俄乌“网络战”对我国的影响趋势分析2022-03-15平行实验室俄乌网络战, 攻防对抗 阅读: 2,375 一、引言 2022年2月24日,俄罗斯总统普京正式签署同意俄军在乌克兰顿巴斯地区采取军事行动,俄乌战争爆发。截至2022年3月9日,俄乌战争局势依然呈现愈演愈烈的态势,双方军队正面冲突持续不断,与此同时,在网络空间中,包括俄罗斯、乌克兰以及美国为首的北约诸国也已经开始在进行大规模网络攻击行动。绿盟科技基于构建的云端运营平台,通过采集海量多源异构数据,结合威胁上下文感知计算框架和攻击组织知识图谱进行实时计算和语义关联,通过分析和统计,借以还原俄乌战争中网络空间中的冲突态势。通过汇总冲突期间我国主机受到攻击以及我国受控主机对外进行攻击的情况后,我们发现,俄乌冲突爆发之后,俄乌和包括美国在内的部分国家都明显提升了网络攻击的强度;并且利用我国主机作为跳板进行攻击的情况非常明显。 二、网络空间中的俄乌冲突态势 (一)俄乌的攻击态势 通过对比冲突爆发期间(2月24日-3月9日)和冲突前(2月10日-2月23日)俄罗斯和乌克兰发起的针对我国主机的攻击事件数量和参与攻击的活跃主机数目,均发现一定程度的增加。如下图所示: 从发起的攻击事件数目来看,如上图所示,冲突爆发之后,以位于俄罗斯的主机作为攻击源发起的攻击事件数目增加了34.5%,而位于乌克兰的主机作为攻击源发起的攻击事件数目则增加了52.8%。 从攻击的主机数目上来看,如上图所示,冲突爆发后,俄罗斯参与攻击的主机数目增加了19.8%,而乌克兰参与攻击的主机则相反减少了4.7%。 (二)俄乌的受攻击态势 通过对比冲突爆发期间(2月24日-3月9日)和冲突前(2月10日-2月23日)俄罗斯和乌克兰相关主机受到从我国被控主机发起的攻击的事件数量和受到主机数目,同样发现很大程度的剧增现象。分别从俄罗斯和乌克兰两国收到攻击的相关事件和主机数目统计数据如下: 俄罗斯方面,冲突爆发之后,俄罗斯相关的主机受到攻击的数量增加了30.2%;相关事件数量则增加了35.3%。 乌克兰方面,冲突爆发之后,乌克兰相关的主机受到攻击的数量增加了54.8%;相关事件数量则增加了62.8%。由于本次冲突战场都是位于乌克兰境内,统计乌克兰各州主机受到攻击的事件数目和主机数目TOP5如下: 如上图所示,从乌克兰各州主机收到攻击的事件数目和主机数目统计上来看,冲突爆发后,各州受到攻击的主机和相关事件均有较大幅度的提升,其中首都基辅及所在的基辅州受到的攻击最为剧烈。 小结: 俄乌冲突爆发之后,俄罗斯及乌克兰双方均提升了在网络空间的行动力度。俄罗斯方面,冲突爆发之后,其发起的攻击事件和参与攻击的主机均有较大幅度的提升,事件提升幅度超过30%;而相对的,其受到的攻击事件和主机数目也提升了30%左右;乌克兰方面,可能由于所有战场都位于国内,其网络基础设施必然遭到俄军一定程度的破坏,因此其参与攻击的主机数量出现小幅度减少(3%左右),但是发起的攻击事件却出现大幅增加(50%左右)。相对的,其受到的攻击事件和主机数目则提升了超过50%;此外,由于本次战争的战场集中于乌克兰境内,统计乌克兰各州受到攻击的主机及相关事件,发现受到攻击最为频繁的地区是首都所在的基辅州,其次几个高频受到攻击的地区都位于乌克兰东部和南部,这与俄乌正面战场的态势基本吻合,可见俄乌双方在正面战场发生冲突的同时,在网络空间当中也在进行平行的针对性攻击。 三、其他国家的网络空间活动变化情况 俄乌冲突爆发之后,除开俄乌双方针对彼此进行行动,包括美国在内的多个国家也在采取针对性的活动,通过统计冲突前和冲突期间其他国家(美国)关基攻击团伙及相关事件,以体现其在冲突期间的网络活动变化情况。 (一)美国发起的攻击事件 统计攻击主机位于美国的针对我国主机进行攻击的安全事件,发现冲突爆发前后源自美国发起的攻击事件出现大幅增加,参与攻击的主机也明显增多,如下表所示: (二)美国关基团伙发起的攻击事件 结合绿盟科技云端持续运营的攻击组织档案库,统计攻击主机位于美国,且攻击目标为我国关基单位的攻击团伙在俄乌冲突期间的攻击态势情况,攻击事件数目最多的5个团伙的相关数据如下表所示: 相关团伙的基本信息如下: BF-045 BF-286 BF-259 BF-030 BF-182 小结: 俄乌冲突爆发之后,美国虽没有直接参与正面战场的军事对抗,但是在对俄政策上采取了极限施压和制裁,从以上数据来看美国在网络空间的攻击活动呈现明显的增幅,从我们监控到的情况来看,发起事件数最多的5个关基团伙的相关攻击事件数目均提升了30%-50%,部分团伙甚至出现翻倍。 四、APT组织活动变化情况 绿盟科技基于云端攻击组织知识图谱和海量威胁告警,从全球APT攻击组织活动情况来看,俄乌冲突爆发之后,出现活动明显变化的APT组织有:ChamelGang APT(国家未知),Dropping Elephant(国家:印度),EvilTraffic(国家未知)和APT32(国家:越南)。以上这些APT组织在俄乌冲突爆发之后活动的频率均出现较大幅度的提升,如下图所示: 结论 俄乌战争爆发以来,俄罗斯和乌克兰在网络空间的冲突也呈现白热化趋势,双方无论从攻击还是受到攻击频率上均出现较大幅度的提升,并且主要冲突地区呈现和地面战场基本平行的情况。除开冲突双方,我们还看见以美国为主要代表的国家也在进行高频的网络攻击,美国针对我国进行攻击的关基团伙以及包括ChamelGang APT(国家未知),Dropping Elephant(国家:印度)在内的APT攻击组织在冲突期间的活动频率均出现了较大幅度的提升。以上数据及结论均以统计我国主机受到攻击,以及我国受控主机对外进行攻击的情况而得出,由此可见,某些国家存在大量利用我国主机作为跳板机进行网络攻击,以及趁机对我国主机进行主动攻击的情况。 版权声明 本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。 上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。