ZoomEye赛博空间测绘,拨开俄乌战争迷雾
2022-3-9 11:0:20 Author: www.4hou.com(查看原文) 阅读量:43 收藏

俄乌局势愈发紧张,军事行动已经持续13天。同样在网络空间中,对抗从未停止,随着战况的发展及各国对于战争做出的反应,网络空间中的舆论及攻防对抗也愈演愈烈。知道创宇聚焦网络空间中的战场态势,希望还原实时的战况发展。

此次俄乌双方在网络战中,都体现出很高的技术水平和高效的国家级团队作战能力。双方在网络战中的博弈,实际上体现的是两大阵营的对垒,其实质是技术和综合力量的比拼。

——聚焦俄乌战争

知道创宇基于ZoomEye团队的网络空间测绘数据、关基目标库、创宇安全智脑、云蜜罐平台的攻击日志数据,及NDR系统的APT组织数据,通过数据统计和趋势分析来感知网空战场的态势:

1) 国家级别的“网络战”,是长期持续性行为。双方对关键信息基础设施侦查摸底的储备积累,先于实体军事冲突多年之前已悄然展开。同时,国家级别“网络战”从未停止,在实体军事冲突之时会愈发猛烈。

2) 从乌克兰多维度的数据测绘动态变化反映了俄罗斯在本次冲突中的主导地位,也反映了俄罗斯的战略、战法、战术:在2月24日发起“闪电战”的战法;主要针对乌克兰军事等关键信息基础设施进行打击的战略思想,俄罗斯对基辅采取“围而不攻”的战术实施等等。

3)对乌克兰城市持续动态测绘监控,可以对本次冲突主要战场及战场的动态进展,进行明显的侧写画像:如从网络资产受损程度体现主要的军事冲突发生在哈尔科夫州、顿涅茨克州和扎波罗热州这3个州。

1、网络战价值:配合实战,争取战场主动

信息时代,在实体战争发生之前,交战双方会提前进行相应的网络战储备。“得信息者得天下”,网络战已经成为压制对手、战胜对手的必需途径。

网络战在实战开战甚至多年之前就持续进行。要赢得网络战的胜利,无论平时和战时,都必须要摸清对方关键信息基础设施状态;探明政府、军事信息系统的威胁和缺陷;深度看清网络空间状况和实时变化。

本次俄乌冲突中,俄罗斯对乌克兰实施的“闪电战”,就是在对信息系统精确动态画像、深度把控态势的基础上,对乌克兰的网络空间实施全面的打击。网络战配合实战,快速完成打击,赢得战场主动。

2、网空测绘还原网空战场态势

ZoomEye平台作为一款全球化的网络空间搜索引擎,对全球网络空间进行实时测绘,通过网络空间测绘数据分析可知:

国家级别的网络攻防对抗,是个长期持续的储备型工作,网络战中双方关键信息基础设施目标的探测工作先于实体冲突之前已悄然展开。在实际冲突发生之时,网络空间作为战争的另一战场,其对抗展开与军事冲突相互呼应,实时反映冲突的发展,是博弈的另一重要空间。

2.1 俄乌双方信息化水平对比悬殊

通过IPv4空间地址分配数、ZoomEye平台的数据总条数、最近一年数据条数、防火墙设备数据条数、加密设备数据条数的维度,我们比较俄罗斯和乌克兰双方的网络空间资产数据发现:俄罗斯的信息化建设水平和安全防御能力远超乌克兰。

图1.png

2.2 乌克兰全境IP地址的在线存活趋势

IPv4地址空间中,隶属于乌克兰的IP数量为1116万,其中在线存活的IP数量约为240万。

2022年1月27日开始,ZoomEye团队针对乌克兰全境IP地址的在线存活状态进行每日监测,监测数据如下图所示。

图2.png

基于数据得出的结论:

  • 乌克兰全境网络资产,在2月24日急剧掉线,掉线比例达到14%,截至3月7日掉线比例为22%。

  • 网络资产急剧掉线的时间点(2月24日),与特别军事行动时间节点相吻合,印证了实体战场和网络空间态势之间有确切的时间对应关系,同时也反映了俄罗斯对乌克兰的启用了“闪电战”战术,与乌克兰采用临时切断互联网的“防御”战术有强相关性。

  • 2月24日20:37,乌克兰全境网络资产在线存活数量有一次反弹上升,推测与乌克兰临时切断互联网后重新恢复有关。随后2022年2月25日至3月7日乌克兰全境资产数据呈持续下降趋势,但是相比2月24日数据下降波动弧度较小,这说明俄罗斯与乌克兰的战局进展节奏被俄罗斯主导把控。

2.3 乌克兰各州IP地址的在线存活趋势

以乌克兰直辖市和州的维度,来看存活IP数量的变化趋势,监测数据如下图所示。从图中可以看出,多数直辖市和州的存活IP数量,在2月24日均有急剧下降,与乌克兰全境IP地址在线存活数量的变化趋势相吻合。

图3.png

以乌克兰直辖市和州的维度,统计2月24日急剧下降的IP存活比例和3月7日的IP存活比例,数据如下表所示。(该表格以2月23日各州存活IP数量进行排序

图4.png

基于数据得出的结论:

  • 网络资产绝对数量说明城市规模及地位:基辅是乌克兰的首都和最大城市,网络资产数量也是位居第一;哈尔科夫州的网络资产数量位居第二,其首府哈尔科夫是乌克兰第二大城市。

  • 哈尔科夫州、顿涅茨克州和扎波罗热州,这3个州的网络资产掉线状况比较严重,在线存活比例均低于62%,并持续下降,与这3个州发生了军事实体冲突的现实状况及进度相符合;

  • 克里米亚州的网络资产状况几乎不受影响,与克里米亚州属于俄罗斯实际控制并未发生军事冲突的状况相符合;

  • 第聂伯罗彼得罗夫斯克州、利沃夫州和切尔卡瑟州,这3个州的网络资产掉线状况很轻微,在线存活比例均高于87%,与这3个州未发生大规模军事实体冲突的现实状况相符合;

  • 基辅的网络资产掉线状况并不严重,在线存活比例为81.18%,与目前俄罗斯对基辅“围而不攻”的策略相符合。这个也符合目前俄罗斯对于乌克兰的政治等战略诉求。

2.4 乌克兰关键信息基础设施存活趋势

网络战中,关键信息基础设施必然是遭受网络攻击的重点。ZoomEye团队基于关基目标库的数据,区分乌克兰网络资产中的关基设施和非关基设施,进行统计分析,如下面的图表所示。

图5.png

图6.png

图7.png

掉线关基设施的所属行业分布,如下图所示。掉线关基设施数量最多的3个行业是:金融、政府、能源。

图8.png

基于数据得出的结论:

  • 从关基设施/非关基设施的维度来看网络资产掉线状况:2月24日网络资产急剧掉线,关基设施掉线比例为57.81%,非关基设施掉线比例为7.52%;截至3月7日,关基设施掉线比例为66.00%,非关基设施掉线比例为16.07%。相比较而言,关基设施的掉线比例,远远高于非关基设施,这个与俄罗斯重点打击乌克兰军事等关键信息基础设施的作战战略强相关。

  • 乌克兰关键信息基础设施的掉线比例较高的行业为:金融、政府、能源;与媒体报道中俄罗斯针对乌克兰的政府和银行网站开展大量DDOS网络攻击的情况相呼应。

  • 从2月24日到3月7日非关基设施的掉线比例有了明显的增加,说明战争对乌克兰的民众生活及社会局势带来了越来越多的不稳定性,媒体报道显示大量的乌克兰人民选择离开乌克兰。

2.5 乌克兰持续存活IP地址的在线存活趋势

乌克兰近3年持续存活的IP地址,共计43491个。此处持续存活的定义是,该IP地址处于持续开机提供服务的状态,并且对应的硬件设备和软件系统没有发生变化;因此持续存活的IP地址是相对比较重要且提供关键服务的IP地址。

2022年1月27日开始,ZoomEye团队针对这43491个地址的在线存活状态进行每日监测,监测数据如下图所示。

乌克兰持续存活IP地址数量显著下降的时间点为2月24日,与俄罗斯总统普京宣布发起特别军事行动的时间点相吻合。

图9.png

2.6 通过ZoomEye关键词看网络空间对抗

ZoomEye团队分析了近三年来涉及俄罗斯和乌克兰关键词的网络资产搜索,统计了以周为周期的查询关键词数量,趋势图如下所示。

图10.png

图11.png

基于数据得出的结论:

  • 从2021年的下半年开始俄乌相关关键词查询有明显提升,这跟APT组织资产部署数据趋势增长时间段相近重叠,同时也说明了网络战先行及持续性特点。

  • 搜索核心关注点在于工控相关的核心关键基础设施上。

  • 从实体冲突开始,涉及俄乌双方的关键词搜索量明显提升,符合网络战与实体战混合进行的特点。我们认为这也跟大量民间黑客组织介入有相关性。

3、关键信息基础设施是网络空间战争的攻防重点

战争无论从任何角度来看,都是全方位的国力较量,会分化为热战、舆论、经济、网络等等不同的战场,而不同领域的博弈最终都是为了争取各自的胜利而努力,所以自然网络空间的攻防也与现实的战况相互呼应。从ZoomEye团队对于网络空间中战况的还原不难看出:

1)对于网络空间的探测和信息收集是网络空间攻防的基础,一直持续进行着;

2)关键信息基础设施无论在网络空间的攻防中都占据着至关重要的位置。

对于国家信息基础设施的组织及企业来说,网络空间安全向前积极防御体系更具针对性,是对整体网络安全防御体系的整体能力提升。

4、参考信息

  1. 知道创宇,《网络战发展成“第五战场”,这些数据告诉你乌克兰的网络现状》

  2. 知道创宇,《俄乌战争中的俄罗斯APT网络攻击部队行为分析》

  3. 知道创宇,《群狼环伺-2021年度中国周边APT组织活动年鉴》

  4. ZoomEye,《谈谈网络空间测绘在国家级断电断网事件上的应用》

  5. 知道创宇,《趣访“漏洞之王”黑哥,探寻知道创宇十年网络资产测绘之路!

更多详细数据及信息解读,可扫码下载《局部战争下的战场态势感知--从网络空间测绘看俄乌冲突》报告原文。

图13.png

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/13LV
如有侵权请联系:admin#unsafe.sh