乌克兰网络安全形势深度分析

关键要点

• 俄罗斯入侵后，乌克兰的网络攻击活动显著增加。
• 最新报告显示，针对乌克兰政府和基础设施的恶意软件攻击激增，事件数量上升38%。
• 黑客活动的目标包括网络间谍、破坏政府信息服务等。
• 各国“黑客行动”与国际志愿者的参与，使网络战局愈加复杂。

乌克兰网络安全局（SSSCIP）最新报告指出，自俄罗斯入侵以来，该国面临的网络攻击显著增加，尤其是针对政府和关键基础设施的恶意软件攻击。报告显示，第二季度共记录了24起新的网络事件，并且针对国家和关键基础设施的“事件”数量达到190亿次，主要受害者为乌克兰政府、地方当局和大众媒体。

针对“恶意代码”的关键事件则比年初增加了38%，这表明与恶意软件的传播和感染尝试相关的网络活动显著增加。黑客们主要利用Chrome、Firefox、InternetExplorer等浏览器作为传播渠道，同时也使用Outlook和BitTorrent等软件。最常见的攻击方式包括远程代码执行和绕过身份验证协议。

乌克兰网络安全局表示：“黑客的主要目的是网络间谍活动，干扰国家信息服务的可用性，甚至通过客户端删除工具破坏信息系统。”

尽管该局认为大多数攻击源自俄罗斯及其关联的黑客团体，如Sandworm和Gamaredon，但最近一波攻击的IP地址主要来自俄罗斯以外。这是因为互联网服务供应商在入侵后切断了与已知俄罗斯政府IP的服务。网络安全专家警告，依赖IP地址来归因网络攻击并不可靠，因为许多黑客团体已善于使用VPN和其他国家建立或购买的指挥控制基础设施来掩盖踪迹。

黑客与网络Activists的交织

战争中的一个显著特点是，“黑客行动者”或非国家行为体的活动井喷。一方面，Sandworm、Gamaredon、FancyBear和其他与俄罗斯政府相关的高级持续威胁（APT）团体正在活跃于冲突之中；另一方面，犯罪黑客团体和僵尸网络的活动水平也有所上升。

IBM的X-
Force安全团队在本月早些时候发布的研究显示，从4月中旬到6月中旬，TrickBot团体和Conti勒索软件团伙自俄罗斯入侵以来系统性地攻击乌克兰，至少有6次不同的攻击活动，利用了多种恶意软件。这一现象值得关注，因为研究者指出，在入侵前，TrickBot基本上在乌克兰没有足够的足迹，且其早期版本的恶意软件避开了乌克兰语言的系统和设备。

研究者Ole Villadsen、Charlotte Hammond和Kat
Weinberger指出：“观察到的活动表明，该团体选择与俄罗斯国家利益相符的目标，反映出冲突背景下的趋势。”

此外，来自全球的松散组成的志愿者团体也开始针对俄罗斯及其战争努力展开行动。乌克兰副总理米哈伊洛·费多罗夫授权了一支由国际志愿者组成的“IT军团”，以对俄罗斯政府及其基础设施进行进攻性操作。费多罗夫通过Telegram协调项目，并将目标指令翻译为英语，以便国际观众理解。

这一鼓励志愿者团体的行动，引发了与美国同行的摩擦。美国已多年呼吁俄罗斯政府对其境内的勒索软件攻击和其他恶意活动进行打击。上个月，NSA网络安全主管RobJoyce在旧金山的RSA大会上表示，尽管美国官员希望乌克兰成功，但国际志愿者黑客组织的倡导使得这一努力变得复杂。

Joyce指出：“我们都想为这些人加油。但他们在发动针对另一个国家的攻击时，给我们追究俄罗斯的责任带来了挑战。”

通过这种方式，乌克兰的网络安全局与国际志愿者的互动不仅展现出网络战愈发复杂的局势，也让网络攻击的归属和责任问题变得更加棘手。