当代国际局势的演变进程表明,在冲突或竞争对手间政治、军事领域的博弈日趋激烈、对峙态势相持不下时,网络战的效能随即上升,虚拟领域的角逐往往比真实战场上的厮杀更显残酷和凶险。俄《消息报》网站6月20日报道称,去年一年,俄技集团所属企业记录的信息安全事件接近3万亿起,同比增加2倍。俄专家表示,如今,俄罗斯工业连同金融、国有经济成分等一起成为最受攻击的“三架马车”。来自敌对国家的黑客企图利用网络攻击行动来削弱俄罗斯的军工系统和俄罗斯军队。
混合战争的一部分
俄技集团,即俄罗斯技术集团(Rostec),由普京2007年签署法令、俄罗斯政府注资创立,下辖700家军、民企业组成的14家控股公司,遍布俄罗斯60个联邦主体,向世界70多个国家出口产品。
2024年,俄技集团信息安全监测与反应中心(RTProtectSOC)处理了近3万亿起信息安全事件(可能影响公司运行的虚拟攻击),比2023年增加近两倍。监测系统记录了超过120万次报警,其中用人工方式检查了超过36万起潜在的危险事件。2230起事件被判定能够影响Rostec关键IT系统、工业设备和部门网络的稳定运行。
俄技集团下属信息安全监测与反应中心负责人阿尔焦姆·西契夫指出,“网络威胁的性质正在发生变化。黑客不再刀枪直入,他们更像侦察兵,悄悄进入,细细观察,伪装成常规活动,伺机精准攻击。”该中心2024年处理的2.94万亿起网络安全事件中,2千多起被认定为网络攻击,大量的网络威胁在造成危害之前即被及时发现并成功解除。俄专家称,对俄罗斯军工系统的网络攻击事件逐年增加并非偶然。“这是针对俄罗斯开展的混合战争的一部分,多数攻击行为都出自基辅政权之手,这是严峻的威胁。背后显然有外国支持,首先是英国。”“科学技术、工业在现代军事冲突中的意义非同小可,而研制新武器系统的人和公司正在成为敌特关注的优先目标。缺乏能够应对现实挑战的武器装备,一支有士气的军队也无法立足。”
“互联网侦查”公司经理伊格尔·别捷罗夫表示,对于网络攻击性质的鉴别是很复杂的,这些攻击常常并非纯粹的黑客所为,而是有具有复杂的政治背景。对于俄罗斯(特别是军工系统)而言,主要的威胁源与国家,特别是“五眼联盟”(澳大利亚、加拿大、新西兰、英国和美国)有关,当然也少不了乌克兰、东欧国家和匿名的黑客组织。
在网络空间攻击俄罗斯工厂和工业企业的目的,首先是进行网络窃密或网络破坏。在对乌特别军事行动开始以来,对俄网络攻击的数量和APT(高级持续性威胁)组织的数量明显增加。F6公司网络侦察(ThreatIntelligence)部门的专家称,2023年攻击俄罗斯和独联体的亲国家APT组织的数量为14个,2024年增加到27个。
异常活动
网络入侵次数一年达3万亿,这是个巨大的数目,日均约82亿次。俄专家称,这表明预谋犯的行为是何等猖獗!而年增量达两倍之多,这是一个值得警惕的趋势。特别是对乌特别军事行动开始以来,情况急骤恶化:攻击数量和攻击强度的飙升、性质的变化和鉴别的复杂化等,都是不同寻常的。
“K2网络安全”公司营商部经理安德列·扎伊金指出,该公司网络安全监测中心记录的网络入侵数量增加了2倍,而且网侵的焦点向实体经济转移。俄罗斯的工业与国企和金融系统已成为受攻击率最高的三大领域。
具体统计表明,受攻击频次最多的是数字化程度较高和数据规模较大的行业:金融、工业和制药业。
Phishman公司总经理阿列克谢·戈列尔金表示,“自2022年以来,我们一直处于网络战状态,网侵者企图破坏我们的军工企业。他们还图谋窃取俄技集团所属公司的运营信息。他们利用虚拟的和恐怖主义的手段,千方百计削弱我国的军工系统。敌对势力不止一次企图对我们的设计师和负责人实施杀害。”
俄专家指出,敌对势力的这种行为已经广泛付诸实践。在前不久爆发的以色列与伊朗的冲突中,被杀害的不仅有将军或政治人物,还有从事伊朗军工项目乃至和平核能项目的专家学者和设计师。
危险的邮件
俄技集团网络专家指出,造成不同后果的多数攻击源自优盘邮件或网络挖掘数据。有害信息经常会伪装成内部公文、技术支持部门的请求或领导的询问等。
网侵者积极利用一些知名软件如WinRAR和Outlook的漏洞开展攻击。调查表明,最脆弱的环节是公司的外包商和合作伙伴。网侵者想方设法通过它们渗透到俄技集团主要基础设施内部。据俄技集团信息安全监测与反应中心报告,超过70%的网侵事件源于终端用户的行为,这些用户打开了有害信函或没有识别出篡改数据。
监测中心还发现,利用大众化的即时通讯工具实施攻击的案例在增加。黑客窃取账号后伪装成公司同事散发有害文件。一些不安全的信件在系统中闲呆到某个时刻,这种“沉睡状态”会绕开网络防护并在系统最脆弱的时刻(如节假日)被激活。
黑客及其手法
俄技集团信息安全监测与反应中心报告称,2024年表现最活跃的黑客组织是APT组织HeadMare和CloudAtlas。它们利用钓鱼技术(非法获取用户名和口令)、有害文档以及远程访问程序等发起针对性攻击。在渗透到设备之后,启动有害程序PhantomCore,随后利用网络固定工具和LockBit和Babuk加密勒索软件,对受害者的文件进行加密,要求支付赎金。
据称,在某些情况下,攻击程序连续几个星期都不会激活,等待合适时机。这种情况对于国防和科技领域的企业非常危险,黑客试图长期蹲守这些领域搜集信息。俄专家指出,目前外国黑客在攻击俄罗斯工业系统时重点追求的是量,但对于这种威胁也不可小觑。“自动扫描、大规模钓鱼、暴力破解、无目标攻击等,都很容易大量繁殖。其相应的威胁与成功攻击率直接相关。”
F6公司网络侦察(ThreatIntelligence)部门的专家称,上述攻击的后果也不尽相同。如果用户遭遇批量钓鱼或欺诈,损失是最小的:TG账号被盗、个人信息泄露等。比较复杂的套路是,黑客会搜集拟攻击目标的信息,以便(譬如按FakeBoss——“假冒老板”的套路)构设一个经典的骗局,骗取钱财。从一些得手的攻击案例可知,一些公司的会计师将数额不等的资金转账给了“老板”,自以为是在执行公司老板的指令。
俄专家指出,防范网络攻击的方法在不断完善。譬如,俄技集团下设的信息安全监测与反应中心(RTProtectSOC)不仅仅是一个反应中心,它还是一个外部攻击预警平台。籍此,系统不仅能够发现威胁,而且还能将威胁防止于酝酿阶段。
可以说,俄罗斯与美西方之间的网络战已经发展到一个相对高级的阶段,俄罗斯曾警告西方,西方针对俄关键基础设施实施的网络攻击有引发直接军事对抗的风险。当前俄罗斯在网络空间的处境如同一面警示镜,提醒我们在数字化时代必须强化网络安全防范,在建设“看得见的力量”的同时,也要在“看不见的地方”筑牢防线,严防无孔不入的外部渗透。
