编者按
俄罗斯网络安全公司卡巴斯基近日发布题为《重新评估网络战:2022年的经验教训》的报告,全面回顾涉俄乌战争的网络空间活动,评析相关活动在当前冲突背景下的意义,认为此场冲突将对网络安全行业和整个格局产生持久影响。
针对“黑客攻击和数据泄漏”事件,报告评析认为:“黑客攻击和数据泄露”行动自冲突开始以来一直在增加,此类行动难度较大且对攻击者技能要求较高;“黑客攻击和数据泄露”行动对知名和腐败政客非常有效;信息战不限于冲突方,还针对所有旁观方,尤其是被认为过于支持或不够支持任何一方的实体;无论是“黑客攻击和数据泄露”行动还是DDoS攻击,网络攻击已兴起为国家间外交信号的非动态手段。
针对开源软件武器化问题,报告评析认为:随着冲突的持续,流行的开源软件包可以被开发人员或黑客用作抗议或攻击平台;此类攻击的影响可以进一步扩展到开源软件本身,传播到自动依赖木马化代码的其他软件包。
针对IT安全领域的全球碎片化,报告评析认为:地缘政治正在发挥重要作用,各国通过法律禁止彼此的产品、服务和公司,导致IT安全领域的全球碎片化;上述碎片化进而会导致威胁检测和网络威胁情报的质量下降;IT安全供应商终止对产品的支持或退出市场导致安全更新成为重大问题;使用本地产品取代全球知名厂商产品可能会为网络犯罪分子留下可乘之机。
针对俄乌冲突的网络战争,报告评析认为:俄乌冲突揭示了网络力量和动能力量间缺乏协调,并在许多方面将网络攻击降级为从属角色;网络攻击适用于秘密行动,否则动能物理破坏更容易、更便宜、更可靠;公开战争背景下网络攻击的重要性被外界大大高估。
奇安网情局编译有关情况,供读者参考。
(接上篇)
四、黑客攻击和数据泄漏
在试图劫持媒体注意力的更复杂的攻击中,“黑客攻击和数据泄露”行动自冲突开始以来一直在增加。此概念很简单:侵入一个组织并在线发布其内部数据,通常是通过一个专门的网站。这比简单的污损操作要困难得多,因为并非所有机器都包含值得发布的内部数据。因此,“黑客攻击和数据泄露”行动需要更精确的定位,而且在大多数情况下,还需要攻击者具备更多技能,因为他们寻找的信息往往深埋在受害者的网络中。
这种活动的一个例子是乌克兰士兵的“恶意收集个人信息”。西方实体也成为攻击目标,例如波兰政府或英国许多支持脱欧的著名人物。在后一种情况下,内部电子邮件被公开,导致调查记者进行审查。从理论上讲,这些数据泄漏可能会受到操纵。攻击者有足够的时间编辑任何已发布的文件,或者也可以注入完全伪造的文件。
重要的是要注意,攻击者绝对没有必要竭尽全力让数据泄漏造成破坏。数据的公开可访问本身就是发生严重安全事件的证据,合法的原始内容可能已经包含有罪的信息。
重要见解:
● 在我们对2023年APT的预测中,我们预计“黑客攻击和数据泄露”将在明年呈上升趋势,因为它们对媒体曝光率和腐败程度已经很高的实体(即政客)非常有效。
● 信息战不是冲突内部的,而是针对所有旁观者的。我们预计,绝大多数此类攻击不会针对交战方,而是针对被认为过于支持(或不够支持)任何一方的实体。
● 无论是“黑客攻击和数据泄露”行动还是DDoS攻击,网络攻击兴起为国家间外交信号的非动态手段。
五、有毒的开源代码库,将开源软件武器化
开源软件有很多好处。首先,它通常是免费使用的,这意味着企业和个人可以节省软件成本。然而,由于任何人都可以为代码做出贡献并进行改进,这也可能被滥用,进而打开安全陷阱。另一方面,由于可以公开检查代码是否存在任何潜在的安全漏洞,这也意味着只要进行足够的审查,就可以将使用开源软件的风险降低到适当的水平。
早在3月,流行的npm包“node-ipc”背后的开发者RIAEvangelist发布了该软件的修改版本,如果运行的系统具有俄罗斯或白俄罗斯IP地址,则该版本包含特殊功能。在这样的系统上,代码会用心形表情符号覆盖所有文件,另外部署源自同一开发人员创建的另一个模块的消息“WITH-LOVE-FROM-AMERICA.txt”。node-ipc包在全球超过800000名用户中非常受欢迎。与开源软件的情况一样,部署这些修改后的“node-ipc”版本的效果并不局限于直接用户;其他开源包放大了效果,例如自动包含最新node-ipc版本的“Vue.js”。
旨在在俄罗斯市场传播的软件包并不总是导致文件被破坏,其中一些包含隐藏功能,例如在软件网站的某个部分或支持该国的政治声明中添加乌克兰国旗。在某些情况下,软件包的功能会被删除并替换为政治通知。值得注意的是,并非所有软件包都隐藏了此功能,一些作者在软件包描述中宣布了该功能。
其中一个项目鼓励传播一个文件,该文件一旦打开,将开始通过JavaScript攻击所列服务器的各个页面,使网站过载
在GitHub上发现的其他代码库和软件模块包括:专门为DDoS攻击俄罗斯政府、银行和媒体网站创建的代码库和软件模块;专门用于收集有关俄罗斯基础设施和活动数据的网络扫描器;旨在进行大规模报告的Telegram频道机器人。
重要见解:
● 随着冲突的持续,流行的开源软件包可以被开发人员或黑客用作抗议或攻击平台
● 此类攻击的影响可以进一步扩展到开源软件本身,传播到自动依赖木马化代码的其他软件包
六、碎片化
在过去几年中,尤其是在2014年之后,这一过程开始扩展到IT安全领域,各国通过法律禁止彼此的产品、服务和公司。
自2022年2月乌克兰冲突爆发后,我们看到许多西方公司退出俄罗斯市场,让其用户在接收安全更新或支持方面处于困境。与此同时,一些西方国家已经推动禁止使用俄罗斯软件和服务的法律,因为这些软件和服务存在被用来发动攻击的潜在风险。
显然,不能完全排除政治压力将一些小市场主体的产品、技术和服务武器化的可能性。然而,对于全球市场领导者和受尊敬的供应商,我们认为这种可能性极小。
另一方面,寻找替代解决方案可能极其复杂。正如我们经常发现的那样,来自本地供应商的产品的安全开发文化通常明显不如全球领导者,它们可能存在“愚蠢”的安全错误和零日漏洞,使它们很容易成为网络犯罪分子和黑客活动分子的猎物。
如果冲突继续加剧,位于政治局势不需要解决上述问题的国家的组织,仍应考虑可能影响每个人的未来风险因素:
● 随着IT安全开发商失去一些市场,威胁检测的质量会下降,从而导致一些合格的IT安全专家的预期流失。对于所有承受政治压力的安全供应商来说,这是一个真正的风险因素。
● 位于新“铁幕”两侧甚至同一侧(由于当地市场竞争加剧)的IT安全开发人员和研究人员间的通信中断无疑会降低当前正在开发的安全解决方案的检测率。
● 网络威胁情报质量下降:政治压力以及利用政府的政治言论来赚取额外利润的企图导致毫无根据的出于政治动机的网络威胁归因、夸大的威胁、较低的声明有效性标准。
政府试图整合有关事件、威胁和漏洞的信息并限制对这些信息的访问会降低整体感知,因为信息有时可能会在没有充分理由的情况下保密。
重要见解:
● 地缘政治正在发挥重要作用,碎片化进程可能会扩大
● 当供应商终止对产品的支持或退出市场时,安全更新可能是首要问题
● 用本地产品取代老牌的全球领导者可能会为利用零日漏洞的网络犯罪分子敞开大门
七、发生过网络战争吗?
自冲突爆发以来,网络安全界一直在争论乌克兰发生的事情是否可以称为“网络战”。正如本报告通篇所记录的,一个不争的事实是,随着乌克兰冲突的开始,确实发生了重大的网络活动。这可能是我们需要的唯一标准。
另一方面,许多观察家曾设想,在发生冲突的情况下,毁灭性的先发制人式网络攻击将严重损害“特别行动”方。除了Viasat事件的显著例外,其实际影响仍然难以评估,这根本没有发生。相反,这场冲突揭示了网络力量和动能力量之间缺乏协调,并在许多方面将网络攻击降级为从属角色。在冲突的最初几周观察到的勒索软件攻击充其量只是分散注意力。后来,当冲突在今年11月升级并且乌克兰基础设施(尤其是能源网络)成为明确攻击目标时,很明显俄罗斯军方选择的工具是导弹,而不是恶意数据擦除软件。
如果你认同网络战的定义是通过网络手段支持的任何动能冲突,无论其战术或战略价值如何,那么2022年2月确实发生了网络战。否则,你可能更满意学者夏兰·马丁的“网络骚扰”。
重要见解:
● 网络攻击根本不切实际;只有当秘密行动很重要时,这种不切实际的做法才是合理的。如果不是这样,计算机的物理破坏似乎更容易、更便宜、更可靠。
● 除非非常重大的网络攻击未能引起公众的注意,否则在撰写本文时,我们的社区已经大大高估了公开战争背景下网络攻击的重要性。
八、结论
乌克兰的冲突将对网络安全行业和整个格局产生持久影响。无论“网络战”一词是否适用,不可否认的是,当涉及大国时,这场冲突将永远改变每个人对战时网络活动的预期。不幸的是,既定做法有可能成为事实上的规范。
战争爆发前,几个正在进行的多方进程(联合国的开放成员工作组和政府专家组)试图就网络空间中可接受和负责任的行为达成共识。鉴于我们目前正在经历极端的地缘政治紧张局势,这些已经很艰难的讨论能否在不久的将来取得成果值得怀疑。
与此同时,红十字国际委员会的“数字标志”项目是一项很有前途的举措:这是一项拟议的解决方案,可以清楚地识别用于医疗或人道目的的机器,希望攻击者不会损坏它们。就像现实生活中的红十字和红新月标志无法阻止子弹一样,“数字标志”无法在技术层面上阻止网络攻击——但它们至少会让所有人明白,医疗基础设施不是合法攻击目标。
冲突似乎越来越有可能拖延数年,而且死亡人数已经很高……我们希望每个人至少能就此达成一致。
相关阅读:俄罗斯安全公司卡巴斯基评析
网络国防知识库
产业发展前哨站
开源情报信息源
奇安网情局