以下文章经允许转载自 对话网,这是一个报道最新研究的在线出版物。
除了承载我们所有的电话、短信和互联网通信外,网络空间还是一个活跃的战场,网络罪犯、政府特工甚至军事人员都在探测公司、国家甚至个人在线防御的弱点。一些最有才华和最危险的网络罪犯和网络战士来自俄罗斯,这个国家长期以来一直干预其他国家的事务。
支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。通过购买订阅,您将帮助确保有关当今塑造我们世界的发现和思想的具有影响力的故事的未来。
几十年来,俄罗斯运营者窃取了数兆字节的数据,控制了数百万台计算机,并获得了数十亿美元的收入。他们关闭了乌克兰的电力,并干预了美国和其他地方的选举。他们参与了虚假信息,并披露了窃取的信息,例如在成功的鱼叉式网络钓鱼攻击之后,从希拉里·克林顿的竞选主席约翰·波德斯塔那里窃取的电子邮件。
这些运营者是谁,他们为什么如此熟练,他们在做什么?
回到 20 世纪 80 年代
俄罗斯的网络威胁至少可以追溯到 1986 年,当时劳伦斯伯克利国家实验室的系统管理员克里夫·斯托尔将一个 75 美分的会计错误与入侵实验室计算机的行为联系起来。黑客的目标是军事机密,下载了包含“核”等重要关键字的文档。斯托尔的著作《布谷鸟蛋》中描述的漫长调查,指向了一位将窃取的数据出售给当时苏联的德国黑客。
到 20 世纪 90 年代末,俄罗斯的网络间谍活动已经发展到包括为期多年的“月光迷宫”入侵美国军事和其他政府计算机事件,预示了今天来自俄罗斯的大规模间谍活动。
在 20 世纪 90 年代,圣彼得堡的一名计算机操作员 弗拉基米尔·列文 也被捕。列文试图通过入侵花旗银行账户窃取超过 1000 万美元,预示了俄罗斯在网络犯罪方面的突出地位。俄罗斯黑客在科索沃冲突期间破坏了美国网站,预示了俄罗斯广泛使用破坏性和有害的网络攻击。
进行高级攻击
近年来,俄罗斯一直在一些有史以来最复杂的网络攻击背后。2015 年对乌克兰三家地区电力分配公司的网络攻击 导致近 25 万人断电。电力信息共享和分析中心以及 SANS 学院的网络安全分析师报告说,多阶段攻击是由一个“高度结构化且资源充足的行动者”进行的。乌克兰将这些攻击归咎于俄罗斯。
攻击者使用了多种技术,并适应了他们面临的目标。他们使用鱼叉式网络钓鱼电子邮件消息来获得对系统的初始访问权限。他们安装了 “BlackEnergy” 恶意软件,以建立对受感染设备的远程控制。他们收集凭据以在网络中移动。他们开发了定制的恶意固件,使系统控制设备无法运行。他们劫持了监控和数据采集系统,以打开变电站中的断路器。他们使用了“KillDisk” 恶意软件来擦除受影响系统的磁盘主引导记录。攻击者甚至进一步打击了控制站的电池备份,并通过数千个电话占用了能源公司的呼叫中心。
俄罗斯人于 2016 年卷土重来,使用了更先进的工具来摧毁乌克兰电网的一条主要动脉。据信,俄罗斯还入侵了美国的能源公司,包括运营核电站的公司。
一流的网络教育
俄罗斯拥有许多熟练的网络操作员,这是有充分理由的:他们的教育系统比美国更重视信息技术和计算机科学。
每年,俄罗斯的学校在国际大学生程序设计竞赛中占据了不成比例的头把交椅。在 2016 年的比赛中,圣彼得堡国立大学连续第五次位居榜首,另外四所俄罗斯学校也进入了前 12 名。在 2017 年,圣彼得堡 ITMO 大学获胜,另外两所俄罗斯学校也进入了前 12 名。排名最高的美国学校排名第 13 位。
在俄罗斯准备在其军队内组建网络部门时,国防部长谢尔盖·绍伊古注意到了俄罗斯学生在比赛中的表现。“我们必须以某种方式与这些人合作,因为我们非常需要他们,”他在与大学管理人员的公开会议上说。
这些俄罗斯网络战士是谁?
俄罗斯在其军队和情报部门中雇用了网络战士。事实上,被称为 APT28(又名 Fancy Bear)和 APT29(又名 Cozy Bear 和 The Dukes)的网络间谍组织被认为分别对应于俄罗斯的军事情报机构格鲁和国家安全组织联邦安全局。这两个组织在过去十年中都参与了数百次网络行动,包括美国大选黑客事件。
俄罗斯从其大学招募网络战士,但也从网络安全和网络犯罪部门招募。据说,只要他们避免攻击俄罗斯目标并利用他们的技能来帮助政府,他们就会对犯罪黑客视而不见。据安全公司 CrowdStrike 的联合创始人 德米特里·阿尔佩罗维奇 称,当莫斯科发现有才华的网络罪犯时,对该人的任何未决刑事案件都会被撤销,黑客就会消失在俄罗斯情报部门。叶夫根尼·米哈伊洛维奇·博加切夫,因网络犯罪被美国联邦调查局通缉,并悬赏 300 万美元,也名列奥巴马政府为回应干预美国大选而制裁的人员名单中。据说博加切夫“在联邦安全局一个特殊部门的监督下”工作。
官方渠道外的盟友
除了其内部能力外,俄罗斯政府还可以利用黑客和俄罗斯媒体。网络安全公司 FireEye 的分析师莎拉·吉里 报告说,黑客 “代表莫斯科传播宣传,为俄罗斯情报机构(如联邦安全局和格鲁)开发网络工具,并入侵网络和数据库以支持俄罗斯的安全目标”。
许多看似独立的 “爱国黑客” 代表俄罗斯行事。最值得注意的是,他们于 2007 年在爱沙尼亚 袭击了关键系统,原因是重新安置了苏联时代的纪念馆,2008 年在格鲁吉亚袭击了关键系统,当时正值俄格战争,并在2014 年在乌克兰袭击了关键系统,这与两国之间的冲突有关。
至少,俄罗斯政府纵容甚至鼓励这些黑客。在一些爱沙尼亚的袭击事件追溯到俄罗斯后,莫斯科拒绝了 爱沙尼亚的帮助请求——即使俄罗斯亲克里姆林宫青年运动纳什的一名委员承认发动了一些袭击。当斯拉夫联盟的黑客在 2006 年成功攻击以色列网站时,杜马副主任尼古拉·库里亚诺维奇向该组织颁发了感谢状。他指出,“一小股黑客的力量比目前武装部队的数千人还要强大。”
虽然一些爱国黑客可能确实独立于莫斯科行事,但另一些人似乎有着密切的联系。网络金雕,一个对乌克兰(包括其中央选举网站)进行网络攻击的组织,据说是一个俄罗斯国家赞助的网络活动的幌子。俄罗斯的间谍组织 APT28 据说在袭击法国电视台 TV5 Monde 和接管美国中央司令部的 Twitter 账户时,以 ISIS 相关的网络哈里发为幌子行事。
众多网络威胁之一
虽然俄罗斯构成了重大的网络威胁,但它并不是唯一一个在网络空间威胁美国的国家。中国、伊朗和朝鲜也是具有强大网络攻击能力的国家,随着他们培养人民的技能,会有更多的国家加入这个行列。
好消息是,保护组织网络安全的行动(例如监控对敏感文件的访问)对俄罗斯有效,对其他威胁行动者也有效。坏消息是,许多组织没有采取这些步骤。此外,黑客会在设备中发现新的漏洞,并利用所有人中最薄弱的环节——人类。网络防御是否会演变以避免来自俄罗斯或其他任何地方的重大灾难,仍有待观察。