去年4月12日，烏克蘭的黑客組織Kiber Sprotyv（網絡抵抗組織），為美國干成了一件小事。

他們獲取了俄羅斯間諜謝爾蓋·莫爾加喬夫的郵件，后者因黑客攻擊希拉里·克林頓2016 年競選活動，干涉美國內政而被美國聯邦調查局 (FBI) 通緝。

莫爾加喬夫中校是俄羅斯軍事情報局 (GRU) 的一名官員，也是俄羅斯黑客組織APT28的管理者，APT28是俄羅斯最臭名昭著的黑客組織之一，被指控在全球范圍內實施多項網絡犯罪。

烏克蘭黑客獲得了莫爾加喬夫的個人生活細節，居住地址、工作單位和地點。他們還獲得了莫爾加喬夫及其同伙的大量照片和個人文件掃描。

黑客侵入了莫爾加喬夫的匿名社交媒體帳戶，并發布了他的護照掃描件。黑客還獲得了他的Al?Express帳戶的訪問權限，并向他的地址訂購了各種商品——包括帶有FBI標志的紀念品以及用他的卡支付的大量成人玩具。

這只是烏克蘭黑客的小試牛刀，在2023年下半年，烏克蘭黑客愈加活躍，隸屬于烏克蘭安全局 (SBU) 的烏克蘭黑客對俄羅斯最大的私營供水公司 Rosvodokanal 發起網絡攻擊，令其運營受到影響。

然后，黑客又導致俄羅斯自動化企業管理系統1C-Rarus的運行癱瘓。烏克蘭志愿黑客通過不斷調整、協調一致的攻擊，智取了俄羅斯的網絡防御，給俄羅斯造成了幾百萬美元的損失。

12月，烏克蘭軍事情報局（HUR）據稱攻擊了俄羅斯的稅務系統，摧毀了整個數據庫及其備份副本。HUR 聲稱俄羅斯將無法完全恢復其稅收制度。

另一邊，俄羅斯的黑客也屢次三番入侵烏克蘭的網絡系統，烏克蘭最大電信運營商Kyivstar和主要銀行之一Monobank遭受黑客攻擊，導致技術故障，導致移動通信和互聯網接入無法使用。

過去，俄羅斯黑客臭名昭著，全世界各種招惹麻煩，如今在網絡戰場，烏克蘭的IT才俊們嶄露頭角，與老大哥打得不可開交。

01

丘吉爾“點燃歐洲”，烏克蘭要點燃網絡

2022年2月，隨著俄羅斯炸彈落在烏克蘭的土地，許多人面臨著艱難的選擇：留下來戰斗，還是逃離。其中包括居住在基輔的科技企業家特德（化名）。

最初，泰德帶著家人前往安全的利沃夫，他想參加戰斗。由于缺乏軍事技能，特德像許多其他具有技術背景的烏克蘭人一樣希望在其他戰線上做出貢獻。

他的妻子是一名公務員，與烏克蘭政府關系密切。特德通過與數字化轉型部的對話，突發奇想，他可以利用具有IT技術的人員在網絡戰場上保衛國家。

隨后，一支代表烏克蘭作戰的志愿黑客大軍歷史性地形成——這是世界上第一個參與網絡戰的組織。

2022年2月，俄羅斯全面入侵烏克蘭兩天后，烏克蘭數字化轉型部長米哈伊洛·費多羅夫發出江湖召集令——所有愿意加入IT大軍黑客行列、幫助保衛烏克蘭的志愿者梁山聚義，烏克蘭IT大軍應運而生。他宣稱，“我們將繼續在網絡戰線上作戰。”

在巔峰時期，IT志愿者大軍的Telegram頻道在2022年3月達到30萬會員。

費多羅夫的行動呼吁與二戰期間特別行動執行局( SOE ) 的歷史呼吁異曲同工——溫斯頓·丘吉爾對SOE的著名指令是“點燃歐洲”，如今在數字領域，烏克蘭激發了相同的抵抗精神。

“我們想動員社會各階層來抵抗俄羅斯的戰爭，”特德談到戰爭初期時說道。烏克蘭官員和志愿者希望了解如何利用我們社會的高素質人才，“牢記我們的軟件開發人員和IT部門的人員。”

特德介紹烏克蘭IT軍團的工作

早期，組織者專注于基礎知識，例如創建Telegram頻道并為組織網絡戰進行基礎工作。泰德回憶起早期充滿挑戰的日子，當時他感到孤立無援，必須滿負荷學習，與創建公司的挑戰相似但又不同。

沒有人清楚發生了什么事。特德說：“一開始，這很困難。我感到孤獨，因為一切都必須從頭開始。當你建立一家公司時，必須清楚地知道你要建立什么。”

對于特德來說，建立一支志愿黑客軍隊是艱巨的任務，過去從來沒有作業可抄。

Telegram頻道IT軍隊的主要志愿者，正在清除在聊天中發送垃圾郵件的不良行為，他們希望建立良好的溝通渠道，以保持人們的積極參與。“最初幾天，我無法入睡。我不得不坐在那里，不斷手動消除在聊天中發送垃圾郵件的人，這些人很可能來自俄羅斯。”

隨著倡議獲得關注，越來越多的人加入其中，包括數字化轉型部的相關人士和朋友的朋友。這種擴展允許建立輪班制，減輕單個成員的負擔并提高運營效率。

鼎盛時期，IT軍團的Telegram頻道擁有大約30萬訂閱者。然而，并非所有加入Telegram頻道的人都有興趣、經驗和技能來長期貢獻。

特德表示，現在，無論何時，IT軍團都有大約3000到10000名活躍的志愿者參與。由約50人組成的核心執行團隊負責管理。

盡管人員流動率很高，且大多數志愿者都是兼職貢獻，但組織仍要確保戰略上的一致性。特德澄清說，核心團隊開會只是為了推動戰略方向，不同的單元彼此獨立工作。

通常，個人只能投入兼職工作，很少有人全職參與這些活動。在這少數人中，特德本人是一名全職參與者，他深刻感受到IT軍團對組織者的要求非常高。

由于成千上萬的志愿者正在等待指示，IT軍團的協調員的指示需要足夠簡單和清晰，以便人們遵循。結果是：“DDoS攻擊簡單且最有效。我們把它變成了最常用的機制。”

分布式拒絕服務 ( DDoS ) 攻擊就是通過巨大的互聯網流量來淹沒目標網站。這些攻擊的目的是通過過多的請求淹沒網站，使系統超載，從而導致網站關閉，使網站癱瘓。

IT軍團的戰術發展迅速。最初，該組織公布了IP地址和端口的目標，但隨著俄羅斯網絡防御的調整，他們轉為更加秘密的行動。軍隊的重點主要是DDoS攻擊，這些攻擊簡單粗暴，但通常都很有效。

他們組織成不同的單位，每個單位都有特定的角色和職責：

雖然IT軍發動攻擊的具體數量尚不清楚，但估計截至2022年6月已進行了約2000次攻擊。例如，烏克蘭IT軍利用定向DDoS攻擊俄羅斯唯一的產品認證系統（Chestny Znak），造成廣泛的網絡攻擊。俄羅斯因襲擊事件被迫取消某些產品的標簽和驗證，導致俄羅斯企業蒙受經濟損失。

“如果你是一名聰明的俄羅斯網絡安全工作者，你就會訂閱我們的頻道來關注我們的攻擊地點的通知，”特德說。

因此，一旦IT軍隊停止公開發布他們的攻擊，他們就開始看到Telegram頻道上的訂閱者數量下降。

“人們偶爾會向我們發送電子郵件，其中包含有關潛在目標和個人資料的信息。然而，我們利用這些貢獻的能力是有限的，”特德說。“這些新想法并不能很好地利用。”

IT軍團的偵察方法在戰爭過程中不斷演變。“最初，我們比較隨意，但現在變得更加復雜，”特德說。“我們現在正在積極尋找與我們軟件功能相關且兼容的漏洞。”

在去年12月針對俄羅斯的最新DDoS攻擊中，IT軍團摧毀了Bitrix24服務器，這是俄羅斯最受歡迎的CRM（客戶管理）系統之一。

IT軍團官方Telegram頻道12月20日發布聲明稱：“這可能意味著敵人的經濟損失數千萬甚至數億美元，具體取決于我們能壓制他們多久。誰還有閑置設備？是時候啟動它們了。”

02

俄羅斯黑客：由政府資助的獨立組織

特德指出：“俄羅斯方面的網絡防御水平顯著提高。我們觀察到俄羅斯公司在加強防御方面投入了大量資金，這令識別漏洞變得更加困難。然而，考慮到國家的規模和公司的眾多，我們將繼續調整和完善我們的定位方法。仍然會發現漏洞。”

IT軍團尋找漏洞的工作量越來越大，特德說：“在過去幾個月里，我們的重點已經轉向電信和互聯網提供商。這些目標不容易搞，通常都做好了充分的準備。盡管如此，我們的行動還是非常成功。”

最近，一波網絡攻擊目標是俄羅斯占領的烏克蘭最大的電信運營商和互聯網提供商，導致該地區暫時癱瘓，俄羅斯互聯網提供商承認他們遭受了“來自烏克蘭黑客組織的前所未有的 DDoS攻擊”。

特德補充道：“如果我們能夠進一步擴大偵察部門并增強我們的軟件服務，將能夠不斷改進我們的方法。”

IT軍團部署僵尸網絡（互連計算機網絡）來對俄羅斯基礎設施和網站發起網絡攻擊。關鍵是弄清楚如何進行攻擊，以便目標無法很好地過濾傳入流量。

我們的國家遭到入侵；每個烏克蘭人都明白，如果我們不抵抗，后果很嚴重。

IT 軍隊不斷改變地理位置并使用各種設備，對于網絡攻擊而言，流量來源多樣化，有助于提高攻擊成功率。

特的說：“我們觀察到俄羅斯試圖動員 IT 軍隊，但他們的努力未能產生重大影響。”

他認為，原因在于沒有合理的動機說服俄羅斯人。“俄羅斯人缺乏強有力的‘為什么’要這么干。我們的國家遭到入侵，每個烏克蘭人都明白，如果我們不抵抗，后果很嚴重。”

這種緊迫感和國家責任感在俄羅斯方面是不存在的，不過，俄羅斯在網絡領域還是有能力反擊的。

特德補充道：“俄羅斯確實有許多像Killnet這樣的黑客組織，其中許多可能是由政府資助的。”

俄羅斯沒有一支中央 IT 軍隊，而是擁有各種類型的黑客行動團體，這些團體受到經濟激勵，并且在意識形態上與克里姆林宮的利益保持一致。

Killnet就是這樣的組織之一，它針對西方實體執行了分布式拒絕服務 (DDoS) 和數據泄露攻擊。此前，他們的工作主要是提供“ DDoS”服務。

俄羅斯和烏克蘭差距很大，除了俄羅斯在戰略上有明確政府色彩，還在資金和支持方面有很大優勢。烏克蘭網軍的特點是草根、無償的努力。

“在這里，人們自愿工作。我們沒有從任何地方獲得任何資金。”

“我們與政府的合作是非正式的，”特德解釋道。“每當政府需要我們的幫助時，他們會向我們提出需求，而我們也隨時準備參與其中。”

特德詳細闡述了他們的合作方式：“我們優先考慮最有影響力的任務。為了實現最大的影響，必須有一個專注的使命。”

然而，當談到具體運作時，特德比較謹慎：“我無權透露任務的細節。不過，我可以確認，我們與軍方和情報部門合作執行某些任務，以協助他們的行動。”

目前IT軍團仍然是獨立的，雖然合作很多，但政府更希望他們暫時保持獨立。

烏克蘭負責IT產業發展的數字化轉型部副部長Alex Borniakov，在一封電子郵件回復中指出，“IT 軍隊獨立于烏克蘭政府運作，特別是在決策和管理方面。我所代表的數字化轉型部僅向IT軍隊提供信息支持。我們不會影響運營決策或任命管理層。IT軍團是一個典型的志愿者組織，獨立運作，同時為我們國家做出了重大貢獻。”

03

戰爭是法外狂徒的時代

IT軍團在法律上非常模糊，而網絡戰的獨特性質讓這種模糊性更加模糊。IT軍隊的創建引發了重要討論，網絡戰在現實軍事行動中能起到什么作用呢？

從歷史上看，網絡沖突經常涉及匿名團體向政府宣戰。然而，樸茨茅斯大學網絡犯罪和網絡安全副教授Vasileios Karagiannipoulos表示，這是政府公開招募個人參與網絡戰的第一例。“這些新兵并不是軍隊的正式成員，他們的行為與義務警員的行為非常相似。”

根據現行國際法，IT軍隊的成員不符合傳統的戰斗人員定義。他們不是任何軍隊的官方部門，主要關注的是他們作為平民是否直接參與敵對行動。

烏克蘭和俄羅斯的網絡戰士都承諾遵守被稱為“網絡戰日內瓦守則”的新交戰規則。

瓦西里奧斯表示，直接參與敵對行動，例如針對軍事目標的網絡攻擊，可能會導致平民被視為臨時戰斗人員。這種轉變有重大風險，他們作為平民會失去戰爭法保護，可能成為敵國眼中的合法目標。

為了應對這些風險，烏克蘭政府正在考慮立法將IT軍團納入其網絡后備部隊。

瓦西里奧斯表示，此舉將為他們提供作為戰斗人員的法律保護，使他們免于因戰爭期間的行為而受到起訴。

前黑帽黑客小布萊斯·凱斯（Bryce Case Jr.，又名YTCracker）表示，許多知名黑客都有興趣幫助烏克蘭的網絡戰。

然而，布萊斯提到，烏克蘭應該建立“某種形式的法國外籍軍團，這樣我們就可以在烏克蘭的旗幟下進行黑客攻擊，而不必擔心受到起訴。”

在回應對IT軍團可能存在的法律爭議時，特德指出，“我們無法理解布查人在被俄羅斯人屠殺時得到了什么樣的保護。”

IT 軍團確實相信，繼續起草有關其工作的立法對于讓該組織提供的數字抵抗形式得到更廣泛的接受非常重要。

烏克蘭 IT軍團和 Killnet 都承諾遵守被稱為“網絡戰爭日內瓦守則”的新交戰規則。“

“我們最近引入了類似于紅十字會的網絡規則，但有一個問題，”特德說。“這些規則本質上是根據常規戰爭規則改編的，在網絡戰方面并不全面。”

特德評論道：“這是一個戰爭時期，本質上，這是一個亡命之徒的時期。在烏克蘭，這些襲擊仍然是違法的。然而，人們普遍認為我們正處于戰爭狀態，這是法外狂徒的時代。”

立法者尚未跟上IT軍團的工作步伐并更新過時的立法。盡管如此，特德表示IT軍團會盡可能遵守規則，即使以后的行為會產生后果，烏克蘭黑客也會在戰時盡可能地遵守指導方針。

然而，特德認為，遵守規則會讓烏克蘭處于不利地位。在戰場上，如果烏克蘭遵守法律規則和國際框架進行戰爭，它將獲得來自國外的額外政治支持，并獲得武器裝備，以平衡俄羅斯因作弊為的劣勢。

但是，網絡戰的情況不同。“在網絡空間，我們的敵人不會遵守規則，”特德說。如果烏克蘭確實遵守規則，他們不會獲得任何補償來抵消俄羅斯的優勢。遵守規則，只會讓正義的一方吃虧弱。網絡戰爭中的好演員需要得到補償。

“如果俄羅斯人不尊重法治，我們該怎么辦？” 特德問道。

“當我們展望戰爭的未來時，越來越明顯的是，網絡能力不僅是補充，而且對于獲勝至關重要，”特德說。

戰爭也不再局限于戰場；它延伸到經濟、物流和基礎設施領域。網絡戰提供了削弱對手的機會，開辟了戰爭的新戰線。

“我們的分析估計，網絡攻擊已經給俄羅斯造成的經濟損失約為10-20 億美元，”特德表示。

這意味著網絡戰可以作為經濟制裁的一種形式，從戰略上削弱對手經濟的工具：黑客行動部署得越快，對敵人戰斗能力的影響就越直接。

特德希望，世界各地的民主國家應該團結起來，匯集資源、知識和專業知識，以便民主國家能夠制定網絡戰的共同劇本，提升受到威脅的國家的集體動力和決心。

特德表示，隨著我們進一步進入數字化時代，普通個人在戰爭中的作用將快速增長。隨著經濟和基本服務與數字世界的聯系越來越緊密，漏洞的數量只會不斷增加，讓我們找到新的攻擊點。

烏克蘭IT軍團的表現表明，網絡戰不僅僅是戰場的擴大，它改變了戰爭的本質，任何個人都可以發揮作用。烏克蘭成功地展示了一支分散的、志愿黑客軍隊的有效性。

參考資料：

How Ukraine built a volunteer hacker army from scratch

Ukraine says it wiped out Russian tax data in cyber offensive

Ukrainian hackers target Russia’s water supply company

Ukrainian hackers get access to Russian top-ranking intel officer’s email

PS：各位老鐵，請猛烈轉發。

另外，非常重要！請各位加一下這個備用號，你懂的——