引语
2022年2月24日,俄罗斯针对乌克兰开展特别军事行动,俄乌爆发军事冲突。在物理战场之外,是以俄乌为主的多方势力在网络空间这个看不见硝烟的第二战场上的激烈较量。在俄乌网络战中,除了有直接的网络攻击引起系统瘫痪或数据损毁,还有网络信息战对舆论的影响与争夺。俄乌战争爆发现已过去三周,在此,奇安信安全威胁分析团队针对近期涉及两国的网络冲突进行梳理分析,总结俄乌网络战所呈现的几大特征,并分享这场数字战争给我们带来的思考和启示。
俄乌网络冲突演进过程
奇安信安全威胁分析团队根据奇安信内部数据视野及互联网公开渠道收集的网络攻击数据分析,俄乌双方在网络空间早于战争率先展开了网络攻击活动,在正式进入军事冲突后,则以破坏性攻击活动为主、网络信息战为辅。随着乌克兰局势的不断升级,俄罗斯与西方围绕乌克兰问题的博弈也延伸到网络领域,以北约为首的各国表面上并未参与实际的网络战,却利用自身的互联网优势引导全球黑客选边站队卷入俄乌乱局,导致网络战线全面拉开。
军事行动前的网络攻击
2022年2月24日,俄罗斯针对乌克兰开展特别军事行动,俄乌之间正式爆发军事战争。除牵动全球目光的战争局势发展外,还有伴随在战争之中的频繁网络战争。网络攻击一直伴随着军事冲突的发展而不断出现,网络空间成为俄乌战争的先行战场。根据奇安信的威胁情报分析研判,先于军事行动之前,便爆发了针对乌克兰政府机构等关键部门的大规模分布式拒绝服务攻击和数据擦除恶意软件攻击。
2022年1月13日,出现了一款针对乌克兰政府和商业实体的新型破坏性恶意软件“ WhisperGate ”,目标指向乌克兰的政府、非营利组织和信息技术实体。该威胁实际上是一种破坏性的擦除恶意软件,以多阶段攻击进行执行,“WhisperGate”的唯一目的似乎是破坏数据,这使得威胁组织很可能正在使用这种恶意软件来破坏或瘫痪目标组织。
2022年1月期间,约70个乌克兰政府网站遭分布式拒绝服务攻击(DDoS)暂时下线。2月14日起,乌克兰的军事、政府、金融等部门的网络系统再次遭到大规模DDoS攻击,包括乌克兰国家公务员事务局(nads.gov.ua)、乌克兰政府新闻网站(old.kmu.gov.ua)、乌克兰国家储蓄银行(oschadbank.ua)、乌克兰国内最大商业银行(Privatbank.ua)以及乌克兰外交部等在内的重要机构均遭到攻击。DDoS攻击通过系统资源消耗的方式造成乌克兰众多关键基础设施和重要网络系统瘫痪,严重影响了乌克兰的社会秩序。
冲突期间两国主要的网络攻击
1. 数据擦除破坏
2022年2月23日,在俄罗斯发动特别军事行动的前一天,一款名为“HermeticWiper ”(又名KillDisk.NCV)的新型数据擦除恶意软件在乌克兰的数百台重要的计算机上被发现,这成为开战后新一轮的针对性破坏型网络攻击。
2022年3月1日,ESET安全团队再次披露了针对乌克兰政府组织的第三种数据擦除恶意软件IsaacWiper。新型数据擦除恶意软件IsaacWiper不带有用于代码验证的数字签名,与HermeticWiper没有代码相似性,并且复杂度较低。IsaacWiper使用 ISAAC 伪随机数生成器生成的数据覆盖每个磁盘前0x10000字节数据。在2022年2月25日,攻击者释放带有调试信息的新版本IsaacWiper,此举可能表明攻击者无法擦除一些目标机器的数据从而想通过调试信息了解具体发生了什么事。IsaacWiper在2月24日针对乌克兰的新一轮网络攻击中出现。值得注意的是,IsaacWiper出现在未受HermeticWiper影响的乌克兰政府组织中。
北京时间3月9日,国外安全厂商发布题为《新的RURansom Wiper针对俄罗斯》的报告。报告中提到其最近发现了名为“RURansom”的恶意软件,该软件使用.NET编写,以蠕虫病毒的形式传播,并且会在目标机器上对文件进行不可逆的加密,因此这不是一款勒索软件,而是擦除器。同时在一些版本的代码当中会检查是否当前IP处于俄罗斯。通过以上线索可以判断此恶意软件是针对俄罗斯的文件擦除器。
2022年3月14日,ESET 研究实验室发布推特称在针对乌克兰组织的攻击中观察到新发现的破坏数据恶意软件“CaddyWiper”。新的恶意软件会从连接的驱动器中删除用户数据和分区信息,其设计用于在其部署的Windows域中擦除数据,但会检查是否是域控制器,域控制器上的数据将不会被删除,这可能是攻击者使用的一种策略,用于在受感染的网络内保持访问,同时仍然通过擦除其他关键设备进行破坏。
2. 拒绝服务攻击
分布式拒绝服务攻击(DDoS)是以向目标服务发起海量服务请求从而耗尽攻击目标资源,造成目标主机无法为用户提供正常服务,甚至导致系统崩溃。自俄乌开战以后,DDoS攻击一直是主流趋势。
例如Cyberscoop网站3月3日消息,俄罗斯政府周三(3月2日)公布一份清单,其中包括17,500多个IP地址和174个互联网域。据称,这些地址和域参与了针对俄境内目标的持续分布式拒绝服务(DDoS)攻击。所列清单包括美国联邦调查局、中央情报局主页及其他一些网站,这些网站的顶级域名表示这些网站在白俄罗斯、德国、乌克兰、格鲁吉亚等国及欧盟注册。俄政府未公布任何证明或证据支持其关于其列表中的IP地址或域的主张。俄国家计算机事件响应与协调中心在一份通知中发布了这些数据,其中包括20条防范攻击的建议,例如强大的日志记录、使用俄域名系统服务器、进行“计划外密码更改”以及禁用网站外部插件。
网络信息战与舆论宣传
1. 俄罗斯前期的网络信息战舆论攻势
俄乌局势紧张期间,俄罗斯曾开展多次网络信息战活动影响乌克兰舆论宣传。
2022年1月13日,乌克兰政府网站遭到篡改,网站页面发布了旨在引发恐怖的虚假信息。在2月15日攻击中,部分乌克兰Privatbank银行用户收到银行ATM机无法使用的虚假消息,乌克兰网络警察称这是旨在制造混乱的“信息攻击”。乌克兰有关部门还查封了一个拥有超过18万个社交媒体账号、用来散布假新闻的僵尸网络。2022年3月2日,美国NBC新闻记者Kevin Collier转发乌克兰国家特别通信和信息保护局(SSSCIP Ukraine)官方推文称,乌克兰安全部门发布警告称俄罗斯将开始传播乌克兰将投降的虚假信息。
2. 社交平台和主流信息渠道对俄的限制
乌克兰背后是以美国为首的西方国家阵营。西方国家尤其是美国利用自己对全球主流媒体、社交平台的掌控,以及诞生于美国的一批跨国信息科技公司在互联网世界的资源主导权,不断对俄罗斯的舆论发声渠道进行围追堵截。
2月27日,欧盟宣布禁止 “今日俄罗斯”(RT)和俄罗斯卫星通讯社(Sputnik)两家俄罗斯官方媒体继续在欧盟境内传播,相关制裁措施在3月2日正式生效。
主流社交平台和跨国信息科技公司也纷纷做出限俄的响应动作。
Facebook拒绝了俄罗斯让其停止对四家俄罗斯媒体进行独立事实核查和内容标记的要求,随后宣布限制“今日俄罗斯”和俄罗斯卫星通讯社在欧洲的传播,并表示在与乌克兰的冲突期间,禁止俄罗斯官方媒体在其所有平台上投放广告。
谷歌封锁了欧洲RT和Sputnik的YouTube频道,同样也宣布,禁止俄罗斯国家媒体在其网站、应用程序和YouTube平台的服务中投放广告及获得盈利,并将俄罗斯国家资助的出版商从谷歌新闻中除名。
微软从其全球微软应用商店中删除了俄罗斯新闻应用程序,计划降低Bing上相同新闻媒体的搜索结果的优先级,并将禁止俄罗斯国家赞助的广告。
苹果在俄罗斯以外国家/地区的App Store中删除了俄新闻应用程序,包括“今日俄罗斯”及Sputnik应用程序。
这一系列限制措施导致官方媒体被封难以发声,对俄罗斯的不利舆论呈一边倒趋势,俄罗斯在全球舆论战场上已落于下风。
3. 乌克兰、美国煽动黑客发起网络攻击
伴随着俄乌进入实质性军事冲突阶段,西方国家也针对性的炒作俄罗斯使用各种黑客攻击等战术破坏乌克兰稳定。同时乌克兰和美国政客开始煽动黑客对俄罗斯发起网络攻击。
乌克兰总统泽连斯基、乌克兰国家安全局等在俄罗斯入侵乌克兰后呼吁国际黑客加入IT军团,针对俄罗斯银行、企业和政府机构发动网络攻击,以对抗俄罗斯在网络空间的“数字入侵”,并在TG上成立军团频道。
2月25日,美国前国务卿希拉里·克林顿接受美媒MSNBC采访时,公然煽动美国黑客对俄罗斯发动网络攻击,以此回应俄罗斯对乌克兰的“入侵”。
在前面提到的美、乌舆论主导权的加持之下,这些煽动行为效果显著,引起许多黑客自发对俄进行网络攻击。
我们整理了俄乌舆论战时间线,详情请参阅附表1。
全球黑客选边站队卷入俄乌乱局
随着乌克兰局势的不断升级,俄罗斯与西方围绕乌克兰问题的博弈也延伸到网络领域,世界各国也纷纷参与俄乌隐蔽战争,局势持续升温。目前,在俄乌陷入混乱之时,全球黑客也一窝蜂的卷入乌俄乱局,各自站边,导致网络战线全面拉开。
奇安信总结了自俄乌冲突升级后,各黑客组织参与网络混战的具体情况。根据近日的持续追踪,可以看出目前各黑客组织公布的消息逐渐减少。原因是一些黑客为蹭热度而公布的数据“虚有其表”,导致其公信力下降。我们总结了相关黑客组织,详情请参阅附表2。
俄乌网络战呈现三大特征及攻击手段分析
拒绝服务攻击瘫痪目标服务
根据奇安信技术研究院司南大网威胁监测平台早在2022年1月8日便监测到多起针对乌克兰重要网站的DDoS攻击事件。攻击者通过僵尸网络发起了大规模的DDoS攻击,主要受害网站包括乌克兰总统网(president.gov.ua)、乌克兰国家公务员事务局(nads.gov.ua)、乌克兰政府新闻网站(old.kmu.gov.ua)、等。伴随着乌克兰局势的变化, 2月13日之后攻击强度加大,并在2月23日后达到顶峰。
分析监测到攻击者利用了多种互联网上存在安全漏洞的网络服务器,涉及DNS、CLDAP、NTP、SSDP、Memcache、ONVIF等9种网络协议,被滥用的服务器分布在全球各地。
在DDoS攻击中,攻击者发出海量互联网流量以耗尽攻击目标资源,造成正常流量无法到达其预定目的地。针对网站、应用程序、网络或数据中心基础架构的发起的DDoS攻击会导致用户无法使用服务、获取信息或者进行其他正常访问。上述DDoS攻击通过消耗系统资源的方式造成乌克兰重要网络系统瘫痪,严重影响了乌克兰政府施政和社会秩序,并为全面军事行动和更具破坏性的网络攻击奠定了基础。
破坏型恶意软件损毁目标系统
本轮俄乌军事冲突发生前后,在乌克兰的多个重要部门的计算机系统上发现的超过4种恶意数据擦除软件目标直指向乌克兰的政府、非营利组织和信息技术实体。其中,名为WhisperGate的恶意软件旨在不可逆转地破坏受感染主机的数据,并试图伪装成勒索软件攻击来隐藏攻击方式和目的,分散调查人员对袭击发起者的注意力;而名为HermeticWiper的软件在部署后不仅会破坏本地数据,还会损坏硬盘驱动器的主引导记录(MBR)部分,从而阻止计算机在强制重新启动后引导至操作系统。另一个破坏性恶意软件IsaacWiper在2月24日针对乌克兰的新一轮网络攻击中出现。其复杂度较低。使用ISAAC伪随机数生成器生成的数据覆盖每个磁盘前0x10000字节数据,从而造成破坏。直至2022年3月14日,新型恶意数据擦除软件CaddyWiper被ESET研究实验室发现,新的恶意数据擦除软件会从连接的驱动器中删除用户数据和分区信息。
而针对俄罗斯进行数据擦除的攻击被国外安全厂商题为《新的RURansom Wiper针对俄罗斯》的报告所披露,报告中提到使用.NET编写的“RURansom”恶意软件,该软件以蠕虫病毒的形式传播,并且会在目标机器上对文件进行不可逆的加密,从而造成数据擦除。同时在一些版本的代码当中会检查当前IP是否处于俄罗斯,从而进行攻击。
擦除软件攻击具有严重的致命性和破坏性,甚至可以在不留任何攻击痕迹的情况下摧毁系统恢复工具,擦除数据并阻止操作系统恢复,从而达到摧毁或瓦解受害者的系统和数据的目的。俄罗斯对乌克兰国防、金融、航空和IT服务部门的擦除软件攻击,破坏了相关系统和数据,导致目标数据丢失或者业务运营受到严重影响。
网络信息煽动舆论动摇士气
以奇安信安全威胁分析团队对俄乌爆发军事冲突后的某一天舆论监控来看,围绕“俄乌信息战”话题发表了相关言论3393篇,其中话题参与账号共2791人,境外社交平台相关贴文3393篇。如:国际运动员倡议组织“全球运动员(Global Athlete)”发推称 ,乌克兰运动员已要求全球运动员向国际奥委会和国际残奥委会发布这封公开信,要求暂停俄罗斯和白俄罗斯国家奥林匹克和残奥会委员会的工作,取消两国所有运动员参加国际体育赛事,包括北京残奥会。俄乌冲突相关社交热词图如下:
总体来说,俄罗斯在冲突前期利用社交媒体宣传和虚假信息宣传的方式对乌克兰实施了系统性网络信息战活动,其目的是大规模地传播虚假信息、引发社会恐慌并打击军队士气。而西方国家则在冲突期间利用信息平台和渠道的主导优势,通过引导舆论、煽动黑客攻击等方式向俄罗斯施加战场外的巨大压力。
数字战争带来的思考和启示
伴随俄乌冲突而来的数字战争是国家之间在网络空间的博弈较量。在网络信息技术紧密联系社会生产运转、民众工作生活的当下,网络空间将不可避免地成为需要被保护的数字疆域,并在冲突爆发时变成各方争夺的焦点,这一点已在此次网络战中体现得淋漓尽致。在梳理分析俄乌网络战的发展过程和特征之后,我们整理了如下几条由这场数字战争引发的思考和启示。
1. 网络战成为融入现代战争不可或缺的一部分
通过上述俄乌网络战的深度分析,成本低、效果大等特点赋予了网络战极强的隐秘性和杀伤力。在现代战争开战之前,利用网络战损毁敌对国关键信息系统,窃取军事情报,瘫痪互联网、交通、能源金融等关键基础设施,成为现代战争的首选项。
更加重要的是,互联网、数字化时代,网络空间决定着一切,为此必须要意识到网络战的重要程度,重视网络战。
2. 破坏性APT攻击和DDoS攻击成为国家级网络战重要手段
DDoS攻击目前成为国家、政治团体甚至恐怖组织最为直接的常用手段。此次俄乌冲突中,尽管美国和西方在前期已经对乌克兰进行了网络防御支援,然而俄方仍旧多次调动攻击资源,对乌克兰实施大规模DDoS攻击,数百个重要服务器遭受破坏性恶意软件攻击。可以看出,破坏性APT攻击和DDoS攻击成为国家级网络战重要手段,目的正是配合真正的军事战争行动。当前,大量物联设备不断接入互联网,脆弱性广泛存在,成为DDoS攻击的作战资源。
3. 针对关键基础设施的攻防对抗成为网络战的关键
网络空间是物理空间的延续,而关键信息基础设施是物理空间的核心载体,关键信息基础设施的可用性、完整性、保密性在国家安全层面至关重要。当前国际安全风云变幻,境外具有国家背景的高级持续性攻击组织(APT)保持了高度活跃,持续针对我国开展网络攻击,其中的主要目标就是包括金融、通信、交通、能源、政务网络在内的关键信息基础设施。
近年来全球多个国家已经遭受类似事件。除去本次俄乌冲突相关的破坏性攻击事件外,近年来就有4起关键信息基础设施遭到破坏:如英国电网重要管理机构Elexon遭到网络攻击,内部IT网络受到影响、关键通信功能丧失;印度孟买遭遇大范围断电,直接导致铁路、股票交易所、医疗设施以及其它大部分关键基础设施瘫痪;2021年美国最大的燃油管道运营商、全球最大的肉类加工企业均因黑客攻击而在相当一段时间内停止运作,这一切持续地在给我国关键信息基础设施系统敲响警钟。
4.左右民众的认知域,舆论战成为网络战争中的重要一环
此次俄乌网络信息战中网络攻防和涉及舆论的认知控制战相互交织,舆论战成为网络战争中的重要一环。在现代网络出现之前,舆论战已经是军事战争中的常规手段,不过如今互联网的触手已经遍及每个人,这使得舆论战的覆盖面和影响度远超从前。无论是冲突前期俄罗斯通过网络攻击在乌克兰传播虚假信息引发社会恐慌情绪,还是后面西方国家凭借对主流信息渠道的控制权创造出对俄舆论的压倒性态势,都可以看出在网络攻防之外,左右民众认知的网络舆论战也发挥着不容忽视的作用。
5. 发展网络空间的攻防力量成为打赢未来战争的关键
当前,世界主要国家加速推进网络部队建设,全球网络空间军事化的趋势日益明显。近年来,五眼联盟等国继续完善网络部队机制和力量建设,新建、扩编或重组网络空间作战力量,改善网络设施和信息系统以优化军事信息环境,强化科技研发和军事应用,通过培训提高网络部队战备水平,谋求全面提升网络空间作战能力。
附录
附表1 俄乌舆论战时间线
时间 |
信息来源 |
内容 |
战争初期 |
战争初期,俄方依靠网络战和电子战等压制乌方通信系统和网络连接,并利用这些优势不断地主动发布战场进展,从而抢占了各大媒体的头条。甚至连乌克兰总统泽连斯基发推特都是在使用手机拍摄的方式,窘迫程度可见一斑。即便西方媒体有意倾向乌克兰,但碰上这种情况仍不得不大量引用俄罗斯方面的说法。 |
|
2月26日 |
俄罗斯国防部 |
在外网率先宣布摧毁了乌克兰军队的87辆坦克、28个多管火箭炮系统以及8艘快艇,一共摧毁了821个乌克兰军事目标。 |
2月26日 |
乌克兰 |
随后,乌克兰不甘示弱的反驳俄罗斯,宣称已经有3500多名俄军阵亡,近200人被俘。 |
2月26日 |
乌克兰及西方媒体 |
乌克兰称蛇岛13名乌克兰士兵在面对俄舰炮击的威胁时并没有退缩,在24日的俄罗斯轰炸中丧生。西方媒体大量转发 |
2月26日 |
俄罗斯媒体 |
俄罗斯卫星网反驳乌克兰之前关乎蛇岛战士的情况。俄黑海舰队表示,80多名投诚的乌克兰边防军已经被从蛇岛送至塞瓦斯托波尔,反驳了前日乌克兰政府的虚假消息 |
2月26日 |
Facebook 的母公司 Meta |
在与乌克兰的冲突期间,禁止俄罗斯官方媒体在其所有平台上投放广告。 |
2月27日 |
美联社 |
美联社发文称,俄罗斯的TikTok视频正成为俄战争武器库的一个新工具。通过精心策划的虚假信息与真正的军队和武器较量以塑造舆论。 |
2月27日 |
黑客组织Anonymous |
黑客组织匿名者在推特宣布成功入侵了俄罗斯国家电视频道,并播放有关乌克兰发生的事情的真相。 |
2月27日 |
欧盟 |
欧盟委员会主席冯德莱恩发布声明,公布对俄罗斯的最新制裁措施,包括在欧盟全境禁止今日俄罗斯(RT)和俄罗斯卫星通讯社及其子公司 |
2月28日 |
微软 |
微软从其全球微软应用商店中删除了俄罗斯新闻应用程序,计划降低Bing上相同新闻媒体的搜索结果的优先级,并将禁止俄罗斯国家赞助的广告。 |
3月1日 |
苹果 |
苹果在俄罗斯以外国家/地区的App Store中删除了俄新闻应用程序,包括“今日俄罗斯”及Sputnik应用程序。 |
3月1日 |
Facebook、Youtube |
删除并封禁了散布乌克兰虚假信息的俄罗斯账户。 |
3月1日 |
|
封禁了数十个散布乌克兰虚假信息的俄罗斯账户。 |
3月1日 |
乌克兰政府 |
乌克兰政府建立了一支由黑客活动分子组成的国际“IT军队”。这支“军队”的 Telegram 频道已经有超过 175,000 名成员。 |
3月1日 |
国际运动员倡议组织“全球运动员(Global Athlete) |
要求暂停俄罗斯和白俄罗斯国家奥林匹克和残奥会委员会的工作,取消两国所有运动员参加国际体育赛事,包括北京残奥会。 |
3月2日 |
欧盟 |
欧盟对Sputnik和RT/Russia Today在欧盟或针对欧盟的广播活动相关制裁正式生效 |
3月2日 |
国际残奥委员会 |
宣布允许俄罗斯和白俄罗斯运动员参加北京冬残奥会,但这两个国家的运动员必须作为中立运动员参赛,成绩不会列入奖牌榜。 |
3月2日 |
乌克兰国家特别通信和信息保护局 |
乌克兰安全部门警告称,俄罗斯将开始传播乌克兰将投降的虚假信息,乌克兰安全部门点名了十几个电报账户,称它实际上是由俄罗斯方运营的。 |
3月3日 |
美国非盈利媒体组织“Unicorn Riot” |
在推特发布了一篇有关“俄乌信息战”的报道,称他们对当前备受关注的黑客攻击事件进行了调查,并仔细查看了一个被攻击的文件,调查显示,该文件包含大量俄罗斯工业企业的采购数据。 |
3月3日 |
乌克兰国家特别通信和信息保护局 |
乌克兰国家特别通信和信息保护局在推特上发布消息称,数量不详的地区当局和地方政府官方网站被劫持并散布关于结束俄乌战争协议的“谎言”。 |
3月3日 |
纽约时报 |
谷歌表示暂停在俄罗斯的广告业务,包括搜索,YouTube和展示营销。除了在俄罗斯暂停广告外,谷歌还禁止RT,Sputnik和其他俄罗斯国家赞助的媒体进入欧洲的YouTube。它还表示将不再允许俄罗斯国家媒体的内容出现在谷歌新闻上。 |
3月4日 |
推特 |
推特封禁了几个黑客组织账号,包括ATW、Anonymous成员的推特,其他黑客组织活动减弱并删除部分内容 |
3月4日 |
国际残奥委会 |
由于担心其他国家可能退出残奥会冬季项目,国际残奥委会(IPC)最终决定禁止俄罗斯和白俄罗斯两国的运动员参赛。在新闻发布会上,国际残奥会主席安德鲁·帕森斯(Andrew Parsons)对俄罗斯和白俄罗斯的运动员发表了讲话,对两国运动员表示抱歉,认为他们是政府行为的受害者。 |
3月4日 |
俄罗斯通信监管机构 |
俄罗斯通信监管机构称,将禁止国民访问Meta旗下社交平台Facebook,作为对此前Facebook审查并禁止多个俄罗斯官方媒体账户发言的回应。俄罗斯同时也限制了国民对社交平台推特的访问。 |
3月4日 |
俄罗斯通信监管机构 |
俄罗斯还以传播关于乌克兰战争的“虚假报道”为由,封杀了一众西方新闻媒体,包括BBC、德国之声、美国之音等。俄罗斯总统普京还签署了俄罗斯联邦刑法修正案,规定“发布关于俄罗斯在乌克兰军事行动的虚假信息者或将被监禁”。该新规公布后,BBC等西方媒体随即宣布暂停在俄业务。 |
3月4日 |
乌克兰国家特别通信和信息保护局副主席维克多·佐拉 |
乌克兰国家特别通信和信息保护局副主席维克多·佐拉当日表示,被征召在网络空间与俄罗斯作战的由数百名黑客组成的志愿军只攻击其认定的军事目标,优先考虑政府机构,包括金融部门、俄罗斯政府控制的媒体和铁路。 |
3月6日 |
美国参议员安格思·金 |
美国参议员安格思·金(Angus King)发布推文称,随着俄乌战争继续升级,美国及其盟友应该对俄罗斯可能发动网络攻击保持“高度警惕”,其表示潜在的网络攻击不一定以军事能力为目标,可能会打击私营部门或关键的基础设施,如供水或交通系统。 |
3月6日 |
俄罗斯国防部 |
俄罗斯国防部发言人科纳申科夫表示,有证据显示,临近俄罗斯边境的几个美国资助的乌克兰生物实验室曾从事生化武器研发。根据俄军缴获的文件,乌克兰卫生部在2月24日、也就是俄罗斯对乌克兰军事行动开始的当天,向波尔塔瓦生物实验室、哈尔科夫生物实验室下令,要求工作人员紧急销毁能够引发鼠疫、炭疽和霍乱的病毒。科纳申科夫说,目前俄罗斯军队的生化专家正在对文件进行分析,分析结果将对外公布。 |
3月8日 |
黑客组织Anonymous |
黑客组织Anonymous程序员团体“Squad303”创建了名为“1920.in”的工具,使得非黑客为也能为“世界历史上最大、最成功的网络行动”做出积极贡献。在工具发布后48小时内,Anonymous在Twitter宣称“自由世界的人民向俄罗斯人发送了200万条短信”。 |
3月10日 |
路透社 |
Meta公司将暂时改变其仇恨言论政策,允许一些国家的Facebook和Instagram用户在乌克兰入侵的背景下呼吁对俄罗斯人和俄罗斯士兵采取暴力行动。 |
3月10日 |
华盛顿邮报 |
美国《华盛顿邮报》报道,当地时间10日下午,30名在短视频平台TikTok活跃的“头部网红”“网络大V”齐聚一堂,通过视频会议接收来自白宫的“最高指示”——“正确”介绍俄乌局势和美国、北约的对俄政策。白宫方面证实了这一消息,并称上述指示不局限于TikTok,还包括YouTube和推特等社交平台。 |
3月11日 |
路透社 |
俄罗斯驻美国大使馆当日要求美国政府阻止Facebook所有者Meta公司的“极端主义活动”。Meta暂时改变其仇恨言论政策,解除了针对俄罗斯军方和领导层的暴力呼吁的禁令,允许一些国家的Facebook和Instagram用户在俄乌战争背景下呼吁对俄罗斯人和俄罗斯士兵实施暴力。俄罗斯大使馆发表声明称,Meta的侵略性和犯罪政策导致煽动对俄罗斯人的仇恨和敌意,这是令人发指的,该公司的行为是对俄罗斯信息战宣战的又一证据。 |
3月11日 |
乌克兰总统泽连斯基 |
乌克兰总统泽连斯基谴责俄军空袭乌克兰马里乌波尔一家妇产医院,并公布了受伤孕妇照片,导致俄军受到舆论压制。后有人揭露称该新闻为乌克兰颁布的假消息,孕妇由乌克兰知名模特、美妆博主玛丽安娜扮演。
|
3月12日 |
YouTube |
3月12日,YouTube发布声明,宣布在全球范围内阻止用户访问“俄罗斯官方媒体”频道,此更改立即生效。 |
附表2 俄乌冲突下的黑客组织概要
黑客组织 |
支持阵营 |
攻击方式 |
社交媒体 |
位置 |
起始日期 |
AgainstTheWest (ATW) |
乌克兰 |
Data Breach/恶意软件 |
推特、电报 |
法国 |
2021年 |
Belarusian Cyber Partisans |
乌克兰/自由白俄罗斯 |
恶意软件 |
推特、电报 |
白俄罗斯 |
2020年 |
Anonymous |
乌克兰 |
DDoS |
推特 |
全球 |
2022年2月 |
GhostSec |
乌克兰 |
Hack |
推特、电报 |
不详 |
2022年2月 |
乌克兰人自发的数字军团 |
乌克兰 |
DDoS |
电报 |
乌克兰 |
2022年2月 |
KelvinSecurity Hacking Team |
乌克兰 |
Hack |
推特 |
不详 |
2022年2月 |
BlackHawk |
乌克兰 |
DDoS |
推特 |
格鲁吉亚 |
2022年2月 |
Anonymous Liberland 和 PWN-BAR hack team |
乌克兰 |
DDoS |
推特 |
全球 |
2022年2月 |
NB65 |
乌克兰 |
Hack |
推特 |
不详 |
2022年2月28 |
GNG |
乌克兰 |
DDoS |
推特 |
格鲁吉亚 |
2022年2月28 |
Raidforums2 |
乌克兰 |
DDoS |
推特 |
不详 |
2022年2月28 |
ContiLeaks |
乌克兰 |
Data Breach |
推特 |
不详 |
2022年2月28 |
SHDWSec |
乌克兰 |
Hack/Activism |
推特 |
全球 |
2022年2月28 |
GhostClan |
乌克兰 |
DDoS/Hack |
电报 |
全球 |
2022年2月28 |
Free Civicilian |
俄罗斯 |
Data Breach |
洋葱 |
不详 |
2022年1月 |
Cooming Project |
俄罗斯 |
Data Breach |
洋葱 |
不详 |
2021年 |
Conti Ransomware |
俄罗斯 |
恶意软件 |
洋葱 |
俄罗斯 |
2019年 |
The Red Bandits |
俄罗斯 |
Data Breach |
推特 |
俄罗斯 |
2021年 |
SandWorm |
俄罗斯 |
Hack/DDoS |
不详 |
俄罗斯 |
不详 |
点击阅读原文至ALPHA 5.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):国家博弈的第二战场:俄乌网络战分析与启示