| 戴匡/東海大學專任研究員 |
主要行為者與網攻情勢分析
俄烏戰爭期間,俄國主要透過官方駭客組織Sandworm駭侵烏克蘭[1]。Sandworm隸屬於俄羅斯總參謀部情報總局(俄文拉丁轉寫簡稱為GRU),其駭侵行徑旨在推進俄國戰略目標,滿足戰時情報需求。烏克蘭國家特別通訊暨資訊保護局(State Service of Special Communications and Information Protection,SSSCIP)指出,在俄烏戰爭開始前一兩年,Sandworm即運用惡意軟體滲透烏克蘭資訊系統,目的是伺機而動,於俄國侵略時發動網攻。Sandworm主要目標包括烏克蘭政府機構,以及能源、媒體和物流單位,已對烏克蘭國內網路安全構成嚴重影響。
在駭侵手法方面,Sandworm積極對烏克蘭組織部署惡意軟體。SSSCIP表示,自俄烏戰爭開打以來,Sandworm已使用至少 20 種惡意軟體,儘管部分軟體精緻複雜,但也有易遭偵測和防範的粗劣軟體,相對簡單、未經良好研發的資料移除程式(Wiper)即屬此類。Sandworm恐透過大量惡意軟體進行實驗,尋找烏克蘭網路防禦系統破綻。
Sandworm還運用新技術駭侵能源基礎設施。2022年4月,Sandworm駭侵烏克蘭能源公司未遂,當時該組織使用Industroyer2惡意軟體,試圖破壞電流。Sandworm曾於2016年透過Industroyer軟體破壞烏克蘭電網,Industroyer2為Industroyer惡意軟體變種。
Sandworm亦部署勒索軟體。2022年11月,該組織透過RansomBoggs勒索軟體駭侵烏克蘭組織,主要目標是破壞烏克蘭網路或駭竊高價值資料。一般而言,勒索軟體多為網路罪犯所用,透過此手法,俄國可達魚目混珠之效,將駭侵行徑嫁禍他人,同時掩蓋真實目的。
Sandworm也協助俄國遂行資訊作戰,例如散播美國於烏克蘭設置生物武器實驗室的陰謀論。
俄國與國內犯罪集團聯手,擴大網路行動
俄國乃諸多知名駭客組織母國,這些駭客組織雖為禍一方,但主要目的在於謀財,而非促進俄國政府利益,然此情況已因俄烏戰爭改變。根據美國網路安全公司Recorded Future發布之研究報告[2],自戰爭開打以來,俄國情報、軍事和執法部門已與駭客組織建立合作關係,共同協調和擴大網路行動與資訊作戰。舉例而言,暗網駭客可將烏克蘭公民資料庫售予俄國官方駭客,方便俄國對烏克蘭公民和政府官員遂行資訊作戰或間諜活動。
戰爭開始後,部分駭客組織已向俄國投誠,其中以親俄駭客集團Killnet最為知名。該集團主要做案手法為分散式阻斷服務(Distributed Denial of Service,DDoS)攻擊,駭侵範圍涵蓋烏克蘭盟友,包括美國機場[3]與北大西洋公約組織(North Atlantic Treaty Organisation,NATO)網站[4]皆曾遭駭;近期該集團轉為駭侵醫療機構,於2023年2月發動範圍涵蓋美國25州醫院的大規模駭侵案[5]。儘管DDoS傷害甚小,但俄烏戰爭引發的駭侵效應確已擴及盟友,且受害方包括基礎設施。
網路攻擊於戰爭中的作用與角色
迄今為止,俄國主要仍以火炮、坦克等實體武器破壞烏克蘭基礎設施,破壞性網攻並不常見,網攻的主要作用為輔助作戰。SSSCIP指出[6],俄國網路行動以間諜和情蒐工作為主要目標,例如獲得烏克蘭軍隊後勤資訊或透過資訊作戰散播恐慌等,但由於俄軍進展並不順利,相關行動似乎成效不彰。
俄烏戰爭開始之際,美國衛星通訊供應商Viasat即遭駭侵[7],此案影響烏克蘭政府與軍用通訊,西方國家將俄國指控為幕後黑手。由此可見,俄國試圖透過網攻破壞烏克蘭的指揮控制系統,藉此製造混亂,除阻斷軍用資訊流通外,破壞衛星通訊還能切斷烏克蘭與外界的聯繫,使國際社會無法了解俄國侵略實況,同時讓烏克蘭民眾無法接收到正確的政府資訊。
SSSCIP也發現[8],俄國曾使用網攻作為實體攻擊的戰術搭配。2022年11月,俄國發動導致大規模斷電的強大網攻,並同時針對烏克蘭能源設施發射多枚飛彈,當時該國的所有核電站皆被迫關閉。得手後,俄國隨即遂行資訊作戰,試圖將停電責任嫁禍給烏克蘭政府與企業。
俄國網攻數量繁多、手法複雜,雖然多數攻擊未構成重大影響,但其防不勝防的特性卻能使烏克蘭政府疲於奔命,從而分散烏方對實體攻擊的注意,形成掩護作用。
影響與啟示
俄烏戰爭中,俄國對烏克蘭網攻不斷,但效果並不顯著,其中烏克蘭盟國與民間單位的網路安全援助可說是功不可沒。戰爭前夕,美國網戰司令部(United States Cyber Command,USCYBERCOM)即與烏克蘭政府密切合作[9],協助搜捕存在烏克蘭網路中的惡意活動,並透過創新技術提供遠端分析與諮詢支持,同時展開防禦行動,保護烏克蘭關鍵網路。
民間援助方面,則有微軟持續向烏克蘭提供技術支持,確保數位基礎設施安全[10]。美國企業家Elon Musk也於戰爭之初免費向烏克蘭提供Starlink衛星網路服務[11],使其通訊保持暢通,瓦解俄國干擾烏克蘭通訊之企圖。
在反駭侵方面,烏克蘭政府於戰爭之初即招募駭客義勇軍IT Army[12],廣納駭客網攻俄國、進行反擊。目前烏克蘭政府已起草法案,擬將IT Army正式納入後備網路部隊[13],該部隊將由具嫻熟IT技術的退伍軍人組成,可在國家面臨網路威脅或衝突期間接受動員、保家衛國,可見烏克蘭擬將駭客部隊體制化、納入正式軍方編制。此外,過去IT Army的義勇軍性質模糊作戰人員與平民之間的界線,而烏克蘭的做法有助於保證戰時問責制度的適用性,確保IT Army不致做出違反戰時國際法與軍紀的行徑。
一直以來,網攻屬灰色地帶(Gray Zone)衝突,是否確屬戰爭行為,在國際法上饒富爭議。俄烏戰爭中,俄國駭侵烏克蘭基礎設施的行徑所在多有,包括政府單位、銀行、電視臺、核能機構、能源系統與衛星通訊系統皆曾遭俄國毒手。對此,烏克蘭的官方立場是[14],應將導致關鍵民用服務中斷的網攻定為戰爭罪;並希望更動聯合國對「侵略」的法律定義,將「使用網路武器」納入其中。烏方也開始蒐集俄國駭客網攻關鍵系統的劣跡,擬提交給海牙國際刑事法院(International Criminal Court,ICC),作為俄國犯下戰爭罪的證據。
烏克蘭認為,網攻破壞性堪比傳統實體攻擊,其影響力非同小可。烏方已呼籲建立一個名為「網路聯合國」(Cyber United Nations)的全球性組織,集全球盟友之力應對網攻,共享威脅資訊。
結語
俄烏戰爭中的網攻規模龐大,為過去戰爭或地緣衝突所未見,儘管實體作戰仍主導戰爭走向,但網攻儼然成為實體攻擊的戰術搭配,是俄國試圖造成烏方混亂的重要手段。烏克蘭則透過與盟國的網路合作,以及積極組建志願軍進行網路反擊,成功抵禦多數駭侵。隨著俄烏戰爭發展成消耗戰,未來可持續觀察雙方網路衝突趨勢,包括駭侵手法的演化、國際網路衝突規範的制定,以及烏克蘭倡議的後續發展。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
[1] Daryna Antoniuk. A year of wipers: How the Kremlin-backed Sandworm has attacked Ukraine during the war. The Record. 2023/3/4. https://therecord.media/a-year-of-wipers-how-the-kremlin-backed-sandworm-has-attacked-ukraine-during-the-war/
[2] Daryna Antoniuk. How the war in Ukraine has strengthened the Kremlin’s ties with cybercriminals. The Record. 2023/1/31. https://therecord.media/how-the-war-in-ukraine-has-strengthened-the-kremlins-ties-with-cybercriminals
[3] Bill Toulas. US airports’ sites taken down in DDoS attacks by pro-Russian hackers. BleepingComputer. 2022/10/10. https://www.bleepingcomputer.com/news/security/us-airports-sites-taken-down-in-ddos-attacks-by-pro-russian-hackers/
[4] Alex Scroxton. Killnet DDoS attacks disrupt Nato websites. ComputerWeekly. 2023/2/13. https://www.computerweekly.com/news/365530999/Killnet-DDoS-attacks-disrupt-Nato-websites
[5] Jonathan Greig. Pro-Russia hackers are increasingly targeting hospitals, researchers warns. The Record. 2023/3/20.
https://therecord.media/killnet-ddos-hospitals-healthcare-russia
[6] Derek B. Johnson. The Russia-Ukraine war has some rethinking the role of offensive cyber operations in armed conflict. SC Media. 2023/1/9. https://www.scmagazine.com/feature/critical-infrastructure/the-russia-ukraine-war-is-causing-some-to-rethink-the-role-of-offensive-cyber-operations-in-armed-conflict
[7] Gordan Corera. Russia hacked Ukrainian satellite communications, officials believe. BBC. 2022/3/25.
https://www.bbc.com/news/technology-60796079
[8] Dan Sabbagh. Cyber-attacks have tripled in past year, says Ukraine’s cybersecurity agency. The Guardian. 2023/1/19. https://www.theguardian.com/world/2023/jan/19/cyber-attacks-have-tripled-in-past-year-says-ukraine-cybersecurity-agency
[9] U.S. Cyber Command. Before the Invasion: Hunt Forward Operations in Ukraine. 2022/11/28. https://www.cybercom.mil/Media/News/Article/3229136/before-the-invasion-hunt-forward-operations-in-ukraine/
[10] Brad Smith. Extending our vital technology support for Ukraine. Microsoft. 2022/11/3. https://blogs.microsoft.com/on-the-issues/2022/11/03/our-tech-support-ukraine/
[11] 科技新報。馬斯克神救援烏克蘭!從Starlink看見低軌衛星在現代戰場上的意義。遠見雜誌。2022/3/12。
https://www.gvm.com.tw/article/87874
[12] Igor Bonifacic. Ukraine asks international volunteers to join ‘IT army’ against Russia. engadget. 2022/2/27. https://www.engadget.com/ukraine-it-army-201049384.html
[13] Shaun Waterman. Ukraine Scrambles to Draft Cyber Law, Legalizing Its Volunteer Hacker Army. Newsweek. 2023/3/14. https://www.newsweek.com/ukraine-drafting-new-law-legalizing-volunteer-hacker-cyber-army-red-cross-1786814
[14] Maggie Miller. Ukraine calls for ‘Cyber United Nations’ amid Russian attacks. Politico. 2023/1/15. https://www.politico.com/news/2023/01/15/ukraine-cyber-united-nations-russia-00077955
