俄罗斯爱国黑客团队用DDoS支持“特别军事行动”

对立陶宛的攻击始于6月20日。在接下来的10天里，政府和企业的网站受到DDoS攻击——迫使目标网站下线。立陶宛国家网络安全中心代理主任Jonas Sakrdinskas说：“通常，DDoS攻击集中在一个或两个目标上，并伴随巨大的流量”。但现在的情况有所不同。

此消息（材料）由履行外国代理人职能的外国媒体和（或）由履行外国代理人职能的俄罗斯法律实体创建和（或）分发。

在袭击开始前几天，立陶宛阻止煤炭和金属通过立陶宛转移到俄罗斯的飞地加里宁格勒，这种举动是对俄乌战争期间乌克兰的支持。

亲俄黑客组织Killnet随即在其Telegram频道称“立陶宛疯了吗？ ”。该组织随后@其他一些亲俄黑客组织一同攻击立陶宛网站。并向他们分享了攻击目标列表。

Sakrdinskas解释说，攻击是持续的，并蔓延到立陶宛日常生活的所有领域。据立陶宛政府称，公共和私营部门共有130多个网站访问缓慢或无法访问。Sakrdinskas说，自7月初以来，与Killnet有关的攻击事件数量已经下降，政府已开始刑事调查。

这些袭击只是自2月份弗拉基米尔·普京发动战争以来最新一波的亲俄“黑客主义”活动。最近几个月Killnet瞄准了越来越多的支持乌克兰但没有直接参与战争的国家。对德国，意大利，罗马尼亚，挪威，立陶宛和美国的网站的攻击都与Killnet有关。该组织已向10个国家宣战。通常攻击发生在该国为乌克兰提供支持后。与此同时，另一个亲俄黑客组织XakNet声称，已将乌克兰最大的私营能源公司和乌克兰政府作为攻击目标。

虽然安全专家经常警告说，来自俄罗斯的攻击可能针对西方国家，但志愿黑客组织的努力可能会在没有得到国家正式支持或实施的情况下产生影响。

安全公司Digital Shadows的高级网络威胁情报分析师Ivan Righi说：“当他们进行这些攻击时，他们肯定怀有恶意，Killnet不是在与俄罗斯政府合作，而是在支持俄罗斯。”Righi说，Killnet最初是只是一个DDoS攻击工具的名字，今年一月首次被发现。

Killnet工具的宣传广告

“他们宣传这个程序和其网站，你可以向他们付钱购买DDoS工具和流量，然后用它来发起DDoS攻击。但当俄罗斯在二月底入侵乌克兰时，该组织调转了主要业务方向。”

Killnet及其“军团”组织的绝大多人都被要求加入DDoS攻击，他们还与一些网站数据泄露有关，该组织在未经证实的情况下声称其窃取了数据。

你是否支持KILLNET在“特别军事行动”期间的（爱国）攻击？

Killnet的Telegram频道是在2月底创建的，他们在频道上发布亲俄罗斯的政治声明，颇受欢迎——自5月以来成员数量翻了一番，目前Killnet旗下所有频道有超过10万名粉丝。该组织还制作了不少精美的宣传视频，并向粉丝兜售商品。

虽然DDoS攻击并不复杂，但它们“仍然能够造成不确定性，并给人留下我们（挪威）是欧洲当前政治局势中的一部分的印象。”

招募用户

长期以来，俄罗斯一直是勒索软件集团等网络犯罪分子的天堂，只要他们不针对俄罗斯的公司，该国就在很大程度上忽视一点。

与此同时，俄罗斯军事黑客多年来一直搅动全球混乱：导致乌克兰停电，入侵奥运会，并进行历史上最严重的网络攻击。自战争开始以来，国家支持的俄罗斯黑客行动的证据堆积如山，尽管俄罗斯一直否认在世界各地发动网络攻击。俄罗斯驻美国大使馆没有立即回应置评请求。

今年4月，五眼联盟的网络安全官员警告称，包括XakNet和Killnet在内的亲俄组织可能会造成潜在损害。虽然目前尚不清楚谁是Killnet的幕后黑手，也不清楚该组织是否得到俄罗斯政府的支持，但另一个臭名昭着的俄罗斯黑客组织与克里姆林宫有关。

6月底，美国网络安全公司Mandiant表示，俄罗斯情报人员已将被盗信息传送给XakNet。XakNet还对乌克兰最大的私人能源公司DTEK进行了攻击。（该组织已在其36000多名订阅者的Telegram频道中多次发布有关DTEK的帖子。）

Mandiant高级分析师Alden Wahlstrom说：

“我们已经看到俄罗斯入侵乌克兰期间出现了许多黑客团体，XakNet和Killnet都有可疑的出处。任何关于黑客行动主义的说法都应该以‘合理的怀疑’来对待，俄罗斯情报机构有“使用分散黑客组织进行网络活动的历史’。”

由多个较小的团体组成Trickbot网络犯罪集团 ，如Conti勒索软件集团与俄罗斯国家有联系，该勒索集团被IBM首次发现针对乌克兰发动攻击。IBM将这一举动描述为该集团行为的“巨大转变”。

XakNet声称它不是由俄罗斯政府领导控制的。在一篇回应Mandiant调查结果的Telegram帖子中，它表示“完全”支持克里姆林宫的立场，并承认其活动不合法。它表示，它“目前”不与俄罗斯的FSB安全部门合作，但“很乐意向那些提出要求的人提供数据”。

Wahlstrom声称俄罗斯黑客组织之间可能存在一些联系。他们经常互相在自己的Telegram频道上互动并发起联合攻击行动。例如，当Killnet呼吁攻击立陶宛时，它发布了一条消息，要求XakNet，俄罗斯勒索软件组织和其他亲俄黑客组织提供帮助。

Wahlstrom说：

“XakNet和Killnet在俄罗斯接受了很多的媒体采访，这是其活动双重性质的一个证据。他们维护俄罗斯在国外的利益，无论是在乌克兰还是在更远的地方，但另一方面，他们在俄罗斯媒体上得到了大力宣传，这些团体是爱国志愿者的代表，体现了对俄罗斯政府决策的支持。”

Killnet回应了置评请求，称：“我们和那个XakNet已经不是朋友了。兄弟，我们的敌人是你们的政府，我们不把普通人民当敌人。所以对于普通人来说我们并不危险。”

DDoS攻击在乌克兰也很多。那里的官员创建了一支志愿IT军队，来自世界各地的人们可以帮助他们对俄罗斯的目标发动攻击。IT军队声称至少暂时瘫痪了俄罗斯政府部门、食品配送服务和银行的网站。普京上个月的一次演讲在IT军队袭击后推迟了一个小时。对俄罗斯的攻击也来自乌克兰以外的黑客组织，如匿名者。

最终，随着俄罗斯对乌克兰的战争继续，亲俄网络组织的活动继续符合俄罗斯的目标。

美国的智库战略与国际研究中心国际安全项目副主任艾米丽·哈丁说：

“莫斯科一直与俄罗斯的黑客组织保持着故意模棱两可的关系。莫斯科的安全部门知道这些人是谁，并将使用某种方法来迫使他们在需要时进行合作。分析人士一直预测，俄罗斯将使用‘可否认属于俄罗斯的工具’和团体来对支持乌克兰的国家发动攻击。虽然DDoS攻击并不复杂，但这些团队对这项工作有所帮助。如果黑客组织的攻击变得更加先进，那么它们更有可能造成更大的破坏或冲突升级的风险。计算错误的风险是真实的，还没有人真正测试过网络运营带宽的极限。”

编译自：Ars Technica；来源：wired.com