从俄乌军事冲突看恶意数据擦除软件攻击

在世界正在经历的百年未有之大变局中，俄乌军事冲突无疑是一个重大事件，也是一个重要节点。从 2022 年 2 月 24 日爆发的俄乌军事冲突到今天仍在持续，愈演愈烈。在此次俄乌军事冲突中，恶意擦除软件攻击活动一直是俄乌战争的代名词，恶意数据擦除软件扮演了重要角色，攻击主要针对公共部门、金融和能源公司以及电信供应商等关键基础设施。

一、俄乌军事冲突下的网络战特点

自俄乌军事冲突正式爆发以来，在物理战场之外以俄乌美欧为主的多方势力在网络空间这个看不见硝烟的第二战场上展开激烈较量。除了有直接的网络攻击引起系统瘫痪或数据损毁，还有网络信息战对舆论的影响与争夺。俄乌军事冲突中除传统军事交战手段外，还同步使用了网络战、舆论战、信息战等多维度非对称混合型战争手段。

1、关键基础设施是网络攻击的首要目标

关键基础设施是支撑多个重要行业的信息系统和工业控制系统，它的运转主要依赖于易受攻击的网络系统。在俄乌军事冲突中，各方黑客势力要攻陷的目标，国防军事系统、铁路电力、互联网连接、政府网站，正是关系国计民生的关键基础设施，任何一个陷入瘫痪都将对本国造成“核爆级”的毁灭式打击。自从俄乌军事冲突爆发以来，根据俄乌双方发表的正式报道，两国的电网、通信网、银行系统、工业控制系统等关键基础设施都遭到过非法入侵，攻击者通过植入恶意软件对关键数据进行数据擦除，从而造成关键基础设施的大面积、长时间瘫痪。战前乌克兰政务、金融基础设施多次受损，开战后乌克兰电信基础设施经常性中断服务，俄罗斯政务等基础设施也出现无法访问情况。3月28日，乌克兰报道其最大固网电信运营商遭遇重大网络攻击下线。而俄罗斯电信监管机构也发文，称其正遭到定期的网络攻击。所以在战争情况下，国家的关键基础设施往往成为网络攻击的主要目标，此次俄乌军事冲突下的网络攻击事件就是最佳例证。

2、数据成为新的攻击对象

在此次俄乌军事冲突中，随着数据成为政府、社会和组织运行的关键要素，随之成为网络攻击的重点对象，勒索攻击的高发态势已说明这一点，而此次攻击中的数据擦除则是比勒索攻击更严重的数据攻击类型。各方势力通过传播数据擦除恶意软件（HermeticWiper），破坏政府机构和关键信息基础设施计算机的数据，达到深度致瘫的效果，同时窃取重要敏感数据。俄乌战争爆发后，匿名者黑客组织（Anonymous）宣布对俄罗斯发动网络战争，该团伙声称已通过DDoSecrets公布了约5.8 TB的俄罗斯数据，并发誓要泄露更多俄罗斯企业、政府、商业银行等实体组织的数据信息。

3、高级别黑客军团和新攻击方式登场

此次俄乌军事冲突，还凸显出黑客的军事职能以及网络攻击在现代战争中的核心地位。网络战的主力是国家级黑客军团，军事级别的黑客攻击技术将有组织、有预谋、有计划地发挥巨大威力。针对俄罗斯在乌克兰的军事行动，全球最大的黑客组织“匿名者”日前在社交网站上号召全球黑客对俄发起“网络战争”。社交网站上有匿名账户宣称，“匿名者”黑客组织在72小时内就攻击关闭了1500多个与俄罗斯和白俄罗斯政府、官方媒体、主要银行和企业有关的网站。从技术来看，各方利益团体的黑客组织以分布式拒绝服务(DDoS)攻击、钓鱼欺诈、漏洞利用、供应链攻击、伪装成勒索软件的恶意数据擦除攻击等多种“网络武力”，向敌对国政府、军工、铁路电力、国防等部门发起破坏袭击。

数据擦除作为一种兼具大规模破坏、巨额损失、漫长恢复时间成本，以及摧毁式特性的攻击手段，一直被称之为最恶劣的攻击方式。与勒索软件不同，勒索软件的目的是加密文件以换取付款，数据擦除软件的目的是破坏数据，而无法恢复文件。从表 1 看出，自 1 月份以来，已发现 8 款重要数据擦除恶意软件。其中 7 款针对乌克兰实体和组织，1 款针对俄罗斯实体和组织。这些攻击的影响目前还少有公开报道，但这些攻击似乎主要针对乌克兰的公共部门、金融和能源公司以及电信供

二、俄乌军事冲突中的恶意数据擦除软件

三、恶意数据擦除软件攻击的特点

本轮俄乌军事冲突发生前后，在乌克兰的多个重要部门的计算机系统上发现恶意数据擦除软件目标直指向乌克兰的政府、非营利组织和信息技术实体。

1、从攻击目标上看，专注破坏性，摧毁或瓦解受害者的系统和数据

俄乌军事冲突表明，恶意数据擦除软件攻击具有严重的致命性和破坏性，甚至可以在不留任何攻击痕迹的情况下摧毁系统恢复工具，擦除数据并阻止操作系统恢复，从而达到摧毁或瓦解受害者的系统和数据的目的。本轮俄乌军事冲突发生前后，在乌克兰的多个重要部门的计算机系统上发现恶意数据擦除软件目标直接指向乌克兰的政府、非营利组织和信息技术实体。

3 月，美国网络安全公司 SentinelLabs 曝出针对乌克兰的数据擦除恶意软件“酸雨”（AcidRain），专门为针对乌克兰的行动而开发的，用于破坏调制解调器和路由器；该软件通过使用KA-SAT管理机制被部署在调制解调器和路由器上，随后会对设备文件系统进行深度擦除，完成擦除后会重新启动设备导致设备无法启用。同时，网络安全公司 ESET 还发现了另一种破坏数据的恶意擦除软件CaddyWiper，该软件可以从附加的驱动程序中删除用户数据和分区信息，还可以擦除其部署的Windows域中的数据。名为WhisperGate的恶意软件旨在不可逆转地破坏受感染主机的数据，并试图伪装成勒索软件攻击来隐藏攻击方式和目的，分散调查人员对袭击发起者的注意力；而名为HermeticWiper的软件在部署后不仅会破坏本地数据，还会损坏硬盘驱动器的主引导记录（MBR）部分，从而阻止计算机在强制重新启动后引导至操作系统。另一个破坏性恶意软件IsaacWiper在2月24日针对乌克兰的新一轮网络攻击中出现。其复杂度较低。使用ISAAC伪随机数生成器生成的数据覆盖每个磁盘前0x10000字节数据，从而造成破坏。

2、从攻击方式上看，呈现隐蔽性，伪装成勒索软件开展擦除攻击

俄乌军事冲突中曝出的恶意擦除软件在进行攻击时，不分平时和战时，作战准备具有较高的隐蔽性。我们能看得到的是作战效果，看不到的是作战准备，而作战过程在短时间内甚至瞬间完成。如俄乌军事冲突中的恶意软件 WhisperGate 就在纷争前已经完成植入，恶意软件 HermeticWiper 甚至提前3个月编译完成，植入时间大概率也应在2月24日之前。

在俄乌军事冲突爆发前一天，网络安全公司 ESET 还发现了一种现在称为HermeticWiper的数据擦除恶意软件，该恶意软件与勒索软件诱饵一起用于攻击乌克兰机构。无独有偶，乌克兰国家特殊通信和信息保护局发现了另外一种恶意擦除软件WhisperKill，该机构表示它重复使用了80%的Encrpt3d勒索软件代码（又名WhiteBlackCrypt勒索软件），并试图伪装成勒索软件攻击来隐藏攻击方式和目的，分散调查人员对袭击发起者的注意力。3月，Trend Micro网络安全公司发布题为《新的RURansom Wiper针对俄罗斯》的报告。报告中提到了RURansom擦除器，该擦除器的出现代表了亲乌克兰黑客活动家对擦除器的首次使用，并可能预示着正在进行的针对俄罗斯的网络活动进入一个新阶段。报告中提到其最近发现了名为“RURansom”的恶意软件，该软件使用.NET编写，以蠕虫病毒的形式传播，并且会在目标机器上对文件进行不可逆的加密，因此这不是一款勒索软件，而是擦除器。同时在一些版本的代码当中会检查是否当前IP处于俄罗斯。通过以上线索可以判断此恶意软件是针对俄罗斯的文件擦除器。

3、从攻击后果上看，极具致命性，数据无法恢复

自俄乌军事冲突爆发以来，恶意擦除软件频频曝出，网络攻击事件接连发生，并呈现愈演愈烈的攻击趋势。恶意擦除软件攻击具有严重的致命性和破坏性，从俄乌冲突开始，俄罗斯就对乌克兰国防、金融、航空和IT服务部门的擦除软件攻击，破坏了相关系统和数据，导致目标数据丢失或者业务运营受到严重影响。3月，WhisperGate数据擦除器对乌克兰的多个国家机关网站受到恶意攻击，导致用户访问异常以及访问某些资源时出现包含挑衅内容的图片信息。根据最新发布的安全研究发现，最近对美国卫星通信提供商Viasat的网络攻击可能是源于一种名为“酸雨”（AcidRain）的新型恶意擦除软件攻击，该事件引发了中欧和东欧的卫星服务中断，影响了位于乌克兰的数千名客户和欧洲各地的数万名客户，包括断开了对德国约5800台风力涡轮机的远程访问。4月，恶意擦除软件对一家俄罗斯银行的攻击导致了超过1TB的数据被泄露，其中包括财务报表、代币、税务表格、客户信息和敏感数据库。据称，为防止数据和功能恢复，此次攻击还删除了所有备份。

四、几点启示

1、恶意数据擦除软件仍是最大网络安全挑战之一

截止目前，据不完全统计，在俄乌军事冲突中共发现 8 种恶意数据擦除软件，网络攻击规模巨大。8月，乌克兰国家特别通信和信息保护局表示，自今年年初以来，乌克兰国家计算机应急响应小组（CERT-UA）已经跟踪了“1600多起重大网络事件”，已经确定了战争期间使用的10多种不同类型的恶意软件“雨刷”（Wiper），从网络安全的角度看，恶意数据擦除软件仍然是巨大挑战，此外还有数据泄露或利用网络攻击制造混乱和破坏。冲突发生至今，最大的网络安全挑战之一是恶意数据擦除软件的广泛使用和影响，这种恶意软件旨在破坏其所感染系统的硬盘驱动器。

2、积极防范恶意数据擦除软件攻击和提升网络防御能力迫在眉睫

当前，俄乌军事冲突“硝烟”弥漫网络空间，伴随俄乌军事冲突，国家级网络攻击频率不断提高，恶意数据擦除软件盛行，导致网络空间风险进一步加剧。面对这一情况，一方面我们要从俄乌军事冲突中分析相关恶意数据擦除软件攻击特点和后果，总结经验教训，积极有效防范恶意数据擦除软件攻击，制定异地数据备份、事件响应和灾难恢复计划，另一方面，我们应继续提升整体网络防御能力，避免陷入被动局面。持续加强企企合作、政企合作及军民融合，持续进行网络攻防技术创新，加强网络安全能力建设，加快完善网络安全体制机制，共建网络空间安全领域命运共同体。

3、以摧毁国防军工关键基础设施为主要目标之一的数字时代网络战已经到来

数字时代万物互联，当网络空间足以映射现实，关键基础设施中的每一个环节都是现实世界的中枢神经，任何一丝风吹草动，都将为物理世界、虚拟空间带来无法挽回的灾难。俄乌军事冲突中，乌克兰遭受网络攻击致“断网”、多个政府、金融机构再次遭到DDoS攻击瘫痪，数百台机器还遭到数据擦除攻击等等，无疑不透露出新型网络战已经具备实体攻击能力。同时，这场由局部冲突所演化而来的网络战，必将继续蔓延成为全球各个利益体系之间的持续较量，世界各国必将迎来更加严峻的网络战军备竞赛考验。

五、结　语

俄乌军事冲突不会从根本上改变原有的网络空间格局，伴随俄乌军事冲突而来的数字战争是国家间在网络空间领域的博弈较量，作为发生在数字时代的新形态战争，网络战和信息战从暗处走向前台，特别是非国家行为体的参战，使全球网络空间的对抗态势更加复杂化。

供稿：三十所信息中心