“俄乌网络战最新态势第二弹–运营商服务中断，供应链攻击持续强势”

阅读： 1,587

背景

俄乌冲突下，网络战越发激烈，乌克兰采取“攻心为上”的策略，不断利用舆论，以及西方对俄罗斯的制裁，呼吁各方力量对俄罗斯开展网络攻击，然而，俄罗斯真正的反击，再次让乌克兰陷入断电、互联网中断的局面。

绿盟威胁情报中心结合最新情报数据，进一步分析和梳理了俄乌“网络战”中的攻击手法以及面对黑客组织不断攻击下，俄方采取的一系列反击措施。

近期最新情报分析

俄罗斯最新动态

基于乌克兰呼吁下，大量黑客组织、民间力量、企业等对俄开展持续化网络攻击的现状，俄方将进行反击。

在战略上，俄方计划启动“大局域网”Runet来应对黑客对关键基础设施的攻击。Runet是俄罗斯出于国家网络防御目的而构建的一个脱离全球互联网的内部局域网。

早在2019年11月，俄罗斯颁布了《主权互联网法案》和“断网演习条例”，明确要求打造俄罗斯“主权互联网”，并设立年度“断网”演习机制，以保护俄互联网主权。并于12月，俄罗斯完成了防范“断网”风险的全国网络运行稳定保障演习。

据俄《消息报》3月1日报道称，西方国家对俄实施制裁、一些国家的黑客频繁发动网络攻击，阻止他们正常运行。未来几天，俄罗斯可能与全球互联网断开。

在策略上，俄罗斯拥有较为完善的防御和应急响应体系，在关键基础设施遭到攻击的情况下，俄方持续监测攻击态势，采取应急响应策略，以及精准对乌克兰关键基础设施系统进行了反击。3月4日，俄罗斯公布了一批关于黑客进行DDoS攻击的数据，其中包含涉及DDoS攻击的17567个IP和166个域名。绿盟威胁情报中心安全研究员，对这些公布的域名进行分析，黑客采用在线的DDoS即服务平台，对俄罗斯关键基础设施网站、政府机构网站、金融网站等进行攻击。网站将DDoS工具和服务融为一体，同时还在网页中加入了对支持方的宣传、一些有利言论，甚至虚假消息等来引导各类群体访问。当访问该类网站，或者点击网站中相关跳转页面链接时，将触发对俄罗斯相关网站的DDos攻击。

事实并非我们猜测的那样，这类网站背后不仅只有一个组织者。不同黑客组织所使用的DDoS即服务平台风格迥异。根据DDoS服务的自动化程度以及页面的优化程度，我们将这样的平台分为简洁版（需要点击跳转页面链接触发DDoS）、常规版（加入页面排版）、优化版（网站页面以假乱真）三类。风格迥异的网站背后，往往隐藏着黑客组织的重要线索。

此外，我们对公布的IP数据进行研判，结果显示，自2022年来，监测数据中攻击IP为拒绝服务类型的占比高达62.89%，漏洞利用达12.15%，僵尸网络达11.72%。

结合绿盟威胁情报分析数据结果和近期汇总的攻击事件来看，此次俄乌网络战，黑客采取的攻击方式主要为多种攻击方式的组合，例如利用“僵尸网络”传播“恶意的数据擦除器”、DDoS即服务+僵尸网络等。攻击组合拳下，2月24日前后乌克兰多次遭到互联网中断，2月24日当天，乌克兰第二大城市哈尔科夫发生互联网中断事件，互联网提供商Triolan被暂时关闭，与此同时，电信基础设施遭到破坏。

俄罗斯在公布被攻击数据的同时，还发布了一篇公告。公告内容是NCCCI针对俄罗斯遭受网络攻击应采取的应急策略。

俄罗斯建议并采取的主要防御策略包含：

a) 限制访问策略：利用防火墙规则最小化访问权限。

b) 应急响应策略：完善、记录和保存足够的日志。对重要数据进行备份。

c) 供应链安全策略：发生运营商服务中断，使用俄罗斯自己的DNS服务器。

d) 关基安全策略：修改初始或使用复杂的密码。

e) DDoS防护策略：限制包含相关字段（refererHTTP）的请求、禁止攻击IP的访问

f) 数据安全防护策略：及时更新病毒库，更新组件；使用安全可信的数字证书

g) 其他策略：禁止违规外连操作、对员工进行安全培训（主要为钓鱼、欺诈勒索、社工等）

关于俄罗斯黑客组织“kilnet”进行反击事件。俄罗斯黑客组织“kilnet”在社交媒体上发布视频，声称已搞垮了全球最大黑客组织“匿名者（Anonymous）”的网站，关闭了网站的访问权限。并指出不要被黑客摧毁俄罗斯银行、媒体服务器的虚假消息等信息影响。俄罗斯官方并未证实事件真实性。

结合绿盟威胁情报中心近日对“各方黑客组织”动向跟踪情况和网络监测结果来看，无论是匿名者，还是俄罗斯黑客组织kilnet，并没有确凿的证据能够证明双方言论的“真实性”。

黑客组织最新动态

在此次俄乌冲突中，国际黑客组织“匿名者”（Anonymous）引起了我们的重视。该组织于2月25日正式宣布对俄罗斯进行网络攻击，并称将负责俄罗斯石油巨头、俄罗斯天然气工业股份公司、国家控制的俄罗斯通讯社RT以及众多俄罗斯和白俄罗斯政府机构网站的攻击。

对此，我们再次梳理了该组织近期“匿名者（Anonymous）”对俄罗斯进行攻击的部分攻击事件信息。我们发现了大量关键基础设施遭到入侵。部分信息汇总如下：

时间	被攻击目标	攻击目的
2月25日	俄罗斯国防部网站被入侵	入侵网站、泄露其员工数据
2月27日	俄罗斯国家电视频道被黑	播放乌克兰战争实况
2月27日	俄罗斯军事通讯被截获	公布通讯频道、截获俄军事通讯（证实部分为虚假信息）
2月27日	俄罗斯军方广播电台UVB-76遭到攻击	射频干扰、广播乌克兰国歌等
2月27日	俄罗斯天然气供应fornovogas网站遭黑客入侵	关闭天然气供应
2月28日	俄罗斯外交部网站遭DDoS攻击	DDoS
2月28日	工业气体控制系统遭黑客入侵	控制系统权限，关闭系统
2月28日	俄罗斯belarus的银行网站： belinvestbank、priorbank.by、priorbank.by遭DDoS攻击	DDoS
2月28日	俄罗斯关键基础设施变电站（使用开源应用Rapid SCADA）遭黑客入侵	默认凭据，控制系统
3月1日	俄罗斯军事通讯被截获	截获军事通讯，控制系统
	白俄罗斯铁路基础设施系统遭黑客入侵	关停火车，阻止俄罗斯军事行动
	俄罗斯新闻网站遭DDoS攻击	DDoS
	俄罗斯航空公司系统遭黑客入侵	权限控制
	社交媒体网站遭DDoS攻击VK.com OK.Ru MoiMirmy.mail.ruRuTube.ru (Russia’s version of Youtube)	DDoS
	俄罗斯经济发展部数据库遭入侵	数据被泄露，网站于3月2日仍然处于关闭状态
3月2日	俄罗斯航天局遭黑客入侵	控制中心被关闭
3月2日	政府网站离线	DDoS
匿名者在宣布对俄发动攻击过去的72小时内关闭了俄罗斯和白俄罗斯政府、国家媒体、银行和公司1500多个网站
3月3日	俄罗斯工控系统清单被泄露，包含900多个关键基础设施资产	泄露暴露在公网的工控资产清单
3月3日	Rosatom国家原子能公司被黑客入侵	泄露并售卖敏感数据
3月4日	俄罗斯联邦储蓄银行、国防数据库数据遭泄露	泄露敏感数据库数据
3月5日	俄罗斯政府网站的数据库泄露。	泄漏包括子域和后端 IP

在梳理的过程中，我们结合绿盟威胁情报中心实时网络监测的数据结果进行对比，发现这些网络攻击事件，黑客是采用“供应链中断”的方式进行的。例如，隶属于“匿名者”组织的NB65（NetWork Battalion 65），发现相关关键基础设施网站使用了开源软件Rapid SCAD，他们利用该开源软件的默认登录凭据，成功登录网站获取了俄罗斯变电站控制图，最终黑客中断了该网站的服务。

这些黑客们将攻击目标瞄准了目前存在大量弱点的关键基础设施系统和工业控制系统。整理发现，黑客们基于俄罗斯关基设备和工控设备使用的开源软件漏洞和默认凭证，甚至是通过设备供应商或者用于托管服务的外包商，从根源上获取可用的登录凭证、服务权限以及地下论坛泄露的数据库数据等等利于攻击的各类情报展开攻击，攻击源复杂多变，最终造成了大量由“供应链中断”引发的服务中断、关闭的情况。

网络战与其他战争形态协同配合情况

混合战争中，社交媒体成为重要威胁情报的来源以及俄乌双方“攻心为上”的舆论战场。俄罗斯“媒体服务、供应链服务”遭到中断。在俄罗斯遭到各个社交平台服务限制后，乌克兰甚至要求将俄罗斯踢出互联网（该请求已被拒绝）。

此外，Oracle也宣布暂停俄罗斯所有业务。乌克兰副总理在Twitter上发布了Oracle官方对于暂停服务的相关信件副本。

网络战下的国家安全

网络战中没有旁观者。在俄乌冲突背后，涌入了众多鱼龙混杂的黑客力量，这些黑客力量在选边站队的“团结”乱象下，背后往往蕴藏着更多未知的威胁。2022年03月02日，黑客组织“匿名者”@AnonUkraineAnon在Twitter上发布“中国，下一个是你”，同时还披露说敏感文件中包含“长城软件”的源码文件（该账号在发布该信息后不久已被冻结）。

网络战中乱象丛生，社交媒体成为新型“网络战”的媒介。近日，绿盟天元实验室对此类事件进行了详细的分析，攻击者使用了DDoS即服务，利用构造好的攻击网站以及社交平台的快速传播能力，在网站页面宣传和传播“虚假消息”，并引导更多不明真相的攻击者加入战斗。社交平台的快速传播能力引发了各方力量的效仿，俄罗斯同样遭受到大规模DDoS攻击。

总结与思考

从源头解决安全隐患，“平时”和“战时”网空防御策略的养成十分重要。俄罗斯在网络战升级后启动“断网”防御策略，联合军事行动，对乌克兰进行精准打击，导致乌克兰多个城市被拿下，关键基础设备被攻击。站在攻击角度，攻击力量层次不齐、攻击源和攻击手法复杂多变，加大了黑客们攻击的隐蔽性；站在防守角度，往往是做到了看似“安全”的防御，却忽略了对“源”的保护，显得有的放矢，真正威胁到来的时候，溯源变得比攻击还要困难。在此次俄乌网络战中，俄罗斯也同样遭受了大规模网络攻击，但值得借鉴的是，俄罗斯能够做到“心中有数”，并有条不紊的进行反击，离不开日常对安全设施持续不断的监测和防御。

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司（“绿盟科技”）。作为分享技术资讯的平台，绿盟科技期待与广大用户互动交流，并欢迎在标明出处（绿盟科技-技术博客）及网址的情形下，全文转发。
上述情形之外的任何使用形式，均需提前向绿盟科技（010-68438880-5462）申请版权授权。如擅自使用，绿盟科技保留追责权利。同时，如因擅自使用博客内容引发法律纠纷，由使用者自行承担全部法律责任，与绿盟科技无关。

背景