烏克蘭重要軍事、政務和經濟部門計算機網絡遭到大規模DDoS攻擊,導致系統中斷近半天時間,對該國造成了較大的混亂和恐慌;
美英政府先后將此次網絡攻擊歸因至俄羅斯聯邦武裝部隊總參謀部情報總局(GRU);
盡管此次網絡攻擊造成的損失有限,但表現出來的潛在威脅卻足以讓全世界感到后怕,值得烏克蘭之外的關鍵基礎設施引以為鑒;
此外,烏克蘭地區日漸增多的網絡混亂和中斷除了會給本地區造成直接威脅,還可能會外溢,對歐美國家及貿易帶來嚴重影響。
2月15日,烏克蘭重要軍事、政務和經濟部門計算機網絡遭到大規模攻擊。盡管此次攻擊造成的損失有限,但卻引起世界范圍的廣泛關注。
發生了什么?
據悉,此次攻擊從2月15日下午開始,為分布式拒絕服務型(DDoS)攻擊,針對的目標是烏克蘭陸軍、國防部、外交部、文化部、國家儲蓄銀行(Oschadbank)以及國內最大商業銀行Privatbank(擁有近2000萬客戶)等。DDoS攻擊通過特殊手段對目標的服務器資源進行過度消耗,從而達到令其無法為用戶提供正常服務的目的。
國家儲蓄銀行和Privatbank在烏克蘭金融市場上具有“系統重要性”。烏克蘭戰略通信中心在社交媒體上說,兩家銀行的網站受到攻擊后一度中斷服務。很多客戶發現自己完全無法登錄銀行APP,另外有人抱怨他們的賬戶“無法顯示收支以及最近的轉賬情況”。更有用戶表示收到偽造的短信通知,稱ATM無法正常使用。
烏克蘭警方辟謠偽造短信通知
美國安全企業CrowdStrike負責情報的高級副總裁亞當?梅耶斯(Adam Meyers)通過電子郵件表示,這些攻擊包括“大量的流量,比常規觀察到的流量高出三個數量級,其中99%的流量由HTTPS請求組成?!?/p>
烏克蘭國家特別通信局在其發布的消息中稱,相關部門組建了一個專家工作組,“準備采取一切措施控制和阻止網絡攻擊?!?截至當地時間15日19時30分,受到攻擊的銀行已經恢復服務,陸軍和國防部網站也得到恢復。
烏克蘭媒體稱,此次網絡攻擊只針對目標網站和服務進行破壞和干擾,并未竊取資金,也沒有造成客戶轉賬信息、收支情況或個人信息等數據的泄露。研究者稱,此次網絡攻擊盡管造成的損失有限,但表現出來的潛在威脅卻足以讓全世界感到后怕,“值得烏克蘭之外的關鍵基礎設施引以為鑒。”
美英政府歸因至俄羅斯GRU
2月18日,美英兩國政府先后將針對烏克蘭的大規模DDoS攻擊歸因至俄羅斯聯邦武裝部隊總參謀部情報總局(GRU)。
美國副國家安全顧問安妮·紐伯格(Anne Neuberger)表示,“我們認為俄羅斯政府應對這次大規模網絡攻擊負責。美國掌握的技術信息已將其與俄羅斯情報機構GRU聯系起來,已知被視為GRU的基礎設施向烏克蘭的IP地址和域傳輸了大量通信。”
紐伯格還補充說,盡管這類事件“影響有限”,但它們可能是俄羅斯為其他更重要的行動做準備的一部分,為更具破壞性的襲擊“奠定基礎”,這些襲擊可能會伴隨著對烏克蘭領土的潛在入侵。
英國外交、聯邦和發展辦公室在一份聲明中也表示,“英國政府判斷,俄羅斯情報總局(GRU)參與了針對烏克蘭金融機構的分布式拒絕服務攻擊。”
該部門稱,“這次攻擊顯示了對烏克蘭主權的持續無視。這一活動是俄羅斯對烏克蘭的侵略行為的又一個例子?!?/p>
會不會是更大規模網絡攻擊的一部分?
英國網絡安全公司Digital Shadows首席信息安全官里克?霍蘭德(Rick Holland)評估時表示,“針對烏克蘭國防部和金融機構的DDoS攻擊更像是騷擾活動,有可能是更大規模攻擊的前奏,或試圖恐嚇和搞亂烏克蘭的更大規模網絡攻擊活動的組成部分?!?/p>
盡管目前這一問題的答案尚無法確認,但網絡安全研究人士已發出提醒,稱俄羅斯將對烏克蘭發起全面進攻的可能性無疑會引發巨大混亂。這種混亂同時也給身份各異的網絡攻擊者制造了掩護。所以當地緣政治局勢持續惡化時,非常有必要提防大范圍網絡攻擊事件的爆發。
媒體同時還注意到此次網絡入侵爆發的微妙時機——數小時前,烏克蘭安全局剛剛宣布本國正成為“大規模混合戰爭”的目標,其目的是“系統地引發恐慌、傳播虛假信息以及扭曲事件真相”。作為應對,烏克蘭有關部門已查封一個擁有超過18萬個社交媒體賬號、用來散布假新聞的僵局網絡,并阻止了120次針對政府部門的網絡攻擊。烏安全局因而隱諱地表示,很顯然是某個“侵略國”發動了這場針對烏克蘭的網上敵對活動。
盡管官方并未指名道姓,但這波網絡攻擊活動發生時俄羅斯正在烏克蘭東北部邊境地對其10萬部隊進行調動,所以很容易讓外界產生遐想。戴爾旗下網絡安全服務商SecureWorks公司情報主管邁克?米克利蘭(Mike McLellan)通過電子郵件表示,“俄羅斯有過針對烏克蘭政府和關鍵基礎設施實施網絡攻擊的歷史,目的是破壞烏克蘭人對國家的信心?!痹谏鲜霰尘跋?,“如果有人說(針對烏克蘭的)網絡攻擊是俄羅斯發起的,或有親俄背景的組織或個人發起的,我都不會有太多驚訝?!?/p>
最近兩個月內,有70個烏克蘭政府網站遭到網絡攻擊,多家政府部門、非盈利組織和IT組織遭受過“數據擦除者”(wiper)惡意軟件的攻擊,烏克蘭軍事目標也受到越來越多的網絡攻擊和網絡間諜活動的騷擾。上述攻擊都包含著帶著俄羅斯印記的高級持續威脅(APTs)。同樣可以引發聯想的是,2014年俄羅斯入侵克里米亞時,恰恰也爆發了針對克里米亞政府部門、警察部門以及貿易部門的病毒和間諜軟件攻擊。
也有人認為這次網絡攻擊背后的受益者可能不止一個。里克?霍蘭德說,“與俄羅斯發動上述網絡攻擊的說法相比,更有可能的是其他國家也想從戰爭的混亂與迷霧中撈一把,或者發動針對西方國家的網絡敵對活動。正如老話說的,‘永遠不要浪費好的危機?!贿^,這種‘假旗行動’(false-flag operation)可能造成意料之外的后果。這個潘多拉魔盒一旦打開就關不上了?!?/p>
網絡安全公司Vectra技術主管、副首席技術官蒂姆?韋德(Tim Wade)也表示應該謹言慎行,不能急于給網絡攻擊者的身份下定論?!盎靵y的局面中從來都不缺少躺贏者——從犯罪分子到某個國家,都有可能從中獲益。所以,事件調查不是拍電影,真正的動機很難被找到。”
烏克蘭的遭遇可能會蔓延到西方國家嗎?
有專家認為,烏克蘭地區日漸增多的網絡混亂和中斷除了會給本地區造成直接威脅,還可能會外溢,對美洲和歐洲國家及貿易帶去嚴重影響。
此前就曾有以烏克蘭為目標的網絡攻擊給與烏克蘭有商務往來甚至被動聯系的區域外企業造成過損害。最典型的是2017年NotPetya 惡意軟件對基輔某會計軟件提供商的入侵。該次入侵給集裝箱綜合物流供應商馬士基公司(Maersk)、知名試劑生產商和供應商默克公司(Merck)、物流行業巨頭聯邦快遞(FedEx)等跨國企業造成了數十億美元的損失。
Crowdstrike高管亞當?梅耶斯說,“盡管此時尚未有證據表明已有網絡攻擊瞄準了西方實體,但針對烏克蘭的擾亂性或毀滅性網絡攻擊很有可能給他們帶去附帶影響。在烏克蘭設有分支機構、與烏克蘭有業務往來或依靠烏克蘭供應鏈的西方公司都有可能受到影響。”
官方警告已經提醒美國政府部門和重要工業部門小心遭到與烏克蘭類似的網絡攻擊。美國國土安全部在1月的簡報中稱,“如果俄羅斯認為美國或北約在俄羅斯可能入侵烏克蘭的問題上反應過度,損害了俄羅斯的長期國家利益,俄羅斯人就可能籌劃發起針對美國本土的網絡攻擊?!?國土安全部和聯邦調查局近日還宣稱,美國國內執法系統和其他網絡目標正經受著越來越多來自俄羅斯的掃描。
如果出現上述局面,美國是否做好準備了呢?國土安全部官員表示,美國城市在面對“數據擦除者”等惡意軟件攻擊時會表現得異常脆弱,因為此類攻擊可能會污染城市供水或癱瘓供電網絡。更令人擔心的是,美國全國目前有60萬個網絡安全崗位處于空缺狀態。這意味著很多機構都缺乏足夠的人手對事件做出響應。
Vectra公司技術主管蒂姆?韋德說,“盡管我們很難確定可能發生的網絡攻擊是國家入侵行為的一部分、利用緊張局勢的網絡犯罪行為或者單純的巧合,但可以確定的是,應該提高對網絡彈性的重視,尤其是當這些網絡關聯著核心服務及關鍵基礎設施的時候?!?/p>