凱爾·芬多夫 何俊偉 譯

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引言

當(dāng)前，大家對網(wǎng)絡(luò)行動的認(rèn)識幾乎完全來自防御一方，比如對網(wǎng)絡(luò)行動目標(biāo)的看法就源于網(wǎng)絡(luò)安全公司、非營利組織和政府機(jī)構(gòu)發(fā)布的報(bào)告。然而，網(wǎng)絡(luò)防御只是網(wǎng)絡(luò)行動的一部分，經(jīng)由這些報(bào)告形成的觀點(diǎn)難免失之偏頗。盡管美國泄露的各類文件[尤其是愛德華?斯諾登（Edward Snowden）泄露的美國白宮第20號總統(tǒng)政策令和美國國家安全局文件]以及美國網(wǎng)絡(luò)司令部偶爾發(fā)布的聲明多少揭露了進(jìn)攻性網(wǎng)絡(luò)行動的方式和位置，但僅靠這些信息仍不足以了解網(wǎng)絡(luò)行動的全貌。為應(yīng)對俄羅斯的持續(xù)入侵，烏克蘭方面組建了名為“烏克蘭IT軍”的黑客組織（以下簡稱“IT軍”，該組織很可能隸屬于烏克蘭政府），從而為人們提供了一個獨(dú)特的視角來了解網(wǎng)絡(luò)攻擊方的決策和行動，以及如何在戰(zhàn)爭期間利用網(wǎng)絡(luò)空間等事宜。

烏克蘭“IT軍”成立于俄羅斯入侵烏克蘭的2天后，即2022年2月26日。當(dāng)時，烏克蘭副總理兼數(shù)字化轉(zhuǎn)型部部長米哈伊洛·費(fèi)多羅夫（Mykhailo Fedorov）在社交平臺“推特”上發(fā)文稱，“我們正在創(chuàng)建一支‘IT軍’，這支力量團(tuán)隊(duì)需要數(shù)字人才”，并附了一條“電報(bào)”（Telegram）頻道鏈接，該頻道列出了“IT軍”的攻擊目標(biāo)?！癐T軍”的行動方式并不復(fù)雜：其頻道運(yùn)營方提供了用于分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊的工具，并每周發(fā)布2～3次目標(biāo)清單，以便志愿者利用這些工具對清單上的“敵方”網(wǎng)站發(fā)動攻擊。除運(yùn)營方提供的工具外，志愿者有時也會利用自身的黑客技能來癱瘓敵對陣營的互聯(lián)網(wǎng)服務(wù)，比如銀行網(wǎng)站、稅務(wù)處理器和軍事硬件商店等。迄今為止，“IT軍”已攻擊過一些著名的俄方網(wǎng)站，甚至迫使俄羅斯普京總統(tǒng)在圣彼得堡經(jīng)濟(jì)論壇上的演講推遲了一個多小時。

“IT軍”為志愿者提供了一站式的黑客活動體驗(yàn)，其“電報(bào)”頻道會指出一系列目標(biāo)，并為志愿者提供攻擊這些目標(biāo)的工具。其“電報(bào)”頻道還會經(jīng)常在所發(fā)布內(nèi)容的末尾附上這樣一句話：“請別忘了我們有一款用于自動攻擊的機(jī)器人！您可授權(quán)我們的機(jī)器人程序訪問您的云資源，以便我們協(xié)調(diào)所有可用的服務(wù)器發(fā)動攻擊。”具體而言，該機(jī)器人程序會將志愿者的計(jì)算機(jī)添加到由烏克蘭政府運(yùn)作的僵尸網(wǎng)絡(luò)中，從而使志愿者能像下載軟件那樣輕松地支持烏方黑客活動。換而言之，支持烏方的黑客志愿者既無須像傳統(tǒng)黑客那樣鍛煉自己的計(jì)算機(jī)技能，也無須尋找小型論壇或孤立的黑客社區(qū)，這意味著成為“黑客”的門檻大大降低?！癐T軍”的“電報(bào)”頻道訂閱者人數(shù)在高峰時超過了30萬，消息瀏覽量則接近100萬次，可見已有大量的志愿者加入了這一組織。

黑客行為主義并不是一個新概念。在俄烏沖突中，KillNet、Xaknet和Anonymous等黑客組織紛紛站隊(duì)，并因此發(fā)動DDoS攻擊，竊取和泄露大量數(shù)據(jù)，以及開展旨在詆毀對方的信息戰(zhàn)活動等。黑客行為主義當(dāng)然并不僅出現(xiàn)在俄烏沖突中，一些國家都曾出現(xiàn)過基于愛國主義的黑客行為。例如，在2007年的“青銅士兵”事件中，愛沙尼亞政府決定拆除一座第二次世界大戰(zhàn)蘇聯(lián)陣亡士兵紀(jì)念碑，于是俄羅斯愛國黑客和一些很可能受政府支持的團(tuán)體便攻擊了愛沙尼亞的互聯(lián)網(wǎng)。在此類情形下，各國政府可以合理地否認(rèn)黑客活動：政府會宣稱黑客只是口頭上表示攻擊某一目標(biāo)，或謊稱參與了某次黑客活動，但實(shí)際上并未出手。

網(wǎng)絡(luò)行動（尤其是政府支持的網(wǎng)絡(luò)行動）的信息通常在保密之列，因此人們在分析網(wǎng)絡(luò)行動時，所參考的信息大多來自網(wǎng)絡(luò)安全公司和政府網(wǎng)絡(luò)防御部門發(fā)布的報(bào)告。而烏克蘭“IT軍”比其他國家的愛國黑客更加透明，其會通過“電報(bào)”頻道等平臺，為外界展示網(wǎng)絡(luò)進(jìn)攻行動的來龍去脈。一言以蔽之，“電報(bào)”頻道既是分享俄方宣傳信息、被盜文件和個人信息的渠道，也是烏方在俄羅斯社會的各個角落制造混亂的媒介。雖然“IT軍”的技術(shù)水平不如其他國家級網(wǎng)絡(luò)團(tuán)隊(duì)，但也提供了一個觀察“各國如何在戰(zhàn)時實(shí)施網(wǎng)絡(luò)攻擊”的獨(dú)特窗口。

值得注意的是，烏克蘭政府曾表示只有文職官員參與了“IT軍”的事務(wù)，軍事或情報(bào)官員則與該組織無關(guān)。不過外界研究人員表示，鑒于“IT軍”的攻擊可能“為國防與情報(bào)部門的行動帶來戰(zhàn)略上的混亂和戰(zhàn)術(shù)上的干擾”，烏克蘭情報(bào)機(jī)構(gòu)很可能與“IT軍”進(jìn)行了密切合作。此外，在2022年10月，“IT軍”在其頻道中表示“‘IT軍’與烏克蘭特種部隊(duì)（Ukrainian Special Operations Forces，SSO）的專家合作竊取了俄羅斯納稅人的數(shù)據(jù)”，這表明“IT軍”與SSO之間也存在合作關(guān)系。

1 烏克蘭“IT軍”攻擊方法

“IT軍”在其“電報(bào)”頻道中介紹了該組織的目標(biāo)及其他信息，包括各種宣傳公告，攻擊特定目標(biāo)的號召，以及“IT軍”內(nèi)部的非公開小團(tuán)隊(duì)通過高端行動竊取的數(shù)據(jù)等。根據(jù)成為目標(biāo)的公司或組織所涉及的經(jīng)濟(jì)門類，分析人員可將這些攻擊號召和攻擊報(bào)告分為若干類，從而摸索出“IT軍”所關(guān)注的方向。

需要指出的是，“IT軍”在2022年10月改變了其選擇目標(biāo)的方式，從而影響了對其行動的分析。具體而言，“IT軍”此前一直通過“電報(bào)”頻道公布打算攻擊的IP地址和網(wǎng)站，但從10月2日起，“IT軍”運(yùn)營方表示將使用DDoS工具來協(xié)調(diào)行動，而該工具不會揭露成為目標(biāo)的網(wǎng)頁和IP地址，以免俄方根據(jù)“IT軍”頻道中的信息迅速加強(qiáng)相應(yīng)網(wǎng)站的防御?！癐T軍”表示，日后該組織將改為“攻擊結(jié)束后才會分享報(bào)告以展示其‘戰(zhàn)果’”。不論是運(yùn)作方式上的轉(zhuǎn)變，還是來自“IT軍”內(nèi)部非公開團(tuán)隊(duì)的攻擊，都會使整個網(wǎng)絡(luò)行動存在更大的不確定性，同時也意味著分析人員需要按照門類（而非具體組織）來劃分“IT軍”的行動。

不論是攻擊號召還是已發(fā)生的攻擊，分析人員都會根據(jù)“攻擊方法”和“成為目標(biāo)的組織所屬的經(jīng)濟(jì)門類”這兩項(xiàng)基準(zhǔn)進(jìn)行分類。一方面，本文采用了美國外交關(guān)系委員會“網(wǎng)絡(luò)行動追蹤平臺（Cyber Operations Tracker，CFR）”的標(biāo)準(zhǔn)來評估攻擊方法：該標(biāo)準(zhǔn)將網(wǎng)絡(luò)行動劃分為7類，而“IT軍”開展過其中4類行動，即破壞、拒絕服務(wù)、人肉搜索和污損。另一方面，本文采用了美國人口普查局的“北美行業(yè)分類系統(tǒng)”（North American Industry Classification System，NAICS）來評估成為目標(biāo)的經(jīng)濟(jì)門類：NAICS將各行各業(yè)劃分為20個門類，“IT軍”攻擊過其中10個門類，即金融與保險(xiǎn)、信息技術(shù)、批發(fā)與零售貿(mào)易、交通運(yùn)輸、石油與天然氣鉆探、采礦及其他開采行業(yè)、公用事業(yè)、教育、制造、政府，以及藝術(shù)、娛樂和休閑業(yè)（新聞媒體組織屬于其中最后一個門類）。NAICS將國有企業(yè)視為所屬行業(yè)的一部分，而非政府的一部分。需要指出的是，有時“IT軍”的一次攻擊會同時涉及多個經(jīng)濟(jì)門類，比如在2022年3月3日發(fā)布的消息中，其同時攻擊了俄羅斯聯(lián)邦安全局的內(nèi)部通信渠道、俄羅斯航空公司（Aeroflot）的通信系統(tǒng)以及莫斯科市的照明系統(tǒng)，在這種情況下本文會將此次攻擊同時計(jì)入不同的經(jīng)濟(jì)門類。本文之所以按經(jīng)濟(jì)門類進(jìn)行分析，并據(jù)此統(tǒng)計(jì)每條攻擊號召的消息（而不是統(tǒng)計(jì)所有成為目標(biāo)的組織），是因?yàn)椤癐T軍”在2022年10月2日之前會提供具體的攻擊目標(biāo)，2日之后則只提供更加籠統(tǒng)和寬泛的指導(dǎo)與報(bào)告。

2 烏克蘭“IT軍”攻擊目標(biāo)

“IT軍”已攻擊過俄羅斯的許多經(jīng)濟(jì)門類，特別是那些高度數(shù)字化的門類。具體而言，“IT軍”對金融業(yè)發(fā)動攻擊的次數(shù)最多，其共發(fā)布了93條攻擊金融業(yè)的消息，這些攻擊幾乎都是DDoS攻擊，不過偶爾也會泄露從金融機(jī)構(gòu)竊取的數(shù)據(jù)?！癐T軍”對信息技術(shù)公司發(fā)動攻擊的次數(shù)則超過57次，攻擊目標(biāo)主要是各類服務(wù)的軟件提供商。舉例來說，“IT軍”對編制和驗(yàn)證電子文件的公司發(fā)動過12次攻擊，希望借此拖慢俄羅斯的供應(yīng)鏈、阻礙俄羅斯人納稅以及阻止俄羅斯人獲得國家福利。“IT軍”還對俄政府的網(wǎng)站和網(wǎng)絡(luò)發(fā)動過55次攻擊，其攻擊目標(biāo)包括俄羅斯聯(lián)邦安全局的網(wǎng)站、執(zhí)政黨“統(tǒng)一俄羅斯”黨的網(wǎng)站以及俄國防部和外交部的網(wǎng)站等。針對俄政府網(wǎng)站的攻擊通常為DDoS攻擊，此類攻擊可令這些網(wǎng)站癱瘓一小段時間。不過為癱瘓俄方的各類許可證系統(tǒng)，“IT軍”偶爾也會發(fā)起持續(xù)時間較長的DDoS行動，比如在2022年6月，“IT軍”就攻擊過用于核驗(yàn)動物制品銷售許可證的“統(tǒng)一國家自動化信息系統(tǒng)”。

“IT軍”對藝術(shù)、娛樂和休閑業(yè)發(fā)動過42次攻擊，攻擊目標(biāo)主要是俄羅斯的新聞平臺和社交媒體平臺。除污損克里米亞的新聞網(wǎng)站和由俄羅斯寡頭運(yùn)營的設(shè)計(jì)網(wǎng)站外，“IT軍”對該經(jīng)濟(jì)門類的攻擊幾乎都為DDoS攻擊。自沖突爆發(fā)以來，“IT軍”已對貿(mào)易公司發(fā)動過42次攻擊，攻擊目標(biāo)主要是在線購物公司、快遞公司和技術(shù)進(jìn)口商。此外，作為貿(mào)易門類的一部分，“IT軍”還經(jīng)常針對第三方設(shè)備供應(yīng)商發(fā)動DDoS攻擊，希望以此阻止本就因腐敗而裝備欠佳的俄軍購買額外的裝備、食品或補(bǔ)給。

“IT軍”對交通運(yùn)輸業(yè)發(fā)動過14次攻擊，其中包括在戰(zhàn)爭初期針對俄羅斯各航空公司票務(wù)系統(tǒng)的數(shù)次DDoS攻擊，以及之后針對各航運(yùn)公司的數(shù)次DDoS攻擊?！癐T軍”只對交通運(yùn)輸業(yè)發(fā)動過一次DDoS以外的攻擊，即在2023年2月泄露了莫斯科地鐵相關(guān)支付系統(tǒng)的文件。值得注意的是，除泄露過一次俄羅斯鐵路（Russian Railways）公司的數(shù)據(jù)外，“IT軍”基本未攻擊過俄方的鐵路網(wǎng)絡(luò)。這可能是因?yàn)槎碥娨揽胯F路網(wǎng)絡(luò)將部隊(duì)、裝備和補(bǔ)給運(yùn)送到前線，因此烏方更希望對俄鐵路實(shí)施網(wǎng)絡(luò)間諜活動而非破壞性攻擊。

“IT軍”對開采業(yè)（包括石油與天然氣公司以及采礦公司）發(fā)動過9次攻擊，攻擊目標(biāo)主要是俄羅斯天然氣工業(yè)股份（Gazprom）公司等俄羅斯石油與天然氣巨頭的網(wǎng)站?！癐T軍”曾兩度泄露Gazprom公司的文件，這些文件詳細(xì)展示了Gazprom公司在伊爾庫茨克（Irkutsk）地區(qū)的業(yè)務(wù)，以及該公司的大量財(cái)務(wù)記錄和員工記錄?！癐T軍”還對制造業(yè)發(fā)動過5次攻擊，攻擊目標(biāo)主要是為戰(zhàn)爭提供物資支持的生產(chǎn)商，比如大型武器制造商卡拉什尼科夫企業(yè)集團(tuán)（Kalashnikov Concern），以及向俄軍供應(yīng)靴子的公司等。

3 烏克蘭“IT軍”避開的攻擊領(lǐng)域

從統(tǒng)計(jì)數(shù)據(jù)來看，“IT軍”明顯放過了敵對陣營的某些經(jīng)濟(jì)門類。之所以如此，可能是因?yàn)椤癐T軍”缺少先進(jìn)的黑客技能，或是不愿意表露出對某些敏感目標(biāo)的了解，抑或如上文所述，“IT軍”不希望妨礙到由高端團(tuán)隊(duì)發(fā)動的其他網(wǎng)絡(luò)行動。正如今年早些時候在Discord平臺上泄露的文件所示，美國情報(bào)機(jī)構(gòu)經(jīng)常利用從俄羅斯網(wǎng)絡(luò)收集的信號情報(bào)來編制情報(bào)報(bào)告。外界對烏克蘭的網(wǎng)絡(luò)間諜活動不甚了解，相關(guān)報(bào)道也寥寥無幾，但“IT軍”在2022年10月與SSO的合作表明，部分烏軍正試圖長期潛伏在俄方網(wǎng)絡(luò)中。

“IT軍”基本未攻擊過軍事和情報(bào)網(wǎng)絡(luò)（此類網(wǎng)絡(luò)也不在NAICS的分類范圍之內(nèi)），而該組織之所以對此類網(wǎng)絡(luò)“視而不見”，極有可能是因?yàn)檫@些網(wǎng)絡(luò)中存在重要情報(bào)，所以不宜實(shí)施破壞?！癐T軍”在2022年3月3日對俄方保密網(wǎng)絡(luò)發(fā)動過兩次攻擊，攻擊目標(biāo)分別是俄羅斯聯(lián)邦安全局和俄羅斯國民警衛(wèi)隊(duì)（Rosgvardia）的內(nèi)部通信信道，但迄今仍不清楚這些信道的用途以及它們是否真的受到了干擾。

至于包括電力系統(tǒng)和供水公司在內(nèi)的公用事業(yè)公司，也僅遭受過“IT軍”的3次攻擊?！癐T軍”僅對電力公司發(fā)動過一次DDoS攻擊，即在2022年2月攻擊白俄羅斯能源集團(tuán)Belenergo的網(wǎng)站。此外，“IT軍”還在2023年2月泄露了俄羅斯一家自來水公司的數(shù)據(jù)，其中包括3.8萬名客戶的個人數(shù)據(jù)。值得一提的是，“IT軍”于2022年10月15日發(fā)布了一段宣傳視頻，其中聲稱其內(nèi)部團(tuán)隊(duì)癱瘓了列寧格勒州（州首府為圣彼得堡）的電網(wǎng)。然而有專家表示，雖然對電網(wǎng)的攻擊影響重大，但攻擊此類目標(biāo)需要“長達(dá)數(shù)月的策劃、大量的資源和一支具有廣泛專業(yè)技能的團(tuán)隊(duì)”，而俄方并未就此次事件公開發(fā)布網(wǎng)絡(luò)安全報(bào)告，加之考慮到“IT軍”的宣傳戰(zhàn)傾向，人們很難評估這次攻擊的實(shí)際影響，甚至不確定是否真的發(fā)生過此次攻擊。不過該事件至少表明“IT軍”很可能有意攻擊俄羅斯的能源基礎(chǔ)設(shè)施，只是攻擊此類設(shè)施需要高超的技能和充分的準(zhǔn)備，所以相關(guān)事件屈指可數(shù)。

“IT軍”也基本放過了教育服務(wù)業(yè)，迄今只對該門類發(fā)動過1次攻擊：2022年6月20日，正當(dāng)俄羅斯學(xué)生開始申請學(xué)校時，“IT軍”對俄羅斯各大學(xué)使用的申請系統(tǒng)發(fā)動了DDoS攻擊。針對此次事件，專家們既擔(dān)心“IT軍”可能對相關(guān)國際規(guī)范產(chǎn)生負(fù)面影響，也擔(dān)心該組織在攻擊沒有軍事職能的機(jī)構(gòu)或網(wǎng)絡(luò)的道路上可能走得太遠(yuǎn)，比如“IT軍”這次攻擊的大學(xué)申請系統(tǒng)就與俄烏沖突幾乎毫無關(guān)聯(lián)。不過那次攻擊已過去近一年，從之后的情況來看，“IT軍”并未把教育業(yè)視為攻擊重點(diǎn)。

“IT軍”還基本放過了住宿與餐飲服務(wù)業(yè)，迄今同樣只對該門類發(fā)動過1次攻擊，即在2023年5月攻擊了一家俄羅斯酒店的預(yù)訂網(wǎng)站。考慮到“IT軍”之前對航空公司預(yù)訂網(wǎng)站的攻擊，該組織過了一年多才攻擊俄羅斯旅游業(yè)的其他領(lǐng)域反倒令人驚訝。

“IT軍”還放過了建筑業(yè)、房地產(chǎn)業(yè)、管理與咨詢業(yè)以及廢物處理業(yè)，具體原因并不清楚，可能是因?yàn)樵摻M織認(rèn)為最好把資源用到與戰(zhàn)爭更加息息相關(guān)的門類上。

專業(yè)、科學(xué)和技術(shù)服務(wù)業(yè)也沒有成為“IT軍”的攻擊目標(biāo)，考慮到俄羅斯的大學(xué)和研究機(jī)構(gòu)過去一向是國家級黑客竊取信息的重點(diǎn)目標(biāo)，難以理解“IT軍”為何會放過這些行業(yè)。

“IT軍”還基本放過了農(nóng)業(yè)、林業(yè)、漁業(yè)和狩獵業(yè)，但對核驗(yàn)農(nóng)產(chǎn)品的政府系統(tǒng)發(fā)動過DDoS攻擊（如2022年6月對統(tǒng)一國家自動化信息系統(tǒng)的攻擊）。目前尚不清楚“IT軍”為何只破壞這些行業(yè)的政府系統(tǒng)，而不是把攻擊擴(kuò)大到整個門類。

最后要指出的是，“IT軍”尚未攻擊過醫(yī)療保健和社會救助行業(yè)。長期以來，國際法一直將醫(yī)療體系劃分為非戰(zhàn)斗領(lǐng)域，而“IT軍”迄今為止似乎也遵守了這一原則。

4 結(jié)語

通過烏克蘭“IT軍”發(fā)布的種種消息，分析人員得以了解戰(zhàn)時進(jìn)攻方如何在網(wǎng)絡(luò)空間內(nèi)開展行動，該組織的技術(shù)水平，以及該組織在“違反關(guān)于網(wǎng)絡(luò)行動的國際規(guī)范并攻擊民用目標(biāo)”方面的意愿。在“IT軍”所宣稱的攻擊中，90%以上都屬于DDoS攻擊，可見DDoS攻擊通常比其他類型的網(wǎng)絡(luò)攻擊更容易實(shí)施，但仍具有破壞力。“IT軍”發(fā)動的破壞性攻擊則表明該組織擁有更強(qiáng)大的能力，但根據(jù)CFR“網(wǎng)絡(luò)行動追蹤平臺”的數(shù)據(jù)，該組織每年成功實(shí)施的破壞性攻擊不超過7次。雖然幾乎可以肯定這一數(shù)字被低估了，但多少也表明“IT軍”的實(shí)力恐不足以開展其所宣稱的每項(xiàng)行動。

盡管“IT軍”所依賴的技術(shù)相對簡單，但由于該組織不顧國際規(guī)范攻擊民用設(shè)施和網(wǎng)絡(luò)，所以仍取得了一定的“戰(zhàn)果”。該組織攻擊的非政府領(lǐng)域大多都具有民事職能（比如針對金融門類的93次攻擊和每周針對俄羅斯新聞媒體的攻擊），這表明該組織無意遵守美國及部分國家發(fā)布的關(guān)于“僅對軍事目標(biāo)發(fā)動網(wǎng)絡(luò)攻擊”的規(guī)范。不過“IT軍”的行動似乎也并非無所顧忌，比如該組織僅對教育業(yè)發(fā)動過1次攻擊，同時也不愿攻擊醫(yī)療保險(xiǎn)行業(yè)。這一事實(shí)表明，盡管“IT軍”比大多數(shù)西方黑客組織都更樂于發(fā)動攻擊，但仍保持了一定的底線。