开源情报收集之乌克兰局势

背景

俄乌战争不仅在线下影响着世界，在网络层面带来的损失很可能不亚于实际的空袭与炮击。

DDOS攻击让乌克兰平民断网，让乌克兰银行瘫痪的恶意软件甚至可能全球蔓延，从周四上午开始，入侵俄军带来的轰炸与枪声在乌克兰首都基辅和其他主要城市清晰可辨，同时大规模网络攻击让乌克兰政府的主要官网无法载入。在一系列DDOS攻击后，乌克兰国防部、外交部和内政部的网站对外界访问请求不能响应或加载缓慢。除此之外暗网的黑客组织在不间断的公布被黑的乌克兰政府网站数据。

本文将开源情报角度对本次冲突下的网络攻击与情报进行分析。

基于暗网的开源情报收集

===================

根据InBug实验室暗网情报监控平台收集的情报，早在1月13日，一个名为FreeCivilian的组织在暗网主页发布了一个大小为2.5GB的乌克兰政府内政部网站（https://wanted.mvs.gov.ua/）数据库，同天还发布了大小为903G的乌克兰社区和领土发展部（http://minregion.gov.ua/）的数据邮件，在903G的文件中存在大量乌克兰政府内部邮件。

暗网截图

泄漏数据截图

该组织又于2月24发布了大小为609G的乌克兰政务在线网站（https://diia.gov.ua/）的数据文件，内包含大量乌克兰公民信息，除此之外还有五十一个乌克兰政府网站的数据已经被黑客窃取，该组织择日公布，这种大规模有组织的入侵政府网站并且公布数据实属罕见。

泄漏文件

被黑清单如下：

Ø  http://ticket.kyivcity.gov.ua

Ø  http://kmu.gov.ua

Ø  http://ticket.kyivcity.gov.ua

Ø  http://mvs.gov.ua

Ø  http://ticket.kyivcity.gov.ua

Ø  http://dsbt.gov.ua

Ø  http://ticket.kyivcity.gov.ua

Ø  http://forest.gov.ua

Ø  http://anti-violence-map.msp.gov.ua

Ø  http://nkrzi.gov.ua

Ø  http://dopomoga.msp.gov.ua

Ø  http://dabi.gov.ua

Ø  http://e-services.msp.gov.ua

Ø  http://comin.gov.ua

Ø  http://edu.msp.gov.ua

Ø  http://dp.dpss.gov.ua

Ø  http://education.msp.gov.ua

Ø  http://esbu.gov.ua

Ø  http://ek-cbi.msp.gov.ua

Ø  http://mms.gov.ua

Ø  http://mail.msp.gov.ua

Ø  http://mova.gov.ua

Ø  http://portal-gromady.msp.gov.ua

Ø  http://mspu.gov.u

Ø  http://web-minsoc.msp.gov.ua

Ø  http://nads.gov.ua

Ø  http://wcs-wim.dsbt.gov.ua

Ø  http://reintegration.gov.ua

Ø  http://bdr.mvs.gov.ua

Ø  http://sies.gov.ua

Ø  http://motorsich.com

Ø  http://sport.gov.ua

Ø  http://dsns.gov.ua

Ø  http://mepr.gov.ua

Ø  http://mon.gov.ua

Ø  http://mfa.gov.ua

Ø  http://minagro.gov.ua

Ø  http://mva.gov.ua

Ø  http://zt.gov.ua

Ø  http://mtu.gov.ua

Ø  http://cg.mvs.gov.ua

Ø  http://cg.mvs.gov.ua

Ø  http://ch-tmo.mvs.gov.ua

Ø  http://cp.mvs.gov.ua

Ø  http://cp.mvs.gov.ua

Ø  http://cpd.mvs.gov.ua

Ø  http://cpd.mvs.gov.ua

Ø  http://dndekc.mvs.gov.ua

Ø  http://hutirvilnij-mrc.mvs.gov.ua

Ø  http://visnyk.dndekc.mvs.gov.ua

Ø  http://wanted.mvs.gov.ua

Ø  http://dpvs.hsc.gov.ua

Ø  http://odk.mvs.gov.ua

基于开源情报攻击事件调查

====================

2月23日，在俄罗斯总统普京承认顿涅茨克人民共和国和卢甘斯克人民共和国独立性两天后，多数乌克兰政府机构的网站遭到DDOS攻击。截至基辅时间16时30分，乌克兰议会、外交部、部长会议网站（包括所有个别部长网站）和乌克兰安全局网站均无法访问（乌克兰议会网站），在当地时间大约 17:10 重新上线，大多数其他网站在攻击后两小时内上线，乌克兰总统办公室的网站未遭到攻击。

在此期间乌克兰总统网站出现了一个钓鱼网站，该网站包含一个可点击的“支持总统”活动，一旦点击该活动，就会将恶意软件包下载到用户的计算机上。该活动为邀请访客“支持总统先生”，没收所有寡头的财产并与所有公民共享。

一个黄色的大按钮鼓励游客点击并签署一份请愿书，大概是为了支持这种国有化运动。邀请函的文本是用乌克兰语写的，虽然语法正确，但其语言风格为不流利的乌克兰语，经分析该网站的域名与2021年俄罗斯军事情报 (GRU) 黑客部门攻击使用的域名为同一个。

假设向数万或数十万乌克兰人部署特洛伊木马，会对乌克兰的互联网基础设施造成无法估量的损害，另一个假设结果可能与制造政治混乱和不稳定有关：诱饵信息没收所有寡头的财产与泽连斯基总统自己关于“乌克兰去寡头化”的政治信息相吻合。但是没收和再分配比泽连斯基公开支持的任何事情都要激进得多，这种提议的广泛传播可能会导致乌克兰社会的分裂和进一步的两极分化。

基于航班追踪的开源情报收集

=====================

对于开源情报调查人员来说，航班追踪是一种有用的工具，航班追踪能够追踪属于有特权的私人飞机和武装部队飞机与民用航空的运动，可以为事件调查增加重要的细节。

在了解航班追踪之前，了解一些术语很重要。下面是术语表：

呼号：呼号是飞机在飞行过程中使用的标识符。虽然私人飞机可能会使用其注册号作为呼号，但商业航班的呼号往往取决于航线。

下面我们就以flightradar24.com为例对乌克兰上空的飞机进行追踪。

1.  协调世界时（UTC）2月18日5点30分，乌克兰领空存在11架飞行器，相比邻国飞机较少。

点击飞行器可以查看航班详情与飞行轨迹，经统计有四个航班为乌克兰国内航班，有六个国外航班。

还有一个编号为SWIFT22的未知飞行器在进行巡逻飞行，据知情人士透露SWIFT22为美军生产的全球鹰无人机。

2.  协调世界时（UTC）2月19日5点30分，乌克兰领空存在12架飞行器，点击飞行器可以查看航班详情与飞行轨迹，经统计有七个航班为乌克兰国内航班，有四个国外航班。

还有一个编号为FORTE10的美军飞行器（United States - US Air Force (USAF)）飞机型号为Northrop Grumman RQ-4B Global Hawk从地中海某处空军基地起飞飞入乌克兰领空进行巡逻侦查。

3.  协调世界时（UTC）2月20日5点30分，乌克兰领空存在14架飞行器。

4.  协调世界时（UTC）2月21日5点30分，乌克兰领空存在10架飞行器。

5.  协调世界时（UTC）2月22日5点30分，乌克兰领空存在8架飞行器，均为乌克兰国内航空，已无外国航空在乌克兰领空，大部分国外航空选择绕道飞行。

6.  协调世界时（UTC）2月23日5点30分，乌克兰领空存在11架飞行器。

7.  协调世界时（UTC）2月23日2点15分乌克兰领空已无民用航空，在首都基辅有一架属于土耳其军用运输机编号TUAF600 型号为Airbus A400M-180，还有一个编号为FORTE12的美军飞行器（United States - US Air Force (USAF)）飞机型号为Northrop Grumman RQ-4B Global Hawk从地中海某处空军基地起飞飞入乌克兰领空进行巡逻侦查。

时间线

从上述18日至24日的航班追踪情况来看，自乌俄冲突以来，国际大部分航班选择避开乌克兰领空飞行，只有少部分始发乌克兰的航班不得已在乌克兰领空飞行。

从19日以来美国空军全球鹰无人机都在乌克兰上空进行间接性高空侦察，在24日武装冲突前夕美国空军全球鹰无人机更是进行全境的侦查以判断战争态势，土耳其空军的运输武装冲突前夕抵达乌克兰首都基辅，疑似为乌克兰提供战备物资。

总结

==========

从近期的观察来看，乌克兰和俄罗斯局势的升级都会伴随着相应的网络攻击，网络攻击也会一直持续，在后期可能会有民间黑客组织相互攻击，网络攻击从一定角度上来说是为了制造恐慌情绪及政治混乱导致社会不稳定，从另外一个角度上来说可摧毁网络基础设施，同时也是为冲突铺路。