全球黑客捲入烏俄亂局！數字網路戰的背後值得深思

這是數字時代首次爆發的，多個國家級黑客力量入局，且以國家為打擊目標，破壞核心關鍵基礎設施的全球級黑客網路戰！

【導語】 2月 24日，烏克蘭與俄羅斯之間爆發全面軍事戰爭，而雙方利益團體之間多頻次的網路攻防戰也隨之浮出水面。當地時間 25日，外媒報導全球最大黑客組織 “匿名者 ”宣佈對俄羅斯發起網路總攻，俄羅斯多個政府網站被黑下線，疑似俄國防部登陸憑證被洩露。與此同時，美國總統拜登、烏克蘭國防部似乎也在醞釀著一個又一個絕殺計劃 ……短短數日已催化出了一條全新的隱形戰線。而這個戰線中所呈現出國家級黑客力量入局、關鍵基礎設施為餌、多域作戰、深度軍民融合等特點，恰恰與 360集團創始人周鴻禕此前所言的網路戰特徵不謀而合。 

最新戰況升級：全球黑客捲入烏俄混戰！

這場戰爭註定舉世矚目。

明面上，俄羅斯與烏克蘭深處漩渦中心，四處硝煙瀰漫金鼓連天；而暗面裡，世界各國紛紛上場，局勢持續升溫，交戰方已遠遠不止俄羅斯與烏克蘭 ……

2022年 1月 14日

70 多個烏克蘭政府網站遭到 APT組織攻擊，烏克蘭外交部、國防部、國家緊急事務局、內閣和外交部等多個網站被迫下線

2022年 1月 17日

烏克蘭國家網路警察局釋出安全通告，在 1月 14日晚受到攻擊的政府網站 95%已經恢復工作。但是比修改網站網頁行為更為嚴重的破壞性攻擊仍在進行，從當晚開始已經有一些烏克蘭政府機構遭遇了更猛烈的 DDOS攻擊，同時出現了偽裝成名為 “WhisperGate”勒索軟體進行資料擦除破壞的惡意樣本攻擊。據官方描述，相關 APT組織還正使用供應鏈攻擊、 OctoberCMS（一款烏克蘭境內廣泛使用的 CMS程式）漏洞利用和 Log4j漏洞進行的組合式網路攻擊破壞活動。

2022年 1月 18日

美國 CISA釋出烏克蘭勒索攻擊事件相關安全通告，通告稱烏克蘭的組織機構遭受了一系列惡意網路事件，包括 DDOS、網站被黑和潛在破壞性惡意軟體。其中破壞性惡意軟體最讓人擔憂，因過往歷史上有疑似假冒勒索軟體（例如  NotPetya和 WannaCry）的破壞性攻擊，對關鍵基礎設施造成了廣泛破壞。 CISA要求美國的每個組織機構近期要採取緊急措施減緩潛在的破壞性攻擊影響。

2022年 2月 23日

安全社群開始注意到烏克蘭開始傳播新的資料擦除惡意軟體 HermeticWiper；

2022年 2月 24日

烏克蘭國防部委託其網路安全供應商 Cyber Unit Technologies 的創始人  Yegor Aushev，在黑客社群內招募民間黑客組織，以幫助保護關鍵基礎設施安全，並針對俄羅斯軍隊執行網路間諜任務。（據華盛頓郵報報導，一名烏克蘭網路安全官員曾透露該國甚至還沒有專門的軍事網路部隊。）

2022年 2月 25日

據外媒報導，全球最大黑客組織 “匿名者 ”宣佈對俄羅斯發起網路總攻，俄多個政府網站被黑下線，總統普京的官方克里姆林宮、俄羅斯國防部、俄羅斯議會、國營媒體 rt電視臺等核心政府門戶關閉。

隨後匿名者黑客又公開了俄羅斯國防部官方網站的登入憑證，儘管相關安全專家質疑了資料的實效性，但也證實被公開的相關使用者資料曾經的確屬於國防部。

就在匿名者黑客組織宣佈攻擊俄羅斯的幾乎同一時間，美國全國廣播公司新聞頻道（ NBC）也爆料稱，總統喬 ·拜登已收到一份可供美國針對俄羅斯實施大規模網路攻擊的選項，其中包括：中斷俄羅斯的網際網路連線、關閉電力、篡改鐵路道岔以阻礙俄羅斯為其部隊補給的能力。

同日，據外媒報導烏克蘭官員稱白俄羅斯黑客正在傳送一波針對烏克蘭士兵和平民的網路釣魚電子郵件。

2022年 2月 27日

外媒報導，全球頂級勒索黑客組織 Conti宣佈全力支援俄羅斯政府，並表示： “如果任何機構決定組織針對俄羅斯的網路攻擊或任何戰爭活動，我們將利用所有可能的資源對可能傷害俄羅斯的關鍵基礎設施的敵人進行反擊。 ”

隨後該團伙又宣告稱他們 “不與任何政府結盟，我們譴責正在進行的戰爭 ”，但仍承諾：如果西方網路攻擊針對俄羅斯關鍵基礎設施， Conti 勒索軟體將進行全面報復。

綜合來看，短短 1個月之內，從烏克蘭國防部召集民間黑客作戰，到勒索組織聲援俄羅斯政府、再到美國總統欲斷網斷電斷補給，我們發現：

隨著各方利益團體紛紛入局，這場原本屬於兩個執政黨之間的戰爭，現在已漸漸衍生出了一條新的隱形戰線 ——全球網路戰。

而與以往不同的是，在新的時代環境下，這條隱形戰線呈現出了全新的特徵。

烏俄網路戰新型四大特徵，掀起數字戰爭新浪潮

身處新時代，當下這場肆虐全球的網路戰不再是十年前依託 u盤傳播的震網病毒，也不再是小毛賊小打小鬧式的區域性破壞，它已經被數字化重新馴養，漸漸成為可以吞噬一切的龐然大物。

正如 360集團創始人周鴻禕所言：

1、網路戰是現代戰爭的首選與前戰。

成本低、效果大、難溯源的特點賦予了網路戰極強的隱祕性與殺傷力。在現代戰爭開局之前，利用網路戰破壞敵對國內關鍵資訊系統竊取情報，甚至癱瘓交通、能源金融等關鍵基礎設施，打擊軍事能力成為置頂選項。更重要的是，這是一個攻防資源極度不對稱的戰爭模式。數字化時代，網路定義著一切，任何一個節點都可能成為攻擊跳板，牽一髮而動全身引發嚴重後果，為此必須要意識到網路戰的嚴峻形勢，正視網路戰！

2、網路戰是超限戰、融合戰。

網路戰線全面拉開，必將會讓當前的局面再度升級。當前烏克蘭軍政安全、能源、金融等目標物件已遭受不少於 3次大規模網路攻擊，此舉不僅可以影響當地政府、經濟秩序、社會秩序的執行，同時其網路痕跡可對供戰爭發起方做出一定程度的偵查，甚至協同傳統作戰力量，對目標國重要基礎設施實現精準打擊。

有關這一點，網路安全公司  Sophos 也表示， Conti 和  Anonymous 黑客組織的宣告 “增加了所有人的風險，  任何一個方向的私刑攻擊都會增加戰爭的迷霧，給每個人帶來混亂和不確定性。 ” Emsisoft 威脅分析師佈雷特卡洛稱這種情況 “不可預測且不穩定 ”。

3、網路戰的主力是國家級黑客軍團，軍事級別的黑客攻擊技術將有組織、有預謀、有計劃地發揮巨大威力。

從主力來看，當前參與這場混戰的黑客組織匿名者是美國政府政治利益的重大捍衛者，而欲掐斷俄羅斯網路、電力、供給的美國總統拜登更是國家力量的最高統治者。

從技術來看，在亂局中，各方利益團體的黑客組織以分散式拒絕服務 (DDoS)攻擊、釣魚欺詐、漏洞利用、供應鏈攻擊、偽裝成勒索軟體的惡意資料擦除攻擊等多種 “網路武力 ”，向敵對國政府、軍工、鐵路電力、國防等部門發起破壞襲擊。

新時代下，得資料者得天下，這是數字化賦予政府統治者獨特的權利，他們擁有更多的資料、更強的技術，更快的反應，從全域性部署戰場。

4、網路戰中關鍵基礎設施是主戰場。

在這一戰場中，上述各方黑客勢力勢要攻陷的目標，國防軍事系統、鐵路電力、網際網路連線、政府網站，正是關係國計民生的關鍵基礎設施，任何一個陷入癱瘓都將對本國造成 “核爆級 ”的毀滅式打擊！

數字時代萬物互聯，當網路空間足以對映現實，關鍵資訊基礎設施中的每一個環節都是現實世界的中樞神經，任何一絲風吹草動，都將為物理世界、虛擬空間帶來無法挽回的災難。此次烏克蘭遭網路攻擊致 “斷網 ”背後，無疑不透露出新型網路戰已經具備實體攻擊能力。

綜上，以國家為打擊目標、摧毀國防軍工關鍵基礎設施為目標的數字時代網路戰已經到來！

而數字時代全球互聯，這場由區域性衝突所演化而來的網路戰，必將繼續蔓延成為全球各個利益體系之間的持續較量，世界各國必將迎來更加嚴峻的網路戰軍備競賽考驗。

面對如此嚴峻局面，智庫認為必須要與時俱進，用體系化建設的思想，將安全體系與數字體系融合、攻防能力與管控能力融合，構建真正有效的新一代網路安全防禦工事。

在傳統軍事概念中，防禦工事是為了減少傷亡，阻礙敵人進攻而在有利地形上構築的築城工事。防禦工事主要包括射擊工事、交通工事和掩蔽工事等。

各單位機構安全處置建議：

一、人是安全重要尺度

（ 1）領導人的安全意識和決策時網路安全防禦工事的重中之重，高層必須充分授權並分配資源，帶領業務領導、安全團隊、業務團隊、基礎 it團隊等一線關鍵人員，上下一心應對重大的破壞性攻擊。

（ 2）高層應確保在發生破壞性攻擊時採取緊急措施來保護組織機構裡最關鍵的資產，包括在必要時切斷和捨棄部分受影響的業務。   高層要認識到安全是有限的資源，在不可避免的破壞攻擊活動中應該將資源集中在那些支援關鍵業務功能的系統上。

二、降低破壞性網路入侵的可能性

（ 1）  對組織機構網路的所有遠端訪問和特權或管理訪問需要多因素身份驗證。

（ 2）  確保組織機構使用軟體是最新版，及時更新修復被利用的漏洞。

（ 3）  確認組織機構的 IT 人員已禁用所有非業務需要的埠和協議，鎖定所有非商業用途的埠和協議。

（ 4）  如果組織機構使用了雲服務，確保 IT人員已經審查並實施了有效控制措施，同時採用多項網路安全服務，包括漏洞掃描等，幫助減少攻擊暴露面。

三、採取措施，迅速發現潛在的入侵行為

（ 1）  確保網路安全人員能快速識別和評估任何不安全的或異常網路行為，並啟用日誌記錄調查問題或事件。

（ 2）  確認組織機構的整個網路有防病毒 /反惡意軟體的保護，並且及時更新這些工具的查殺規則。

（ 3）  如果與烏克蘭組織合作，要格外注意監測、檢查和隔離來自這些組織的流量，密切審查對這些流量的訪問控制。

四、  確保企業或組織在被入侵事件時及時響應

（ 1）  建設應急響應部門，接收、複查、響應各類安全事件報告和活動 ,並進行相應的協調、研究、分析、統計和處理工作。

（ 2）  保障網路安全事件發生後 ,應急響應的關鍵人員及時到位、快速有效。

（ 3）  日常進行網路安全攻防演習，確保所有安全人員瞭解他們在網路安全事件中的作用，最大限度地提高企業和組織對破壞性網路事件的抵禦能力。

（ 4）  測試備份程式，確保組織機構受到勒索軟體或其他網路攻擊時，能夠迅速恢復關鍵資料。

（ 5）  遭到勒索軟體或其他網路攻擊時，確保備份與網路隔離。

（ 6）  如果使用工業控制系統或操作技術，需要進行手動控制測試，確保一旦不能使用網路仍然可以正常執行。