揭秘:俄乌冲突一线的美国网络防御支援小组
2022-03-18
来源:互联网安全内参
英媒金融时报报道称,在俄乌冲突激烈化前,一个由美国军民混编组成的网络防御小组曾前往乌克兰,协助其保护关基设施,抵御网络威胁;
该小组在一线调查情况,美国政府、企业在后方提供网络防御所需紧急调度手续、产品服务、威胁应对能力等,为乌克兰网络保持弹性提供了良好基础;
有欧洲官员称,俄罗斯一直保持克制,没有派出最精英的网络攻击部队,就像常规战场上的军事行动一样,但这也许低估了乌克兰的防御能力。
在俄乌战争激烈化前的几个月里,一队美国人曾在乌克兰各地活动,执行一项非常具体的威胁对抗任务。
小组成员有些是美国陆军网络司令部的士兵,还有些来自民营承包商及美国企业的员工。他们此行的目的非常简单:协助保护乌克兰关键基础设施,免受俄罗斯多年来针对性网络攻击的影响。
派驻行动小组加强网络防御
美国对乌克兰的网络防御援助已经颇具历史,最早的开端是2015年震惊全球、导致基辅部分地区断电数小时的电网基础设施攻击。
但去年10-11月的这场行动情况特殊,明显是在为即将到来的战争做准备。熟悉行动情况的人士表示,小组肩负着紧迫的时间压力,需要尽快找出俄罗斯可能已经植入的隐藏恶意软件。这些恶意软件平时处于休眠状态,而一旦俄罗斯开始发动军事行动,将被唤醒并发动毁灭性网络攻击。
专家们警告称,按照西方官员们的估计,俄罗斯可能会对乌克兰的基础设施发动毁灭性的网络攻击。至于为什么乌克兰的网络能坚持到现在仍不中断,可能要归功于多年来的准备,特别是过去两个月中有针对性的技术支持。
乌克兰与美国的官员们谨慎表示,这支“网络小组”只是在执行一些防御性任务。相比之下,价值数十亿美元的武器正涌入乌克兰,帮助民众抗击俄军士兵。
清理关基设施潜伏的恶意软件
乌克兰政府高级官员Victor Zhora表示,目前俄方网络攻势已经有所减弱,因为“乌克兰政府在保护自身网络方面采取的适当措施。”
在乌克兰铁路系统中,这支美国小组发现并清理了一种高危害度的恶意软件。安全专家们将其命名为“wiperware”,只需下令删除关键文件即可禁用整个计算机网络。
在俄军进入乌克兰的前十天中,已有近百万乌克兰民众通过铁路网安全逃离。一位了解此事的乌克兰官员指出,如果没能及时发现并消除该恶意软件,“很可能发生灾难性的后果。”
据知情人士透露,边境警察部门由于没能及时发现另一款类似的恶意软件,而导致上周通往罗马尼亚的过境点计算机系统陷入瘫痪。当时正有数十万乌克兰妇女和儿童经这里撤离,系统崩溃进一步加剧了混乱。
美商务部特批援助乌克兰
由于乌克兰政府能拿出的预算只有6000万美元,因此各部门只能选择与私人组织合作,联手加固可能遭受俄罗斯黑客攻击的基础设施。
今年2月底,乌克兰国家警察与其他多个政府部门一道遭遇“分布式拒绝服务攻击”(DDoS)。这是一种相对简单的攻击手段,通过众多计算机终端少量多次向目标网络发送大规模数据、最终将其吞没。
在几小时之内,美方就联系到加州安全厂商Fortinet,他们在售的一种“虚拟机”专门用于应对这类攻击。
资金在数小时内就批准通过,美国商务部在15分钟内给出批复意见。一位熟悉此次行动情况的人士解释道,在收到请求的8小时内,一组工程师已经将Fortinet软件安装到乌克兰警方的服务器上,用以抵御攻击浪潮。
美企加入联合防御阵营
这些网络攻击主要针对商用软件,主要是来自西方制造商。这一事实迫使美欧主要企业必须投入资源,以保卫乌克兰网络。
以微软为例,他们最近几个月一直运营着一个威胁情报中心,负责投入资源帮助乌克兰系统抵御恶意软件。
微软公司总裁Brad Smith在一篇博文中表示,2月24日,在俄方正式进军乌克兰的几个小时前,微软工程师检测到并逆向分析了一种新激活的恶意软件。
在3小时内,微软发布了针对该恶意软件的安全软件更新,向乌克兰政府提交威胁警告,并提醒乌克兰该恶意软件可能对包括军方在内的“一系列目标开展攻击”。有知情人士透露,在美国政府的建议下,微软还将警告范围扩大到了邻近的其他北约国家。
“我们只是一家企业,并不是政府或者国家。” Smith在博文中写道,微软等软件开发商必须以史为鉴,保持警惕。2017年的事件如今仍历历在目:当时一款归因至俄罗斯的恶意软件从乌克兰网络边界扩散到了世界各地,最终导致默克、马士基等行业巨头的计算机网络瘫痪,造成上百亿美元损失。
俄方克制使用网络能力
多年来长期关注俄罗斯网络攻击的专家们如今却陷入了疑惑。他们对俄罗斯政府黑客的攻击速度、强度和复杂度有着深刻的体会,无法理解对方为什么直到现在仍未在对乌战争中有所动作。
一位欧洲官员在本周的北约会议上听取了美方简报,表示乌克兰的网络防御体系拥有良好弹性,俄方网络攻击的烈度显得较为常规。他认为,俄罗斯一直都在保持克制,没有派出最精英的网络攻击部队,就像常规战场上的军事行动一样,但这也许低估了乌克兰的防御能力。
他说,一个例子是,俄罗斯指挥官目前不只使用加密的军用级电话进行通信,有时候也会用装有乌克兰本地卡的手机,甚至还在继续使用自己俄罗斯国内的手机号码。
“这种松懈的态度对乌克兰一方很有利。无论加不加密,只要跟踪这些普通手机,就一定能得到大量数据。”
于是,乌克兰方面在战争的关键时刻阻断了俄罗斯手机与当地网络的连接,成功实现通信干扰。他还说,“俄罗斯士兵们只能在街上抢走乌克兰民众的手机,甚至冲进手机维修店夺取当地电话卡。俄军把仗打成这样,真是很令人费解。”