乌克兰国际黑客部队,志愿军还是罪犯?

近日,俄罗斯政府公布了一份包含17576个IP地址的列表(链接在文末),据称这些IP地址被用于针对俄罗斯组织及其网络发起分布式拒绝服务(DDoS)攻击。

该列表由俄罗斯联邦安全局(FSB)创建的国家计算机事件协调中心(NKTsKI)发布,同时还提供了防御指南和包含攻击者引用的网址信息的第二个列表。

俄罗斯政府机构在一份通知中说:“俄罗斯信息资源遭遇大规模计算机攻击,国家计算机事件协调中心(NCCC)建议采取措施应对信息安全威胁。”

虽然公布的IP地址列表没有提供有关攻击者身份的信息,但网址信息指向欧盟和美国组织,包括FBI和CIA的多个站点(尽管可以欺骗来源标头信息)。

列表中的一个地址指向Google Docs文档,其中包含有关如何在在Windows、macOS、iOS和Android设备上使用开源低轨道离子炮(LOIC)DDoS攻击工具,开展针对俄罗斯资源的联合DDOS攻击的说明。

俄罗斯国家计算机事件协调中心公布的DDoS防御建议包括:

  • 使用DDoS防护服务
  • 根据共享的引用信息限制网络流量
  • 禁用插件和网络统计脚本
  • 使用俄罗斯DNS服务器

乌克兰的“黑客志愿军”

虽然俄罗斯政府机构没有提供证据指明上述DDoS地址清单背后的攻击者,但显然与乌克兰新成立的“IT部队”发动的DDoS攻击存在直接关系。

乌克兰的所谓“IT部队”实质上是在乌克兰国防部招募的一个国际化黑客部队(社区),主要针对俄罗斯的目标实施网络攻击。乌克兰副总理米哈伊洛·费多罗夫上周六在Twitter上宣布了乌克兰IT部队计划。

根据本周一的最新统计,乌克兰IT部队在其公共Telegram频道上的订阅者已经超过29万人——其中相当一部分都是来自国外的“黑客志愿军”。

乌克兰IT部队使用Telegram频道协调工作,并分享俄罗斯攻击目标名单,该名单包括30多个俄罗斯目标,例如俄罗斯政府机构、IP地址、存储设备和邮件服务器,以及国有银行、支持俄罗斯关键基础设施的大公司,以及俄罗斯搜索引擎Yandex和电子邮件门户。

网络安全人士Partridge使用全球探针网络RIPE Atlas探测发现,随着目标列表的增长(截至发稿该列表的目标数量已经增长到197个),目标站点下线的百分比有所下降,但幅度不大。在他周日的第一个样本中,有56%的俄罗斯目标站点处于离线状态。

本周一,乌克兰IT部队让197个目标中的105个俄罗斯网站下线(全球范围监测,https站点),但在俄罗斯的可用性采样则显示只有79个目标站点下线。

总的来说乌克兰IT部队在电报群中公布的“战果”有很大水分,虽然IT部队在Twitter和Reddit上宣布一些网站下线,但俄罗斯方面则表示没有下线,这是因为很多站点的国际流量虽然堵塞,但是国内本地服务并没有瘫痪。

例如,克里姆林宫网站在Reddit和Twitter上被许多人宣布下线,但根据Partridge的扫描,虽然kremlin.ru的国际流量经常出现“下降”,但它在俄罗斯的可用性接近正常(80%+)。

Partridge表示,乌克兰IT部队正在不断提升实力。

该组织传统上一直瞄准“前门”——公司和政府机构的公共网络应用程序。然而,Partridge指出,随着目标站点的运营商部署反DDoS保护或增强其当前保护,DDoS针对每个站点的效力通常会随着时间的推移而降低。

上周四,乌克兰IT军队挑选出俄罗斯的SIP服务器,这些服务器提供基于互联网的语音通话服务。此类服务器更难保护,而且需要保持时刻在线以实现业务功能。

“黑客志愿军”或带来新的威胁

虽然很多安全业内人士认为此次乌克兰IT部队和俄罗斯网络部队的角力是网络战争的预演,但是更多安全专家认为乌克兰在全球疯狂扩招IT部队的做法存在极大风险。

Netenrich的首席威胁猎手约翰·班贝内克(John Bambenek)表示,在某个时刻,发动实际上并未与军事目标协调的网络攻击可能只不过是破坏行为。

鱼龙混杂的黑客战争还可能导致网络武器泄露、附带伤害和连锁反应。Nozomi Networks网络安全策略师Chris Grove表示:“毫无疑问,黑客战争可能会产生意想不到的后果。例如,网络武器可能会偏离目标,最终打击普通公民所依赖的服务。我们的供应链生态系统是如此交织在一起,以至于攻击一个环节可能会在其他地方产生意想不到的后果”。

Bugcrowd的创始人兼首席技术官Casey Ellis表示,虽然他可以理解乌克兰这样做的动机,但“这肯定会增加围绕这场冲突产生的网络战争迷雾。”对IT部队攻击的错误归因是另一个巨大的危险。

Coalfire副总裁John Dickson说:“要快速确定攻击的来源或攻击的幕后黑手是极为困难的。事情很快就会变得一团糟。结果俄罗斯人针对美国和西方的报复性网络攻击的风险变得更大。”

展望未来,Dickson说,“我担心乌克兰志愿者所做的事情更有可能扩大东欧以外的网络战争,而不是对俄罗斯人产生实际影响。”

此外,安全专家认为,乌克兰IT部队的行动也有可能干扰西方国家的情报收集。

最后,Ellis表示,参与这种类型的工作对个人来说也是极其危险的,因为对于那些试图加入乌克兰IT军队的人来说,首先要明确的一点是法律后果,因为无论你选择什么目标,采用何种攻击方式(拒绝服务攻击、破坏网络等),在大多数国家都是违法犯罪行为。

根据俄罗斯国家计算机事件协调中心公布的IP地址列表,许多针对俄罗斯的DDoS攻击来自住宅互联网用户的IP地址,如果这些攻击者所在国家追究法律责任(实施DDoS攻击在大多数国家都是违法行为),这些用户将会面临法律指控。

参考链接:

https://safe-surf.ru/upload/ALRT/proxies.txt

前一篇关于全国两会,你知道多少?一起了解→
后一篇周刊 | 网安大事回顾(2022.2.28—2022.3.6)