“乌克兰IT军队”，一个为应对俄罗斯军事行动而组织起来、与乌克兰政府密切关联的黑客组织，为了解战争中如何利用网络空间、新的网络攻击形态提供了的独特视角。

IT军队展示出比其他黑客主义者和网络组织更持久、有效的攻击能力。通过与各地黑客组织合作，乌克兰 IT 军队成功侵入了圣彼得堡国际经济论坛（SPIEF）系统，将俄总统普京的开幕致辞推迟1个多小时；泄露 12 万名俄罗斯士兵的个人数据；攻入了俄罗斯国家电视台，发布了亲乌克兰的内容。

IT军队的混合架构，同时结合了政府机构的效率和志愿军的灵活性。在乌克兰战争期间，IT军队已经发展成为协调国家和非国家网络战略的典范，可以成为众多战时伙伴关系的首个代表。鉴于其显著的适应性，以及持续招募参与者和开展网络活动的能力，IT军队有望成为一种高级持续威胁。 

2022年2月，俄罗斯攻击乌克兰两天后, 乌克兰数字化转型部创建乌克兰IT军队，成功动员了数千名志愿者，对俄罗斯目标发起高调的网络攻击，以回应俄罗斯的军事行动。

在2022年2月的一次会议上，乌克兰网络安全公司联合创始人叶戈尔·奥舍夫(Yegor Aushev)和乌克兰数字转型部长米哈伊洛·费多罗夫（Mykhailo Fedorov）提出了组建IT军队的想法，会议讨论创建一个志愿者组成的IT公司，以保护乌克兰的数字基础设施免受俄罗斯网络攻击。

奥舍夫与乌克兰国防部合作，集结了1000～1500名的乌克兰IT专家，组建了一支防御部队，来保护乌克兰的关键基础设施公司。与此同时，费杰罗夫和数字转型部则开始组建进攻性的IT志愿者团体。2月26日，宣布创建名为itarmyofukraine2022的电报频道，正式建立乌克兰IT军队 ，全球任何有兴趣参加的人都可以在该频道中找到所有相关信息。在乌克兰政府官员、数万名国际参与者和业界领先工具的持续支持下，乌克兰IT军悄然从一支由志愿者组成的临时团体转变为一次组织严密的攻击组织。IT军队基于加密通信工具Telegram频道组织起来，到2022年3月，频道成员数量激增至30.7万，其中包括IT 专业人士、业余志愿者和感兴趣的观望者。

IT 军队的主要工具是分布式拒绝服务 (DDoS) 攻击，攻击者试图用流量淹没站点以阻止其正常使用。这些DDoS 工具网络是由包括奥舍夫在内的乌克兰网络安全专家为军队开发的。志愿者通过云服务运行这些工具，攻击工具及所使用代码托管在美国流行的程序托管服务 GitHub 仓库上。这些工具违反了 GitHub 的服务条款。研究人员表示，GitHub 的所有者微软已选择性地禁止此类工具：亲俄团体的工具已被禁止，而大多数 IT 军的工具仍然可用。

IT军队的第一个任务是：使用任何网络攻击向量和分布式拒绝服务，针对31个俄罗斯银行、企业和政府网站开展攻击。 就DDoS的有效性而言，IT军队比此前任何其他黑客行动主义者和网络犯罪集团都更持久。IT军队可以系统性开展攻击，使网站瘫痪数日、数周,有时甚至数月之久。黑客行动主义者和网络犯罪分子往往只能断断续续地这样操作一两周。就俄罗斯的在线销售和服务而言，IT军队能够对俄罗斯企业施加重大经济损失,并造成客户不满。

虽然迄今为止，IT军队的确切攻击数量尚不清楚，但估计2022 年 6 月为 2,000起，并且此后可能有所增加，研究人员正在努力确定哪些攻击是 IT 军队所为，哪些是来自其他乌克兰黑客活动分子。这其中包括几个引人注目的攻击行动：2022 年 2 月，IT 军队瘫痪了莫斯科证券交易所和俄罗斯最大银行 Sberbank 的网站。据报道，2022 年 10 月，他们获得了为列宁格勒州供电的 Loesk 电力公司的访问权，导致整个地区停电。当年11 月，IT 军队攻击了俄罗斯国有能源公司的银行——俄罗斯天然气工业银行 (Gazprombank)。自2022年以来，随着独立于IT军队的乌克兰其他黑客组织组建，有关IT军队攻击的记录减少。

分析人士认为，到 2022 年 6 月，乌克兰IT 军已发展为两个部分：公开号召开展行动，动员和协调志愿者，参与针对俄罗斯基础设施目标的 DDoS 攻击，以及据称由乌克兰国防和情报人员组成的内部团队。

IT 军队面向公众的一面逐步从单一的 Telegram 频道发展成为由各单独组织、DDoS工具开发人员和数据托管平台组成的网络。研究人员称，IT 军队的 Telegram 频道在最初崛起后，成员数量在2023年8月缓慢下降到17万人。IT 专业人员和资深黑客等技术熟练攻击者分布到多个 Telegram 频道。除了这些活跃成员之外，许多国际志愿者通过为有组织的攻击提供计算能力，来提供被动支持。IT 军队还利用强大的自动化工具网络来协调志愿者的工作，可以实现以最小的付出持续参与攻击行动。截至 2022 年 5 月，这些所谓的“沙发黑客” （可以坐在沙发上帮助乌克兰）估人数估计为65,000 人。研究人员很难估计目前的真实数字，随着时间的推移，志愿者的参与程度发生了很大变化。

此外，乌克兰IT军队还维持着一个内部团队，极有可能由乌克兰情报部门和军队网络行动人员组成。最初，这个团队破坏俄罗斯的网站，传播不实信息和不信任。之后,他们开始转向更高级的攻击行动，其中他们的第一次攻击行动,入侵了俄罗斯视频网站RuTube - 一个克隆Youtube的流行网站 - 并且几乎成功破坏了平台的基础设施并删除了全部内容。其他攻击行动还包括破坏俄罗斯的图片分享网站Rossgram —— 一个克隆Instagram的网站，以及泄露俄罗斯金融科技公司Right Line的源代码和内部数据。该公司正在负责开发俄罗斯政府的数字卢布项目。

乌克兰 IT 军队不同于任何其他网络威胁组织，它聚集、培训和指导来自乌克兰国内外的数千人参与针对俄罗斯民用基础设施的持续 DDoS 攻击。通过集成国家领导的指挥架构，IT军队保持了组织的专注和目标；通过允许独立的攻击行动，IT军队又吸引了成千上万的国际志愿人员，使乌克兰得以利用全球网络力量，增强自身的实力。

乌克兰IT军队的存在，及其动员全球成千上万志愿者，对俄罗斯数字基础设施发动分布式拒绝服务(DDoS)和复杂网络攻击的能力，颠覆了“力量”一词背后的中央集权和国家主权的定义。

无论从任何角度， IT军队都是乌克兰对抗俄罗斯联邦的最有效和可靠的经济战和信息战武器。IT 军队最初被宣布兼具防御和进攻任务，但研究表明，它很快就变得纯粹是进攻性的组织。有证据表明，俄罗斯一直因为需要保护自己的网络免受外部网络攻击而分心。IT 军队对俄罗斯系统的网络攻击，导致莫斯科重新分配自己的进攻力量，将部分注意力转向应对针对俄罗斯的威胁。

2020年9月,哈佛大学贝尔弗中心发布了《国家网络力量指数》，对30个国家的“网络力量”进行排名。乌克兰在30个国家中排名第26，俄罗斯排名第4。2022年9月，在冲突发生约7个月后，贝尔弗中心将乌克兰的网络力量排名的提高到第12位，俄罗斯则成为仅次于美国和中国的世界第三强国。乌克兰在仅两年内跃升14名，网络力量排名第三的俄罗斯无法在网络空间主宰乌克兰，这些都可能与乌克兰IT军队都存在不无关系。

乌克兰IT军队都出现，引发了几个非同寻常的问题，即其攻击行动的合法性和风险。首先，战争期间的网络攻击的合法性是一个灰色问题，尤其是涉及到外国志愿者时。其次，向IT军队志愿者大规模散播DDoS工具可能会让数千名黑客有能力进行网络攻击，并有可能将他们的能力用于更邪恶的目的，这是各国政府此前一直在努力应对的问题。

就其目前的形式而言，乌克兰IT 军队既不是民间组织也不是军事组织，既不是国家组织也不是私人组织，既不是地方组织也不是国际组织。值得注意的是，它是否合法或非法目前仍不清楚。可以说，IT军队是一个世界从未见过的独特现象。 可以说，乌克兰IT军队对国家网络防御政策、现代战争行为的有效性以及国际法对于网络空间的适用性都带来深刻影响。

乌克兰“IT军队”攻击了俄罗斯经济的多个不同领域，尤其是高度数字化的领域。该组织对金融业发起的攻击次数最多，IT军队所发布的93条消息将金融业列为攻击目标，几乎总是使用DDoS攻击，少数情况下会泄露从金融机构窃取的数据。

信息技术公司有57次成为IT军队的攻击目标。这些攻击主要集中在用作服务提供商的软件上。作为中断俄罗斯供应链、阻碍纳税和阻止俄罗斯人获得国家福利的手段。

IT军队有55次将俄政府网站和网络列为攻击目标。这些目标通常是政府机构的网站，例如俄罗斯联邦安全局（FSB）、执政的统一俄罗斯党、国防部和外交部。这些攻击手段通常是DDoS攻击，会使网站在短时间内瘫痪。在少数情况下，“乌克兰IT军队”发起了更长时间的DDoS攻击活动，旨在致瘫许可系统，例如2022年6月对用于认证待售动物产品的统一州自动信息系统（EGAIS）的攻击。

“乌克兰IT军队”还攻击俄罗斯的艺术、娱乐和娱乐行业达42次，主要是攻击俄罗斯新闻和社交媒体平台。除两个案例外，针对该行业的攻击几乎都是DDoS攻击。自冲突开始以来，贸易公司已成为42次攻击的目标，主要是在线购物和送货公司以及技术进口商。作为对贸易部门的攻击的一部分，“乌克兰IT军队”经常对第三方设备供应商开展DDoS攻击，以阻碍俄罗斯军队购买额外的装备、食品或补给品。

IT军队对俄罗斯运输部门发起了14次攻击，其中包括战争初期针对航空公司票务系统的多次DDoS攻击和针对航运公司的多次DDoS攻击。在针对该行业的唯一的一次非DDoS攻击中，“乌克兰IT军队”于2023年2月泄露了莫斯科地铁支付系统的相关文件。在运输行业，“乌克兰IT军队”避开攻击铁路网络。这可能是由于俄罗斯军方依赖其铁路网络将部队、设备和物资运送到前线，这使得该部门对网络间谍活动价值非凡。

“乌克兰IT军队”还攻击了包括石油和天然气公司和采矿公司在内的采掘行业，共计9次。主要针对俄罗斯天然气工业股份公司（Gazprom）等俄罗斯石油和天然气巨头的网站。该组织曾两次泄露了Gazprom的文件，详细列出了其在伊尔库茨克地区的业务以及大量财务和员工记录。最后，该组织已袭击制造业达5次，主要针对生产支持俄罗斯战争活动企业，包括大型武器制造商卡拉尼什科夫集团（Kalashnikov Concern），以及为俄罗斯军队供应靴子的公司。

IT军队是一个管理良好的组织，它足够灵活，可以无缝地发展和适应新的挑战。

在战争的初期，乌克兰IT军队只是通过在Telegram频道上发布目标URL，来指定DDoS攻击目标，例如ria[.]ru和sberbank[.]ru。在那段时间，乌克兰IT军队还没有自己的网站，也没有任何可以指导下载和使用DDoS工具的共享文档。一切都非常业余和无计划。攻击者通过在IT军队的Telegram聊天相互帮助。这种方法的问题是，任何人都可以在聊天中发布任何内容,，包括将人们重定向到钓鱼和恶意木马下载网站。

IT军队可能就此瓦解，但它没有。相反，乌克兰IT军队迅速适应，并走向专业化。

IT军队逐渐改进了自己的行为。除了URL，开始发布IP和端口来定位特定的服务器和服务。他们还减少了每天的目标数量，以集中DDoS流量，而不是将其分散到多个目标上。2022年3月下旬左右，IT军队还开始针对单个公司的多个子域名进行了DDoS攻击。例如,在3月26日，针对俄罗斯最大快递服务公司cse[.]ru，攻击了它19个不同的子域名。IT军队还在Telegram聊天中分享谷歌文档(即“IT军队协调文件”)，为参与者提供了基本说明，包括在哪里下载DDoS工具，以及如何运行。从2022年4月开始，ddosukraine[.]com[.]ua网站迁移到itarmy[.]com[.]ua域名下，最终成为IT军队的官方网站。

IT军队还一直在试图找到可行的解决方案，来遏制志愿者参与持续下降的问题。在2022年3月份最高峰时，IT军队的Telegram频道拥有307,165名订阅者。至2023年6月，有202,668名订阅者。11个月以来减少了34%。平均而言，IT军队每天失去100名订阅者。尽管目前还不清楚频道订阅者数量迅速下降的确切原因，但最有可能的解释是：(a) IT军队不再被视为新鲜事物；(b) 由于任务重复导致的简单厌倦，以及(c) 正在进行的战争本身很大程度上没有受到IT军队的DDoS活动的影响。

IT军队为此提出了许多解决方案。一方面，他们建立了Telegram机器人来自动化DDoS攻击的时间。为了让志愿者能够跟踪自己的个人DDoS数据，IT军队于2022年10月1日又推出了一种新方法，可以让参与者轻松提取个人DDoS数据。2023年2月，IT军队在其网站上创建排行榜，根据当周生成的DDoS流量，展示排名前15的攻击者。

所有这些都指向一个目标——在DDoS攻击方面，IT军队将继续推进攻击自动化和游戏化，以降低志愿者的流失率。IT军队内部团队则可能会经历专业志愿者的数量增加，预计由内部团队实施的入侵、数据泄露和清除病毒行动数量将有所增加。总体而言，乌克兰的IT军队极有可能成为乌克兰的首个APT组织，或继云图后的第二个乌克兰APT组织。