乌克兰内战的灰色地带成为网络犯罪的温床-k8凯发游戏

前言

在过去的三周里，针对全球wordpress网站的网络暴力攻击（brute-force attacks，更准确的说法应该是字典攻击）数量几乎翻了一番，根据wordpress的安全公司wordfence的研究，从11月24日开始，攻击量开始上升，并持续了几周时间。

该公司表示，近六分之一的攻击来源于一个特殊的国家，更特殊的是，其中的大部分攻击来源于一个isp。

wordpress暴力攻击持续增加

wordfence称在过去的三个周，能看到每天遭受攻击的网站数量几乎翻了一番，下图蓝色虚线表示过去60天被攻击的网站平均数量，绿色表示每天动态的攻击量。

在过去60天，我们看到阻止的暴力攻击量明显增加。

并且，让我们非常关注的是，来自一些特别ip的攻击量每天都在增加，这种增加是从11月24日开始，并在过去一周大幅增加。

现在这个增长远远高于我们的基线。通常我们每天看到大约13000个特别ip的攻击。但是我们现在每天看到的超过了30000个，而且还在不断增加。

谁在对wordpress进行暴力攻击

上面的图表显示了过去两个月的数据。我们现在分析一下过去24小时的攻击，看一看到底是谁正在攻击wordpress网站。

下表列出了过去24小时，按攻击量排序的、攻击全球wordpress的前20个国家。正如你所看到的，乌克兰是发起攻击最多的国家，是目前的罪魁祸首，约有230万次攻击，占了总攻击的15%。而当你知道乌克兰人口只有4500万时，发现这个攻击量太多了。

这些攻击，通常都采用暴力登录攻击，基本上没有用到其他复杂的攻击方法，当我们把24小时的攻击次数加在一块，并按ip所属的组织排序时，你可以真正看到乌克兰主机的强大影响。

需要说明的是，有些组织非常庞大，比如godaddy，在它上面的wordpress网站实际上占了很大比例。并且在你找那些“不安全的”ip提供者时，你必须考虑他们的规模，处理那些有问题的主机，是需要响应时间的。

如上图，攻击量最多的来自于一个小isp组织，要知道，在乌克兰24小时的230万次暴力攻击中，每天来自这个小组织的，就能检测到超过165万次暴力攻击（brute-force），全都来自于"pp sks-lugan"。需要说明的是，和地球上最大的互联网服务提供商或托管公司相比，比如godaddy, ovh，这一个小的不能再小的乌克兰isp公司，直到现在都没有人听说过。但是它的攻击量确如此之大。上图中顶部的两个网络和第三个网络之间的差异是戏剧性的。

并且这其中超过150万次来自下面的8个ip地址，很可能是在一个人的控制下，在24小时中，每个ip大概发起了25万次攻击。

在wordfence公开了他们的发现几天以后，关于这个“顽皮的”的小isp，乌克兰的用户已经伸出手来提供了很多信息。

该isp位于乌克兰内战的战场中

一个命名为“victor p.”的用户，追踪了这个侵权的isp，原来这个isp名叫“sks-lugan”，在阿尔切夫斯克市已经存在了多年。根据当地的商业指南，这个公司的ceo叫lizenko dmitro igorovichr，sks-lugan公司拥有大约16名员工。

此时，乌克兰当局对sks-lugan没有任何影响力，因为阿尔切夫斯克市在乌克兰东部，重点是它被亲俄的力量控制着。阿尔切夫斯克市正好位于乌克兰内战的灰色地带。下图中红色箭头处：

victor p. 说这个isp是由俄罗斯控制的，但是他并没有确凿的证据。更有可能的解释是，isp的所有者，或真正对此事负责的那个人，同意与网络犯罪集团合作，并利用拥有的主机服务器发出了恶意的操作。

该isp的ip地址已在垃圾邮件黑名单中存在了多年

实际上，分配给sks-lugan isp的在黑名单中的ip，曾参与了大量网络犯罪活动。当前，这个isp的黑名单ip已经加到了sbl中（spamhaus，它是一个国际性非营利组织，其主要任务是跟踪国际互联网的垃圾邮件团伙，实时黑名单技术，协助执法机构辨别，追查全世界的垃圾邮件，并游说各国政府制订有效的反垃圾邮件法案）。

根据sbl的数据，有些恶意的活动甚至在乌克兰战争开始前就已经发生。看来，最近发现的网络暴力攻击，是一个持续性事件。

该isp的ip已经从事网络犯罪很长时间

根据sbl，在这个isp的ip上，存在下面网络犯罪活动，需要说明的是，这只是犯罪活动的一小部分，还有很多：

是俄罗期人控制了该isp？不太像！

当俄罗斯总统宣布，俄军队已经参与了乌克兰战争时，俄罗斯不太可能去劫持isp，并暴力攻击全球的wordpress网站。考虑到这个isp悠久的网络犯罪活动的历史，sks-lugan有可能是一个掩护托管公司，为网络犯罪活动提供庇护。目前，还没有线索显示该isp与最近大规模传播的“雪崩”恶意软件网络（该网络与一名乌克兰男子有关）有关，该网络目前已被当局关闭。

乌克兰战争造成的混乱，有可能让这些isp乘机进入那些灰色地带，并从事非法网络犯罪活动。这样做的好处很明显：在这些灰色地带，国际法不重要，也没有警察会去抓他们。