编者注
总部位于瑞士日内瓦的非政府组织网络和平研究所最近发表了一篇论文,分析了俄乌战争期间网络攻击的情况,以及这场战争背景下网络攻击的未来风险影响。
根据战争期间的网络攻击数据,网络和平研究所认为,俄乌战争爆发100天内的网络攻击表现出以下五个显着特点:一是网络攻击没有发挥作用。在俄罗斯和乌克兰的战术进步中发挥了重要作用,但被用作破坏、破坏、数据泄露和虚假信息的手段,导致网络空间动荡;第二,俄乌冲突导致对关键基础设施的多次网络攻击,违反国际人道法;三、俄乌冲突中的平民黑客攻击类型主要为“黑客攻击和数据泄露” 反俄行动者实施的攻击和亲俄行动者对乌克兰盟友实施的拒绝服务攻击;第四时间线袭击美国官网,随着世界各国政府实施或加大制裁力度,俄罗斯和乌克兰的能源、矿业和金融部门在冲突中遭受了不小的打击;第五,除了传统的宣传手段外,网络攻击还被用来传播虚假信息,控制战争相关信息的流动。战争期间的虚假信息传播发生在线下和线上。网络攻击也被用来传播虚假信息和控制战争相关信息的流动。战争期间的虚假信息传播发生在线下和线上。网络攻击也被用来传播虚假信息和控制战争相关信息的流动。战争期间的虚假信息传播发生在线下和线上。
齐安市互联网情报局整理了相关资料,供读者参考。
乌克兰:100 天的网络空间战
——乌克兰战争中的网络攻击和行动
如何破坏社会、破坏网络空间
6月3日是俄乌战争爆发的第100天。在此期间,乌克兰城市不仅遭受了持续的炮火袭击,还遭受了严重的网络攻击。自 2 月 24 日起,网络和平研究所汇总了针对两组目标的网络攻击数据:
1. 乌克兰和俄罗斯的关键基础设施和对平民生存至关重要的民用物体均受到国际人道法 (IHL) 的保护。
2. 由于战争及其相关的经济和地缘政治背景,受网络攻击影响的俄罗斯和乌克兰以外的目标。
这些数据已公开,有助于分析战时网络使用情况。网络攻击和事件公开后,跟踪它们很重要,以便记录攻击,并在可能的情况下确定对平民的伤害和风险。即使没有直接针对,世界各地的平民也可能受到网络攻击的负面影响。因此,保护有关网络攻击的信息非常重要,以便在未来的司法程序中识别与在武装冲突中使用网络行动相关的法律发展或澄清并追究其责任。
一、俄乌战争中的网络攻击与行动
过去 100 天的俄乌冲突网络攻击有几个关键要点:
1. 虽然网络攻击并未在双方的战术推进中发挥重要作用,但除了广泛的虚假信息外,网络攻击还被用作破坏、破坏和数据泄露的手段,导致网络空间动荡。
2. 这场冲突导致对关键基础设施(如通信服务和发电站)的多次网络攻击,违反了国际人道主义法。
3. 所谓的“黑客集体”在这场冲突中发挥了重要作用,主要攻击类型有: 反俄行为者的“黑客和数据泄露”式攻击;针对乌克兰盟友的亲俄罗斯行为者进行了拒绝服务 (DDoS) 攻击。
4. 随着世界各国政府开始实施和/或增加制裁,乌克兰和俄罗斯的能源、采矿和金融部门都受到了沉重打击。
5. 除了传统的宣传手段外,网络攻击还被用来传播虚假信息,控制战争相关信息的流动。
两个月前,我们发表了一篇关于乌克兰网络攻击危害和影响的博客。从那时起,我们记录了与冲突有关的袭击事件及其对乌克兰以外的组织和个人的影响。
我们严重关切的不是任何单一事件,而是对平民造成不成比例影响的网络攻击和动能攻击的结合。网络攻击可以通过多种方式伤害平民。对所收集数据的进一步分析得出的一些关键见解与网络攻击的四个主要后果有关:
● 破坏 - 一种旨在永久删除数据或损坏系统无法恢复的攻击。在这场战争中,乌克兰政府实体和其他部门被置于恶意抹布之下。如果组织无法检索备份或重置系统,这些攻击可能会对组织产生长期影响。
● 中断——由于流量增加或系统加密等而暂时中断服务或操作的攻击。DDoS 攻击在冲突期间很突出,包括战争初期针对乌克兰团体,在乌克兰政府呼吁组建“IT 军队”后针对俄罗斯团体",以及在对俄罗斯实施制裁后,针对一些北约成员国的公共机构。上述攻击严重影响了整个乌克兰的电信和互联网服务的连通性,以及乌克兰、俄罗斯和世界其他地区的网站的可用性。
● 数据泄露——导致数据被盗或泄露,或为间谍、侦察或情报目的而获取数据的攻击。虽然后者是战争和地缘政治冲突中的一种众所周知的做法,但前者是由一群行动者以激进主义的名义进行的大规模袭击。数据正在以前所未有的速度在网上泄露和发布,尤其是与俄罗斯私人和公共组织相关的数据。
● 虚假信息- 以传播虚假信息和宣传和/或操纵信息空间、利用网络为重点的攻击,已成为武装冲突的一个特征。从散布有关 ATM 技术故障的虚假信息的垃圾短信,到在滚动新闻中歪曲信息或显示“深度虚假”视频的电视台网络攻击,再到威胁行为者通过泄露电子邮件帐户发布虚假信息来访问乌克兰知名人士的社交媒体帐户信息。
表 1 网络攻击的时间线及其数字影响
二、俄罗斯升级 - 引入恶意橡皮擦
长期以来,恶意刮水器运动一直是俄乌战争的代名词。自 1 月以来,已发现六种针对乌克兰实体和组织的关键数据擦除恶意软件,包括 WhisperGate/WhisperKill、HermeticWiper、IsaacWiper、AcidRain、CaddyWiper、DoubleZero。其中三个软件首次被发现是在战争前一天或战争当天部署的。这些攻击的影响几乎没有公开报道,但它们似乎主要针对乌克兰的公共部门、金融和能源公司以及电信提供商。据报道,2 月 25 日对边境控制站的恶意刮水器攻击延迟了难民从乌克兰进入罗马尼亚的通道。
随着战争的进展,破坏性的网络攻击和行动继续被使用。4 月 8 日,使用恶意擦除软件对乌克兰变电站的攻击被挫败。如果成功,这次袭击将导致约 200 万人断电,难以恢复供电。此外,网络和平研究所还记录了匿名相关组织所说的对俄罗斯公共部门以及金融、能源和旅游管理公司的破坏性攻击。例如,4 月 18 日对一家俄罗斯银行的攻击导致超过 1TB 的数据遭到破坏,包括财务报表、代币、税表、客户信息和敏感数据库。据称,该攻击还删除了所有备份,以防止数据和功能被恢复。
三、关键基础设施也未能幸免
- 通讯服务受到影响
信息和通信技术(ICT)行业是战时最引人注目的领域之一。网络和平研究所记录了至少 6 起专门针对乌克兰电信服务提供商的网络攻击或活动。乌克兰国家特殊通信和信息保护局(SSCIP)5 月 4 日表示,“入侵部队故意破坏乌克兰的电视和广播基础设施,剥夺了乌克兰人民获取有关战争进展和乌克兰局势。“虽然简报提到了动能攻击,
在俄乌战争当天,针对 Viasat 位于乌克兰的 KA 卫星网络的 AcidRain 恶意雨刷攻击影响了一家主要的德国能源公司,导致其失去对 5,800 多台风力涡轮机的远程监控权限。虽然这次袭击似乎是针对乌克兰的军事目标,但乌克兰境内外的平民和民用目标都受到了影响。在 3 月 28 日对乌克兰主要网络提供商的攻击后,乌克兰发生了全国性网络中断,网络连接崩溃至战前水平的 13%,服务在最初中断约 15 小时后恢复。
表 2:受影响国家和行业的比较
*一些攻击或活动影响了多个行业
四、平民和集体在网络空间掀起波澜
2 月 26 日,乌克兰数字化转型部长 Mekhailo Fedorov 宣布成立一支 IT 专家军队,在网络空间为乌克兰而战。这一行动呼吁(通常被称为乌克兰的“IT 军队”)的后果和潜在的长期影响尚不得而知。乌克兰政府宣布,在 5 月 9 日至 15 日这一周,超过 240 个俄罗斯在线资源遭到其“IT 军队”的攻击。
然而,相关的集体攻击却引起了巨大的轰动。在公开宣布效忠一方或另一方后,这些集体以前所未有的速度和规模进行了网络攻击。自 2 月 26 日起,一个名为 Distributed Denial of Secrets 的组织开始发布数百 GB 的数据,主要来自俄罗斯的组织。自今年年初以来,黑客组织 Anonymous 一直活跃在针对俄罗斯和亲俄组织的黑客和泄密行动中。网络和平研究所记录了匿名者组织承认的 44 起事件,其中 39 起发生在俄罗斯,3 起在白俄罗斯,德国和法国各 1 起,但与对俄罗斯团体的袭击有关。
表 3:不同国家的攻击结果
在这场冲突中,各种集体在网络空间中发挥了重要作用。攻击的主要类型是:反俄行为者的“黑客和数据泄露”攻击,以及亲俄行为者对乌克兰盟友的 DDoS 攻击。
五、乌克兰盟国和北约国家受到网络攻击
4 月和 5 月的一系列 DDoS 攻击影响了支持乌克兰国家的一些公共行政部门、政府网站和国家铁路供应商。记录在案的针对北约成员国和候选成员国的攻击涉及:芬兰、捷克共和国、罗马尼亚、爱沙尼亚、德国、加拿大、西班牙、法国和意大利。Killnet 集体公开声称对这些攻击负责,因为该组织已公开向 Anonymous 宣战,这是几个 Anonymous 派别宣布与俄罗斯进行“网络战”的直接后果。Killnet 在俄乌战争后成为众人瞩目的焦点,人们对该组织知之甚少。
许多袭击发生在与制裁、武器供应和正在进行的北约成员国谈判有关的地缘政治和经济背景下。
六、制裁与否?
能源、矿业和金融业面临压力
自 2022 年 1 月以来,网络和平研究所记录了多起针对能源行业(尤其是天然气)和采矿业(尤其是石油)的攻击,这些攻击经历了一系列攻击。已记录对俄罗斯组织的 12 次攻击,其中大多数 (8) 是黑客攻击和随后的数据泄露,2 次导致网站/公共界面被篡改以发布亲乌克兰的消息。已经记录了六次针对乌克兰的攻击,但这些攻击的性质不同,因为它们可以归类为更广泛的网络间谍攻击或恶意擦除攻击。
对德国 (4)、瑞士 (1)、西班牙 (1) 和美国 (1) 团体的袭击与战争的实际联系较少,但被认为可能与对俄罗斯团体的制裁有关。例如,3 月 2 日,俄罗斯 Nord Stream 2 天然气管道的瑞士运营商表示,其移动和固定网络线路无法连接,并因网络攻击而关闭了其网站。
俄罗斯联邦的金融部门也受到数据泄露 (10) 和 DDoS 攻击 (3) 的影响,自战争以来记录了 12 次攻击,而乌克兰金融组织受到 DDoS (4)、恶意擦除 (1) 和网络间谍 (1) 攻击。在俄罗斯和乌克兰之外,德国金融监管机构 BaFin 最近警告金融部门,由于乌克兰战争,网络攻击有所增加。与对能源和采矿业的攻击一样,如果不进行进一步研究,就不可能在制裁和对金融部门的网络攻击之间建立明确的因果关系,但网络和平研究所肯定指出,对金融部门的网络攻击金融业有 增加之际,对该行业的制裁也收紧了。
七、通过网络攻击控制信息空间
每一场战争都伴随着宣传。在俄乌战争前几年,俄罗斯联邦一直试图牢牢控制其领土内外的信息空间。近年来,俄罗斯已从宣传转向使用虚假信息。前者制造和传播政治或意识形态言论,即用于传播影响的片面观点;后者是一种蓄意误导和操纵性的敌对行为,散布虚假信息。
从使用“僵尸农场”吸引最大受众的策略到进行网络攻击以摧毁网站,这场战争的虚假宣传活动正在离线和在线进行。对媒体部门的攻击是无情的,并试图通过传播虚假信息和破坏服务来影响信息空间,以限制乌克兰和/或俄罗斯民众获得及时、可靠和官方信息的机会。3月16日,乌克兰24电视台遭到袭击,谎报乌克兰总统泽连斯基敦促乌克兰停止战斗并放下武器的虚假信息。该节目的滚动新闻被黑,显示的信息似乎来自泽连斯基。2月26日,TASS、Fontanka、Kommersant等俄罗斯国内多家新闻网站,
威胁行为者试图通过访问或冒充乌克兰知名人士的账户、篡改网站或通过网络攻击修改信息来影响主流媒体的信息流动,以传播地缘政治信息、传播虚假信息并影响公众舆论。此类袭击正在乌克兰和俄罗斯联邦发生,因为那些具有反地缘政治观点的人正试图让他们的声音被听到。
毫无疑问,针对平民的攻击通常与网络钓鱼、欺诈和恶意垃圾邮件活动有关,因为威胁行为者试图在危机时期利用群众的脆弱性或慷慨。平民成为 2 月 15 日垃圾短信事件的具体目标。该事件似乎与针对银行和政府网站的 DDoS 攻击同时发生,可能是为了散播恐惧和混乱。
表 4:受国家/地区影响最大的行业
八、网络空间动荡
在这场战争背景下进行的网络攻击具有广泛的后果时间线袭击美国官网,不仅涉及政府、企业和平民,还涉及安全、可靠和值得信赖的技术使用。
在武装冲突期间,联系松散的个人参与网络攻击会带来以下挑战,并为未来的冲突开创一个危险的先例:
● 直接卷入敌对行动的平民可能会失去国际人道法为其提供的保护,并可能成为网络战或动能手段的目标和/或起诉。这将冲突的潜在影响扩大到个人和社会。
● 个人(非政府雇用的军事或文职人员)的参与对全世界的个人构成风险——组织松散的团体缺乏适当的协调、培训和交战规则,他们参与攻击可能会导致二级和三级后果,造成附带损害.
● 集体参与带来了归因挑战,这反过来又使网络攻击造成的损害的责任更加复杂。
除了大量参与者参战造成的网络空间不稳定外,网络和平研究所还注意到其他一些挑战,其长期影响仍有待澄清。开源技术通常建立在协作原则之上,用于传播虚假信息和宣传,甚至嵌入恶意软件。这种被称为“抗议软件”的新趋势引发了人们对其可能损害项目和贡献者的担忧。
世界仍在为如何处理勒索软件攻击导致的大量在线数据泄露而苦苦挣扎,攻击者以激进主义和反对战争的名义在线泄露的数据量令人担忧。公开发布这些包含数百万条个人数据的 TB 数据的后果尚不完全清楚,但可以肯定的是,个人极有可能受到影响,无论他们是否在冲突中发挥了作用。
九、呼吁保护受害者并尊重法律和规范
网络和平研究所正在跟踪针对平民生存所必需的关键基础设施和民用物体的网络攻击,以及因战争及其相关的经济和地缘政治背景而受到网络攻击影响的目标。需要强调的是,此类攻击不应针对关键基础设施和民用物体,无论是在战时还是和平时期。网络和平研究所呼吁各方保护平民和其他受保护人员、民用物体和基础设施,以确保根据国际人道主义法提供基本服务。这是武装冲突各方的义务。遵守这项法律对于挽救生命和减少痛苦至关重要。
需要继续分析网络使用情况,以根据适用的法律和规范了解这些攻击,以及对违反国际法的攻击(例如过度和不分青红皂白的攻击)的问责制。为此,网络和平研究所将继续监测在俄乌战争背景下使用网络攻击的情况。
重要的是,在联合国开放工作组 (OEWG) 和其他国际论坛的框架内,从在这场武装冲突中使用互联网汲取教训,包括在战时获取准确信息的能力、对和平的影响和安全,维护《联合国宪章》和规范国家在网络空间负责任行为的国际法和规范。在网络空间促进负责任的国家行为对于确保开放、自由、稳定和安全的网络空间至关重要,这需要所有领域的利益相关者的承诺和参与,包括那些能够更好地了解网络攻击对受害者的影响的人。民间社会组织。
