追踪“战斗民族”俄罗斯网络威胁的起源和发展-华盟网

追踪“战斗民族”俄罗斯网络威胁的起源和发展

华盟学院山东省第二期线下学习计划

前情提要

网络空间,除了为民众的日常生活提供了便利之外,也是一个活跃的战场:网络罪犯、政府特工、甚至军事/情报人员都在积极的搜寻着国家、公司、甚至个人在网络空间中的脆弱点。在这中间,有一个最有才华的、最危险的群体,他们是来自俄罗斯的网络战士和犯罪分子。由于政治、经济等各方面的原因,这个国度的网络威胁已然成为一股强势的力量,是各国在网络空间战争中的标杆组织之一。

俄罗斯在使用信息作为一个政治和军事工具方面有着悠久的历史,一方面,政府利用信息支持国内的政治制度,同时也使用它们作为外交事务的杠杆和军事冲突的武器。这种模式没有随着苏联解体而消失,相反,几十年前的老方法已经以新的方式在数字化时代得以适用。

在过去几十年的时间里,俄罗斯黑客已经盗取了海量的有价值的数据、默默掌控者数以百万计的电脑控制权、谋取了至少数十亿美元的利益。最近一两年内,由于对乌克兰电力的攻击以及干涉美国、欧洲多国的选举,在全球范围内造成了巨大的轰动效应。不仅如此,由于俄罗斯黑客规模庞大,其攻击目标除了政府、企业之外,对有影响力的个人也会发起针对性的网络攻击。

他们是谁?为什么如此熟练?他们做了什么?目的又是什么?

上述问题,并非一言两语能够解释清楚,想要了解俄罗斯黑客,首先要从它的发展历史开始说起。

回到20世纪80年代

俄罗斯的网络威胁至少可以追溯到1986 的Cliff Stoll事件,当时Cliff Stoll是劳伦斯伯克利国家实验室的一个系统管理员,从一个75分钱的会计错误发现了实验室电脑被入侵的安全事件,为了取证,设立了一个蜜罐,最终跟踪到了试图窃取美国军事秘密的前苏联间谍Markus,这也是公认的第一起数字取证的案例。之后,Cliff Stoll写成了一本书《The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage》,详细的描述了该事件的调查细节。

在上世纪90年代末,最光辉的俄罗斯网络间谍组织当属“Moonlight Maze”(“月光迷宫”),这些具有高超技能的特工多年来屡次成功入侵美国军队和其他国家政府的电脑,他们可以算作是俄罗斯的第一代网络间谍,对其后俄罗斯网络间谍组织和活动都产生了重大影响。

同一时期,1995年,俄罗斯黑客Vladimir Levin实施了世界上第一起网上银行抢劫案,Vladimir Levin当时入侵了花旗银行的电脑系统,通过修改账户信息盗取了超过1000万美元的资金,被捕后被判处了3年徒刑。这一事件预示着俄罗斯黑客在网络犯罪方面的突出地位。在科索沃冲突期间,美国和俄罗斯黑客混战,相互篡改对方的网站,意味着在当时俄罗斯已经具有了破坏性的网络攻击能力,实际上也确实实施了大量的破坏性的网络攻击,但在当时,受互联网发展的限制,网络攻击所造成的影响的深度和广度,相对后来的蓬勃发展而言,都具有一定的局限性。

开展先进的攻击

近年来,俄罗斯的网络威胁成熟度不断提升,在APT档案中,有许多俄罗斯黑客发起的先进的、复杂的网络攻击的记录。广为人知的包括针对乌克兰地区电力公司的攻击。2015年乌克兰政府就曾公开谴责俄罗斯的袭击行为,称它们是“由组织严密、实力雄厚的攻击者施展的多阶段的攻击”。

攻击者熟练的运用各种技术,对攻击目标发起有针对性的攻击。通常,他们利用网络钓鱼邮件获取到系统的访问权限,之后在受感染的设备上安装“BlackEnergy”恶意软件以便于长期的远程控制。攻击者的手段多种多样,包括通过移动网络截获登录凭据、针对系统控制装置研发出了自定义的恶意软件、劫持监控系统和数据采集系统以便于控制变电站的断路器开关、使用“KillDisk”恶意软件删除受感染系统的主引导记录。

2016年,俄罗斯黑客对乌克兰地区的攻击升级,使用了更先进的工具攻破了乌克兰电网的一条主干线。与此同时,俄罗斯也被怀疑入侵了美国的能源公司,包括一些经营核电站的公司。

拔尖的网络教育

俄罗斯在网络空间中的实力如此强大,与该国对网络教育的重视和投入密切相关。他们对信息技术和计算机科学的重视程度甚至超过美国。

每年,俄罗斯学校在国际大学生编程大赛中都占据着不可忽视的位置。2016年的比赛中,圣彼得堡州立大学连续第五次获得第一名,其他四所俄罗斯学校也名列前12;2017年,圣彼得堡ITMO大学夺冠,还有另外两所俄罗斯学校也名列前12,而美国学校的最佳排名是第13名。

俄罗斯政府一直筹备在其军队内部建立一个网络分支,国防部长Sergei Shoigu注意到俄罗斯学生在比赛中的卓越表现,在一次大学管理者沟通交流的公开会议上表示:“我们必须加强与你们的合作,因为我们非常需要你们”。

谁是俄罗斯的网络战士?

俄罗斯雇佣网络战士适用于政府的军事和情报服务。战绩辉煌的俄罗斯网络间谍组织有APT28(又名Fancy Bear、Sofacy等)和APT29(又名Cozy Bear、 The Dukes等)被认为分别隶属于俄罗斯的军事情报机构GRU和国家安全组织FSB。

这两个黑客组织在过去的十几年中一直活跃着,统计记录显示有数百起网络攻击与他们有关联,包括干涉美国、欧洲等国家的总统选举。

俄罗斯政府不仅从高校招募网络战士,也从网络安全公司和网络犯罪部门招募合适的人员。据说只要网络罪犯避开俄罗斯的目标并利用他们的技能来帮助政府做事,俄罗斯当局就对他们的其犯罪行为“睁一只眼闭一只眼”。根据CrowdStrike公司联合创始人Dmitri Alperovitch的说法,一旦俄罗斯当局标识了一个才华横溢的网络犯罪,任何针对该人的悬而未决的刑事案件都会被删除,而这名黑客也隐匿于俄罗斯情报服务部门了。FBI悬赏 300万美元通缉的俄罗斯黑客EvgeniyMikhailovichBogachev(被认为在美国选举期间干扰过奥巴马团队),被怀疑背后受FSB的监督和支持。

非官方的渠道联盟

除了充分发挥内部机构的能力之外,俄罗斯政府还积极的接触黑客团体和俄罗斯媒体。FireEye的安全分析师Sarah Geary在一份报告中提到,这些黑客“渲染、传播有利于政府的宣传,利用媒体误导、影响公众对特定主题或人物的舆论,为俄罗斯情报机构(如GRU和FSB)提供网络攻击工具,替代俄罗斯政府入侵攻击目标的网络和数据库”

许多看似独立的“爱国黑客”其实都受俄罗斯政府控制。2007年因爱沙尼亚拆除苏联时期的红军铜像而引发的大规模DDoS攻击、2008年格鲁吉亚-俄格战争期间的各种网络攻击、2014年与乌克兰的冲突升级多次针对关键基础设施的攻击…这些事件中,都能看到“爱过黑客们”的身影,他们对敌方的关键系统实施网络攻击。

对此,俄罗斯政府的态度是容忍、甚至鼓励这些黑客的。有记录显示的多起针对爱沙尼亚的网络攻击都被追溯到俄罗斯境内,甚至亲克林姆林宫的青年运动运动组织纳什(Nashi)的政委Konstantin Goloskokov承认对爱沙尼亚网络攻击负责。2006年,Slavic Union黑客组织成功袭击以色列网站,时任俄罗斯国家杜马副主席的Nikolai Kuryanovich称:“一小股黑客的力量,强于当前几千人的武装部队”

虽然有一些“爱国黑客”可能确实独立于俄罗斯政府,但也有一些与当局似乎有很强的联系。Cyber Berkut,曾实施过针对乌克兰的网络攻击的黑客组织,据说受前俄罗斯政府的资助。APT28打着亲ISIS的幌子攻击了法国电视台TV5、劫持过美军中央司令部的推特帐户。

纷争不断,威胁不止

尽管俄罗斯是一个重大的网络威胁,但它不是网络空间战争中唯一的实力派。美国、中国、伊朗和朝鲜也是具有很强网络攻击能力的国家,而且随着互联网的不断渗入,会有更多的国家加入这个战场。

由于网络空间的开放性和特殊性(诸如DDoS攻击之类的网络攻击方式),网络攻击会越来越深入的影响到企业和个人。好消息是,网络安全行业的防御能力不断增强,较之以往在安全防护方面有更多成熟的解决方案;坏消息是,许多组织并没有实施业内的安全实践。此外,漏洞是常新的,攻击也是常新的,黑客不仅能够挖掘并利用设备、系统中的新漏洞,而且越来越善于利用网络空间中最薄弱的环节——人类。

www.idc126.com

如果不可避免的会有一场重大的灾难,源头会是俄罗斯?还是其他地方呢?

本文由 华盟网 作者:小龙 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论