全球黑客卷入乌俄乱局！数字网络战的背后值得深思

　　这是数字时代首次爆发的，多个国家级黑客力量入局，且以国家为打击目标，破坏核心关键基础设施的全球级黑客网络战！
　　【导语】2月24日，乌克兰与俄罗斯之间爆发全面军事战争，而双方利益团体之间多频次的网络攻防战也随之浮出水面。当地时间25日，外媒报道全球最大黑客组织＂匿名者＂宣布对俄罗斯发起网络总攻，俄罗斯多个政府网站被黑下线，疑似俄国防部登陆凭证被泄露。与此同时，美国总统拜登、乌克兰国防部似乎也在酝酿着一个又一个绝杀计划……短短数日已催化出了一条全新的隐形战线。而这个战线中所呈现出国家级黑客力量入局、关键基础设施为饵、多域作战、深度军民融合等特点，恰恰与360集团创始人周鸿祎此前所言的网络战特征不谋而合。
　　1最新战况升级：全球黑客卷入乌俄混战！
　　这场战争注定举世瞩目。 明面上，俄罗斯与乌克兰深处漩涡中心，四处硝烟弥漫金鼓连天；而暗面里，世界各国纷纷上场，局势持续升温，交战方已远远不止俄罗斯与乌克兰…… 2022年1月14日
　　70 多个乌克兰政府网站遭到APT组织攻击，乌克兰外交部、国防部、国家紧急事务局、内阁和外交部等多个网站被迫下线 2022年1月17日
　　乌克兰国家网络警察局发布安全通告，在1月14日晚受到攻击的政府网站95%已经恢复工作。但是比修改网站网页行为更为严重的破坏性攻击仍在进行，从当晚开始已经有一些乌克兰政府机构遭遇了更猛烈的DDOS攻击，同时出现了伪装成名为＂WhisperGate＂勒索软件进行数据擦除破坏的恶意样本攻击。
　　据官方描述，相关APT组织还正使用供应链攻击、OctoberCMS（一款乌克兰境内广泛使用的CMS程序）漏洞利用和Log4j漏洞进行的组合式网络攻击破坏活动。 2022年1月18日
　　美国CISA发布乌克兰勒索攻击事件相关安全通告，通告称乌克兰的组织机构遭受了一系列恶意网络事件，包括DDOS、网站被黑和潜在破坏性恶意软件。其中破坏性恶意软件最让人担忧，因过往历史上有疑似假冒勒索软件（例如 NotPetya和WannaCry）的破坏性攻击，对关键基础设施造成了广泛破坏。CISA要求美国的每个组织机构近期要采取紧急措施减缓潜在的破坏性攻击影响。 2022年2月23日
　　安全社区开始注意到乌克兰开始传播新的数据擦除恶意软件HermeticWiper； 2022年2月24日
　　乌克兰国防部委托其网络安全供应商Cyber Unit Technologies 的创始人 Yegor Aushev，在黑客社区内招募民间黑客组织，以帮助保护关键基础设施安全，并针对俄罗斯军队执行网络间谍任务。（据华盛顿.邮报报道，一名乌克兰网络安全官员曾透露该国甚至还没有专门的军事网络部队。） 2022年2月25日
　　据外媒报道，全球最大黑客组织＂匿名者＂宣布对俄罗斯发起网络总攻，俄多个政府网站被黑下线，总统普京的官方克里姆林宫、俄罗斯国防部、俄罗斯议会、国营媒体rt电视台等核心政府门户关闭。
　　随后匿名者黑客又公开了俄罗斯国防部官方网站的登录凭证，尽管相关安全专家质疑了数据的实效性，但也证实被公开的相关用户数据曾经的确属于国防部。
　　就在匿名者黑客组织宣布攻击俄罗斯的几乎同一时间，美国全国广播公司新闻频道（NBC）也爆料称，总统乔·拜登已收到一份可供美国针对俄罗斯实施大规模网络攻击的选项，其中包括： 中断俄罗斯的互联网连接、关闭电力、篡改铁路道岔以阻碍俄罗斯为其部队补给的能力。 同日，据外媒报道乌克兰官员称白俄罗斯黑客正在发送一波针对乌克兰士兵和平民的网络钓鱼电子邮件。 2022年2月27日
　　外媒报道，全球顶级勒索黑客组织Conti宣布全力支持俄罗斯政府，并表示：＂如果任何机构决定组织针对俄罗斯的网络攻击或任何战争活动，我们将利用所有可能的资源对可能伤害俄罗斯的关键基础设施的敌人进行反击。＂随后该团伙又声明称他们＂不与任何政府结盟，我们谴责正在进行的战争＂，但仍承诺：如果西方网络攻击针对俄罗斯关键基础设施，Conti 勒索软件将进行全面报复。综合来看，短短1个月之内，从乌克兰国防部召集民间黑客作战，到勒索组织声援俄罗斯政府、再到美国总统欲断网断电断补给，我们发现： 随着各方利益团体纷纷入局，这场原本属于两个执政党之间的战争，现在已渐渐衍生出了一条新的隐形战线——全球网络战。 而与以往不同的是，在新的时代环境下，这条隐形战线呈现出了全新的特征。 2乌俄网络战新型四大特征掀起数字战争新浪潮
　　身处新时代，当下这场肆虐全球的网络战不再是十年前依托u盘传播的震网病毒，也不再是小毛贼小打小闹式的局部破坏，它已经被数字化重新驯养，渐渐成为可以吞噬一切的庞然大物。正如360集团创始人周鸿祎所言： 1、网络战是现代战争的首选与前战。
　　成本低、效果大、难溯源的特点赋予了网络战极强的隐秘性与杀伤力。在现代战争开局之前，利用网络战破坏敌对国内关键信息系统窃取情报，甚至瘫痪交通、能源金融等关键基础设施，打击军事能力成为置顶选项。更重要的是，这是一个攻防资源极度不对称的战争模式。数字化时代，网络定义着一切，任何一个节点都可能成为攻击跳板，牵一发而动全身引发严重后果，为此必须要意识到网络战的严峻形势，正视网络战！ 2、网络战是超限战、融合战。
　　网络战线全面拉开，必将会让当前的局面再度升级。当前乌克兰军政安全、能源、金融等目标对象已遭受不少于3次大规模网络攻击，此举不仅可以影响当地政府、经济秩序、社会秩序的运行，同时其网络痕迹可对供战争发起方做出一定程度的侦查，甚至协同传统作战力量，对目标国重要基础设施实现精准打击。有关这一点，网络安全公司 Sophos 也表示，Conti 和 Anonymous 黑客组织的声明＂增加了所有人的风险， 任何一个方向的私刑攻击都会增加战争的迷雾，给每个人带来混乱和不确定性。＂ Emsisoft 威胁分析师布雷特卡洛称这种情况＂不可预测且不稳定＂。 3、网络战的主力是国家级黑客军团，军事级别的黑客攻击技术将有组织、有预谋、有计划地发挥巨大威力。
　　从主力来看 ，当前参与这场混战的黑客组织匿名者是美国政府政治利益的重大捍卫者，而欲掐断俄罗斯网络、电力、供给的美国总统拜登更是国家力量的最高统治者。 从技术来看 ，在乱局中，各方利益团体的黑客组织以分布式拒绝服务(DDoS)攻击、钓鱼欺诈、漏洞利用、供应链攻击、伪装成勒索软件的恶意数据擦除攻击等多种＂网络武力＂，向敌对国政府、军工、铁路电力、国防等部门发起破坏袭击。新时代下，得数据者得天下，这是数字化赋予政府统治者独特的权利，他们拥有更多的数据、更强的技术，更快的反应，从全局部署战场。 4、网络战中关键基础设施是主战场。
　　在这一战场中，上述各方黑客势力势要攻陷的目标，国防军事系统、铁路电力、互联网连接、政府网站，正是关系国计民生的关键基础设施，任何一个陷入瘫痪都将对本国造成＂核爆级＂的毁灭式打击！数字时代万物互联，当网络空间足以映射现实，关键信息基础设施中的每一个环节都是现实世界的中枢神经，任何一丝风吹草动，都将为物理世界、虚拟空间带来无法挽回的灾难。此次乌克兰遭网络攻击致＂断网＂背后，无疑不透露出新型网络战已经具备实体攻击能力。综上，以国家为打击目标、摧毁国防军工关键基础设施为目标的数字时代网络战已经到来！而数字时代全球互联，这场由局部冲突所演化而来的网络战，必将继续蔓延成为全球各个利益体系之间的持续较量，世界各国必将迎来更加严峻的网络战军备竞赛考验。 面对如此严峻局面，智库认为必须要与时俱进，用体系化建设的思想，将安全体系与数字体系融合、攻防能力与管控能力融合，构建真正有效的新一代网络安全防御工事。 在传统军事概念中，防御工事是为了减少伤亡，阻碍敌人进攻而在有利地形上构筑的筑城工事。防御工事主要包括射击工事、交通工事和掩蔽工事等。各单位机构安全处置建议：
　　一、人是安全重要尺度 （1）领导人的安全意识和决策时网络安全防御工事的重中之重，高层必须充分授权并分配资源，带领业务领导、安全团队、业务团队、基础it团队等一线关键人员，上下一心应对重大的破坏性攻击。（2）高层应确保在发生破坏性攻击时采取紧急措施来保护组织机构里最关键的资产，包括在必要时切断和舍弃部分受影响的业务。 高层要认识到安全是有限的资源，在不可避免的破坏攻击活动中应该将资源集中在那些支持关键业务功能的系统上。
　　二、降低破坏性网络入侵的可能性
　　（1） 对组织机构网络的所有远程访问和特权或管理访问需要多因素身份验证。
　　（2） 确保组织机构使用软件是最新版，及时更新修复被利用的漏洞。
　　（3） 确认组织机构的IT 人员已禁用所有非业务需要的端口和协议，锁定所有非商业用途的端口和协议。（4） 如果组织机构使用了云服务，确保IT人员已经审查并实施了有效控制措施，同时采用多项网络安全服务，包括漏洞扫描等，帮助减少攻击暴露面。
　　三、采取措施，迅速发现潜在的入侵行为
　　（1） 确保网络安全人员能快速识别和评估任何不安全的或异常网络行为，并启用日志记录调查问题或事件。
　　（2） 确认组织机构的整个网络有防病毒/反恶意软件的保护，并且及时更新这些工具的查杀规则。
　　（3） 如果与乌克兰组织合作，要格外注意监测、检查和隔离来自这些组织的流量，密切审查对这些流量的访问控制。
　　四、 确保企业或组织在被入侵事件时及时响应
　　（1） 建设应急响应部门，接收、复查、响应各类安全事件报告和活动,并进行相应的协调、研究、分析、统计和处理工作。
　　（2） 保障网络安全事件发生后,应急响应的关键人员及时到位、快速有效。（3） 日常进行网络安全攻防演习，确保所有安全人员了解他们在网络安全事件中的作用，最大限度地提高企业和组织对破坏性网络事件的抵御能力。
　　（4） 测试备份程序，确保组织机构受到勒索软件或其他网络攻击时，能够迅速恢复关键数据。
　　（5） 遭到勒索软件或其他网络攻击时，确保备份与网络隔离。
　　（6） 如果使用工业控制系统或操作技术，需要进行手动控制测试，确保一旦不能使用网络仍然可以正常运行。
　　参考链接:
　　《匿名黑客组织、勒索软件团体卷入俄罗斯-乌克兰》
　　本文来自国际安全智库