重新评估网络攻击在地缘冲突中的影响力

2022年2月24日之前的重大网络事件时间表

在现代世界，发动任何类型的军事行动之前都必将出现大规模的网络攻击活动，这反过来可以通过监测潜在冲突地区新出现的网络攻击来预测冲突发展情况。例如，在2013年末和2014年1月，研究人员观察到Turla APT组织在乌克兰的活动高于正常水平，并且BlackEnergy APT攻击事件数量激增。同样，在2022年2月初，研究人员注意到与Gamaredon C&C服务器相关的活动量大幅飙升。这一活动达到了迄今为止从未见过的水平，这意味着为大规模的SIGINT(信号情报，通过拦截信号收集)收集工作正在进行。

如这些案例所示，在现代军事冲突之前的几天和几周内，网络战中会出现与情报收集和破坏性攻击有关的显著迹象和峰值。当然，我们应该注意到，相反的情况也是可能的：例如，从2016年6月开始，但最值得注意的是，自2016年9月一直到2016年12月，Turla组织将其基于卫星的C&C注册量提高了2015年平均值的十倍。这表明Turla组织异常活跃，这表明该组织前所未有地调动了资源。与此同时，据我们所知，没有发生随后的军事冲突。

如今的军事行动是在实地收集支持情报之后进行的；这包括SIGINT和ELINT等。重大军事行动(如2003年入侵伊拉克)还辅以旨在使敌人通信网络瘫痪的强大网络攻击，在2022年2月，研究人员注意到与Gamaredon C&C服务器相关的活动大幅增加，2013年底和2014年初，Turla和BlackEnergy的APT活动也出现了类似的激增。在军事冲突发生前的几天或几周内，网络战会出现明显的迹象和高峰。

在俄乌冲突冲突的第一天（2022年2月24日），乌克兰实体遭受了大规模的无差别雨刷攻击。这些攻击的主要目标可能是造成混乱和混乱，而不是实现精确的战术目标。相反，这一阶段所使用的工具在本质上也是多种多样的：

Ransomware (IsaacRansom)；

冒牌勒索软件(WhisperGate)；

雨刷(hermetwiper, CaddyWiper, DoubleZero, IsaacWiper)；

ICS/OT雨刷(AcidRain, industrroyer2)。

其中一些特别复杂。据我们所知，HermeticWiper仍然是野外发现的最先进的雨刷软件。industrroyer2是在一家乌克兰能源供应商的网络中发现的，如果攻击者无法访问与受害者使用的相同ICS设备，则不太可能开发它。也就是说，从软件工程的角度来看，这些工具中的许多都非常粗糙，似乎是匆忙开发出来的。

除了AcidRain（见下文）之外，我们认为这些不同的破坏性攻击都是随机的和不协调的——而且我们认为，在战争的宏伟计划中影响有限。

Viasat事件

2月24日俄乌冲突爆发时，覆盖乌克兰地区的美国卫星运营商Viasat遭遇网络攻击，导致数千乌克兰用户、数万名欧洲其他地区用户断网。经调查，攻击者利用错误配置的VPN设备入侵卫星网管理后台，向数万用户侧Modem下发破坏性指令，从而造成断网。KA-SAT卫星网络曾经被“乌克兰军方所频繁使用”。在被攻击期间，中欧及东欧地区的KA-SAT卫星服务均发生中断。这次通信服务中断也影响到了德国，导致负责控制约5800台风力涡轮机的调制解调器无法正常联网。此外，来自法国、意大利、匈牙利、希腊和波兰的客户也受到不同程序影响。5月10日，欧盟将这些恶意活动归咎于俄罗斯联邦。这是迄今为止与乌克兰冲突有关的最复杂的攻击之一。虽然破坏活动可能没有严重破坏乌克兰的防御，但它在战场之外产生了多重影响。刺激美国参议院要求在卫星网络安全问题上采取行动，加速SpaceX Starlink的部署。

ViaSat的攻击活动再次表明，网络攻击是现代武装冲突的基本组成部分，可能直接支持军事行动。在武装冲突期间，针对共同通信基础设施的网络攻击极有可能发生，因为交战方可能认为这些攻击具有双重用途。由于互联网的相互关联性，针对此类基础设施的网络攻击可能会对未卷入武装冲突的各方产生副作用。网络攻击引发了人们对商业卫星系统网络安全的担忧，这些系统可能支持从自拍地理定位到军事通信等各种应用。虽然军事力量经常讨论针对太空动能战斗的保护措施，而且更多的数据中心有望很快升空，但地面站管理系统和运营商似乎仍然高度暴露在常见的网络威胁之下。

专业勒索软件组织、黑客活动和DDoS攻击

一如既往，战争对信息格局有着非常具体的影响。在2022年尤其如此，因为人类已经掌握了有史以来最强大的信息传播工具：社交网络及其充分证明的放大效应。大多数真实世界中与战争有关的事件(小规模冲突、死亡人数、战俘证词)都在网上被放大。传统新闻媒体也受到更广泛的信息战背景的影响。

DDoS攻击和在较小程度上破坏随机网站一直被安全社区视为低复杂性和低影响的攻击。特别是DDoS攻击，需要产生大量的网络流量，攻击者通常无法维持很长一段时间。一旦攻击停止，目标网站就会恢复可用。除了电子商务网站暂时的收入损失，DDoS攻击或破坏提供的唯一价值是受害者的羞辱。由于非专业记者可能不知道各种类型的安全事件之间的区别，他们随后的报道造成了一种无能和安全不足的印象，可能会削弱用户的信心。网络攻击的不对称性质在支持大卫与歌利亚的形象方面发挥了关键作用，在网络领域的象征性胜利有助于说服地面部队，在现实战场上也可以取得类似的成就。

根据卡巴斯基DDoS防护公司的数据，自2022年初以来的11个月里，该服务注册的攻击次数比2021年全年多了1.65次。虽然这种增长可能不是很显著，但与2021年相比，这些资源受到攻击的时间更长。在2021年，平均攻击持续约28分钟，在2022年- 18.5小时，几乎是原来的40倍。最长的一次攻击在2021年持续了2天，2022年持续了28天(或2486505秒)。

2021与2022年卡巴斯基DDoS防护检测到的DDoS攻击总持续时间（秒），按周计算

自战争开始以来，一些有明显政治倾向的黑客组织已经出现，并开始开展一些活动。例如，臭名昭著的匿名组织组织了一场活动，将数十辆出租车同时叫到同一个地点，造成了莫斯科的交通堵塞。

卡巴斯基DDoS防护也反映了这一趋势。大规模DDoS攻击在一年中分布不均，春季和初夏是最激烈的时期。

2021与2022年卡巴斯基DDoS防护检测到的DDoS攻击数，按周计算

攻击者在2月至3月初达到高峰，这反映了黑客活动的增长，到了秋天，黑客活动已经停止。目前，我们看到了一个经常性的预期攻击动态，尽管它们的质量发生了变化。5月至6月，我们发现了极长时间的攻击。然而，现在它们的长度已经稳定下来，而典型的攻击过去只持续几分钟，现在则持续数小时。

2022年2月25日，臭名昭著的Conti勒索软件组织宣布他们“全力支持俄罗斯政府”。声明中有一句话:“如果有人决定对俄罗斯发动网络攻击或任何战争活动，我们将动用一切可能的资源，对敌人的关键基础设施进行反击。”该组织随后很快发布了另一条帖子，澄清了他们在冲突中的立场:“作为对西方战争贩子和美国对俄罗斯联邦公民使用网络战的威胁的回应，Conti团队正式宣布，如果西方战争贩子试图以俄罗斯或世界上任何俄语地区的关键基础设施为目标，我们将动用我们的全部能力采取报复措施。我们不与任何政府结盟，我们谴责正在进行的战争。然而，由于西方主要以平民为目标发动战争，如果美国的网络攻击将危及和平公民的福祉和安全，我们将利用我们的资源进行反击。”

两天后，一名乌克兰安全研究人员泄露了Conti组织成员之间的大量内部私人信息，涵盖了从2021年1月开始的一年多的活动。这对该组织造成了重大打击，他们看到自己的内部活动暴露在公众面前，包括与数百万美元赎金有关的比特币钱包地址。与此同时，另一个名为“comomingproject”的网络犯罪组织专门从事数据泄露，宣布如果他们看到针对俄罗斯的攻击，他们将支持俄罗斯政府：

其他组织，如Lockbit，更倾向于保持中立，声称他们是一个国际社会，包括俄罗斯人和乌克兰人，而且“一切都是生意”：

2月26日，乌克兰副总理兼数字转型部长米哈伊洛·费多罗夫(Mykhailo Fedorov)宣布创建一个Telegram频道，以“继续在网络战线上战斗”。最初的Telegram频道名称（itarmyourraine）有一个拼写错误，因此创建了第二个。

乌克兰的Telegram频道

信道运营商不断地给用户分配任务，例如DDoS攻击各种商业公司、银行或政府网站：

乌克兰IT部门发布的DDoS目标列表

据报道，在很短的时间内，由志愿者组成的“乌克兰IT军”(通过Twitter和Telegram进行协调)对800多个网站进行了破坏或DDOS攻击，包括莫斯科证券交易所等知名机构。

其他组织也观察到了类似的活动，随着冲突蔓延到邻国，它们已经站队。例如，白俄罗斯网络游击队声称，他们将白俄罗斯铁路改为手动控制，从而扰乱了铁路的运营。目标是减缓俄罗斯军队在该国的行动。

白俄罗斯网络游击队的帖子

一些表达了他们对乌克兰冲突看法的勒索软件或黑客组织的有限且迄今为止并不详尽的列表包括：

在公开支持俄罗斯的组织中，最初作为对“乌克兰IT军”的回应而成立的Killnet可能是最活跃的。4月下旬，他们攻击了罗马尼亚政府网站，以回应罗马尼亚众议院议长马塞尔·西奥拉库（Marcel Ciolacu）在向乌克兰当局承诺“最大限度的援助”后发表的声明。5月15日，Killnet在其telegram频道上发布了一段视频，向十个国家宣战：美国、英国、德国、意大利、拉脱维亚、罗马尼亚、立陶宛、爱沙尼亚、波兰和乌克兰。在这些活动之后，被称为“匿名者”的国际黑客团体于5月23日宣布对Killnet发动网络战。

Killnet在2022年继续其活动，此前他们在Telegram频道上发布了一则声明。10月，该组织开始攻击日本的某些组织，后来由于缺乏资金，他们停止了攻击。后来，它攻击了一个美国机场、政府网站和企业，但往往没有取得重大成功。11月23日，Killnet短暂关闭了欧盟的网站。Killnet还多次针对拉脱维亚、立陶宛、挪威、意大利和爱沙尼亚的网站。虽然Killnet的方法并不复杂，但它们不断成为头条新闻，并引起人们对该组织活动和立场的关注。

俄乌冲突为各方新的网络软件活动创造了温床，其中包括网络犯罪分子和黑客，他们争相支持自己最喜欢的一方；

我们可以预见，从现在起，黑客组织将卷入所有重大的地缘政治冲突；

网络软件活动正在蔓延到邻国，并影响到大量机构，包括政府机构和私营公司；

乌克兰IT军(IT Army of Ukraine)等组织得到了政府的正式支持，他们的Telegram频道拥有数十万订阅者；

大多数时候，这些组织实施的攻击对冲突的影响非常有限。

黑客攻击和隐私泄漏

在试图劫持媒体注意力的更为复杂的攻击方面，自冲突开始以来，黑客和泄密活动一直在增加。这个过程很简单，攻击一个组织，并在网上发布其内部数据。从理论上讲，这些数据泄露是可以操纵的。攻击者有足够的时间编辑任何已发布的文件，或者干脆注入完全伪造的文件。需要注意的是，攻击者完全没有必要为了数据泄漏造成破坏而花费如此长的时间。这些数据的公开本身就证明发生了严重的安全事件，而合法的原始内容可能已经包含了犯罪信息。

在我们对2023年APT的预测中，我们预测黑客和泄密行动明年将会增加；

信息战不仅针对各参与方，而是针对所有组织的。我们预计，绝大多数此类攻击不会针对交战双方，而是针对那些被认为过于支持(或不够支持)任何一方的组织；

无论是黑客攻击还是DDoS攻击，网络攻击都是国家之间发出攻击信号的一种手段；

开源软件武器化

开源软件有很多好处。首先，它通常是免费使用的，这意味着企业和个人可以节省软件成本。然而，由于任何人都可以对代码做出贡献并进行改进，这也可能被滥用，进而打开安全陷阱门。另一方面，由于代码可以公开检查任何潜在的安全漏洞，这也意味着只要有足够的审查，使用开源软件的风险可以降低到合适的水平。

早在3月，流行的npm包“node ipc”的开发者RIAEvangelist发布了该软件的修改版本，如果运行的系统具有俄罗斯或白俄罗斯的IP地址，则该软件包含特殊功能。在这样的系统上，代码将用一个心形表情符号覆盖所有文件，另外部署来自同一开发人员创建的另一个模块的消息with - love - from - america .txt。node-ipc包在全球拥有超过80万用户。与开源软件通常的情况一样，部署这些修改过的“node-ipc”版本的效果并不仅限于直接用户，其他开源软件包，例如“Vue.js”，自动包含最新的node-ipc版本，放大了效果。

旨在俄罗斯市场传播的软件包并不总是会导致文件被破坏，其中一些包含隐藏功能，例如在软件网站的某个部分添加乌克兰国旗或支持该国的政治声明。在某些情况下，该软件包的功能被删除，并被政治通知所取代。值得注意的是，并不是所有的包都隐藏了这个功能，一些开发者在软件包描述中宣布了这个功能。

其中一个项目鼓励传播一个文件，该文件一旦打开，就会开始通过JavaScript访问注册服务器的各个页面，从而使网站过载。

GitHub上发现的其他存储库和软件模块包括专门为DDoS俄罗斯政府、银行和媒体网站创建的存储库，专门用于收集俄罗斯基础设施和活动数据的网络扫描仪。

随着冲突的持续，流行的开源软件包可以被开发人员或黑客用作抗议或攻击平台；

这种攻击的影响可以进一步扩展到开源软件本身，传播到其他自动依赖木马代码的软件包；

市场撕裂

在过去的几年中，尤其是2014年之后，这一过程开始扩展到IT安全领域，国家通过法律禁止彼此的产品、服务和公司。自2022年2月俄乌冲突爆发以来，我们看到许多西方公司退出俄罗斯市场，让他们的用户在获得安全更新或支持方面陷入困境。与此同时，一些西方国家推动法律禁止使用俄罗斯软件和服务，因为这些软件和服务有被用于发动攻击的潜在风险。显然，不能完全排除政治压力将一些小市场主体的产品、技术和服务武器化的可能性。然而，当涉及到全球市场领导者和受人尊敬的供应商时，我们认为这是极不可能的。

另一方面，寻找替代解决方案可能是极其复杂的。我们经常发现，来自本地供应商的产品的安全开发文化通常明显不如全球领先企业，它们很可能存在显而易见安全错误和零日漏洞，使它们很容易成为网络犯罪分子和黑客活动分子的猎物。

网络攻击对战争结果的影响

地缘政治正在发挥重要作用，分裂的进程可能会扩大；

当供应商终止对产品的支持或退出市场时，安全更新可能是首要问题；

用本地产品取代成熟的全球领导者，可能会为利用零日漏洞的网络犯罪分子打开大门；

网络战争会爆发吗？

自俄乌冲突开始以来，网络安全界一直在争论乌克兰发生的事情是否属于“网络战争”。一个不争的事实是，冲突爆发时确实发生了重大网络活动。

另一方面，许多观察家认为，在发生冲突的情况下，先发制人的网络攻击会让自己占据主动。但事实上，除了Viasat事件（其实际影响仍难以评估）之外，这一事件根本没有发生。这场冲突反而揭示了网络力量和实际战场之间缺乏协调，并在许多方面将网络攻击降格为从属角色。在冲突的最初几周观察到勒索软件攻击，充其量只能算是干扰。后来，当今年11月冲突升级，乌克兰基础设施（尤其是能源网络）明确成为目标后，很明显，俄罗斯军方选择的工具是导弹，而不是网络攻击。

如果你认同网络战争的定义，即通过网络手段支持的任何动态冲突，无论其战术或战略价值如何，那么2022年2月确实发生了一场网络战争。

网络攻击对战争结果的影响远没有想象的那么大，事实证明，对计算机的物理破坏似乎更容易、更便宜、更可靠。我们认为，网络攻击在战争背景下的效果以前被我们大大高估了。

总结

俄乌冲突将对整个网络安全行业和环境产生持久影响。无论“网络战争”一词是否适用，不可否认的是，当一个大国卷入战争时，冲突将永远改变每个人对战时网络活动的期望。

在战争爆发之前，几个正在进行的多方进程(联合国OEWG和GGE)试图就网络空间中可接受和负责任的行为达成共识。鉴于全球目前所经历的极端地缘政治紧张局势，这些本已艰难的讨论能否在不久的将来取得成果令人怀疑。