网络空间视角下的哈萨克斯坦动乱

阅读量196640

发布时间 : 2022-03-30 14:30:10

 

作者:知道创宇404实验室

一、背景介绍

2022年伊始,哈萨克斯坦西部石油重镇扎瑙津爆发抗议活动,随后迅速蔓延到包括阿拉木图在内的其他城市。抗议从抵制液化石油气价格飙升逐渐发展为暴力骚乱。部分示威者甚至闯进前首都阿拉木图政府,阿拉木图市政府和检察院遭纵火。但随着集体安全条约组织成员国向哈萨克斯坦派遣军队提供援助,哈萨克斯坦的局势逐渐得到控制。

在整个动乱事件的背景中,哈萨克斯坦政府切断全国网络成为了控制局势稳定的重要一环。哈萨克斯坦数字发展与航空工业部代理部长穆兴表示:网络的关闭是由于恐怖分子利用网络来进行协调和沟通。
根据新闻报道,2022年1月5日晚,哈萨克斯坦政府切断了全国的网络。2022年1月7日,哈萨克斯坦总统托卡叶夫表示政府已决定恢复部分地区的网络服务。2022年1月10日,阿拉木图市和其它部分地区的移动网络与有线网络恢复、即时通信软件和社交网站也恢复运行。

在切断网络和网络恢复的这几天时间内,哈萨克斯坦的局势得以控制,全国各地的宪法秩序已大体恢复。在此,我们也将从网络空间的视角入手,看一看在动乱发生前后,哈萨克斯坦的网络有哪些变化。

注:本文部分引用的部分数据可能因各种原因导致判断不准确、本文关于IP地址的位置解析主要依赖于IP库的数据,在部分地区的位置可能存在误差,故本报告所含信息仅供参考。

 

二.动乱前的哈萨克斯坦网络空间

2.1 哈萨克斯坦网络设备分布情况

截止2022年1月5日24时,ZoomEye网络空间搜索引擎一共收录哈萨克斯坦1712153个ip和356427个域名的4786464条历史数据,其中 4786341 条数据可以定位到具体的地理位置。根据地理位置信息进行统计,前首都阿拉木图北部、现首都努尔苏丹、卡拉干达都是网络设备大量聚集的地区。

2.2 哈萨克斯坦的互联网发展情况以及GPON路由的占比情况

2017年,哈萨克斯坦政府通过“数字哈萨克斯坦”国家规划,旨在依靠数字技术加快国家经济发展,提高居民生活质量。从哈萨克斯坦的整体数据来看,哈萨克斯坦已经达到较高的互联网普及率,但互联网相关产业仍在发展中:

  1. 互联网已经走进了哈萨克斯坦的千家万户。根据网络设备类型进行统计,哈萨克斯坦端口数据中 GPON Home Gateway 占比超过 22.04%,实际数量超过 1055345 条。GPON Home Gateway 是一款常见的 GPON 设备,也就是所谓的光猫。GPON Home Gateway 所属的网络自制域多是 AS9198(哈萨克斯坦电信公司)
  2. 互联网相关行业仍有很大发展空间。根据AS自治域的统计结果,排名前列的也多是网络运营商、VPS提供商,其中甚至出现了俄罗斯的抗DDoS自治域。整体来说,互联网接入、互联网服务提供商居多,利用互联网进行各类商务活动的企业占比较少。这类企业仍有很大的发展空间。

哈萨克斯坦的自治系统分布如下:大致和上述的互联网提供商一致,但也出现了俄罗斯的抗DDoS网段。

在本次分析中,我们结合以下两条外部数据,决定通过额外关注 GPON Home Gateway 的数量变化来了解哈萨克斯坦的网络恢复情况:

  1. 根据世界银行的统计数据,哈萨克斯坦2019年总人口为 18513673。
  2. 根据联合国关于哈萨克斯坦《消除对妇女一切形式歧视公约》中的内容可知,2009年哈萨克斯坦每个家庭由3.5个成员组成。

(GPON设备数量 家庭成员数量) /(哈萨克斯坦人口总数 哈萨克斯坦电信公司份额占比) = 32.03%

这说明接近三分之一的哈萨克斯坦家庭使用哈萨克斯坦电信公司网络和互联网紧密相连。GPON Home Gateway在网络上恢复也就意味着对应地区的秩序已经恢复。

2.3 哈萨克斯坦外交政策和SSL证书信息/域名的关联

哈萨克斯坦在大国之间奉行政治上“多元平衡”与经济上积极合作的政策,尤其是在中、美、俄三国关系上,进行“等边三角形”外交。

从哈萨克斯坦的SSL证书的国家分布也可以看到,中国、美国、德国等国家的证书占比要远高于其本国的证书比例。一方面是因为其国民用来上网的光猫是中国生产的 GPONHome Gateway,该光猫使用的SSL证书地区是中国,另一方面其https网站的SSL证书签名来自国外,例如Let’s Encrypt 等。同样也可以看出来,哈萨克斯坦本土网络发展进度较慢。仅有4349个SSL证书的国家为KZ。

从解析后IP地址位于哈萨克斯坦境内的域名所属顶级域入手(为了防止泛解析影响最终的统计结果,所以子域名都归类到对应的二级域名下,计数为1),哈萨克斯坦本地的.kz顶级域占据了绝对的多数,其次是.com域和.ru域,而.cn顶级域的数量仅为三条。这也从侧面说明了多国在哈萨克斯坦投资的侧重点不尽相同。

 

三.断网前后哈萨克斯坦网络空间设备的变化情况

根据ZoomEye网络空间搜索引擎的探测结果,2022年1月5日16时开始,仅能探测到极少量哈萨克斯坦主机。该时间略早于新闻报道的中所述的2022年1月5日晚。

在意识到哈萨克斯坦切断网络这一事件爆发后,ZoomEye网络空间搜索引擎在2022年1月6日12时、2022年1月7日15时、2022年1月7日20时、2022年1月8日9时、2022年1月9日11时、2022年1月11日9时、2022年1月12日11时、2022年1月14日18时进行了多轮探测。

3.1 动乱爆发地点特点

在动乱初期,网上流传有一张哈萨克斯坦发生大规模游行抗议的城市图,和2.1节中的分布图相比较不难发现,大部分爆发游行抗议的城市互联网都较为发达。

图源自网络

但仔细对比之下也出现了一些细节上的差异:

  1. 哈萨克斯坦西部的曼格斯套州仅有极少的网络设备,但却包含抗议活动的发起地区扎瑙津,以及另外两个抗议爆发地点。
  2. 哈萨克斯坦北部靠近俄罗斯边界的彼得罗巴甫尔、东部塞米伊、东部厄斯克门(俄语旧语:乌斯季卡缅诺戈尔斯克)虽然也存在网络设备聚集,但没有发生抗议游行等活动。

对于哈萨克斯坦西部的曼格斯套州,存在丰富的石油气资源,但是现代化发展有限,网络设备较少。从地理位置和经济发展上来看,哈萨克斯坦西部距离政治/经济中心较远、贫富差距不断拉大、油气收入分配不均都是引发抗议活动的原因。丰富资源产出分配不均和现代化的缓慢发展之间的冲突在这些城市蔓延发酵。

哈萨克斯坦同样是一个多民族的国家,根据外交部的数据,截止2021年7月,哈萨克斯坦约有140个民族,其中哈萨克族占68%,俄罗斯族占20%(https://www.fmprc.gov.cn/web/gjhdq_676201/gj_676203/yz_676205/1206_676500/1206x0_676502/) 。由于多方面的历史原因,哈萨克斯坦的俄罗斯族人主要聚集在哈萨克斯坦北部地区。从2021年哈萨克斯坦俄罗斯族人各城市的占比图中可以看到,哈萨克斯坦北部彼得罗巴甫尔、东部塞米伊、东部厄斯克门(俄语旧语:乌斯季卡缅诺戈尔斯克)均是俄罗斯族占比极高的地区。这也许是这些地区没有发生抗议游行活动的原因之一。

图来源于网络

结合事后的哈萨克斯坦总统托卡耶夫给这场动荡定性为未遂政变来看,本次动乱可能主要集中发生在哈萨克族人自身,作为哈萨克斯坦境内第二大名族俄罗斯族则牵涉较少。

3.2 断网恢复期间的差异性

在对多轮探测的数据进行分析后,哈萨克斯坦境内各城市的网络恢复大致呈现出三种状态:

  1. 以哈萨克斯坦现首都努尔苏丹为代表,在第五轮扫描时就已经恢复了大部分网络设备。下图中红色圆圈表示。
  2. 以哈萨克斯坦前首都阿拉木图为代表,在第四轮到第六轮扫描期间网络在持续恢复。下图中蓝色三角表示。
  3. 以动乱爆发地附近阿克套地区为代表,在多轮扫描的过程中,网络设备没有明显变化。下图中绿色五角星表示。

在2.1节中的分布图基础上,分别标记出上述三类城市的地理分布:

可以看到,哈萨克斯坦中部偏北、以现首都为中心的主要城市网络最快恢复,哈萨克斯坦东边(包括前首都阿拉木图)和西边的城市恢复的较慢,而动乱最先爆发的石油重镇扎瑙津附近,网络设备并没有明显变化。

这似乎也能说明这场动乱最先在哈萨克斯坦首都为中心的主要城市被平息,然后在哈萨克斯坦全国范围内平息。而动乱最开始爆发的扎瑙津附近地区,也仅仅只是引信被点燃的地区,而不是动乱爆发最激烈的地区。

3.3 断网及恢复期间CIDR段变化情况

根据2.2节的结论,我们将对比整个哈萨克斯坦以及GPON Home Gateway所涉及网段在恢复期间的变化情况。

根据后缀为24的CIDR段去分割哈萨克斯坦的网络空间(注:下文所述CIDR段均指后缀为24的CIDR段),对比多轮探测中出现和消失的IP段,可以得出两个结论:

  1. 在第六轮扫描(2022年1月11日9时)时,哈萨克斯坦的大部分网络已经重新和互联网连接,回到动乱前的状态。在第一轮扫描的数据中,也就意味着相较于历史记录,断网时有8592个的CIDR段消失,但在第五轮和第六轮一共有6961个(81.01%)CIDR段重新出现。
  2. 在第七轮扫描(2022年1月12日11时)之前,哈萨克斯坦人民的日常网络连接也恢复正常。GPON 相关的CIDR段在第七轮(2022年1月12日11时)出现292个,消失206个,在第八轮(2022年1月14日18时)出现234个消失200个,说明GPON相关的CIDR段已经开始动态变化,符合GPON使用的正常规律,出现GPON设备频繁上下线网段变化的情况。

在第二轮的数据中,出现了 282 个CIDR段,但只出现了4个和GPON有关的CIDR段,这部分CIDR段还需要继续关注。

 

四.思考和总结

根据已知的报道,哈萨克斯坦动乱被定性为未遂政变,但在整个事件中,能找到多方势力闻风而动的影子。断网可能是切断恐怖分子进行沟通协调途径的办法之一,但也要警惕可能产生的应对方案:破坏者依旧可以使用蓝牙、无线电的方式在断网的情况下快速传递信息,实现破坏最大化。

对于我们的邻国哈萨克斯坦,我们了解的资料的确有限。消息也存在一定的滞后性。希望能从这篇文章中拓展出一种动态测绘某个地区的思路,通过网络空间和现实空间事件的结合,从而开启另一个角度的思考。

文中部分结论可能受时间、地区、IP库的精准度等多个条件影响,如有错误,欢迎指正。

本文由知道创宇404实验室原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/271186

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
知道创宇404实验室
分享到:微信

发表评论

知道创宇404实验室

知道创宇404实验室,长期致力于Web 、IoT 、工控、区块链等领域内安全漏洞挖掘、攻防技术的研究工作,团队曾多次向国内外多家知名厂商如微软、苹果、Adobe 、腾讯、阿里、百度等提交漏洞研究成果,并协助修复安全漏洞,多次获得相关致谢,在业内享有极高的声誉。

  • 文章
  • 112
  • 粉丝
  • 67

热门推荐

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66