乌克兰最大电信运营商如何应对俄乌网络战？

• 混合战重压下，保持服务弹性的秘诀是什么？

9月9日消息，乌克兰最大的移动网络运营商Kyivstar正在打一场两线战争：一场在地面，另一场在网络空间。

Kyivstar公司为乌克兰约2600万手机客户提供支持。但自2月24日俄乌战争爆发以来，该公司就一直身陷危机。

俄罗斯的火箭弹和其他物理打击已经摧毁了Kyivstar公司近10%的服务基站。公司CEO Oleksandr Komarov在访问华盛顿期间表示，在从俄罗斯手中夺回的乌克兰地区，该公司约三成的信号塔和线路等基础设施遭到破坏。

与此同时，试图渗透其企业网络的钓鱼攻击增加了两倍，涌向该公司网站试图瘫痪正常服务的攻击流量翻了一倍。Komarov还提到，控制电话路由的“信道”也成为攻击目标，恶意黑客试图从中窃取用户数据。为Kyivstar提供设备的乌克兰中小供应商也遭受俄方攻击，这显然是想针对Kyivstar的整体供应与运营体系寻找薄弱环节。

Komarov表示，“我们看到，俄方在攻击强度、能力和创造性三大要素上，都在不断加码。”

面对这场长期斗争，Kyivstar必须尽职尽责保护关键系统免受俄罗斯攻击影响，打破对方控制乌克兰通信体系的意图。这场对抗也给美国提供了经验，有助于保护美国本土基础设施抵御潜在的俄罗斯网络攻击。

据Komarov介绍，到目前为止，Kyivstar的移动服务并未受到重大影响。少数例外主要发生在俄占区，比如马里乌波尔，俄军进驻后拆除了一些重要的手机信号塔。乌克兰无人区和开垦区的电信服务总体上仍在运转。

之所以能在攻击之下持续提供服务，是因为Kyivstar公司采取了一系列额外安全措施（Komarov拒绝透露更多细节），保证员工能够在俄占区内继续工作。尽管形势愈发危急，但网络攻击并未引发服务中断。在该公司数十名IT专家的不懈努力下，俄方一直没有找到很好的突破口。

Komarov提到，“我们有10%的员工在距离交战区很近的位置工作。支撑他们的，无疑是让这个国家走向胜利的意愿。”

在网络战场上，Kyivstar得到了乌克兰政府及普通公民（反黑客专家）的积极协助，并参考了过往网络防御工作中积累的宝贵经验。

Komarov说，乌克兰政府引导创建的“IT军”已经有约26万名黑客，他们也给该公司的防御提供了巨大帮助。

Kyivstar公司CIO及其他多位员工正是IT军成员，他们一直努力对俄罗斯关键基础设施开展反击渗透。相关攻击行动包括尝试关闭俄罗斯铁路与电力系统网络，攻击莫斯科证券交易所并导致其网站暂时关闭。

Komarov认为，“我们之所以能坚守到今天，就是因为我们也在主动出击，迫使俄罗斯方面组织防御。”他指出，IT军“已经给俄罗斯制造了不少麻烦，削弱了他们的攻击能力。”

话虽如此，俄罗斯的主要目标是扩大和巩固乌克兰占领区，目前尚不清楚他们打击电信设施的任务优先级。但手机信号塔和其他通信系统确实属于俄罗斯的攻击目标，俄军试图阻断乌克兰东部及南部各围困区与外界的信息沟通。除了摧毁马里乌波尔的基站之外，俄军还在今年3月袭击了基辅一处电视塔，暂时切断了民众的电视接收频道。几周之后，俄军又对乌克兰西部另一处电视塔进行了类似的打击。

作为乌克兰主要网络机构，国家特殊通信和信息保护局副局长Victor Zhora在接受采访时声称，IT军与乌政府没有关联，但该组织起到了重要作用。

Zhora表示，“乌克兰没有实施任何网络攻击行动，也不向IT军下达指令。但考虑到俄军在乌克兰实施的严重破坏与恶行，我们感谢所有帮助我们削弱敌军的人。”

Zhora还指出另一项国际协作，帮助Kyivstar及其他企业抵御网络威胁。例如今年4月针对乌克兰变电站的攻击，将导致数百万人身陷黑暗，美国及其他北约国家的援助帮助乌克兰挫败了这次攻击，包括美国网络司令部强化乌克兰网络防御能力，对乌克兰都非常宝贵。

俄罗斯曾多次对乌克兰展开重大网络攻击，针对电力基础设施的攻击可能令数百万乌克兰民众断电。俄罗斯黑客还曾迫使政府网站暂时离线，并中断了一家卫星网络运营商的互联网访问通道。但这些事件都在较短时间内解决，乌克兰的网络防御和应对能力并不像俄军开战前大家想象的那般孱弱。

这种战时弹性，部分原因可以归咎为以往对抗经历的锤炼。在2014年俄罗斯入侵克里米亚开始，乌克兰往后几年内遭受了多次网络攻击。包括归因为俄情报部门的NotPetya数据擦除攻击，导致乌克兰关键服务大范围中断，并在全球范围内造成数十亿美元损失。2015年和2016年，俄罗斯又对乌克兰电力基础设施实施更有针对性的打击，致使乌克兰部分地区短暂失去电力供应。

Kyivstar公司经历过最严重的攻击发生在去年，当时该公司遭受了每秒2 TB的数据洪流，这是该公司经历过的最大规模DDoS攻击。其攻击规模仅次于去年针对微软的DDoS攻击，微软亚洲客户网站的数据涌入速度高达每秒3 TB。

Kyivstar公司根据俄罗斯前几年的攻击形式改进网络安全措施，包括增加网络人员数量。该公司目前拥有40多位网络安全专家，而2014年时仅有13名。Kyivstar还建立一个计划，为签订合同的供应商提供网络保护，帮助对方发现可能的攻击突破口。根据Komarov的介绍，这项计划将建立安全“中枢”，保护那些没有足够网络安全资源的供应商。

Komarov感叹道，“那是一段痛苦的岁月，但也让我们积累了经验和教训。在我看来，我们之所以能坚持到现在，关键因素之一是这些攻击在俄乌开战前就早已有之。”

虽然自俄乌战争爆发以来，美国公司一直对潜在的俄罗斯网络攻击，特别是针对本土关键基础设施的入侵保持高度警惕，但他们其实从未经历过同等规模的实战检验。所以，美国公司到底能不能应对类似攻击并保持服务正常运行，仍然是个未知数。

目前，美国官员已经开始与Kyivstar等企业沟通，听取对方在应对俄罗斯网络攻击方面的建议。

今年7月，Komarov作为乌克兰代表团的一员，前往华盛顿特区会见美国国务院等机构的官员，共同讨论如何加强“企业对企业”层面的合作。双方指出，“下一个优先事项”是建立美国和乌克兰之间的对话通道，共同应对网络威胁。

Komarov表示，“我们向美国多个部门和华盛顿许多人士提供了不少一线反馈。他们对我们的经历、形势判断、发展计划、风险以及可能的缓解策略都很感兴趣。”

上个月，美国网络安全和基础设施安全局长Jen Easterly在DEF CON大会上告诉记者，“我认为我们可以从乌克兰的经历中学到很多”，说的正是乌克兰抵御俄方网络攻击的心得。

这些经验教训非常重要，因为俄罗斯似乎开始改变其地面战场及网络空间行动的策略，借此应对乌克兰意料之外的顽强抵抗。例如，俄方开始加强对乌克兰电信运营商及公共机构的网络钓鱼邮件攻势。这些不断变化的策略，也可能对美国企业构成风险。

Zhora总结道，“如果我们的伙伴需要这些见解，需要关于构建基础设施防御方面的建议，我们很乐意分享自己的经验，并帮助我们的合作伙伴在网络空间中保持强大。”

参考资料：

politico.com