我们专栏的读者中,可能有很多人没有经历过1999年美帝国主义悍然轰炸我南斯拉夫大使馆,致使记者邵云环,许杏虎和朱颖当场遇难的大事件;也没有经历过2001年4月1日美帝国主义侦察机闯入我国南海领空,导致我战机坠海,飞行员王伟失踪的大事件。因而恐怕也错过了世纪之交的中美“黑客大战”,不知道当年诸多爱国黑客是如何在赛博空间维护国威。在2022年,作为网络空间安全的研究者和关注者,我们的读者没有理由再错过俄乌战争背后的网络大战,那就请跟我们一起走进今天推荐的这篇论文–Getting Bored of Cyberwar: Exploring the Role of the Cybercrime Underground in the Russia-Ukraine Conflict,揭秘俄乌网络大战。
2022年2月24日,俄罗斯军队“挥军进入”乌克兰境内(“Russia invaded Ukraine on 24th February 2022”)开展“特别军事行动”。伴随着军事行动的开展,在网络空间上,不仅包括俄罗斯和乌克兰两国、还包括许多第三国的“白帽”、“灰帽”和“黑帽”黑客都纷纷加入了战局。本文作者(来自英格兰和苏格兰,文章政治立场仅代表作者自己观点)调查了从2月24日开始,在互联网这个看不见国界的空间中,到底发生了什么样的(可能被观测到的)“网络战争”。作者的结论表明,尽管很多人认为在2020年代,现代网络战肯定已经是大规模、有组织、有专业攻击者参与的酷炫行动了,但是至少在可观测的层面上,2022年的俄乌网络战和世纪之初的中美黑客大战相比并没有什么特别的进步,并没有涉及太多安全研究社区(包括安全研究专家和专业的漏洞挖掘/利用人员)的参与,而仅仅是由很多中级安全水平的“黑帽”黑客在开展杀伤力不大的攻击(当然,至于在公开场合看不到的地方,有没有那些最顶级的安全狙击手在活动,我们也不得而知)。
作者发现,2022年的所谓“Cyberwar”,攻击手段和2001年其实差别不大,援引当年的新闻报道:“在黑客交锋的战场。有两种方式,一种就是挂黑页,通过涂改对方网站的方式将准备好的照片标语取代原内容使用户无法正常浏览网页。而第二种则是分布式拒绝服务攻击,原理则是在同一时间用不同的IP向对方的服务器发生大量请求,使服务器超负荷运载,最终使服务器瘫痪崩溃。” 也就是论文中提到的 web defacement 和 DDoS attack 两种攻击。
本文的作者利用了多种研究手段,在网络上收集信息,最终(一定程度)还原了在俄乌war冲突中网络“战”的原貌。例如Figure 1中,作者展示了2月24日当天,万恶的美帝国主义在全球开展 web defacement 的比重一下子从44.63%下降到了24.94%,而来自俄罗斯的 web defacement 瞬间飙升至全球的15.36%,不得不让人佩服俄罗斯的网络安全实力(
作者研究表明,在2月24日这个重要时间节点之后,俄罗斯网络基础设施首先遭到了大量的攻击,随后乌克兰网络基础设施遭到还击。在 web defacement 方面,就在2月24日当天以及随后的两天,这种攻击方式就达到了顶峰(先是对俄罗斯,后对乌克兰),随后逐渐减少;而 DDoS attack 的攻击高峰在一个星期后才来到:同样是针对俄罗斯的攻击先达到顶峰,随后针对乌克兰的攻击也到达高点。可仅仅两周之后,这些攻击就都归于沉寂,回到了两国冲突之前的平均水平。
那到底作者是怎么去评估网络上的安全攻击呢?论文中介绍了四种方法,第一种是通过知名的 web defacement 数据库来收集信息,这些数据库包括ZONE-H, ZONE-XSEC, HAXOR-ID, DEFACER-PRO 和 DEFACER-ID(小编我也是孤陋寡闻第一次听说。。。);
第二种是利用了一个在线的蜜罐网络(honeypot network)来收集全球范围内发生的 DDoS attack,具体信息可参考论文1000 days of udp amplification ddos attacks (@ APWG Symposium on Electronic Crime Research, 2017, pp. 79–84);
第三种方法是关注了telegram上的一个频道,专门招募亲乌克兰的黑客来加入所谓的“IT Army of Ukraine”,并每天发布各种攻击目标(IP、URL等)让大家去攻击;
第四种方法则是采访了两支职业的 web defacement team,分别针对冲突双方。有意思的是这两支队伍(至少宣称)都不是本地人,一方(1877 TEAM)声称自己是Kurdish team(库尔德,这个队伍反俄),而另一方(TheMx0nday team)则是来自巴西,反乌~
和大量战争期间虚虚实实的宣传一样,我们总是会看到很多新闻声称某方在某些战场上取得了“重大胜利”,但是到底这些胜利有多重大?攻击目标的价值又如何?其实尽管IT Army of Ukraine发布了大量的攻击目标(下图所统计),但是真正影响到的可能不多吧(考虑到现代网络的防护能力,特别是针对DDoS attack的防护能力都和过去不可同日而语,而且还有国家级的网络防护设施做保障)。
作者最后采访了两支 web defacement team 的成员,他们都直言不讳说自己是雇佣军,开展攻击的很重要目的是为了赚钱(黑客也要养家糊口)。实际上,真正有能力开展深入安全攻击(例如Stuxnet攻击)的顶级安全人员不会也不屑于在这种所谓的Cyberwar上浪费时间,至于他们在做什么,小编猜想有可能是赶在地球环境恶化之前到处旅游,欣赏美丽风景?
Make Love, Not War — John Lennon
可视化数据:http://cyberstrikes.live/
论文PDF:https://arxiv.org/pdf/2208.10629.pdf
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2022-08-29
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论