《华尔街日报》：谷歌发现俄罗斯与黑客协同发起与乌克兰战争相关的网络攻击

谷歌研究人员指出，越来越多的证据表明，亲俄黑客和网络活动人士正与该国军事情报机构合作。

西方官员和安全专家对克里姆林宫可能存在的关联性表示关注，因为这有助于解释莫斯科方面在乌克兰境内外的意图——尽管近期军事失利促使俄罗斯总统弗拉基米尔·普京本周宣布部分动员令。

美国和欧洲官员在整个战争期间不断警告称，俄罗斯黑客可能通过针对关键基础设施和政府发动网络攻击来打击乌克兰的盟友，但迄今为止这种情况基本未成现实。

过去几个月，谷歌旗下Mandiant网络安全团队观察到，亲俄黑客组织（表面上由爱国民间黑客组成）与俄罗斯军事情报局（GRU）的网络入侵行为存在明显协同。Mandiant表示，在四起案例中发现与GRU相关的黑客活动，攻击者在受害者网络中安装了恶意的"数据擦除"软件。

初始擦除软件通过破坏整个组织的计算机系统造成混乱。随后黑客活动分子介入——在每次擦除攻击的24小时内，这些黑客组织就会公布从相同机构窃取的数据。

俄罗斯军事情报机构GRU的莫斯科总部。图片来源：Stringer ./REUTERS据Mandiant称，三个亲俄罗斯的黑客团体参与了此次行动，该公司本月早些时候被谷歌收购。这三个团体分别名为XakNet Team、Infoccentr和CyberArmyofRussia_Reborn。

结合其他与战争相关的活动，这造成了一种前所未有的局面，Mandiant在一份将于周五发布的关于黑客活动的报告中表示。“我们以前从未在短短几个月内观察到如此大量的网络攻击、如此多样的威胁行为者以及如此协调的行动，”报告称。

俄罗斯驻华盛顿大使馆的代表没有回应置评请求，但俄罗斯否认参与了黑客活动。

前美国国家安全局局长、现为风险投资公司Team8 Labs Ltd.运营合伙人的迈克尔·S·罗杰斯表示，黑客团体是俄罗斯提供了一种增强和更具威胁性的在线存在的方式。

“俄罗斯政府正试图生成更多能力，”他说。“这些团体很有吸引力，因为它们提供了一定程度的合理推诿。”

Mandiant情报分析副总裁约翰·胡尔特奎斯特表示，既然XakNet已经确立了自己作为一个黑客团体的地位，它可能被用作俄罗斯情报部门指挥的更严重网络行动的掩护。“这些行为者不容小觑，”他在谈到GRU时说。“他们有能力让灯熄灭。”

证据虽非确凿无疑，但GRU关联攻击与黑客活动分子之间反复出现的联系“令人难以忽视，这表明两者关系并非偶然，”赫尔特奎斯特先生表示。

今年春季，美国国土安全部发布警报，将XakNet（发音同hack-net）和另一个名为Killnet的组织列为美国基础设施的潜在威胁。该警报还警告称，乌克兰战争可能导致犯罪组织和黑客活动团体的攻击激增。

安全研究人员指出，Killnet已对日本、意大利、挪威、爱沙尼亚和立陶宛等多个实体发动分布式拒绝服务（DDoS）攻击，试图通过海量网络流量瘫痪服务器。赫尔特奎斯特称，该组织有时似乎与XakNet协同行动。

近几个月来，Killnet接受了俄罗斯媒体的采访。研究人员表示，这种媒体曝光——强化了俄罗斯战争获得民众支持的印象——可能比网络破坏行为本身更重要。“他们声势浩大，但充其量只是小打小闹，”网络威胁情报公司Flashpoint的分析师弗拉德·库尤克鲁说道。

但美国已遭遇数起针对性攻击。据运营国会网站的国会图书馆发言人透露，7月份，国会立法信息官方平台Congress.gov因DDoS攻击瘫痪约两小时。“图书馆网络未遭入侵，攻击未导致任何数据丢失，”该发言人表示。

8月，Killnet宣称对美国国防承包商洛克希德·马丁公司发起攻击，同期泄露了据称从加州圣何塞电路板制造商Gorilla Circuits（一家国防工业承包商）窃取的文件。

Gorilla Circuits发言人证实，该公司在数月前（2021年秋季）曾遭遇安全事件。“根据相关法律，我们已向可能涉及信息泄露的个人和实体发送书面通知，“他表示，“此后公司未再发生安全事件。”

洛克希德·马丁发言人回应：“我们每日都面临全球复杂对手的威胁，持续采取行动提升系统安全性，保护员工、客户及项目数据。”

谷歌Mandiant网络安全团队发现克里姆林宫与网络活动分子可能存在协作。图片来源：Gabby Jones/彭博新闻社黑客行动主义团体已存在十余年。2007年爱沙尼亚拆除首都塔林的苏联时期雕像后，俄罗斯黑客曾对其发动毁灭性网络攻击，导致银行、政府网站及媒体公司瘫痪约一周。

立陶宛国家网络机构网络安全管理总监Jonas Skardinskas表示，自今年6月起，该国政府机构网站至少遭遇两波拒绝服务攻击。这些攻击（部分由Killnet宣称负责）的异常之处在于：目标分散且未达瘫痪级别，但持续时间极长。

“它们的目的是让人恼火而非造成破坏，”斯卡丁斯卡斯先生在采访中表示。

然而，官员们有理由感到担忧。爱沙尼亚高级网络安全官员格特·奥维尔塔上周在塔林接受采访时称，这个波罗的海小国在8月拆除剩余的苏联战争纪念碑后遭遇了一波DDoS攻击。Killnet宣称对攻击负责，一些官员表示这是自2007年数字围城以来规模最大的一次。

奥维尔塔表示，爱沙尼亚成功击退了攻击，但西方官员对此次攻击所涉及的流量水平感到惊讶，峰值数据量超过每秒200千兆字节——这一数字远高于通常涉及拒绝服务攻击的个位数水平。

“当我们与欧洲和大西洋彼岸的盟友讨论此事时，这些数字令所有人都印象深刻，”奥维尔塔先生说。

致信 罗伯特·麦克米伦，邮箱：[email protected] 和达斯汀·沃尔兹，邮箱：[email protected]

刊登于2022年9月24日印刷版，标题为《黑客与克里姆林宫同步行动》。