乌克兰大规模DDoS攻击事件深层次分析

美英政府先后将此次网络攻击归因至俄罗斯联邦武装部队总参谋部情报总局(GRU)

乌克兰大规模DDoS攻击事件深层次分析

  • 乌克兰重要军事、政务和经济部门计算机网络遭到大规模DDoS攻击,导致系统中断近半天时间,对该国造成了较大的混乱和恐慌;
  • 美英政府先后将此次网络攻击归因至俄罗斯联邦武装部队总参谋部情报总局(GRU);
  • 尽管此次网络攻击造成的损失有限,但表现出来的潜在威胁却足以让全世界感到后怕,值得乌克兰之外的关键基础设施引以为鉴;
  • 此外,乌克兰地区日渐增多的网络混乱和中断除了会给本地区造成直接威胁,还可能会外溢,对欧美国家及贸易带来严重影响。

2月15日,乌克兰重要军事、政务和经济部门计算机网络遭到大规模攻击。尽管此次攻击造成的损失有限,但却引起世界范围的广泛关注。

发生了什么?

据悉,此次攻击从2月15日下午开始,为分布式拒绝服务型(DDoS)攻击,针对的目标是乌克兰陆军、国防部、外交部、文化部、国家储蓄银行(Oschadbank)以及国内最大商业银行Privatbank(拥有近2000万客户)等。DDoS攻击通过特殊手段对目标的服务器资源进行过度消耗,从而达到令其无法为用户提供正常服务的目的。

国家储蓄银行和Privatbank在乌克兰金融市场上具有“系统重要性”。乌克兰战略通信中心在社交媒体上说,两家银行的网站受到攻击后一度中断服务。很多客户发现自己完全无法登录银行APP,另外有人抱怨他们的账户“无法显示收支以及最近的转账情况”。更有用户表示收到伪造的短信通知,称ATM无法正常使用。

乌克兰大规模DDoS攻击事件深层次分析

乌克兰警方辟谣伪造短信通知

美国安全企业CrowdStrike负责情报的高级副总裁亚当・梅耶斯(Adam Meyers)通过电子邮件表示,这些攻击包括“大量的流量,比常规观察到的流量高出三个数量级,其中99%的流量由HTTPS请求组成。”

乌克兰国家特别通信局在其发布的消息中称,相关部门组建了一个专家工作组,“准备采取一切措施控制和阻止网络攻击。” 截至当地时间15日19时30分,受到攻击的银行已经恢复服务,陆军和国防部网站也得到恢复。

乌克兰媒体称,此次网络攻击只针对目标网站和服务进行破坏和干扰,并未窃取资金,也没有造成客户转账信息、收支情况或个人信息等数据的泄露。研究者称,此次网络攻击尽管造成的损失有限,但表现出来的潜在威胁却足以让全世界感到后怕,“值得乌克兰之外的关键基础设施引以为鉴。”

归因至俄罗斯GRU

2月18日,美英两国政府先后将针对乌克兰的大规模DDoS攻击归因至俄罗斯联邦武装部队总参谋部情报总局(GRU)。

美国副国家安全顾问安妮·纽伯格(Anne Neuberger)表示,“我们认为俄罗斯政府应对这次大规模网络攻击负责。美国掌握的技术信息已将其与俄罗斯情报机构GRU联系起来,已知被视为GRU的基础设施向乌克兰的IP地址和域传输了大量通信。”

纽伯格还补充说,尽管这类事件“影响有限”,但它们可能是俄罗斯为其他更重要的行动做准备的一部分,为更具破坏性的袭击“奠定基础”,这些袭击可能会伴随着对乌克兰领土的潜在入侵。

英国外交、联邦和发展办公室在一份声明中也表示,”英国政府判断,俄罗斯情报总局(GRU)参与了针对乌克兰金融机构的分布式拒绝服务攻击。”

乌克兰大规模DDoS攻击事件深层次分析

该部门称,”这次攻击显示了对乌克兰主权的持续无视。这一活动是俄罗斯对乌克兰的侵略行为的又一个例子。”

更大规模网络攻击的一部分?

英国网络安全公司Digital Shadows首席信息安全官里克・霍兰德(Rick Holland)评估时表示,“针对乌克兰国防部和金融机构的DDoS攻击更像是骚扰活动,有可能是更大规模攻击的前奏,或试图恐吓和搞乱乌克兰的更大规模网络攻击活动的组成部分。”

尽管目前这一问题的答案尚无法确认,但网络安全研究人士已发出提醒,称俄罗斯将对乌克兰发起全面进攻的可能性无疑会引发巨大混乱。这种混乱同时也给身份各异的网络攻击者制造了掩护。所以当地缘政治局势持续恶化时,非常有必要提防大范围网络攻击事件的爆发。

媒体同时还注意到此次网络入侵爆发的微妙时机——数小时前,乌克兰安全局刚刚宣布本国正成为“大规模混合战争”的目标,其目的是“系统地引发恐慌、传播虚假信息以及扭曲事件真相”。作为应对,乌克兰有关部门已查封一个拥有超过18万个社交媒体账号、用来散布假新闻的僵局网络,并阻止了120次针对政府部门的网络攻击。乌安全局因而隐讳地表示,很显然是某个“侵略国”发动了这场针对乌克兰的网上敌对活动。

尽管官方并未指名道姓,但这波网络攻击活动发生时俄罗斯正在乌克兰东北部边境地对其10万部队进行调动,所以很容易让外界产生遐想。戴尔旗下网络安全服务商SecureWorks公司情报主管迈克・米克利兰(Mike McLellan)通过电子邮件表示,“俄罗斯有过针对乌克兰政府和关键基础设施实施网络攻击的历史,目的是破坏乌克兰人对国家的信心。”在上述背景下,“如果有人说(针对乌克兰的)网络攻击是俄罗斯发起的,或有亲俄背景的组织或个人发起的,我都不会有太多惊讶。”

最近两个月内,有70个乌克兰政府网站遭到网络攻击,多家政府部门、非盈利组织和IT组织遭受过“数据擦除者”(wiper)恶意软件的攻击,乌克兰军事目标也受到越来越多的网络攻击和网络间谍活动的骚扰。上述攻击都包含着带着俄罗斯印记的高级持续威胁(APTs)。同样可以引发联想的是,2014年俄罗斯入侵克里米亚时,恰恰也爆发了针对克里米亚政府部门、警察部门以及贸易部门的病毒和间谍软件攻击。

也有人认为这次网络攻击背后的受益者可能不止一个。里克・霍兰德说,“与俄罗斯发动上述网络攻击的说法相比,更有可能的是其他国家也想从战争的混乱与迷雾中捞一把,或者发动针对西方国家的网络敌对活动。正如老话说的,‘永远不要浪费好的危机。’不过,这种‘假旗行动’(false-flag operation)可能造成意料之外的后果。这个潘多拉魔盒一旦打开就关不上了。”

网络安全公司Vectra技术主管、副首席技术官蒂姆・韦德(Tim Wade)也表示应该谨言慎行,不能急于给网络攻击者的身份下定论。“混乱的局面中从来都不缺少躺赢者——从犯罪分子到某个国家,都有可能从中获益。所以,事件调查不是拍电影,真正的动机很难被找到。”

攻击会蔓延到西方国家吗?

有专家认为,乌克兰地区日渐增多的网络混乱和中断除了会给本地区造成直接威胁,还可能会外溢,对美洲和欧洲国家及贸易带去严重影响

此前就曾有以乌克兰为目标的网络攻击给与乌克兰有商务往来甚至被动联系的区域外企业造成过损害。最典型的是2017年NotPetya 恶意软件对基辅某会计软件提供商的入侵。该次入侵给集装箱综合物流供应商马士基公司(Maersk)、知名试剂生产商和供应商默克公司(Merck)、物流行业巨头联邦快递(FedEx)等跨国企业造成了数十亿美元的损失。

Crowdstrike高管亚当・梅耶斯说,“尽管此时尚未有证据表明已有网络攻击瞄准了西方实体,但针对乌克兰的扰乱性或毁灭性网络攻击很有可能给他们带去附带影响。在乌克兰设有分支机构、与乌克兰有业务往来或依靠乌克兰供应链的西方公司都有可能受到影响。”

官方警告已经提醒美国政府部门和重要工业部门小心遭到与乌克兰类似的网络攻击。美国国土安全部在1月的简报中称,“如果俄罗斯认为美国或北约在俄罗斯可能入侵乌克兰的问题上反应过度,损害了俄罗斯的长期国家利益,俄罗斯人就可能筹划发起针对美国本土的网络攻击。” 国土安全部和联邦调查局近日还宣称,美国国内执法系统和其他网络目标正经受着越来越多来自俄罗斯的扫描

如果出现上述局面,美国是否做好准备了呢?国土安全部官员表示,美国城市在面对“数据擦除者”等恶意软件攻击时会表现得异常脆弱,因为此类攻击可能会污染城市供水或瘫痪供电网络。更令人担心的是,美国全国目前有60万个网络安全岗位处于空缺状态。这意味着很多机构都缺乏足够的人手对事件做出响应。

Vectra公司技术主管蒂姆・韦德说,“尽管我们很难确定可能发生的网络攻击是国家入侵行为的一部分、利用紧张局势的网络犯罪行为或者单纯的巧合,但可以确定的是,应该提高对网络弹性的重视,尤其是当这些网络关联着核心服务及关键基础设施的时候。”

参考来源:threatpost.com

本文来自互联网安全内参,版权归作者所有。

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/18509.html

(0)
上一篇 2022-02-21 10:24
下一篇 2022-02-22 04:54

相关推荐

发表回复

登录后才能评论