乌克兰瘫痪Gaskar:从网络渗透到技术毁灭
根据乌克兰媒体7月15日指出,乌克兰国防部情报总局(Main Directorate of Intelligence, HUR MOU)在“乌克兰网络联盟”(Ukrainian Cyber Alliance, UCA)和黑客组织Black Owl(BO Team)支持下,对俄罗斯军队最大的无人机供应商之一“Gaskar Integration”公司的网络和服务器基础设施发动攻击,导致其营运全面瘫痪。 该公司为俄军提供大量无人机,此次攻击瘫痪其研发中心、断绝网络连线、摧毁会计与生产系统,并封锁无人机厂房出入口。 HUR成功窃取摧毁超过47TB资料(包括10TB备份),并取得机密的员工个资问卷与无人机生产完整技术资料,随后交给乌克兰国防部专家进行利用。
一、多点瘫痪俄罗斯基础设施形成“系统性压力战”
自2025年6月以来,HUR持续对俄罗斯的交通(俄罗斯国家铁路Russian Railways, RZhD)、通讯(Orion Telecom)、海关(Federal Customs Service of the Russian Federation)、税务(国家数字标签系统Chestnyi Znak和电子签名服务器 GosKlyuch)与国防产业(飞机制造商Tupolev、无人机供应商Gaskar)实施系列网攻,这并非偶发行动,而是一种“多领域同步压制”策略,其战略设计类似美国对伊朗的“连续战略瘫痪”模式。 从战略角度看,乌方通过打击俄基础设施的多样化,形成对其国家韧性的持续压力,一方面延缓俄军调动与资源流通,另一方面也迫使俄政府将资安重心转移至内部防御,降低对外攻势资源配置,此种压力战术逐步形塑乌方在战略纵深上的反攻格局,使俄罗斯不得不分散精力应对非对称威胁,对其战略指挥链与政治稳定构成复合性压力。
“乌克兰网络联盟”(Ukrainian Cyber Alliance)和黑客组织Black Owl(BO Team)在国家情报机构(如HUR)主导下参与实战,显示乌克兰正有意识将数字公民力量制度化整合入国防战略体系中。 这类组织原为松散型公民行动团体,透过技术能力参与防卫作战,其价值不仅在于提供人力与技术支持,首先是战力灵活性与高度匿名性,志愿组织非正式编制,能执行较高风险任务。 其次,信息与工具共享机制灵活,能快速吸纳民间开源工具与黑客资源,实现技术创新与实时部署。 第三,有助心理战与叙事演效益,对外展示“全民皆兵”的抗敌形象,对内增强国民凝聚力,对敌形成士气与认知压力。 第四,此类黑客组织有助吸纳全球对俄反感者,成为一种去国界化的数字义战行动。 此种“志工—政府—军事”三位一体的协同模式,反映国家级安全不再专属军警情报单位,而是向社会扩展的“混合防卫架构”,符合NATO强调的“透过社会实现韧性”(Resilience through Society)理念。
乌克兰瘫痪俄罗斯无人机工厂、夺取关键资料后的信息优势,等同进一步“制度化”国家级网战行动的模板。 (取自X/@blackdiammon)
三、渗透、翻拍、点名:乌克兰对俄军工核心的骇侵
从此次流出的数据,可分为以下三类:
(一)内部员工通讯软件的截图(如图1)
乌克兰可能较早已以社交工程攻击,诱导Gaskar内部员工点击钓鱼邮件/附件(spear phishing),或攻入特定中高阶人员笔电甚至手机,即可远程启动屏幕截图功能,最有可能的是针对Gaskar服务器与个人装置,利用既有恶意程序,如植入具备数据回传与屏幕监视功能的木马程序(Remote Access Trojan, RAT), 在背景悄悄传送信息与屏幕截图回指挥端。 另外若乌克兰情报部门成功招募Gaskar内部人员,亦有可能透过已控制的代理人或“内应”协助,直接取得登入凭证与信息流。
此段对话展现出攻击事件发生时的混乱与紧急反应,特别是采取拔除网络线这种实体断链措施,显示信息系统无法正常控制,只能靠物理隔离止损。 另外对信息系统的防护与备援能力明显不足,缺乏自动化应变机制或封锁策略,只能以“人工下令”、“逐台断开”因应,暴露资安体系的不成熟。
图1、内部员工抱怨网络攻击。 (资料来源:“HUR and Volunteers Paralyze the Work of One of the Largest Drone Manufacturers in Russia – Source,” LIGA.net, July 15,2025,)
(二)对话是用手机“翻拍”屏幕(如图2)
这种翻拍照通常非纯黑客程序可自动完成,推测来源系内部人员配合或被收买,乌克兰情报部门可能吸收内部员工,由其拍照并传出证实Gaskar系统大规模瘫痪说法可信,以佐证外部新闻所述情节(例如无法上网、系统中断、全厂封锁),可作为“证据链”的一环。 由于翻拍群组对话、会议画面、或屏幕显示的紧急通报等无法被系统记录为异常行为,风险低,实用性高,此类人为翻拍的截图反而比纯数位截图更具可信度,因为它呈现使用真实装置背景,向目标员工展示:“你身边的人可能已经背叛你”,战略上有利于心理与认知战作。
此段对话显示从1区至4区、3楼全面失效,凸显不仅IT层面的服务器中断,而是涵盖物理空间管控系统(如Face ID)、建筑存取权限控制等营运技术系统(Operation Technology, OT)瘫痪,表示HUR与其志工黑客伙伴已具备对工业控制系统(ICS/ SCADA)进行渗透与干扰的技术能力。
图2、内部员工回报无法进入车间及无法启动电脑。 (资料来源:“HUR and Volunteers Paralyze the Work of One of the Largest Drone Manufacturers in Russia – Source,” LIGA.net, July 15,2025, )
(三)Gaskar公司员工个资问卷(如图3)
流出6份Gaskar员工亲笔写下的个资调查问卷极可能是透过以下数字攻击方式取得,包括:1、黑客可能成功植入后门,存取Gaskar内部资料服务器,下载员工资料库与通讯纪录; 2、若Gaskar使用内部邮件系统,黑客可能透过凭证窃取进入邮件服务器,导出人资部门往来资料; 3、若问卷表单储存在企业云端备份,攻击者可能经由凭证或弱密码取得档案。 此类攻击具有高度心理战效果,主要在于藉由暴露个人身分、联络方式、兵役状态、申请职位等,公开点名能制造寒蝉效应,可能使其他潜在应征者感到恐惧,不敢参与军工企业,加上此举会让军方或其他合作单位怀疑Gaskar的资安能力,进一步削弱企业信誉影响招标与信任。
图3、Gaskar员工个资调查问卷。 (资料来源:“HUR and Volunteers Paralyze the Work of One of the Largest Drone Manufacturers in Russia – Source,” LIGA.net, July 15,2025,)
四、乌克兰摧毁俄军智能资产推翻其无人机优势
由流出的内部员工对话框可以拼凑出此场网攻系从2025年7月9日一早六点至7月10日下午都还尚未恢复,如图4明确指出,“连主系统管理员都表示没东西可以救,根本不知道什么有保存。”表示这起攻击不是仅破坏作业环境,而是连资料备份、原始程序、服务器结构都被“毁灭性抹除”,显示乌克兰此次网攻不只是数据窃取,还使用删除档案、破坏资料或让系统崩溃的Data wiper、Logic bomb等恶意程序。 其中流出的对话截图最具战略意义的句子是:“最可悲的是——所有机器人的最新版都在那里......”,所谓“最新版”可能指无人机的飞控软件、算法模块、通讯协议更新或设计蓝图,若无备份,代表该公司将在未来6-12个月内失去技术领先与量产能力,此为典型“毁灭智能资产攻击”,目的是让敌方失去中长期战场优势。
Gaskar作为俄罗斯军方的无人机供应重镇,其被击瘫代表的不仅是产能暂停,更是产线机密技术外泄,此对俄军无人机研发与部署节奏将造成中长期扰动。 47TB的技术与人事资料不仅可供逆向工程分析,更能用于后续心理战与假信息作。 成功瘫痪无人机工厂、夺取关键数据后的信息优势,让乌克兰不仅掌握俄方产业节点与技术枢纽,还可能在未来战场上部署具针对性的反制装备与电子战手段,显示新的战争模式,并非一定需要通过军事实体对抗,而是渗透并削弱敌方军工技术系统的可信任性与供应稳定性。 对于乌克兰而言,这类行动提供的不只是“延缓敌军战力”的实体利益,而是进一步“制度化”国家级网战行动的模板,使其与常规军事打击同等重要。
※作者曾敏祯为国防安全研究院网络安全与决策推演研究所政策分析员。
