以下文章經允許轉載自 對話網,這是一個報道最新研究的線上出版物。
除了承載我們所有的電話、簡訊和網際網路通訊外,網路空間還是一個活躍的戰場,網路罪犯、政府特工甚至軍事人員都在探測公司、國家甚至個人線上防禦的弱點。一些最有才華和最危險的網路罪犯和網路戰士來自俄羅斯,這個國家長期以來一直干預其他國家的事務。
支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,您將幫助確保有關當今塑造我們世界的發現和思想的具有影響力的故事的未來。
幾十年來,俄羅斯運營者竊取了數兆位元組的資料,控制了數百萬臺計算機,並獲得了數十億美元的收入。他們關閉了烏克蘭的電力,並干預了美國和其他地方的選舉。他們參與了虛假資訊,並披露了竊取的資訊,例如在成功的魚叉式網路釣魚攻擊之後,從希拉里·克林頓的競選主席約翰·波德斯塔那裡竊取的電子郵件。
這些運營者是誰,他們為什麼如此熟練,他們在做什麼?
回到 20 世紀 80 年代
俄羅斯的網路威脅至少可以追溯到 1986 年,當時勞倫斯伯克利國家實驗室的系統管理員克里夫·斯托爾將一個 75 美分的會計錯誤與入侵實驗室計算機的行為聯絡起來。駭客的目標是軍事機密,下載了包含“核”等重要關鍵字的文件。斯托爾的著作《布穀鳥蛋》中描述的漫長調查,指向了一位將竊取的資料出售給當時蘇聯的德國駭客。
到 20 世紀 90 年代末,俄羅斯的網路間諜活動已經發展到包括為期多年的“月光迷宮”入侵美國軍事和其他政府計算機事件,預示了今天來自俄羅斯的大規模間諜活動。
在 20 世紀 90 年代,聖彼得堡的一名計算機操作員 弗拉基米爾·列文 也被捕。列文試圖透過入侵花旗銀行賬戶竊取超過 1000 萬美元,預示了俄羅斯在網路犯罪方面的突出地位。俄羅斯駭客在科索沃衝突期間破壞了美國網站,預示了俄羅斯廣泛使用破壞性和有害的網路攻擊。
進行高階攻擊
近年來,俄羅斯一直在一些有史以來最複雜的網路攻擊背後。2015 年對烏克蘭三家地區電力分配公司的網路攻擊 導致近 25 萬人斷電。電力資訊共享和分析中心以及 SANS 學院的網路安全分析師報告說,多階段攻擊是由一個“高度結構化且資源充足的行動者”進行的。烏克蘭將這些攻擊歸咎於俄羅斯。
攻擊者使用了多種技術,並適應了他們面臨的目標。他們使用魚叉式網路釣魚電子郵件訊息來獲得對系統的初始訪問許可權。他們安裝了 “BlackEnergy” 惡意軟體,以建立對受感染裝置的遠端控制。他們收集憑據以在網路中移動。他們開發了定製的惡意韌體,使系統控制裝置無法執行。他們劫持了監控和資料採集系統,以開啟變電站中的斷路器。他們使用了“KillDisk” 惡意軟體來擦除受影響系統的磁碟主引導記錄。攻擊者甚至進一步打擊了控制站的電池備份,並透過數千個電話佔用了能源公司的呼叫中心。
俄羅斯人於 2016 年捲土重來,使用了更先進的工具來摧毀烏克蘭電網的一條主要動脈。據信,俄羅斯還入侵了美國的能源公司,包括運營核電站的公司。
一流的網路教育
俄羅斯擁有許多熟練的網路操作員,這是有充分理由的:他們的教育系統比美國更重視資訊科技和計算機科學。
每年,俄羅斯的學校在國際大學生程式設計競賽中佔據了不成比例的頭把交椅。在 2016 年的比賽中,聖彼得堡國立大學連續第五次位居榜首,另外四所俄羅斯學校也進入了前 12 名。在 2017 年,聖彼得堡 ITMO 大學獲勝,另外兩所俄羅斯學校也進入了前 12 名。排名最高的美國學校排名第 13 位。
在俄羅斯準備在其軍隊內組建網路部門時,國防部長謝爾蓋·紹伊古注意到了俄羅斯學生在比賽中的表現。“我們必須以某種方式與這些人合作,因為我們非常需要他們,”他在與大學管理人員的公開會議上說。
這些俄羅斯網路戰士是誰?
俄羅斯在其軍隊和情報部門中僱用了網路戰士。事實上,被稱為 APT28(又名 Fancy Bear)和 APT29(又名 Cozy Bear 和 The Dukes)的網路間諜組織被認為分別對應於俄羅斯的軍事情報機構格魯和國家安全組織聯邦安全域性。這兩個組織在過去十年中都參與了數百次網路行動,包括美國大選駭客事件。
俄羅斯從其大學招募網路戰士,但也從網路安全和網路犯罪部門招募。據說,只要他們避免攻擊俄羅斯目標並利用他們的技能來幫助政府,他們就會對犯罪駭客視而不見。據安全公司 CrowdStrike 的聯合創始人 德米特里·阿爾佩羅維奇 稱,當莫斯科發現有才華的網路罪犯時,對該人的任何未決刑事案件都會被撤銷,駭客就會消失在俄羅斯情報部門。葉夫根尼·米哈伊洛維奇·博加切夫,因網路犯罪被美國聯邦調查局通緝,並懸賞 300 萬美元,也名列奧巴馬政府為回應干預美國大選而制裁的人員名單中。據說博加切夫“在聯邦安全域性一個特殊部門的監督下”工作。
官方渠道外的盟友
除了其內部能力外,俄羅斯政府還可以利用駭客和俄羅斯媒體。網路安全公司 FireEye 的分析師莎拉·吉里 報告說,駭客 “代表莫斯科傳播宣傳,為俄羅斯情報機構(如聯邦安全域性和格魯)開發網路工具,併入侵網路和資料庫以支援俄羅斯的安全目標”。
許多看似獨立的 “愛國駭客” 代表俄羅斯行事。最值得注意的是,他們於 2007 年在愛沙尼亞 襲擊了關鍵系統,原因是重新安置了蘇聯時代的紀念館,2008 年在喬治亞襲擊了關鍵系統,當時正值俄格戰爭,並在2014 年在烏克蘭襲擊了關鍵系統,這與兩國之間的衝突有關。
至少,俄羅斯政府縱容甚至鼓勵這些駭客。在一些愛沙尼亞的襲擊事件追溯到俄羅斯後,莫斯科拒絕了 愛沙尼亞的幫助請求——即使俄羅斯親克里姆林宮青年運動納什的一名委員承認發動了一些襲擊。當斯拉夫聯盟的駭客在 2006 年成功攻擊以色列網站時,杜馬副主任尼古拉·庫里亞諾維奇向該組織頒發了感謝狀。他指出,“一小股駭客的力量比目前武裝部隊的數千人還要強大。”
雖然一些愛國駭客可能確實獨立於莫斯科行事,但另一些人似乎有著密切的聯絡。網路金雕,一個對烏克蘭(包括其中央選舉網站)進行網路攻擊的組織,據說是一個俄羅斯國家贊助的網路活動的幌子。俄羅斯的間諜組織 APT28 據說在襲擊法國電視臺 TV5 Monde 和接管美國中央司令部的 Twitter 賬戶時,以 ISIS 相關的網路哈里發為幌子行事。
眾多網路威脅之一
雖然俄羅斯構成了重大的網路威脅,但它並不是唯一一個在網路空間威脅美國的國家。中國、伊朗和朝鮮也是具有強大網路攻擊能力的國家,隨著他們培養人民的技能,會有更多的國家加入這個行列。
好訊息是,保護組織網路安全的行動(例如監控對敏感檔案的訪問)對俄羅斯有效,對其他威脅行動者也有效。壞訊息是,許多組織沒有采取這些步驟。此外,駭客會在裝置中發現新的漏洞,並利用所有人中最薄弱的環節——人類。網路防禦是否會演變以避免來自俄羅斯或其他任何地方的重大災難,仍有待觀察。