乌克兰政府协同民间黑客全面升级与俄罗斯的网络战
自2023年11月23日,乌克兰政府首次官方承认对俄罗斯目标开展网络攻击以来,乌克兰军事情报机构、国家安全机构以及亲乌克兰黑客组织对俄罗斯开展了九次具有严重破坏性影响的网络攻击。主要情况如下:
一是官民协同,攻击主体众多。对俄罗斯开展网络攻击的主体涉及:乌克兰政府机构,包括乌克兰国防部情报总局(GUR)、乌克兰国家安全局(SBU);亲乌克兰黑客组织,包括“Blackjack”“IT军队”“BO Team”等。分析认为,攻击者既有乌克兰政府的网络专家,也有民间志愿者黑客;双方能够聚合各自的资源、力量和工具,并已在对俄罗斯开展网络攻击方面形成了相对成熟的合作机制。
二是精选目标,攻击范围广泛。俄罗斯遭攻击的主体涉及:俄罗斯政府机构,包括俄罗斯联邦航空运输局、俄罗斯联邦税务局、俄罗斯国防部;俄罗斯军工企业,包括俄罗斯国防工业服务公司IPL Consulting以及参与俄罗斯军队建设的某国有企业;俄罗斯关键民生服务提供商,包括俄罗斯电信公司M9 Telecom、俄罗斯网络提供商Qwerty、俄罗斯供水公司Rosvodokanal;俄罗斯国家研究机构,包括俄罗斯远东空间水文气象研究中心。分析认为,乌克兰政府和民间黑客在攻击前期开展了大量准备活动,并选择对俄罗斯高价值目标实施网络攻击,力图达成最大破坏影响效果。
三是手段多样,攻击破坏力强。乌克兰黑客攻击手段涉及:窃取数据,通过获取俄罗斯政府、军队及民间机构大量数据并开展分析来生成有价值情报;删除数据,通过不可逆地擦除数据对俄罗斯国计民生、国家经济和军事安全造成长期损失;中断服务,通过破坏通信、供水、数据传输等服务给俄罗斯社会正常运转、军事作战行动造成短期冲击。分析认为,乌克兰政府和民间黑客已具备较强的网络渗透攻击能力,能够对俄罗斯政府、军队以及关键基础设施部门等高价值、严防护目标开展针对性攻击,并为当前与俄罗斯的战争提供战术性支持。
奇安网情局编译有关情况,供读者参考。
第一攻:俄罗斯联邦航空运输局
乌克兰国防部情报总局(GUR)2023年11月23日年声称对俄罗斯联邦航空运输局(也称为 Rosaviatsia)开展了一次成功的网络行动。Rosaviatsia负责监督俄罗斯民航业并确保其安全。
GUR声称,该机构通过此次黑客攻击获取了“大量机密文件”,其中包括 Rosaviatsia一年半多来的每日报告清单。GUR未透露所谓的“网络空间复杂特别行动”的任何技术细节,也未透露具体时间。
GUR声称,对泄露文件的分析表明,俄罗斯民航部门“正处于崩溃的边缘”。为支持这一说法,GUR公布了几份据称被泄露的文件的屏幕截图,并列出了从这些文件中了解到的一些情况。
GUR表示,“对收到的文件中航空事故性质的分析表明,一些故障,特别是与发动机、起落架和机翼机械化相关的故障,具有系统性。这一趋势表明,俄罗斯民航领域正处于严重动荡区,极有可能陷入高峰。相应的现实是制裁的直接后果,其中对侵略国俄罗斯来说最痛苦的是:禁止向其供应飞机及其零部件;完全拒绝提供维护和服务;拒绝更新软件;在国外扣留俄罗斯飞机;限制获取空中航行气象信息。目前,莫斯科正将其人民置于致命危险中,并试图以各种方式掩盖无数的民航问题。”
此次攻击似乎是乌克兰政府首次宣布承担针对俄罗斯目标的网络行动的责任。自俄乌战争以来,亲乌克兰团体和黑客活动分子已对多起此类事件负责,其中包括对航空公司、银行和互联网提供商的攻击。
第二攻:俄罗斯联邦税务局
乌克兰国防部情报总局(GUR)2023年12月12声称,该机构使用恶意软件感染了俄罗斯联邦税务局(FNS)的数千台服务器,并破坏了数据库和备份。
GUR声称,“乌克兰国防部情报总局的网络部队在俄罗斯领土上进行了另一次成功的特别行动 - 这次他们攻击了侵略国的税收系统。在这次特别行动中,军事情报机构成功侵入了联邦税务局的一个受良好保护的关键中央服务器,并进一步侵入了俄罗斯各地和被占领克里米亚地区的 2300 多个地区服务器。由于网络攻击,所有服务器都收到了恶意软件。”
GUR还声称,由于此次网络攻击,多年来确保俄罗斯联邦广泛的税收系统正常运行的配置文件被完全消除,整个数据库及其备份被摧毁;FNS莫斯科中央办公室与其数千个地区分支机构之间的互联网连接也“瘫痪”;根据乌克兰情报,FNS“连续四天试图恢复其服务工作均未成功”,但它可能会“瘫痪”至少1个月,并且“永远不会从袭击中完全恢复”;整个俄罗斯规模的税务数据的互联网流量最终落入乌克兰军事情报部门手中;此次网络攻击“是对克里姆林宫政权的又一次严重打击,克里姆林宫政权暂时失去了对税收和费用的控制”。
第三攻:俄罗斯供水公司Rosvodokanal
乌克兰国际文传电讯社和《乌克兰真理报》2023年12月20日报道称,亲乌克兰黑客组织Blackjack对俄罗斯水务公司Rosvodokanal开展黑客攻击,并获取了1.5TB的数据。
此次行动由乌黑客组织Blackjack实施,其在乌克兰国家安全局(SBU)网络专家的支持下“摧毁”了Rosvodokanal的IT基础设施。攻击后,总部位于莫斯科的自来水公用事业和管理公司Rosvodokanal的运营已停止。有执法部门消息人士表示,乌克兰黑客加密了6000台计算机,删除了超过50TB的数据,其中包括内部文档管理、公司电子邮件、备份,甚至网络安全保护,另有1.5TB数据被查获,目前正由SBU专家进行分析。
据报道,这次行动是乌克兰和俄罗斯间网络战的一部分,旨在报复2023年12月12日对乌克兰最大移动电信服务提供商Kyivstar发起的破坏性网络攻击。Rosvodokanal为700万消费者供水,隶属于总部位于莫斯科的阿尔法集团,该集团是俄罗斯最大的私营企业集团之一。
第四攻:俄罗斯电信公司M9 Telecom
乌克兰执法机构消息人士2024年1月9日证实,亲乌克兰黑客Blackjack声称入侵了莫斯科一家互联网提供商M9 Telecom,以报复俄罗斯对乌最大电信公司Kyivstar的网络攻击。
该消息人士表示,对M9 Telecom的攻击是黑客与乌克兰国家安全局(SBU)合作开展的;他们攻击了M9 Telecom并摧毁了其服务器,攻击导致莫斯科约一半人口的互联网和电视服务中断,并影响了M9 Telecom的官方网站、邮件服务器、网络保护服务以及所有分支机构网站;作为对Kyivstar遇袭的报复,黑客称这次袭击只是“热身攻击”,未来将发动更大规模的攻击。
Blackjack也在其Telegram频道上表示将很快透露更多细节,并提供了疑似M9 Telecom被黑客入侵的系统屏幕截图,以及在暗网发布了黑客攻击期间获得的一些数据。互联网监控网站NetBlocks证实了该莫斯科互联网提供商遭遇暂时中断。乌克兰国家通讯社报道称,BlackJack声称已删除约20TB数据,并从该公司的邮件服务器和客户端数据库中窃取超过10GB数据。
第五攻:俄罗斯网络提供商Qwerty
乌克兰“IT军队”2024年1月16日其Telegram频道上发帖称,在对俄罗斯的最新攻击中,该组织摧毁了总部位于莫斯科的互联网提供商Qwerty。这是俄主要电信服务在不到1周内第2次受到攻击。
乌克兰“IT军队”表示,“在莫斯科,不仅很冷,而且没有互联网”;Qwerty是莫斯科最大的互联网提供商之一,在其攻击下已经3天无法恢复服务;Qwerty不仅被平民使用,“还供城市中的各种特殊机构使用”。该帖子称,Qwerty的母公司Rostelecom及其另一家子公司Central Telegraph未能阻止攻击,Central Telegraph宣布恢复电报服务,而非提供互联网;“当然,只是开玩笑,但这对于一个建立在穴居人原则基础上的国家来说,听起来像是一个不错的B计划”。
全球互联网监控网站NetBlocks证实,俄罗斯用户的Qwerty服务已关闭,最严重的连接中断发生在1月15日左右。据乌克兰《基辅邮报》1月16日报道,俄罗斯网络监控网站DownRadar称,过去24小时内,Qwerty在莫斯科发生了至少127起崩溃事件,随后俄罗斯用户提出了一系列投诉。
第六攻:俄罗斯军工企业
乌克兰国防部情报总局(GUR)2024年1月19日表示,与乌克兰国家安全局(SBU)有联系的乌克兰黑客组织Blackjack窃取了500多个俄罗斯军事基地的建设计划。
此次,该组织入侵了一家负责俄罗斯军队建设的俄罗斯国有企业的数据库,获取超过1.2TB机密数据,涉及俄境内和在乌占领区的500多个俄军事基地地图,其中包括俄陆军的军事总部、防空设施和武器库。
GUR表示,有关已完工、处于建设和重建阶段或计划建设的俄军事设施关键信息已移交给乌克兰安全和国防部队;作为Blackjack网络行动的一部分,所有被盗数据已从7个俄服务器中删除,并对该企业员工使用的150多台计算机进行了加密。GUR还表达对Blackjack的感谢,声称“他们再次巧妙地击败了俄罗斯,并显著增强了乌防御能力”。
乌克兰国家通讯社(Ukrinform)报道称,乌克兰执法部门的消息人士认为俄特种建筑工人没有了全套数据和信息备份副本后只能凭记忆建造新设施;另有消息人士表示这些攻击是更大规模攻击前的热身,旨在报复2023年底俄黑客攻击乌克兰通信巨头Kyivstar。
第七攻:俄罗斯远东空间水文气象
研究中心
乌克兰国防部情报总局(GUR)2024年1月24日在其Facebook账户上发文称,被称为“BO Team”的“志愿爱国者”黑客对俄罗斯远东空间水文气象研究中心Planeta发起网络攻击,摧毁了该中心的数据库和设备。
GUR表示,黑客据称摧毁了280台服务器和2PB数据,并使该中心丢失了价值至少1000万美元的数字阵列;该中心从事卫星数据的接收和处理,向50多个俄国家实体提供相关产品;被摧毁的包括气象和卫星数据,这些数据被俄国防部和紧急情况部、俄罗斯航天局和其他政府部门使用;攻击进一步摧毁了该中心每台价值35万美元的超级计算机连同软件,并使其无法恢复;黑客还禁用了中心大楼的空调和加湿系统以及应急电源调节;此次袭击还切断了俄罗斯在布尔什维克岛上执行“军事领域重要任务”的北极站的联系。
GUR认为,此次袭击后,俄联邦数十家从事“国防”工作并在支持俄占领军方面发挥关键作用的战略公司将在很长一段时间内得不到至关重要的信息和服务。据悉,该研究中心位于俄罗斯远东城市哈巴罗夫斯克,距离中俄边境约30公里;远东站由俄罗斯水文气象局运营,是该研究中心3个分支机构中最大的一个;据其网站称,该中心的主要活动包括“接收和处理来自俄罗斯和外国卫星的数据”。
第八攻:俄罗斯国防工业服务公司
IPL Consulting
乌克兰国防部情报总局(GUR)2024年1月27日表示,对为俄罗斯重工业和军工联合体提供服务的IPL Consulting公司发起了网络攻击。
GUR表示,IPL Consulting为参与汽车和航空零部件、重型工程和国防设计和生产的俄罗斯公司提供IT系统;GUR网络专家的行动摧毁了该公司的“整个IT基础设施”;在侵入IPL Consulting的内部网络后,乌克兰网络专家删除了超过60TB的数据,并摧毁了数十台服务器和数据库;俄罗斯丢失的数字数据阵列的成本正在计算中;在对俄罗斯持续制裁压力的背景下,给俄罗斯带来了令其痛苦的损害;还有数十家为国防工业工作的俄罗斯公司将遭受损失。
第九攻:俄罗斯国防部
乌克兰国防部情报总局(GUR)2024年1月30日发表声明称,其网络专家发起的网络攻击成功“摧毁”俄国防部的关键通信服务器。
GUR表示,由于网络攻击,俄罗斯国防部用于特殊通信的服务器当日宕机;在“敌方网络空间”开展的行动是由GUR实施的;由于网络攻击,俄国防部各单位间使用莫斯科服务器的信息交换被终止;受攻击服务器上的软件已获得俄罗斯联邦安全局(FSB)批准,被认为符合国家信息安全标准,并且该软件安装在包括军事设施在内的俄公共部门的各种战略设施中。
有报道称,俄国家域名管理机构.ru/.рф域名协调中心承认俄域名“RU”内的网站经历了大范围的中断。另据报道,此次互联网中断并不局限于单个地区;俄几个主要城市出现严重中断,包括圣彼得堡、莫斯科、叶卡捷琳堡、加里宁格勒、鄂木斯克和喀山等;Yandex和VK等俄罗斯主要网站以及各种媒体也面临运营问题。
附1
乌克兰国防部情报总局(GUR)情况介绍
根据乌克兰国防部情报总局(GUR)官网,乌克兰情报机构承担以下任务:
- 根据乌克兰《情报法》收集、分析处理情报信息并向使用者提供;
- 采取措施促进乌克兰国家利益的实现,确保安全并参与法律规定领域的国家政策的制定和实施,加强国家国防能力、经济和科技发展;
- 识别和确定对乌克兰国家安全的外部威胁程度,包括网络空间、生命、公民健康和乌克兰境外政府财产的目标,针对此类威胁组织并采取特别(积极)措施,并打击对乌克兰国家安全构成外部威胁的其他活动;
- 参与打击恐怖主义、打击针对乌克兰的情报和颠覆活动、跨国有组织犯罪和其他对乌克兰国家安全构成外部威胁的犯罪活动;
- 与外国主管机构、国际组织开展合作;
- 行使法律规定的其他职能,以确保乌克兰的国家安全。
情报工作的主要任务包括:
- 及时向使用者提供情报信息;
- 促进乌克兰国家利益的实现;
- 在法律规定的范围内应对乌克兰国家安全面临的外部威胁。
乌克兰国防部情报总局(GUR)在国防、军事能力发展、军事和军事技术以及网络安全领域开展情报工作。GUR是军事情报系统内的主要指挥控制机构。在乌克兰“情报”法和乌克兰总统法令规定的权力范围内,GUR协调军事情报主体的活动,并在特殊时期涉及其他明确的主体——国防军的其他组成部分,以执行情报机构设定的任务。
附2
乌克兰国家安全局(SBU)情况介绍
根据乌克兰国家安全局(SBU)官网,SBU的优先事项包括:
- 反情报
- 保护民族国家地位
- 反恐
- 保护信息安全
- 保护国家秘密