俄烏黑客戰(zhàn)爭

去年4月12日，烏克蘭的黑客組織Kiber Sprotyv（網(wǎng)絡抵抗組織），為美國干成了一件小事。

他們獲取了俄羅斯間諜謝爾蓋·莫爾加喬夫的郵件，后者因黑客攻擊希拉里·克林頓2016 年競選活動，干涉美國內(nèi)政而被美國聯(lián)邦調(diào)查局 (FBI) 通緝。

莫爾加喬夫中校是俄羅斯軍事情報局 (GRU) 的一名官員，也是俄羅斯黑客組織APT28的管理者，APT28是俄羅斯最臭名昭著的黑客組織之一，被指控在全球范圍內(nèi)實施多項網(wǎng)絡犯罪。

烏克蘭黑客獲得了莫爾加喬夫的個人生活細節(jié)，居住地址、工作單位和地點。他們還獲得了莫爾加喬夫及其同伙的大量照片和個人文件掃描。

黑客侵入了莫爾加喬夫的匿名社交媒體帳戶，并發(fā)布了他的護照掃描件。黑客還獲得了他的Al?Express帳戶的訪問權(quán)限，并向他的地址訂購了各種商品——包括帶有FBI標志的紀念品以及用他的卡支付的大量成人玩具。

這只是烏克蘭黑客的小試牛刀，在2023年下半年，烏克蘭黑客愈加活躍，隸屬于烏克蘭安全局 (SBU) 的烏克蘭黑客對俄羅斯最大的私營供水公司 Rosvodokanal 發(fā)起網(wǎng)絡攻擊，令其運營受到影響。

然后，黑客又導致俄羅斯自動化企業(yè)管理系統(tǒng)1C-Rarus的運行癱瘓。烏克蘭志愿黑客通過不斷調(diào)整、協(xié)調(diào)一致的攻擊，智取了俄羅斯的網(wǎng)絡防御，給俄羅斯造成了幾百萬美元的損失。

12月，烏克蘭軍事情報局（HUR）據(jù)稱攻擊了俄羅斯的稅務系統(tǒng)，摧毀了整個數(shù)據(jù)庫及其備份副本。HUR 聲稱俄羅斯將無法完全恢復其稅收制度。

另一邊，俄羅斯的黑客也屢次三番入侵烏克蘭的網(wǎng)絡系統(tǒng)，烏克蘭最大電信運營商Kyivstar和主要銀行之一Monobank遭受黑客攻擊，導致技術(shù)故障，導致移動通信和互聯(lián)網(wǎng)接入無法使用。

過去，俄羅斯黑客臭名昭著，全世界各種招惹麻煩，如今在網(wǎng)絡戰(zhàn)場，烏克蘭的IT才俊們嶄露頭角，與老大哥打得不可開交。

01

丘吉爾“點燃歐洲”，烏克蘭要點燃網(wǎng)絡

2022年2月，隨著俄羅斯炸彈落在烏克蘭的土地，許多人面臨著艱難的選擇：留下來戰(zhàn)斗，還是逃離。其中包括居住在基輔的科技企業(yè)家特德（化名）。

最初，泰德帶著家人前往安全的利沃夫，他想?yún)⒓討?zhàn)斗。由于缺乏軍事技能，特德像許多其他具有技術(shù)背景的烏克蘭人一樣希望在其他戰(zhàn)線上做出貢獻。

他的妻子是一名公務員，與烏克蘭政府關(guān)系密切。特德通過與數(shù)字化轉(zhuǎn)型部的對話，突發(fā)奇想，他可以利用具有IT技術(shù)的人員在網(wǎng)絡戰(zhàn)場上保衛(wèi)國家。

隨后，一支代表烏克蘭作戰(zhàn)的志愿黑客大軍歷史性地形成——這是世界上第一個參與網(wǎng)絡戰(zhàn)的組織。

2022年2月，俄羅斯全面入侵烏克蘭兩天后，烏克蘭數(shù)字化轉(zhuǎn)型部長米哈伊洛·費多羅夫發(fā)出江湖召集令——所有愿意加入IT大軍黑客行列、幫助保衛(wèi)烏克蘭的志愿者梁山聚義，烏克蘭IT大軍應運而生。他宣稱，“我們將繼續(xù)在網(wǎng)絡戰(zhàn)線上作戰(zhàn)。”

在巔峰時期，IT志愿者大軍的Telegram頻道在2022年3月達到30萬會員。

費多羅夫的行動呼吁與二戰(zhàn)期間特別行動執(zhí)行局( SOE ) 的歷史呼吁異曲同工——溫斯頓·丘吉爾對SOE的著名指令是“點燃歐洲”，如今在數(shù)字領(lǐng)域，烏克蘭激發(fā)了相同的抵抗精神。

“我們想動員社會各階層來抵抗俄羅斯的戰(zhàn)爭，”特德談到戰(zhàn)爭初期時說道。烏克蘭官員和志愿者希望了解如何利用我們社會的高素質(zhì)人才，“牢記我們的軟件開發(fā)人員和IT部門的人員。”

特德介紹烏克蘭IT軍團的工作

早期，組織者專注于基礎知識，例如創(chuàng)建Telegram頻道并為組織網(wǎng)絡戰(zhàn)進行基礎工作。泰德回憶起早期充滿挑戰(zhàn)的日子，當時他感到孤立無援，必須滿負荷學習，與創(chuàng)建公司的挑戰(zhàn)相似但又不同。

沒有人清楚發(fā)生了什么事。特德說：“一開始，這很困難。我感到孤獨，因為一切都必須從頭開始。當你建立一家公司時，必須清楚地知道你要建立什么。”

對于特德來說，建立一支志愿黑客軍隊是艱巨的任務，過去從來沒有作業(yè)可抄。

Telegram頻道IT軍隊的主要志愿者，正在清除在聊天中發(fā)送垃圾郵件的不良行為，他們希望建立良好的溝通渠道，以保持人們的積極參與。“最初幾天，我無法入睡。我不得不坐在那里，不斷手動消除在聊天中發(fā)送垃圾郵件的人，這些人很可能來自俄羅斯。”

隨著倡議獲得關(guān)注，越來越多的人加入其中，包括數(shù)字化轉(zhuǎn)型部的相關(guān)人士和朋友的朋友。這種擴展允許建立輪班制，減輕單個成員的負擔并提高運營效率。

鼎盛時期，IT軍團的Telegram頻道擁有大約30萬訂閱者。然而，并非所有加入Telegram頻道的人都有興趣、經(jīng)驗和技能來長期貢獻。

特德表示，現(xiàn)在，無論何時，IT軍團都有大約3000到10000名活躍的志愿者參與。由約50人組成的核心執(zhí)行團隊負責管理。

盡管人員流動率很高，且大多數(shù)志愿者都是兼職貢獻，但組織仍要確保戰(zhàn)略上的一致性。特德澄清說，核心團隊開會只是為了推動戰(zhàn)略方向，不同的單元彼此獨立工作。

通常，個人只能投入兼職工作，很少有人全職參與這些活動。在這少數(shù)人中，特德本人是一名全職參與者，他深刻感受到IT軍團對組織者的要求非常高。

由于成千上萬的志愿者正在等待指示，IT軍團的協(xié)調(diào)員的指示需要足夠簡單和清晰，以便人們遵循。結(jié)果是：“DDoS攻擊簡單且最有效。我們把它變成了最常用的機制。”

分布式拒絕服務 ( DDoS ) 攻擊就是通過巨大的互聯(lián)網(wǎng)流量來淹沒目標網(wǎng)站。這些攻擊的目的是通過過多的請求淹沒網(wǎng)站，使系統(tǒng)超載，從而導致網(wǎng)站關(guān)閉，使網(wǎng)站癱瘓。

IT軍團的戰(zhàn)術(shù)發(fā)展迅速。最初，該組織公布了IP地址和端口的目標，但隨著俄羅斯網(wǎng)絡防御的調(diào)整，他們轉(zhuǎn)為更加秘密的行動。軍隊的重點主要是DDoS攻擊，這些攻擊簡單粗暴，但通常都很有效。

他們組織成不同的單位，每個單位都有特定的角色和職責：

雖然IT軍發(fā)動攻擊的具體數(shù)量尚不清楚，但估計截至2022年6月已進行了約2000次攻擊。例如，烏克蘭IT軍利用定向DDoS攻擊俄羅斯唯一的產(chǎn)品認證系統(tǒng)（Chestny Znak），造成廣泛的網(wǎng)絡攻擊。俄羅斯因襲擊事件被迫取消某些產(chǎn)品的標簽和驗證，導致俄羅斯企業(yè)蒙受經(jīng)濟損失。

“如果你是一名聰明的俄羅斯網(wǎng)絡安全工作者，你就會訂閱我們的頻道來關(guān)注我們的攻擊地點的通知，”特德說。

因此，一旦IT軍隊停止公開發(fā)布他們的攻擊，他們就開始看到Telegram頻道上的訂閱者數(shù)量下降。

“人們偶爾會向我們發(fā)送電子郵件，其中包含有關(guān)潛在目標和個人資料的信息。然而，我們利用這些貢獻的能力是有限的，”特德說。“這些新想法并不能很好地利用。”

IT軍團的偵察方法在戰(zhàn)爭過程中不斷演變。“最初，我們比較隨意，但現(xiàn)在變得更加復雜，”特德說。“我們現(xiàn)在正在積極尋找與我們軟件功能相關(guān)且兼容的漏洞。”

在去年12月針對俄羅斯的最新DDoS攻擊中，IT軍團摧毀了Bitrix24服務器，這是俄羅斯最受歡迎的CRM（客戶管理）系統(tǒng)之一。

IT軍團官方Telegram頻道12月20日發(fā)布聲明稱：“這可能意味著敵人的經(jīng)濟損失數(shù)千萬甚至數(shù)億美元，具體取決于我們能壓制他們多久。誰還有閑置設備？是時候啟動它們了。”

02

俄羅斯黑客：由政府資助的獨立組織

特德指出：“俄羅斯方面的網(wǎng)絡防御水平顯著提高。我們觀察到俄羅斯公司在加強防御方面投入了大量資金，這令識別漏洞變得更加困難。然而，考慮到國家的規(guī)模和公司的眾多，我們將繼續(xù)調(diào)整和完善我們的定位方法。仍然會發(fā)現(xiàn)漏洞。”

IT軍團尋找漏洞的工作量越來越大，特德說：“在過去幾個月里，我們的重點已經(jīng)轉(zhuǎn)向電信和互聯(lián)網(wǎng)提供商。這些目標不容易搞，通常都做好了充分的準備。盡管如此，我們的行動還是非常成功。”

最近，一波網(wǎng)絡攻擊目標是俄羅斯占領(lǐng)的烏克蘭最大的電信運營商和互聯(lián)網(wǎng)提供商，導致該地區(qū)暫時癱瘓，俄羅斯互聯(lián)網(wǎng)提供商承認他們遭受了“來自烏克蘭黑客組織的前所未有的 DDoS攻擊”。

特德補充道：“如果我們能夠進一步擴大偵察部門并增強我們的軟件服務，將能夠不斷改進我們的方法。”

IT軍團部署僵尸網(wǎng)絡（互連計算機網(wǎng)絡）來對俄羅斯基礎設施和網(wǎng)站發(fā)起網(wǎng)絡攻擊。關(guān)鍵是弄清楚如何進行攻擊，以便目標無法很好地過濾傳入流量。

我們的國家遭到入侵；每個烏克蘭人都明白，如果我們不抵抗，后果很嚴重。

IT 軍隊不斷改變地理位置并使用各種設備，對于網(wǎng)絡攻擊而言，流量來源多樣化，有助于提高攻擊成功率。

特的說：“我們觀察到俄羅斯試圖動員 IT 軍隊，但他們的努力未能產(chǎn)生重大影響。”

他認為，原因在于沒有合理的動機說服俄羅斯人。“俄羅斯人缺乏強有力的‘為什么’要這么干。我們的國家遭到入侵，每個烏克蘭人都明白，如果我們不抵抗，后果很嚴重。”

這種緊迫感和國家責任感在俄羅斯方面是不存在的，不過，俄羅斯在網(wǎng)絡領(lǐng)域還是有能力反擊的。

特德補充道：“俄羅斯確實有許多像Killnet這樣的黑客組織，其中許多可能是由政府資助的。”

俄羅斯沒有一支中央 IT 軍隊，而是擁有各種類型的黑客行動團體，這些團體受到經(jīng)濟激勵，并且在意識形態(tài)上與克里姆林宮的利益保持一致。

Killnet就是這樣的組織之一，它針對西方實體執(zhí)行了分布式拒絕服務 (DDoS) 和數(shù)據(jù)泄露攻擊。此前，他們的工作主要是提供“ DDoS”服務。

俄羅斯和烏克蘭差距很大，除了俄羅斯在戰(zhàn)略上有明確政府色彩，還在資金和支持方面有很大優(yōu)勢。烏克蘭網(wǎng)軍的特點是草根、無償?shù)呐Α?/p>

“在這里，人們自愿工作。我們沒有從任何地方獲得任何資金。”

“我們與政府的合作是非正式的，”特德解釋道。“每當政府需要我們的幫助時，他們會向我們提出需求，而我們也隨時準備參與其中。”

特德詳細闡述了他們的合作方式：“我們優(yōu)先考慮最有影響力的任務。為了實現(xiàn)最大的影響，必須有一個專注的使命。”

然而，當談到具體運作時，特德比較謹慎：“我無權(quán)透露任務的細節(jié)。不過，我可以確認，我們與軍方和情報部門合作執(zhí)行某些任務，以協(xié)助他們的行動。”

目前IT軍團仍然是獨立的，雖然合作很多，但政府更希望他們暫時保持獨立。

烏克蘭負責IT產(chǎn)業(yè)發(fā)展的數(shù)字化轉(zhuǎn)型部副部長Alex Borniakov，在一封電子郵件回復中指出，“IT 軍隊獨立于烏克蘭政府運作，特別是在決策和管理方面。我所代表的數(shù)字化轉(zhuǎn)型部僅向IT軍隊提供信息支持。我們不會影響運營決策或任命管理層。IT軍團是一個典型的志愿者組織，獨立運作，同時為我們國家做出了重大貢獻。”

03

戰(zhàn)爭是法外狂徒的時代

IT軍團在法律上非常模糊，而網(wǎng)絡戰(zhàn)的獨特性質(zhì)讓這種模糊性更加模糊。IT軍隊的創(chuàng)建引發(fā)了重要討論，網(wǎng)絡戰(zhàn)在現(xiàn)實軍事行動中能起到什么作用呢？

從歷史上看，網(wǎng)絡沖突經(jīng)常涉及匿名團體向政府宣戰(zhàn)。然而，樸茨茅斯大學網(wǎng)絡犯罪和網(wǎng)絡安全副教授Vasileios Karagiannipoulos表示，這是政府公開招募個人參與網(wǎng)絡戰(zhàn)的第一例。“這些新兵并不是軍隊的正式成員，他們的行為與義務警員的行為非常相似。”

根據(jù)現(xiàn)行國際法，IT軍隊的成員不符合傳統(tǒng)的戰(zhàn)斗人員定義。他們不是任何軍隊的官方部門，主要關(guān)注的是他們作為平民是否直接參與敵對行動。

烏克蘭和俄羅斯的網(wǎng)絡戰(zhàn)士都承諾遵守被稱為“網(wǎng)絡戰(zhàn)日內(nèi)瓦守則”的新交戰(zhàn)規(guī)則。

瓦西里奧斯表示，直接參與敵對行動，例如針對軍事目標的網(wǎng)絡攻擊，可能會導致平民被視為臨時戰(zhàn)斗人員。這種轉(zhuǎn)變有重大風險，他們作為平民會失去戰(zhàn)爭法保護，可能成為敵國眼中的合法目標。

為了應對這些風險，烏克蘭政府正在考慮立法將IT軍團納入其網(wǎng)絡后備部隊。

瓦西里奧斯表示，此舉將為他們提供作為戰(zhàn)斗人員的法律保護，使他們免于因戰(zhàn)爭期間的行為而受到起訴。

前黑帽黑客小布萊斯·凱斯（Bryce Case Jr.，又名YTCracker）表示，許多知名黑客都有興趣幫助烏克蘭的網(wǎng)絡戰(zhàn)。

然而，布萊斯提到，烏克蘭應該建立“某種形式的法國外籍軍團，這樣我們就可以在烏克蘭的旗幟下進行黑客攻擊，而不必擔心受到起訴。”

在回應對IT軍團可能存在的法律爭議時，特德指出，“我們無法理解布查人在被俄羅斯人屠殺時得到了什么樣的保護。”

IT 軍團確實相信，繼續(xù)起草有關(guān)其工作的立法對于讓該組織提供的數(shù)字抵抗形式得到更廣泛的接受非常重要。

烏克蘭 IT軍團和 Killnet 都承諾遵守被稱為“網(wǎng)絡戰(zhàn)爭日內(nèi)瓦守則”的新交戰(zhàn)規(guī)則。“

“我們最近引入了類似于紅十字會的網(wǎng)絡規(guī)則，但有一個問題，”特德說。“這些規(guī)則本質(zhì)上是根據(jù)常規(guī)戰(zhàn)爭規(guī)則改編的，在網(wǎng)絡戰(zhàn)方面并不全面。”

特德評論道：“這是一個戰(zhàn)爭時期，本質(zhì)上，這是一個亡命之徒的時期。在烏克蘭，這些襲擊仍然是違法的。然而，人們普遍認為我們正處于戰(zhàn)爭狀態(tài)，這是法外狂徒的時代。”

立法者尚未跟上IT軍團的工作步伐并更新過時的立法。盡管如此，特德表示IT軍團會盡可能遵守規(guī)則，即使以后的行為會產(chǎn)生后果，烏克蘭黑客也會在戰(zhàn)時盡可能地遵守指導方針。

然而，特德認為，遵守規(guī)則會讓烏克蘭處于不利地位。在戰(zhàn)場上，如果烏克蘭遵守法律規(guī)則和國際框架進行戰(zhàn)爭，它將獲得來自國外的額外政治支持，并獲得武器裝備，以平衡俄羅斯因作弊為的劣勢。

但是，網(wǎng)絡戰(zhàn)的情況不同。“在網(wǎng)絡空間，我們的敵人不會遵守規(guī)則，”特德說。如果烏克蘭確實遵守規(guī)則，他們不會獲得任何補償來抵消俄羅斯的優(yōu)勢。遵守規(guī)則，只會讓正義的一方吃虧弱。網(wǎng)絡戰(zhàn)爭中的好演員需要得到補償。

“如果俄羅斯人不尊重法治，我們該怎么辦？” 特德問道。

“當我們展望戰(zhàn)爭的未來時，越來越明顯的是，網(wǎng)絡能力不僅是補充，而且對于獲勝至關(guān)重要，”特德說。

戰(zhàn)爭也不再局限于戰(zhàn)場；它延伸到經(jīng)濟、物流和基礎設施領(lǐng)域。網(wǎng)絡戰(zhàn)提供了削弱對手的機會，開辟了戰(zhàn)爭的新戰(zhàn)線。

“我們的分析估計，網(wǎng)絡攻擊已經(jīng)給俄羅斯造成的經(jīng)濟損失約為10-20 億美元，”特德表示。

這意味著網(wǎng)絡戰(zhàn)可以作為經(jīng)濟制裁的一種形式，從戰(zhàn)略上削弱對手經(jīng)濟的工具：黑客行動部署得越快，對敵人戰(zhàn)斗能力的影響就越直接。

特德希望，世界各地的民主國家應該團結(jié)起來，匯集資源、知識和專業(yè)知識，以便民主國家能夠制定網(wǎng)絡戰(zhàn)的共同劇本，提升受到威脅的國家的集體動力和決心。

特德表示，隨著我們進一步進入數(shù)字化時代，普通個人在戰(zhàn)爭中的作用將快速增長。隨著經(jīng)濟和基本服務與數(shù)字世界的聯(lián)系越來越緊密，漏洞的數(shù)量只會不斷增加，讓我們找到新的攻擊點。

烏克蘭IT軍團的表現(xiàn)表明，網(wǎng)絡戰(zhàn)不僅僅是戰(zhàn)場的擴大，它改變了戰(zhàn)爭的本質(zhì)，任何個人都可以發(fā)揮作用。烏克蘭成功地展示了一支分散的、志愿黑客軍隊的有效性。

參考資料：

How Ukraine built a volunteer hacker army from scratch

Ukraine says it wiped out Russian tax data in cyber offensive

Ukrainian hackers target Russia’s water supply company

Ukrainian hackers get access to Russian top-ranking intel officer’s email

PS：各位老鐵，請猛烈轉(zhuǎn)發(fā)。

另外，非常重要！請各位加一下這個備用號，你懂的——