国家博弈的第二战场 ：俄乌网络 战分析与 启示 一、 引语 2022年2月24日，俄罗斯针对乌克兰开展特别军事行 动，俄乌爆发军事 冲突。在物理战场之外，是以俄乌为主的 多方势力在网络空间这个看不见硝烟的第二战场上的激烈 较量。在俄乌网络战中，除了有直接的网络攻击引起系统瘫 痪或数据损毁 ，还有网络信息战对舆论的影响与争夺。俄乌 战争爆发现已过去三周，在此 ，奇安信 安全威胁分析 团队针 对近期涉及两国的网络冲突进行梳理 分析，总结俄乌网络战 所呈现的几 大特征，并分享这场数字战争给我们带来的思考 和启示。 二、 俄乌网络冲突 演进过程 奇安信安全威胁分析团队 根据奇安信内部数据视野及 互联网公开渠道 收集的网络攻击数据分析 ，俄乌双方在网络 空间早于战争率先展开了网络攻击活动，在正式 进入军事冲 突后，则以破坏性攻击活动为主、网络信息战为辅。 随着乌 克兰局势的不断升级， 俄罗斯与西方围绕乌克兰问题的博 弈也延伸到网络领域， 以北约为首的 各国表面上并未参与 实际的网络战，却利用自身的互联网优势引导 全球黑客 选 边站队卷入俄乌乱局 ，导致网络战线全面拉开 。 （一）军事行动 前的网络攻击 2022年2月24日，俄罗斯 针对乌克兰开展特别军事行 动，俄乌 之间正式爆发军事战争 。除牵动全球目光的 战争局 势发展外，还有伴随在战争之中 的频繁网络战争。网络攻击 一直伴随着军事 冲突的发展而不断出现， 网络空间成为俄乌 战争的先行战场。根据 奇安信的威胁情报 分析研判 ，先于军 事行动之前，便爆发了针对乌克兰政府机构等关键部门的 大 规模分布式拒绝服务攻击 和数据擦除恶意软件攻击 。 2022年1月13日，出现了一款针对乌克兰政府和商 业实体的新型破坏性恶意软件 “ WhisperGate ” ，目标指向 乌克兰的政府、非营利组织和信息技术实体。该威胁实际 上是一种破坏性的擦除恶意软件， 以多阶段攻击进行执行， “WhisperGate” 的唯一目的似乎 是破坏数据， 这使得威胁组 织很可能正在使用这种恶意软件来破坏或 瘫痪目标组织。 2022年1月期间，约 70个乌克兰政府网站遭 分布式拒 绝服务攻击（DDoS）暂时下线。 2月14日起，乌克兰 的军 事、政府、金融等部门的网络系统 再次遭到 大规模 DDoS攻 击,包括乌克兰国家公务员事务局 （ nads.gov.ua ） 、 乌克兰政府 新闻网站（ old.kmu.gov.ua ）、 乌 克 兰 国 家 储 蓄 银 行 （oschadbank.ua ） 、 乌克兰国内最大商业银行 （ Privatbank.ua ） 以及乌克兰外交部等 在内的重要机构均遭到攻击。 DDoS攻 击通过系统资源消耗的方式造成乌克兰众多关键基础设施 和重要网络系统瘫痪，严重影响了乌克兰的社会秩序。 （二）冲突期间两国 主要的网络攻击 1. 数据擦除破坏 2022年2月23日，在俄罗斯发动特别军事行动的前一 天，一款名为 “HermeticWiper ”（又名 KillDisk.NCV ）的新型 数据擦除恶意软件在乌克兰的数百台重要的计算机上被发 现，这成为开战后新一轮的 针对性破坏型网络攻击。 2022年3月1日， ESET安全团队 再次披露了针对乌克 兰政府组织的第三种数据擦除恶意软件 IsaacWiper 。新型数 据擦除恶意软件 IsaacWiper 不带有用于代码验证的数字签名， 与HermeticWiper 没有代码相似性，并且复杂度较低。 IsaacWiper 使用 ISAAC 伪随机数生成器生成的数据覆盖每 个磁盘前 0x10000 字节数据。在 2022年2月25日，攻击者 释放带有调试信息的新版本 IsaacWiper ，此举可能表明攻击 者无法擦除一些目标机器的数据从而想通过调试信息了解 具体发生了什么事。 IsaacWiper 在2月24日针对乌克兰的新 一轮网络攻击中出现。值得注意的是， IsaacWiper 出现在未 受HermeticWiper 影响的乌克兰政府组织中 。 北京时间 3月9日，国外安全厂商 发布题为《新的 RURansom Wiper 针对俄罗斯》 的报告。 报告中提到其最近发 现了名为“RURansom ”的恶意软件 ，该软件使用 .NET编写， 以蠕虫病毒的形式传播，并且会在目标机器上对文件进行不可逆的加密，因此这 不是一款勒索软件，而是擦除器。 同时 在一些版本的代码当中会检查是否当前 IP处于俄罗斯。 通过 以上线索可以判断此恶意软件是针对俄罗斯的文件擦除器。 2022年3月14日，ESET 研究实验室 发布推特称 在针 对乌克兰组织的攻击中观察到新发现的破坏数据恶意软件 “CaddyWiper ”。新的恶意软件会从连接的驱动器中删除用 户数据和分区信息 ，其设计用于在其部署的 Windows 域中擦 除数据，但会检查 是否是域控制器 ，域控制器上的数据将不 会被删除 ，这可能是攻击者使用的一种策略，用于在受感染 的网络内保持访问，同时仍然通过擦除其他关键设备 进行破 坏。 2. 拒绝服务攻击 分布式拒绝服务攻击 （ DDoS） 是以向目标服务发起 海量 服务请求从而 耗尽攻击目标资源， 造成目标主机无法为用户 提供正常服务，甚至导致系统崩溃。自俄乌开战以后， DDoS 攻击一直是主流趋势 。 例如 Cyberscoop 网站 3月3日消息，俄罗斯政府周三 （3月2日）公布一份清单，其中包括 17,500多个 IP地址和 174个互联网域。据称，这些地址和域参与了针对俄境内目 标的持续分布式拒绝服务（ DDoS）攻击。所列清单包括美国 联邦调查局、中央情报局主页及其他一些网站，这些网站的 顶级域名表示这些网站在白俄罗斯、德国、乌克兰、格鲁吉 亚等国及欧盟注册。俄政府未公布任何证明或证据支持其关 于其列表中的 IP地址或域的主张。 俄国家计算机事件响应与 协调中心在一份通知中发布了这些数据，其中包括 20条防 范攻击的建议，例如强大的日志记录、使用俄域名系统服务 器、进行“计划外密码更改”以及禁用网站外部插件。 （三）网络信息战与舆论宣传 1. 俄罗斯前期的网络信息战舆论攻势 俄乌局势紧张期间，俄罗斯 曾开展多次网络信息战活动 影响乌克兰舆论宣传。 2022年1月13日，乌克兰政府网站遭到篡改， 网站页 面发布了旨在引发恐怖的虚假信息。 在2月15日攻击中， 部分乌克兰 Privatbank 银行用户收到银行 ATM机无法使用 的虚假消息 ，乌克兰网络警察称这是旨在制造混乱的 “信息攻 击”。乌克兰有关部门还查封 了一个拥有超过 18万个社交媒体账号、用来散布假新闻的 僵尸网络。 2022年3月2日，美 国NBC新闻记者 Kevin Collier 转发乌克兰国家特别通 信和 信息保护局（ SSSCIP Ukraine ）官方推文称 ，乌克兰安全部门 发布警告称俄罗斯将开始传播乌克兰将投降的虚假信息。 2. 社交平台和主流信息渠道对俄的限制 乌克兰背后是以美国为首的西方国家阵营。西方国家尤 其是美国利用自己对全球主流媒体、社交平台的掌控，以及 诞生于美国的一批跨国 信息科技公司在互联网世界的资源 主导权，不断对俄罗斯的舆论发声渠道进行围追堵截 。 2月27日，欧盟宣布禁止 “今日俄罗斯 ”（RT）和俄罗 斯卫星通讯社 （Sputnik）两家俄罗斯官方媒体继续在欧盟境 内传播，相关制裁措施在 3月2日正式生效 。 主流社交平台和跨国信息科技公司也 纷纷做出限俄的 响应动作。 Facebook 拒绝了俄罗斯 让其停止对四家俄罗斯媒体进 行独立事实核查和内容标记的要求 ，随后宣布限制 “今日俄罗 斯”和俄罗斯卫星通讯社 在欧洲的传播 ，并表示在与乌克兰的 冲突期间，禁止俄罗斯官方媒体在其所有平台上投放广告。 谷歌封锁了欧洲 RT和Sputnik的YouTube 频道，同样 也宣布， 禁止俄罗斯国家媒体在其网站、 应用程序和 YouTube 平台的服务中投放广告及获得盈利 ，并将俄罗斯国家资助的 出版商从谷歌新闻中除名。 微软从其全球微软应用商店中删除了俄罗斯新闻应用 程序，计划降低 Bing上相同新闻媒体的搜索结果的优先级， 并将禁止俄罗斯国家赞助的广告。 苹果在俄罗斯 以外国家 /地区的 App Store 中删除了俄新 闻应用程序 ，包括“今日俄罗斯”及 Sputnik应用程序 。 这一系列限制措施导致 官方媒体被封难以发声，对俄罗 斯的不利舆论呈一边倒趋势 ，俄罗斯在全球舆论战场上已落 于下风。 3. 乌克兰、美国煽动黑客发起网络攻击 伴随着俄乌进入实质性军事冲突阶段，西方国家也针对 性的炒作俄罗斯使用各种黑客攻击等战术破坏乌克兰稳定。 同时乌克兰和美国政客开始煽动黑客对俄罗斯发起网络攻 击。 乌克兰总统泽连斯基、乌克兰国家安全局等在俄罗斯入 侵乌克兰后 呼吁国际黑客加入 IT军团，针对俄罗斯银行、企 业和政府机构发动网络攻击 ，以对抗俄罗斯在网络空间的 “数 字入侵 ”，并在 TG上成立军团频道 。 2月25日，美国前国务卿希拉里 ·克林顿接受美媒 MSNBC 采访时， 公然煽动美国黑客对俄罗斯发动网络攻击， 以此回应俄罗斯对乌克兰的 “入侵 ”。 在前面提到的 美、乌舆论主导权的 加持之下 ，这些煽动 行为效果显著，引起许多黑客自发 对俄进行网络攻击。 我们整理了俄乌舆论战时间线，详情请参阅附表 1。 （四）全球黑客选边站