了俄罗斯方面、乌克兰方面在2022年各月受攻击次数,明显可以发现,在开战后不久,3月是网络安全事件高发时段。俄罗斯方面对乌克兰方面的网络攻击持续性比较好,乌克兰方面对俄罗斯方面的网络攻击在3月经过一个高潮后,逐渐趋于平缓。
网络攻击目标类型统计
如图3所示,俄乌双方受网络攻击的目标类型总数统计,从中可以发现,绝大多数都是关键基础设施,其中电子政务、公共通信和信息服务、金融、能源、军事机构、交通、国防科技工业占比最大,尤其是电子政务、公共通信和信息服务。
方受网络攻击的目标类型总数统计
如图4所示,是俄罗斯、乌克兰两国各自受攻击的目标类型统计,从中可以发现,俄乌两国受攻击都比较多的是电子政务、公共通信和信息服务,除此之外,俄罗斯方面受攻击比较多的还有金融、能源。
图4 俄罗斯、乌克兰两国各自受攻击的目标类型统计
网络攻击方式统计
如图5所示,是俄乌双方受攻击的方式统计,从中可以发现,黑客组织使用最多的攻击方式是非法入侵、DDoS。
图5 俄乌双方网络受攻击方式统计
如图6所示,是俄罗斯、乌克兰两国各自受攻击的方式统计,从中可以发现,俄罗斯方面受攻击方式最多的是非法入侵,其次是DDoS,乌克兰方面受攻击方式最多的是DDoS,其次是非法入侵,除此之外,木马、鱼叉攻击的次数也较多。整体而言,反映出俄罗斯在网络攻击的手段利用上比较均衡,能综合利用多种方式展开攻击。
图6 俄罗斯方面、乌克兰方面各自受攻击的方式统计
网络攻击效果统计
如图7所示,是俄乌双方网络攻击效果统计,可以发现,网络攻击导致信息不可用、信息不保密、信息不可控的情况占绝大多数。
图7 俄乌双方网络攻击效果统计
如图8所示,是俄罗斯、乌克兰各自受网络攻击的后果统计,从中可以发现,俄罗斯方面受网络攻击后,最多的后果是信息不可用、信息不保密,乌克兰方面受网络攻击后,最多的后果是信息不可用、信息不可控。
图8 俄罗斯方面、乌克兰方面受攻击后果统计
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安