俄乌冲突是一场新型的混合战争。在俄乌物理空间战场之外,网络战、舆论认知战胶着在一起,多方势力进行激烈的较量。自2022年俄乌冲突引发全球高度关注至今,俄乌冲突已持续了400多天,局势持续发酵。据2023年4月9日《纽约时报》报道,多家社交媒体近来披露了一批疑似美军秘密文件中,包含韩国政府高层讨论是否向乌克兰提供武器等内容,而这些信息来自美国情报部门对韩方的监听。这一信息一经发布,再次引发对俄乌冲突话题的关注。
以美国为首的西方国家,虽然表面上未直接参与军事冲突,却利用其先进的网络信息技术和主流媒体平台极力压制俄罗斯,并引导全球黑客加入网络战,起到了推波助澜的作用。2022年6月,微软公司发布的《保卫乌克兰:网络战争的初始教训》报告指出,在俄乌战争爆发前的一周内乌克兰政府的数据就被悄悄的“运出”了乌克兰,上传到美国的云上进行数据储存和处理,美国甚至为此还修订了法律。俄乌冲突爆发后,美国前国务卿希拉里·克林顿在接受美国微软全国广播公司(MSNBC)的采访时呼吁美国黑客对俄罗斯发动网络攻击。美国还在利用跨国信息科技公司在互联网世界的资源主导权,不断对俄罗斯的舆论发声渠道围追堵截。苹果公司删除了俄罗斯以外国家和地区App Store中俄罗斯的新闻应用程序;谷歌公司封锁了俄罗斯官方媒体的YouTube频道。美国在俄乌冲突背后的频频动作,暴露出美国所宣扬的所谓“清洁网络”和“符合民主价值观和利益的技术”,不过是可以让美国肆意窃密、随意攻击他国、确保美国“唯我独尊”的网络和技术优势。最近美国五角大楼泄露的情报等一系列事实证明,美国是网络战的始作俑者、先进网络武器的最大扩散方、全球最大的网络窃密者。
本报告基于网络空间搜索引擎钟馗之眼(ZoomEye)的网络空间测绘数据、创宇安全智脑、关基目标库、高级持续性威胁(APT)流量监测系统、云蜜罐平台的攻击日志数据,通过对俄乌冲突爆发前、冲突爆发初期、冲突相持阶段的相关数据进行趋势分析,描绘俄乌冲突网络空间对抗的演进过程,总结俄乌冲突网络空间对抗呈现的主要特征,并总结经验、提出建议。
一、俄乌冲突网络空间对抗情况概览
根据ZoomEye的数据,可以将俄乌冲突划分为三个阶段,即冲突爆发前(2021年12月1日至2022年2月24日)、冲突爆发初期(2022年2月24日至2022年3月7日)和冲突相持阶段(2022年3月7日至今)(见图1)。
图1 乌克兰的IP存活趋势图
通过网络空间动态测绘、APT组织行为测绘、攻击者大数据监测、暗网流量监测、舆情信息监测等多个维度,分析俄乌冲突以来网络空间资产变化趋势和网络空间对抗态势,可以发现和全面“感知”网络战这个新型战场与物理空间战场发展态势之间的关联映射。
一是“感知”了双方的网络空间战法战略。推测双方通过冲突爆发前的长期APT攻击获取了精准的高价值情报,在军事冲突爆发之前“网络战先行”,通过分布式拒绝服务(DDoS)攻击重点打击对方的军事、能源、金融等关键基础设施,并在军事冲突爆发后通过网络战持续消耗对方,同时,将舆论认知战贯穿始终,以便达到鼓舞己方士气、削弱敌方信心的目的。
二是“感知”了俄乌冲突爆发前的作战准备。通过对APT组织的长期情报跟踪以及对全球黑客组织所使用的网络资产、僵尸主机进行测绘,可以发现,在冲突爆发前有大量用于攻击的命令与控制(C2)服务器资源上线部署,为冲突爆发前进行大规模DDoS攻击提供支撑。
三是“感知”了DDoS攻击先行成为冲突背后压制对方的重要手段。通过“肉鸡”数量的变化趋势以及俄乌双方关键信息系统的存活的变化趋势,可以发现,军事行动之前往往伴随大规模DDoS攻击,成为先行压制的重要手段。
四是“感知”了在冲突初期特别军事行动演进路线以及在相持阶段双方多次大规模空袭的区域分布。通过对冲突爆发区域的网络空间IP掉线率数据变化及分布情况,可以发现,区域分布与特别军事行动演进路线及进度高度吻合。
五是“感知”了双方应对网络攻击的防御能力和应急响应能力。通过对黑客使用的跳板抽样数据、暗网出口流量的变化趋势分析,可以发现,国际黑客组织在俄乌冲突中产生了巨大影响。国际黑客组织对俄乌双方发动攻击的趋势和烈度,与俄乌双方关键资产的掉线率相印证,可以从侧面反映出俄乌双方的网络防护能力和应急响应能力。
六是“感知”了双方在网络空间对抗的激烈程度。通过对APT组织域名资产的变化趋势分析、对乌克兰战场智能指挥系统Delta入侵事件还原,以及对乌克兰IT军队在社交平台公布的信息分析,可以看出,俄乌双方在网络空间的持续对抗情况,与长期的测绘数据情况相匹配。
七是“感知”了抢夺认知域作战主动权就是抢占国际舆论主导。俄乌双方都以“第一视角”的方式向全球直播冲突对抗实况,都在网络媒体和社交平台发声,争夺国际传播认知叙事主导权。以美国为首的西方国家利用在互联网世界的资源主导权,不断对俄罗斯的舆论发声渠道进行围追堵截,致使全球黑客站队情况呈现一边倒的局势,也使网络战的边界更加模糊,大大影响了网络战资源的倾斜。
二、俄乌冲突爆发前期网络空间对抗
综合各方观点,可以推测,在俄乌冲突爆发前,双方主要通过连续多年的APT攻击获取情报,为日后发起军事冲突打下基础。上述情况也可以从知道创宇的APT组织行为测绘以及舆论信息数据得到验证和显示。
1 冲突爆发前APT组织行为的测绘数据
知道创宇404高级威胁情报团队连续多年跟踪某个国外APT组织行为发现,国外安全机构报道称该组织从2013年开始针对乌克兰开展APT攻击活动。通过对该APT组织使用的C2网络资产进行持续测绘(见图2),可以明显看到,从2021年5月开始,该组织的C2网络资产数量相较之前激增近3倍,并在2022年1月达到最高峰。由此推测,俄乌冲突爆发前,该APT组织即开始大量部署网络基础设施,并对乌克兰持续性实施大规模的网络攻击。
图2 冲突爆发前某国外APT组织使用的IP资产情况
从该APT组织使用域名的维度看(见图3),在2020年12月至2021年5月期间,该组织表现异常活跃,使用的域名到2021年5月达到创纪录的8454个,随后迅速回落到1000个左右。该组织使用的域名在2022年2月达到峰值的7292个。这意味着在俄乌冲突爆发前,该APT组织已做好了网络空间对抗的相关准备。
图3 冲突爆发前某APT组织使用的域名资产情况
2 冲突爆发前网络空间资产的动态测绘数据
分析ZoomEye的测绘数据(见图4),可以发现,从冲突爆发前的2022年2月15日开始,乌克兰的IP资产数量明显下降。据媒体当天的报道,乌克兰政府机构等关键部门遭到大规模DDoS攻击。由此可以推测,是DDoS攻击致瘫了乌克兰的大量网站等在线系统,主要表现为网络空间资产的剧烈震荡。
图4 乌克兰全境IP存活状态趋势测绘
3 冲突爆发前的舆论信息数据
在冲突爆发前,美国曾派白宫最高级别网络安全官员访问北约,协调盟友共同帮助乌克兰应对网络战。美国网络司令部还增加了前往东欧的“前出狩猎”小组的数量,任务是加强乌克兰的网络防御能力。美国还通过网络平台散布俄罗斯在不久后进攻乌克兰的舆论,并多次在网上公布俄军在俄乌边境调动和部署情况,揭开了俄乌冲突舆论信息战的序幕。
三、俄乌冲突爆发初期网络空间对抗
在俄乌冲突初期,多家媒体报道,俄罗斯主要通过大规模DDoS攻击、数据擦除恶意软件攻击等方式,使乌克兰大量互联网、通信、交通、能源、金融等关键信息基础设施陷入瘫痪,有效打击了乌方军事指挥控制能力,为特别军事行动发动“闪电战”制造战机。同时,乌克兰在Telegram上持续发布任务,组织国际黑客向俄罗斯发起网络攻击。国际黑客组织“匿名者”(Anonymous)宣布对俄发动“网络战争”,声称攻击了俄罗斯电视台。克里姆林宫、国家杜马和国防部的网站因DDoS攻击而离线。这些情况可以从ZoomEye网络空间动态测绘、攻击者大数据监测、暗网流量监测的数据得到验证和显示。
1 ZoomEye网络空间动态测绘数据
俄乌冲突的爆发区域主要在乌克兰境内,据ZoomEye对乌克兰全境IP地址的在线存活状态数据,可以看出,网络战场的网络资产实际变化与特别军事行动的时间点相吻合,也印证了实体战场和网络空间态势之间有确切的时间对应关系。
2月23日至24日,乌方开始通过自主防卫手段主动断网,保护关键信息基础设施。从图5可看出,2月24日16点51分,存活IP数量急剧下降至 86%;2月24日20点37分,前期主动断网系统重新上线,存活 IP 数量反弹回升至 94%。但是,在随后一段时期(2月25日至3月7日),存活IP数量整体保持下降趋势,网络资产持续掉线。截至3月7日,存活IP数量已经降至78%。
图5 乌克兰全境IP在线存活变化趋势
从乌克兰各州IP存活数量变化趋势数据(见图6)可以看出,多数直辖市和州的存活IP数在2月24日均有急剧下降,与乌克兰全境IP地址在线存活数量的变化趋势相吻合。
图6 乌克兰各州IP存活数量变化趋势
对乌克兰首都和州2月24日IP存活比例和3月7日IP存活比例进行统计,统计结果如表1所示(该表格以基辅和各州2月23日IP存活数量进行降序排列)。
表1 乌克兰各州IP存活率
对乌克兰首都和州网络资产掉线状况进行统计,可以绘制成热力图(见图7)。该图反映的状况映射出俄乌特别军事行动的演进进程,即俄罗斯是从北(基辅州)、东(哈尔科夫州、顿涅茨克州)、南(扎波罗热州)三个方向对乌克兰发动突袭,与实际情况高度吻合(见图8)。
图7 乌克兰各州网络空间IP存活率热力图
图8 俄乌特别军事行动进程图
通过ZoomEye对乌克兰的网络空间持续测绘,对乌克兰的军事及军事相关的基础设施存活变化进行观察及统计分析(见图9),可以发现,在冲突初期阶段有一个急剧下降的趋势,这个说明基础设施成为冲突的核心重点攻击目标,这也表明俄罗斯在冲突前就已经掌握了乌克兰相关的关键基础设施的分布等数据,很可能在本次武装冲突之前就展开对应的信息收集工作,由此说明在现代武装冲突中国家的基础设施安全至关重要,并且说明相比现实空间的实体战,网络战早已经先行。
图9 乌克兰关键信息基础设施在线存活变化趋势
2022年2月24日的16点51分,乌克兰的关基设施在数小时内掉线比例达到57.81%,远远高于非关基设施的掉线比例7.52%。2022年3月7日,乌克兰的关基设施掉线比例为66.00%,仍然远高于非关基设施的掉线比例16.07%(见表2)。
表2 乌克兰网络资产变化情况
表2显示,2月24日非关基设施的资产掉线比例是7.52%,3月7日非关基设施的资产掉线比例是16.07%,非关基设施的掉线比例有明显的增加,说明战争对乌克兰的民众生活及社会局势带来了越来越多的不稳定性。这段时间的媒体报道显示,大量的乌克兰人民选择离开乌克兰。
从乌克兰掉线的关基设施所属行业分布(见图10)可以看出,掉线的关基设施数量最多的3个行业是金融、政府和能源。这与媒体报道俄罗斯针对乌克兰的政府和银行网站开展大量DDoS网络攻击的情况相呼应。
图10 乌克兰掉线关基设施行业分布
据俄罗斯卫星通讯社2月27日消息,国际黑客组织“匿名者”(Anonymous)宣布对俄发动“网络战争”,声称对今日俄罗斯电视台(RT)遭受的一次网络攻击负责,并“黑掉”了车臣政府网站,也攻击了不少俄罗斯的摄像头。同日,美国前国务卿希拉里·克林顿呼吁美国黑客对俄罗斯发动网络攻击。另据Cyberscoop网站消息,俄罗斯政府3月2日公布的一份清单显示,有17500多个IP地址和174个互联网域名参与了针对俄境内目标的持续DDoS攻击,克里姆林宫、国家杜马和国防部的网站因DDoS攻击而离线。
依据对俄罗斯军事、工业、能源、金融、交通等关基网络空间资产的测绘数据(见图11),其中包括对俄的近3000个关基单位,超过11万网络IP的存活、类型、所有者、漏洞、GPS位置、业务类型的测绘数据,可以发现,在黑客攻击及舆论攻势下,俄罗斯网络空间资产和关键基础设施情况基本保持稳定。这也说明俄罗斯具有较强的网络防御能力。
图11 俄罗斯关键信息基础设施在线存活变化趋势
乌克兰也作出了相应的反击。乌克兰总统泽连斯基、乌克兰国家安全局等在呼吁国际黑客加入 IT 军团,从2022年2月26日起,在Telegram上持续发布任务(见表3),组织国际黑客向俄罗斯发起网络攻击,攻击目标覆盖俄罗斯的银行、日报媒体、科技公司等网站(见表4)。2月27日,乌克兰在网络上招募的一支由安全研究人员和黑客组成的志愿“IT军队”,对包括政府机构、关键基础设施和银行在内的31个俄罗斯实体目标进行网络攻击。
表3 乌克兰IT军队在Telegram上发布的部分任务
表4 乌克兰IT军队发布的部分攻击目标
2 对攻击者的大数据分析
自2022年1月起,发生了多起针对乌克兰重要网站的DDoS攻击事件。依据创宇安全智脑监和云蜜罐平台捕获的攻击日志数据,攻击者通过“肉鸡”发起了大规模的DDoS攻击,并伴随乌克兰局势的变化2月13日之后加大了攻击强度,在2月24日达到顶峰(见图12)。
图12 攻击者利用“肉鸡”对乌克兰攻击趋势
依据2022年2月20日至2月27日乌克兰“肉鸡”攻击变化趋势数据,可以得出以下结论:一是乌克兰“肉鸡”数量从2022年2月20日起呈明显的上升趋势,到2月24日到达顶峰。据推测,这是攻击者通过“肉鸡”发起了大规模的DDoS攻击的高峰期,时间点与普京宣布发起特别军事行动的时间点相吻合。二是乌克兰“肉鸡”数量在2月24日明显下降,与前述提到的乌克兰全境IP地址在线存活数量在2月24日急剧下降的走势及时间点吻合,两个数据之间可互相印证。据推测,海量“肉鸡”在发动攻击后被快速主动销毁。
3月1日,伊赛特公司(ESET)安全团队披露了针对乌克兰政府组织的第三种数据擦除恶意软件IsaacWiper。这种新型数据擦除恶意软件不带有用于代码验证的数字签名,与HermeticWiper没有代码相似性且复杂度较低,并自2月24日起不断采用各种技术手段实施攻击,乌克兰数百台关键计算机被检测到数据擦除恶意软件,涉及乌克兰的金融和政府承包商,导致相关组织的系统设备数据遭到恶意删除。
依据创宇安全智脑长期对全球黑客使用的300万跳板IP的跟踪数据,可以对黑客进行画像,标记其ID、手段、战法、动机、作战规律。依据2月20日到3月27日近1万个黑客使用的跳板抽样数据(见图13),在俄乌冲突爆发前几天,这些跳板被大量用于攻击俄罗斯,攻击量比平常增加了30倍。
图13 近1万黑客使用的跳板抽样数据
多方数据显示,超过50个国际黑客组织卷入了俄乌网络冲突。在双方的持续抗衡下,其中39个黑客组织支持乌克兰,并持续对俄罗斯发起网络攻击,仅15个黑客组织表示支持俄罗斯。相关黑客组织概要情况详见表5。
表5 相关黑客组织概要情况
3 暗网流量的数据分析
暗网因隐蔽性、匿名性往往成为网络犯罪的滋生地,也成为俄乌冲突网络对抗的“暗器”。可以说,几乎所有有价值的攻击都会通过暗网进行布控和发动。依据创宇安全智脑持续对暗网出口节点实时流量0.13%的采样数据,对比俄乌冲突爆发前与俄乌冲突爆发初期的暗网流量变化,可以清晰感知暗流涌动的暗网流量变化态势。
表6 暗网流量变化态势
依据表6,暗网出口节点流量去往俄罗斯的占比在俄乌冲突初期显著上升,连接数(connection)由冲突前539,759,占比6.79%,上升至冲突初期2,378,098,占比29.30%,。同期对比乌克兰的出口访问流量基本变化不大。俄乌冲突初期暗网出口流量排名前10的出口节点访问IP地址显示,其中有7个都是俄罗斯的IP。持续统计暗网出口节点流量访问HTTP(S)协议-主机名Top10(见图14),可以发现,大部分流量都去往俄罗斯的主要安全机构俄罗斯联邦安全局官网 fsb.ru。
图14 俄乌冲突期间的暗网出口流量统计
结合3月6日匿名者黑客组织(Anonymous)在Twitter上发布的消息(见图15),他们声明已经让fsb.ru不能访问的消息显示,推测匿名者黑客组织同时利用了大量的暗网流量,成功发动了网络攻击。
图15 黑客组织在Twitter上发布的消息
4 对舆论信息数据的分析
据国外媒体报道,自俄乌冲突开始,美国民用卫星系统星链Starlink一直向乌克兰提供涉及军事的服务,使其在战场上可以更好对抗俄军。媒体报道指出,有1万个星链终端被陆续送到乌克兰,这也成为乌克兰得以坚持至今的重要因素。依据2022年7月ZoomEye的星链全貌测绘数据(参见《解密笼罩全球的太空WIFI:“星链”计划网空资产测绘报告》https://www.secrss.com/articles/44419),可以发现,有2个星链终端IP暴露于互联网上,而这两个IP都位于乌克兰西部的外喀尔巴阡州,这也印证了马斯克已经激活为乌克兰提供星链服务的相关言论。
西方国家尤其是美国利用自己对全球主流媒体、社交平台的掌控,以及一批跨国信息科技公司在互联网世界的资源主导权,不断对俄罗斯的舆论发声渠道进行围追堵截。2月27日,欧盟宣布禁止俄罗斯电视台和俄罗斯卫星通讯社两家俄罗斯官方媒体在欧盟境内传播,相关制裁措施在3月2日正式生效。随后,主流社交平台和跨国信息科技公司也纷纷跟进,美国Meta公司禁止俄罗斯官方媒体在其平台投放广告;谷歌公司封锁了俄罗斯官方媒体的YouTube频道,并将俄罗斯国家资助的出版商从谷歌新闻中除名;微软从其全球微软应用商店中删除了俄罗斯新闻应用程序;苹果在俄罗斯以外国家和地区的App Store中删除了俄罗斯的新闻应用程序。这一系列限制措施导致俄罗斯官方媒体难以发声,俄罗斯在全球舆论战场落于下风。
俄罗斯媒体积极利用各类社交平台宣传俄军对乌克兰平民进行人道主义援助以及解救人质的视频,公布乌克兰军队的恶行和北约国家的阴谋,尤其是俄罗斯宣称在乌克兰发现了为美国工作的生物实验室,引发国际社会极大关注。
四、俄乌冲突相持阶段网络空间对抗
综合各方信息分析,俄乌冲突进入“相持阶段”后,双方主要以多点物理打击空袭为主、网络攻击为辅的战略,网络攻击中既有APT组织行动,也有国际黑客组织发起的行动,还有不确定攻击来源的行动。以上情况从ZoomEye网络空间动态测绘数据、APT组织行为测绘数据、舆论信息数据中可以得到验证。
1 ZoomEye网络空间动态测绘数据
依据ZoomEye对俄乌双方网络空间资产进行长期测绘数据(见图16),从2022年3月7日至2022年12月31日,冲突爆发区域IP存活数量的变化趋势及时间拐点,与俄乌冲突中多个特别军事行动密切相关。
图16 冲突爆发区域IP变化时间与俄方特别军事行动时间吻合
依据后续对特别军事行动发生时间与IP存活数量变化进行的交叉印证数据(见表7),可以发现,两者的时间点高度吻合,也从侧面反映出乌克兰有能力在较短时间做出及时的响应措施并恢复网络,表现了较好的应急能力。
表7 冲突爆发区域IP变化趋势与俄方特别军事行动交叉印证
2 APT组织行为测绘数据
据报道,某国外APT组织在2022年持续对乌克兰进行针对性攻击。在以美国为首的北约国家对俄罗斯进行各方面制裁和众多安全厂商对该APT组织进行多次披露之后,该APT组织的IP资产特征也发生了一定程度变化。从2022年8月以后该APT组织使用的IP资产数量可以看出(见图17),该组织的资产持续地更新和变化,并持续地对乌克兰进行攻击。
图17 某国外APT组织IP资产变化
从2022年8月以后该APT组织使用的域名资产数量可以看出(见图18),该组织仍然使用大量域名进行相应地攻击活动,并且大部分域名的顶级域名仍然为.ru,且有少量.com和.org的新域名出现。
图18 某国外APT组织域名资产变化
从2022年8月以后该组织使用的IP资产所在国家的分布情况可以看出(见图19),该APT组织的IP资产主要位于美国、德国、新加坡、荷兰和英国,其中美国占比39%,排名第一。
图19 某国外APT组织资产分布变化
据国外媒体报道,2022年11月1日,乌克兰“引以为傲”的战场智能指挥系统Delta系统被俄罗斯黑客成功入侵后得到大量关注,这可能是俄乌冲突以来,乌克兰方面最严重的黑客入侵和数据泄露事件。依据ZoomEye的测绘数据,可以佐证乌克兰军事记者提出的钓鱼事件的真实性(完整证据链详见https://mp.weixin.qq.com/s/_vn7XrXvVAWqp-Ce7KOYAA)。
一是首先从ZoomEye的测绘数据对乌克兰DELTA系统的域名delta.mil.gov.ua进行检索发现,该网站的图标与曝光的DELTA系统的图标是一样的。由此可以确认,之前的DELTA系统是部署在外网,这与乌克兰的很多系统被迁移至公有云的情况,相一致。
二是通过ZoomEye的历史数据查询,对开源情报获得的钓鱼域名delta.milgov[.]site的IP进行搜索,可以在banner信息中发现浏览器“另存为”的痕迹,进而可以确认了如下两个钓鱼域名/IP的映射关系。(注:查询工具可以使用ZoomEye命令行客户端https://github.com/knownsec/ZoomEye-python)。
图20 钓鱼域名/IP的映射关系
三是通过whois历史数据库反查,可以确认delta.milgov.site(注册日期8月8日)和delta.milgov.host(注册日期8月21日)都使用了同一个邮箱进行注册,并且,注册地点写的都是Kyivska。
从上面的线索可以推断,攻击者通过克隆真实的乌克兰DELTA系统制作了钓鱼网站模板,随之先后申请了milgov.site及milgov.host两个钓鱼域名,然后通过邮件或者其他方式发送伪造乌克兰军方的“通告”文档,引诱乌军士兵登录,并成功获取到了账号,访问13分钟后被发现并封停了账号。
此事件引发的思考是,在正常情况下军事指挥系统部署在外网上是非常不可思议的。结合ZoomEye针对乌克兰战场测绘的报告,可以推测可能存在以下两点原因。
一是战场智能指挥系统Delta配合Starlink的支持,为前线士兵军官提供作战指挥能力,是不可缺少的。
二是乌克兰的关键基础设施是被打击的目标,当物理空间安全得不到基本保障,只有将Delta部署在外网才能够保证正常的作战通信。
这个细节的重要启示是:在战时等物理空间面临毁灭性威胁时,依赖网络空间智能作战系统需要的网络空间稳定性,可能成为第一需求。
3 舆论信息监测数据
在舆论信息战方面,各种信息域融合对抗的信息战和新媒体时代的舆论战,使有关俄乌冲突的国际话语权争夺异常激烈。
从俄罗斯方面看,据英国广播公司(BBC)5月10日报道,俄罗斯胜利日期间,俄罗斯境内部分电视台遭受网络攻击,黑客成功获取权限后发布反战信息。这次协同网络攻击影响了包括俄罗斯第一频道、Rossiya-1、MTS和NTV-Plus等俄罗斯主要媒体。在胜利日期间,在俄罗斯总统普京发表讲话时,黑客组织破坏了俄罗斯在线的电视时间表网页,并发布反战信息。2022年9月初,美国Meta公司宣布已经关闭了数量庞大的脸书(Facebook)和照片墙(Instagram)的俄罗斯用户群,号称这些用户群针对德国、法国、意大利、乌克兰和英国在60多个冒充欧洲新闻机构的网站发布虚假信息,传播与俄乌冲突及其对欧洲影响有关的虚假内容。
从乌克兰方面看,国外一些智库将俄乌冲突定义为世界上“第一次互联网战争”,乌克兰就是通过新型的互联网作战方式坚持作战的。乌克兰政府在战前推出了一款手机软件,这款软件设计之初就是为了让公民更容易办理相关的政府手续。但是,冲突爆发后,软件的性质就变了,沦为乌克兰军队的前线耳目。任何乌克兰公民都可以通过这个手机软件提交自己看到的任何俄罗斯军事动作、武器装备,以及作战人员情况。提交情况的文件格式可以是文字,也可以是视频,甚至可以是地址的定位。一开始,这是民众的自发传播,后来,乌克兰政府开始鼓励民众这么做,鼓励大家报告看到的坦克、军队和任何俄罗斯军队的相关信息。俄乌冲突初期,俄罗斯的闪电战之所以溃败,很大一部分原因,就是乌克兰民众在实时向政府传递军事消息。
五、启示与建议
目前,俄乌冲突还在继续,全球网络空间现已成为世界各国多方角逐的数字战场,世界进入新的动荡变革期。我国应当充分吸取其中的经验教训,在网络空间战场全面布局,从时间与空间两个层面,建立基于安全大数据情报驱动的“向前防御体系”,全面提升我国网络空间实战对抗能力。
一是通过全球网络空间明/暗网资产的交叉测绘构建网络空间作战地图,对网络空间战场的变化进行动态分析,打破认知域迷雾,掌握网络空间战场真实态势,提前感知敌对势力的作战意图。
二是通过APT组织行为测绘构建APT组织新上线资产提前发现能力,结合对关键信息基础设施内部历史流量数据关联分析,从攻击源阻断APT组织的长期渗透与窃密行为,防止我国关键情报泄露。
三是充分利用云防御分布式架构与弹性扩展的天然优势,实现海量DDoS攻击的流量清洗,在网络空间建立防护罩,将交火对抗区前移,防范关键信息基础设施直接受到不可抵抗打击陷入瘫痪。
四是通过人工智能技术对各类安全情报进行融合分析,持续优化对未知攻击手段的检测防护能力,动态赋能整个安全防护体系,全面提升实战对抗能力,让敌对势力难寻战机。
五是加快国际话语体系建设,加强和创新互联网内容建设,深化网络生态治理,降低在网络空间对抗中敌对势力对作战指挥、战争形态、进程甚至走向的影响。
如若转载,请注明原文地址