网络战：国家之间的控制论战争-著名案例

第三个千年的战争也在赛博空间进行，赛博空间已成为第五个战争空间。越来越多的国家使用控制论武器打击其他国家的战略系统和基础设施。

1.网络战：战争在第五战空间进行

俄罗斯对乌克兰的攻击使网络战，即国家之间的控制论战争，引起了世界的关注。

实际上，这些攻击已经记录了多年，在某些情况下我们只是不知道它们，因为——正如我们将看到的——网络战的特权之一是使得将攻击归因于给定的黑客或攻击者变得复杂。黑客组织，因为攻击者很容易隐藏他的踪迹。

这场被称为“网络战”的战争是以一种不公开的、隐蔽的方式进行的，不是在传统的战争空间（陆地、海洋、天空），而是在“网络空间”。通过世界上许多主要国家在传统军队之上建立的专门小组，与之抗争的是国家本身。

2.网络战的主要目的是什么？

在讲述一些著名的网络战案例之前，了解什么是网络战以及使这些类型的攻击变得方便的原因是很重要的。

以下是意大利信息与共和国安全系统 ( SISR )的“情报词汇表”报告的网络战定义：

“在网络空间内和通过网络空间进行的一系列军事行动，目的是对敌人（无论是国家还是其他国家）造成损害，其中包括——除其他外——阻止敌人有效利用 IT 系统、武器和工具以及它们控制的基础设施和流程。其含义还包括国防活动和旨在让国家获得和使用网络空间的活动”。

在这方面，我们还建议查阅北约合作网络防御卓越中心 (CCDCOE) 的TALLIN 手册（2021 年更新至 3.0 版）。

最初的《塔林手册》（剑桥大学出版社于 2013 年首次出版）讨论了现有国际法原则在和平时期和战争时期对网络空间的适用性。

它是关于国际法在网络环境中的解释和适用性。

它讨论了管理国家之间网络事故但低于触发使用武力或武装冲突的门槛的国际法规则。

网络武器越来越多地使用，因为它们运行良好并且对使用它们的人来说很方便。

而且，与类比的对应物不同，这意味着传统战争的形式：

»他们不会将自己的部队置于危险之中；

»它们造成的附带损害较小；

»它们可以以隐藏的方式部署，甚至可以隐藏攻击技术：这样很难确定攻击的责任；

» 它们更便宜。

我们现在将看到一些我们知道的网络战攻击（由于我们刚刚概述的原因，情况并非总是如此）。

3. Stuxnet 攻击：最著名的案例

Stuxnet 代表了网络战的一个转折点。

它可以追溯到 2010 年，但今天仍然被认为是一个教科书的例子，无论是因为它的执行方式，还是它在全球层面的网络战中引发的影响。

Stuxnet 可以被视为“历史上的悖论”，因为正如我们将看到的那样，它的目标是对比核武器的扩散，但实际上最终为更难以控制的扩散打开了大门：网络武器技术的扩散。

2010 年 1 月，在伊朗纳坦兹核电站中，用于浓缩铀 235 的离心机发疯并失控：从每分钟 1,064 发转至每分钟 1,410 发并爆炸。这使 5000 台离心机中的至少 1000 台停止使用，并使伊朗核计划推迟了几年。

3.1发生了什么？

让我们回到2006年，当时伊朗的核计划已经让美国和以色列感到担忧。布什总统下令准备对伊塔尼亚工厂进行网络攻击，以在不引发常规战争的情况下破坏其原子计划。这项代号为“奥林匹克运动会”的行动后来在巴拉克·奥巴马（Barack Obama）总统的领导下继续并结束。

这次袭击是由国家安全局 (NSA) 的美国专家与以色列 IT 技术人员、以色列国防军传奇的 8200 部队合作完成的。

创建了一种名为 Stuxnet 的致命恶意软件，它能够对控制铀浓缩离心机功能的 PLC Siemens Simatic S7-300 采取行动。纳坦兹工厂的离心机属于 P-1 型，是基于伊朗政府从巴基斯坦购买的旧项目。

这些离心机以气体形式处理六氟化铀，将铀 235（可以进行核裂变的一种，因此可用于制造原子弹）与同位素 U-238（在自然界中分布广泛，但用处不大）分离。铀浓缩过程的目的是提高 U-235 的浓度：低浓缩（20%）允许铀在核反应堆中用作燃料，而为了生产原子弹，它需要达到 U- 235浓度至少85%。

根据卡巴斯基的说法，Stuxnet 软件的第一个版本是在 2009 年 6 月创建的，但没有产生预期的结果。最后一次攻击是由 Stuxnet 2.0 版在 2010 年头几个月实施的。

图 1 – 伊朗总统内贾德在纳坦兹观察铀浓缩厂内的离心机

3.2   Stuxnet 是如何进入纳坦兹工厂的？

当然，伊朗人并没有天真到将他们的工厂详细信息放到网上。

该工厂实际上是“气隙”，意思是与互联网网络隔离。

因此，攻击者的问题在于能够在 Natanz 中注入恶意软件。

到目前为止，几乎可以肯定，Stuxnet 的传染开始发生在工厂内部，通过一个或多个 USB 设备。

可以合理肯定地认为，Stuxnet 感染始于被用作攻击工具的五家伊朗供应商，使用了一种称为供应链攻击的技术，这种技术在今天非常频繁。

这些公司不知道自己受到了攻击，一旦被感染，纳坦兹工厂遭到袭击只是时间问题。通过插入纳坦兹内部多台计算机的 USB 设备，感染从 Windows 计算机传播到工业软件 Step7（由西门子实现），该软件控制工厂的 PLC 并可以修改其代码。

稍后我们将看到这一切是如何成为可能的，这要归功于 Stuxnet 对一系列零日漏洞的利用。

通过分析数千份文件检查 Stuxnet 的分析师认为，他们已经确定了从 2009 年 6 月开始的不同时间感染 Stuxnet 的五家伊朗公司，然后将其带入纳坦兹。

2010 年，后续版本的 Stuxnet 再次袭击了其他五个伊朗组织，目的是控制和破坏伊朗的浓缩铀生产。2010 年，超过 60% 的 Stuxnet 感染计算机位于伊朗。

在纳坦兹工厂感染病毒后，震网病毒在伊朗工厂外传播。

似乎以色列是想要加强病毒以使其更具攻击性并能够更容易传播的人（实际上是 2.0 版！）

也许太多了：在纳坦兹被感染的计算机被认为是当时将恶意软件传播到感兴趣的系统之外，对使用 Siemens Simatic PLC 的其他网络造成重大损害，而这些网络根本不应该属于目标。

Stuxnet 不应该离开 Natanz，但由于它失控，它开始通过 Internet 传播。奥巴马被告知：“我们失去了对病毒的控制”。

到目前为止，主要网络安全公司（卡巴斯基、F-Secure、赛门铁克在其报告“W32.Stuxnet Dossier Version 1.4 February 2011”中）发现、检测和分析，Stuxnet 立即被认为是一种“异常”恶意软件，过于复杂由普通黑客创建。

事实上，它利用的不是一个而是多达四个零日漏洞，这意味着安全公司还不知道的漏洞。零日漏洞利用很难找到，并且在市场上的漏洞成本非常高。

过去，从未出现过利用多个零日漏洞的恶意软件案例。Stuxnet 利用了多达四个！

只有一个国家才能实现如此强大的网络武器……

怀疑直接集中在美国和以色列的情报部门，它们是唯一能够生产具有这些特征的软件的部门。

“美国国家安全局和以色列一起编写了震网”：2013 年 7 月，爱德华·斯诺登证实，震网是美国国家安全局与以色列情报部门通过一个名为外交事务局的特别小组合作设计的。

从来没有人声称受到攻击或在 Stuxnet 上签名。但实际上，也许这个“签名”是真实存在的。

当分析人员对 Stuxnet 代码进行分段时，他们发现了不同的功能。其中有 16 号函数，它包含一个值为 19790509 的变量。既然这个纯粹用于控制的变量可以被赋予任何值，那么为什么是这个数字呢？

有人发现 19790509 对应于 1979 年 5 月 9 日的日期，这对伊朗和以色列都具有非常精确的含义：那天在德黑兰的一个广场上，哈比卜·埃尔加尼安被处决。他是伊朗犹太社区的领袖。这是伊朗新霍梅尼政权首次处决犹太人的事件之一。

不仅如此：在那个时期，有一些 P-1 型离心机（如纳坦兹的离心机），碰巧安装在位于内盖夫沙漠的迪莫纳的以色列工厂中：对于生产目标来说太少了，但足以在试点工厂进行一些测试。它们是由美国提供给以色列的，美国从利比亚核计划中回收了它们。

这个案子，尽管到目前为止已经在最大的细节水平上进行了分析，但仍有一些鲜为人知的方面，这使它看起来像一部令人不安的战争或间谍电影。

事实上，这部电影是真实存在的：奥斯卡获奖制片人亚历克斯·吉布尼 (Alex Gibney)在纪录片《零日》(Zero Days) (2016) 中讲述了震网攻击事件。

图 2 – 制片人 ALEX GIBNEY 的纪录片《零天》（2016）海报（图片来自 NIENTEPOPCORN.IT）

4. 2012: Shamoon 对阵沙特阿美

沙特阿美是沙特石油生产的上市公司，是世界上最大的石油生产公司。

2012年8月，当地时间本月15日11时08分，公司员工注意到自己笔记本电脑中的一些文件在他们面前被取消。

几个小时后，沙特阿美公司不再在线。

更具破坏性的是支付的后果，网络现在对于支付是必不可少的：数公里的油罐车装满了油并被阻塞，原因很简单，因为无法为其内容开具发票。只有完全自动化且独立于互联网的提取系统继续工作。

Seculert 发现了问题的原因：该恶意软件最初被命名为 Disttrack，然后改名为Shamoon。

还有一次，注入是通过简单的鱼叉式网络钓鱼电子邮件进行的，该电子邮件携带了新的恶意软件。

Shamoon 具有很强的自我复制和传播能力，能够将文件从受害者的计算机传输到攻击者的计算机，然后从原始系统中取消它们。与大多数此类软件一样，它是一个模块化恶意软件，包含三个模块：

» Shamoon Dropper，用于进入被攻击系统内部并丢弃其他两个组件的模块；

» Shamoon Wiper，通过安装可以覆盖数据并设法写入计算机主引导记录 (MBR) 的驱动程序来擦除、破坏内容的组件，从而使其无用；

» Shamoon Reporter，向攻击者报告所有被覆盖文件的信息。

沙特阿美公司花了 10 天时间（直到 8 月 25 日）恢复了 30,000 多个基于已被 Shamoon 覆盖的 windows 的系统。

4.1谁是这种攻击的发起者？

这次袭击是由伊斯兰黑客组织“正义之剑”声称的，该组织要求为沙特阿美公司的员工提供更好的工作条件。

即使没有确定的证据，也有可能沙特的石油工厂遭到了国家资助的伊朗黑客攻击，可能是Elfin集团（又名：APT33，HOLMIUM）。这个伊朗集团以在美国、沙特阿拉伯和韩国的各个领域拥有目标组织而闻名，对航空和能源领域特别感兴趣，尤其是石油工厂。

无论是谁，从技术角度来看，这都是一次完美的网络攻击，尤其是因为它能够打击全球经济资源：石油。该案例证实，对工业系统的攻击更倾向于能源部门。

据赛门铁克称，Shamoon 在 2016 年 11 月突然卷土重来，然后在 2017 年 1 月 23 日再次被用于攻击。它被称为 Shamoon 2。

5.俄罗斯对乌克兰

从一开始，俄罗斯就将乌克兰作为他们最喜欢的网络攻击目标。我们不会在这里关注有关俄罗斯最近军事入侵的时事，也是因为有关最新袭击的信息尚不清楚。相反，我们将关注那些已经成为历史并且分析师能够检索到大量信息的网络战案例。

5.1 BlackEnergy 在乌克兰

虽然没有造成重大损失，但这是教科书式的攻击。

2015 年 12 月 23 日，下午 3 点 35 分：乌克兰地区电力供应商 Kyivoblenergo 遭到黑客攻击。在很短的时间内，至少有 3 家地区电力运营商的系统受到了打击。

100kV 的 7 个变电站和 35kV 的 23 个变电站断开连接超过三个小时。伊万诺-弗兰科夫斯克地区（乌克兰西部）的一半房屋仍然没有电。据估计，约有 225,000 人被击中。

来自外国的攻击远程控制了工厂的 SCADA 系统（监督控制和数据采集）。为了使服务恢复正常，管理人员不得不转向手动控制工厂。

使用的代理是带有后门功能的BlackEnergy特洛伊木马。

它是一种模块化恶意软件，可以下载多个组件以完成特定活动。2014 年，它被用于针对与乌克兰政府有关的知名目标的多次网络间谍攻击。

根据 E-ISAC 和 SANS 编写的详细报告“对乌克兰电网的网络攻击分析”（2016 年 3 月 18 日），攻击者表明他们知道并且可以利用多种技术来执行攻击行动：

»使用鱼叉式网络钓鱼电子邮件来访问三个供应商的公司网络（这里我们有，就像在几乎所有攻击中一样，H 因素，意味着人为错误）。攻击电子邮件似乎包含一个带有宏“武装”的 Office 文件的附件；

» BlackEnergy的注入每个感兴趣的供应商中都有 3 个恶意软件变种，与新插件 KillDisk (Win32/KillDisk) 结合使用，该插件具有破坏文件并可以覆盖 4,000 多种文件的能力，因此能够覆盖操作系统并阻塞整个系统；

»盗窃公司网络的访问凭证；

»使用虚拟专用网络 (VPN) 访问 ICS 网络；

» 操纵包含恶意软件的 Microsoft Office 文档以访问电力公司的 IT 网络；

» 控制 UPS 系统以产生服务中断的能力：攻击者至少在其中一个受攻击的供应商中发现了一个连接到 UPS 的网络并对其进行了重新配置，以便在发生断电时，电力公司建筑物和数据中心的电力供应也被削减；

因此，这是一次合唱攻击，由专家精心设计和执行。

乌克兰特勤局立即谴责俄罗斯发动袭击，也是因为两国关系非常糟糕（俄罗斯吞并克里米亚稍早一些）。

特别是，这次攻击被认为是由沙虫小组（也称为 74455 部队）实施的，该部队是与俄罗斯武装部队秘密服务 GRU 相关的俄罗斯网络军事单位。

Sandworm 被怀疑也是 2017 年 NotPetya 对乌克兰的网络攻击和 2018 年韩国冬季奥运会网络攻击的幕后黑手。2016年 12 月，攻击再次被重申，与 2015 年和停电持续了大约一个小时。似乎它是由与前一年相同的攻击者执行的，不是为了造成损害，而是作为对未来行动的测试。

图 3 – 带有宏的 OFFICE 附件，附加到鱼叉式网络钓鱼电子邮件中，该电子邮件用于注入 BLACKENERGY

5.2  2017 年 6 月 27 日：NotPetya 攻击

NotPetya 被认为是造成世界上最大损失的网络攻击：据估计，它对所攻击的组织造成的影响约为 100 亿美元。

这是一种经典的供应链攻击：它针对一家生产管理软件的乌克兰公司 (MEdoc)。通过这家公司，乌克兰公司受到了巨大打击，以至于 NotPetya 在 24 小时内取消了乌克兰所有计算机的 10%。

31 年后，切尔诺贝利核电站的辐射探测器首次被关闭，让员工手动监测辐射水平。

NotPetya 从乌克兰蔓延到世界各地，给几家大公司造成了巨大损失，其中包括：

» Moller-Maersk：损失 3 亿美元，该公司不得不重新安装 4,000 台服务器和 45,000 台笔记本电脑；

» TNT Express（FedEx 集团）：赔偿 3 亿美元；

» Mondelēz International：1,700 台服务器和 24,000 台笔记本电脑被封锁（损失超过 8,400 万美元）；

»默克（制药）：在全球范围内中断运营；

»圣戈班集团；

» Reckitt Benckiser：销售额减少约 1.1 亿英镑。

意大利是受灾最严重的国家之一。

NotPetya 是一个勒索软件，它要求 300 美元的赎金（0,138 比特币），但它实际上是一个擦除器，因为文件从未被归还。

它利用 NSA 创建的 Eternalblue 漏洞通过公司网络传播，一个月前臭名昭著的 WannaCry 攻击（2017 年 5 月 12 日）也使用了相同的漏洞。

美国和英国已正式将 NotPetya 袭击归咎于俄罗斯，在这种情况下，它也被认为是由与俄罗斯军事特勤局 GRU 有联系的沙虫小组实施的。