警惕俄罗斯乌克兰网络战的“黑帮化”

俄罗斯与乌克兰之间的网络战到目前为止都是较为“克制”的，并没有发生类似2017年NotPetya那样殃及全球的“武器泄露”。同样，西方国家的黑客部队显然也在努力控制自己的网络行动，防止类似的危机产生。根据微软的报告，在乌克兰计算机上检测到新的破坏性恶意软件，大多数是针对目标的，其本身并非旨在造成广泛的基础设施破坏。从一月份检测到的WhisperGate，到近期发现的HermeticWiper、IsaacWiper和FoxBlade都是如此。

但是，越来越多的网络犯罪团伙、民间黑客组织和个人黑客在俄乌网络战中的“选边站”和“帮派化”对抗对全球构成新的威胁。因为这些黑客帮派既没有国家黑客的纪律，也没有足够的技能来保证他们的行为不会使局势升级。

Anonymous（匿名者组织）是最早“参战”的集体之一。它于2月24日在推特上宣布正式与俄罗斯政府展开网络战。该组织的推特账号现在充斥着大量对俄罗斯新闻和政府网站黑客攻击（主要是DDOS攻击）的战果以及敏感信息泄露的消息。

勒索软件组织Conti则是最早公开支持俄罗斯的犯罪团伙之一，2022年2月27日Conti发出警告，“如果美国的网络侵略将危及平民的福祉和安全，我们将利用我们所有的资源对地方关键基础设施进行反击。”

但一个戏剧性的反转凸显了俄乌网络战局势的复杂性。F-Secure战术防御部门的高级经理Calvin Gan透露：“众所周知，勒索软件组织通常在俄罗斯和乌克兰都有开发人员，而Conti的这种强硬立场导致其乌克兰成员泄露了内部信息。”就在Conti发出警告的当天，Conti的乌克兰成员在推特上开始持续泄露包括勒索软件源代码在内的Conti组织内部信息，并一直持续到今天。

Conti源代码的泄露可能是俄罗斯乌克兰民间网络战迄今为止对全球威胁最大的“武器泄露”事件，但这似乎并不完全是件坏事。全球的网络安全厂商正在忙于分析Conti的代码和组织信息，安全厂商Malwarebytes指出，关于Conti勒索软件组织的信息非常有价值，特别是有助于我们了解勒索软件组织如何运作以及他们如何针对受害者。

帮派化网络战甚至会威胁到平民的隐私安全。根据安全厂商Flashpoint在3月4日的报道，亲乌克兰的情绪越来越高。在物理战争打响的那一天，因大型数据库泄漏而臭名昭著的地下Raid论坛网站（现已关闭）的一名管理员Kozak888宣布该网站将禁止所有俄罗斯IP地址用户访问。一天后，Kozak888泄露了一个俄罗斯快递服务数据库，包含8亿条俄罗斯居民记录，包括全名、电子邮件地址和电话号码。Kozak888表示，数据库泄露是俄罗斯入侵乌克兰的结果（从该管理员的用户名可以看出其支持乌克兰的倾向，因为历史上哥萨克骑兵与乌克兰关系密切）。

一位安全研究人员通过一个名为CyberKnow的推特账号跟踪帮派网络战双方的成员，该账号本周二发布了最新统计表（下图）：

以上统计图表中黄色标注的是支持乌克兰的组织，红色是支持俄罗斯的组织。显而易见，俄罗斯/乌克兰战争在网络犯罪分子中产生了非常两极分化的影响。

其中，“黄色标注的（支持乌克兰）黑客组织在推特上目前大多处于非活动状态，要么关闭了他们的个人资料，要么账号已经被关闭。”CyberKnow透露。

危险之处在于，这些黑客团体没有中央控制，没有国家黑客组织的纪律性，也很可能没有足够的技能。这些民间独立团体擅自直接攻击对方关键基础设施的可能性，或者其数据擦除器（Wiper）等破坏性恶意软件意外泄露到战区地理边界之外的可能性不容忽视。

这是各国政府和企业网络安全部门都需要引起重视的新威胁。“破坏性恶意软件可能对组织的日常运营构成直接威胁，影响关键资产和数据的可用性。”美国的CISA不久前宣布：“对乌克兰组织的进一步破坏性网络攻击可能会发生，并可能无意中蔓延到其他国家的组织。组织应提高警惕并评估其能力，包括对此类事件的规划、准备、检测和响应。”

在英国，GCHQ国家网络安全中心首席执行官Lindy Cameron表示：“在一个如此依赖数字资产的世界里，网络弹性比以往任何时候都更加重要……如果情况继续恶化，我们可能会看到具有国际后果的网络攻击，无论是有意还是无意。”

（来源：@GoUpSec）