揭秘俄乌冲突中的“暗战”
一
背景介绍
自俄罗斯与乌克兰爆发军事冲突以来,全球最大的黑客组织之一的“匿名者”(Anonymous)公开宣布对俄罗斯发动网络战争。据路透社报道,乌克兰国防部正在向地下黑客组织招募志愿者,以帮助乌克兰军方针对俄罗斯军队开展网络攻击行动。安恒信息安全运营能力中心已监测到多个国际黑客组织参与了此次行动,一场国际黑客组织针对俄乌双方的网络信息战已经打响,目前,俄罗斯及乌克兰政府机构等多个关键信息基础正在遭遇大规模网络攻击。
二
国际黑客组织明确“站队”
目前安恒信息安全运营能力中心通过监测发现超过50个国际黑客组织卷入了俄乌相关的网络冲突中,其中39个黑客组织支持乌克兰,并持续对俄罗斯发起网络攻击,仅13个黑客组织表示支持俄罗斯。此次攻击活动中,双方阵营的黑客组织使用的主要攻击方式为分布式拒绝服务攻击(DDoS)。下图为双方阵营黑客组织分布情况:
双方阵营黑客组织分布
相关黑客组织派系、擅长攻击手法及信息公布平台如下表:
Anonymous派系 | 支持国家 | 攻击手法 | 信息公布平台 |
Anonymous | 乌克兰 | DDoS/Hack | Twitter(推特) |
BlackHawks | 乌克兰 | DDoS/Hack | Twitter(推特) |
Anon Liberland & PWN-BAR | 乌克兰 | DDoS/Hack | 未知 |
LiteMods | 乌克兰 | Psyops | Twitter(推特) |
SHDWSec | 乌克兰 | Hackivism | Twitter(推特) |
RootUser | 乌克兰 | Radio | Twitter(推特) |
N3UR0515 | 乌克兰 | DDoS/Hack | Twitter(推特) |
PuckArks | 乌克兰 | Psyops | Twitter(推特) |
GrenXPaRTa_9haan | 乌克兰 | 数据泄露 | Twitter(推特) |
YourAnonNews | 乌克兰 | Psyops | Twitter(推特) |
AgainstTheWest(ATW)派系 | 支持国家 | 攻击手法 | 信息公布平台 |
AgainstTheWest | 乌克兰 | 数据泄露 | Twitter(推特) |
AgainstTheWest2 | 乌克兰 | 数据泄露 | Twitter(推特) |
Spot | 乌克兰 | 数据泄露 | Twitter(推特) |
Red Queen | 乌克兰 | 数据泄露 | Twitter(推特) |
Blue Hornet | 乌克兰 | 数据泄露 | Twitter(推特) |
单一国家 | 支持国家 | 攻击手法 | 信息公布平台 |
GhostWriter UNC1151 | 俄罗斯 | Hack | 未知 |
SandWorm | 俄罗斯 | Hack | 未知 |
Gamaredon | 俄罗斯 | Hack | 未知 |
IT Army of Ukraine | 乌克兰 | DDoS | Twitter(推特) |
IT Army of Ukraine Pysops | 乌克兰 | Psyops | Twitter(推特) |
Internet Forces of Ukraine | 乌克兰 | 舆论 | 未知 |
亲乌克兰团体 | 支持国家 | 攻击手法 | 信息公布平台 |
GhostSec | 乌克兰 | Hack | Telegram(电报) |
KelvinSecurity Hacking Team | 乌克兰 | Hack | Twitter(推特) |
RaidForums Admin | 乌克兰 | Sanction | 网站 |
GNG | 乌克兰 | DDoS | Twitter(推特) |
NB65 | 乌克兰 | Hack | Twitter(推特) |
RaidForums2 | 乌克兰 | DDoS | Twitter(推特) |
ContiLeaks | 乌克兰 | 数据泄露 | Twitter(推特) |
GhostClan | 乌克兰 | DDoS/Hack | Telegram(电报) |
1LevelCrew | 乌克兰 | DDoS | Twitter(推特) |
Hydra UG | 乌克兰 | Radio | Twitter(推特) |
SecJuice | 乌克兰 | OSINT/Psyop | Twitter(推特) |
v0g3lSev | 乌克兰 | Hack | Twitter(推特) |
NB65-Finland | 乌克兰 | DDoS | Twitter(推特) |
Monarch Turkish Hacktivists | 乌克兰 | Defacement | 未知 |
Shadow_Xor | 乌克兰 | 未知 | Twitter(推特) |
The connections | 乌克兰 | 未知 | Twitter(推特) |
TrickLeaks(new trickbots) | 乌克兰 | 数据泄露 | Twitter(推特) |
亲俄罗斯团体 | 支持国家 | 攻击手法 | 信息公布平台 |
RedBanditsRU | 俄罗斯 | Hack | Twitter(推特) |
Free Civilian | 俄罗斯 | 数据泄露 | 网站 |
CommingProject | 俄罗斯 | 数据泄露 | 网站 |
Stormous Ransomware | 俄罗斯 | 勒索 | Telegram(电报) |
Digital Cobra Gang | 俄罗斯 | Dox/DDoS | Twitter(推特) |
Xaknet | 俄罗斯 | Hack | 网站 |
Killnet | 俄罗斯 | Hack/DDoS | Telegram(电报) |
Hidden Cobra(Rumour) | 俄罗斯 | 未知 | 未知 |
RaHDit | 俄罗斯 | Hack | 未知 |
Devilix-EU | 俄罗斯 | 未知 | Twitter(推特) |
不明派系 | 支持国家 | 攻击手法 | 信息公布平台 |
NetSec | 未知 | 数据泄露 | Twitter(推特) |
Conti Ransomware gang | 未知 | 勒索 | 网站 |
ECO | 未知 | DDoS/Hack | Twitter(推特) |
新成立的 | 支持国家 | 攻击手法 | 信息公布平台 |
FreeUkraineNow | 乌克兰 | DDoS | Twitter(推特) |
Eye Of the Storn | 乌克兰 | Hack | Twitter(推特) |
IT_G33Ks | 乌克兰 | DDoS/Hack | Twitter(推特) |
0xGUndala | 乌克兰 | DDoS/Hack | Twitter(推特) |
在俄乌双方爆发军事冲突以来,匿名者(Annymous)组织持续针对俄罗斯多个网站发起分布式拒绝服务攻击(DDoS),目前该组织仍未停止相关网络攻击活动。
Attacking
匿名者(Anonymous)攻击活动时间线
2022/2/25
对俄罗斯天然气工业股份公司发起DDoS攻击
2022/2/27
对乌克兰商业银行发起DDos攻击
2022/2/28
对白俄罗斯共和国国防部军事信息门户、白俄罗斯共和国国防部军事信息门户和7个俄罗斯重要政府机构发起DDoS攻击,还入侵了俄罗斯核能研究所并窃取了大量数据
2022/3/1
对白俄罗斯Priorbank银行官方网站、白俄罗斯银行储蓄银行官方网站发起DDoS攻击
2022/3/2
对俄罗斯联邦驻丹麦王国大使馆领事处官方网站和4家俄罗斯媒体发起DDoS攻击,入侵并泄漏了俄罗斯经济发展部等政府单位数据
2022/3/3
对俄罗斯航空公司PegasusFly官网发起DDoS攻击,入侵国家原子能公司Rosatom并泄漏相关数据
2022/3/4
俄罗斯军工行业Rosoboronexport公司官方网站发起DDoS攻击
疑似该组织成员还在Telegram群组中发布针对网站DDoS的工具,并号召其他参与者加入到针对俄罗斯的网络攻击活动中。
疑似匿名者(Annymous)组织成员在Telegram群组中发布stopwarnow工具和相关指引:
匿名者发布SYN洪水攻击脚本
并且该组织在群组中发布如何判断被攻击目标存活情况的方法:
判断目标存活方法
同时该组织还提供了各类匿名代理:
代理相关信息
2月26日下午,乌克兰数字化转型部长米哈伊洛·费多罗夫发布招募信息,乌克兰方需要志愿“数字人才”来组建“IT 军队”,以便在网络前线对俄罗斯执行作战任务。在发布招募信息不久后,为组织 IT 军队而创建的 Telegram 频道发布了一份俄罗斯目标清单,包括俄罗斯政府机构、政府存储设备和邮件服务器、三家银行、支持关键基础设施的大公司等。
该组织在Telegram频道发布的一份俄罗斯目标清单
Attacking
IT ARMY of UKRAINE组织攻击活动时间线
2022/2/27
对俄罗斯和白俄罗斯的2个金融机构、9个媒体、和5个政府机关网站发起DDoS攻击,造成了白俄罗斯共和国国家安全委员会、白俄罗斯共和国国防部军事信息门户、白俄罗斯1国有电视频道等16家官方网站停止服务的结果。
2022/2/28
对俄罗斯2个金融机构莫斯科交易所及俄罗斯储蓄银行和1个政府机关俄罗斯联邦安全局的网站发起Ddos攻击,造成了停止服务的结果。
2022/3/1
对俄罗斯国内通讯社官方网站发起DDoS攻击
2022/3/2
对俄罗斯联邦总统和俄罗斯联邦安全局两家政府机关官方网站和俄罗斯储蓄银行的网站发起DDoS攻击
该组织的攻击活动导致多个俄罗斯网站出现中断,其中2022年3月2号IT ARMY of UKRAINE组织声明已通过DDoS攻击将俄罗斯联邦总统的官方网站停止服务。
该组织在Telegram 频道发布俄罗斯联邦总统的官方网站停止服务
三
关键基础设施成为主要攻击目标
据收集的资料显示多个乌方黑客组织对俄方发起了激烈的网络攻击,大致对100多个目标进行了网络打击,涉及政府、新闻媒体、互联网、金融、能源、交通运输等多个行业。此次网络冲突中相关黑客组织重点攻击目标行业分布如下:
涉俄乌冲突黑客组织攻击行业分布
以此次网络攻击活动中,较为活跃的两个组织(AgainstTheWest、Anonymous)为例:
AgainstTheWest组织在俄乌冲突爆发后公开支持乌克兰。根据收集的资料显示,该组织从2022年2月27日至今所展开攻击的目标大概为50个左右,共涉及15个行业,其中主要针对互联网、政府、交通运输、教育、新闻媒体、能源、工业等相关行业的目标。该组织主要对目标数据进行窃取并公开至社交平台。该组织攻击行业分布如下图所示:
ATW组织攻击行业分布
根据收集的资料显示,匿名者(Anonymous)组织从2022年2月25日至今所展开攻击的目标大概为30多个,共涉及10个行业,其中主要针对政府、新闻媒体、能源、工业、食品、金融等相关行业的目标,其中对政府相关网站的攻击占比高达38%,主要攻击手法为DDoS。该组织攻击行业分布如下图:
匿名者组织攻击行业分布
四
分布式拒绝服务攻击(DDoS)
安恒信息安全运营能力中心对近期俄乌双方网络攻击所用攻击手法进行分析,其中攻击方式以分布式拒绝服务攻击(DDoS)为主,其次为使用网络空间搜索引擎对可能存在漏洞的资产进行检索和进一步利用。以下为近期网络攻击中所使用的部分工具和代码。
4.1恶意Docker
匿名者组织发布恶意Docker的目的在于,让对计算机技术并不熟悉但试图加入网络攻击的普通用户通过简单几条命令发起DDoS攻击,黑客组织通过下发的脚本拉取Docker镜像从而发起DDoS攻击,脚本代码如下:
Docker镜像代码
从Docker Hub拉取存放在公网环境的恶意镜像nitupkcuf/ddos-ripper,当前镜像拉取次数已超过10万次。
恶意镜像详细信息
该Docker镜像内容为一款Github开源DDoS工具。
开源DDoS工具
4.2网页版恶意DDoS工具
在线网页如下图所示,想参与网络攻击的普通用户只需要点击launch按钮即可发起对攻击目标网站的访问,当大量用户点击launch按钮时,相当于对攻击目标网站发起DDoS攻击。
网页版恶意DDoS工具
4.3攻击指南
为了让无任何计算机相关专业能力的普通人加入网络冲突中,黑客组织提供了成熟的攻击脚本、工具以及使用说明。
攻击指南1:详细介绍如何通过网络空间搜索引擎搜索俄罗斯相关资产及利用工具发起攻击。
攻击指南1
攻击指南2:详细介绍如何使用VPN隐藏自己IP以及使用恶意DDoS Docker发起攻击。
攻击指南2
4.4匿名者工具
匿名者组织提供了自动化拒绝服务攻击脚本,该工具脚本主要功能为对指定目标网站发起大量访问,号召参与者共同使用该脚本以实现针对特定网站拒绝服务攻击的效果。
自动化拒绝服务攻击脚本代码
五
总结
随着俄乌军事冲突的升级,支持双方的国际黑客组织在网络空间也爆发了剧烈的冲突,多个国际黑客组织公开表明了自己在俄乌冲突中的立场,并针对对方政府、新闻媒体、关键基础设施等发动了大规模网络攻击。此次网络冲突也给我们带来了一些启示:
1、关键信息基础设施已成为网络战争中的首要目标,保护关键信息基础设施安全仍是是网络安全的关键;
2、网络战已经是现代化战争中的主要手段,在现代战争中,网络空间战能力已经越来越重要。虽然在网络战争中没有硝烟,但其杀伤力绝不会低于真刀真枪的现实战争;
3、攻击手段以实用化为主,往往是破坏力大,利用门槛低的攻击,即使对于计算机技术并不熟悉的普通用户也能在所谓指南的帮助下快速加入到网络战争的阵营中。
安恒应急响应中心
2022年3月