观察与评估:网络战 – 俄乌冲突中的隐蔽战场
2024-5-16 18:8:13 Author: blog.nsfocus.net(查看原文) 阅读量:15 收藏

阅读: 309

一、前言

当俄罗斯与乌克兰在2022年2月爆发军事冲突后,全球的网络安全从业人员都在关注这一冲突中的隐蔽战场-网络战。网络安全专家们对此基本上形成了一个共识,即这是人类历史上第一次全面的网络战。迄今为止,该冲突已持续2年多,从专家到感兴趣的普通民众都在思索三个问题,在真正的战争中,网络战是以怎样的方式进行、行动的效果如何以及当前正在发生的俄乌冲突有什么可值得吸取的经验和教训。本文将首先介绍俄乌冲突中网络战的整体情况,并通过对网络战的反思,从网络战的作用评估、网络战的适用战场以及可以学习的经验这三个方面来尝试解答以上问题。

本文中所引用的西方机构、媒体及个人的资料内容全部来源于公开途径。由于这些资料基本上都带有明显的政治偏向性,在此仅作为资料的引入,不表示作者认可其偏向性。在本文表达的观点也仅系作者的个人观点,亦不代表和反映对冲突当事双方的支持或反对。

二、西方的网络战概念

考虑到这场网络战的地域性,为帮助读者更好理解本文,首先,有必要先介绍西方学者对于网络战的看法和定义。

西方学者认为网络战是一种协调一致的长期战略行动,由许多战术行动和潜在的网络士兵组成。它是网络恶意活动制度化的演变,是某国或条约组织内的国家机构对敌国部署和开展高度组织化的网络攻击行动[1]。网络战可以和真实的物理破坏相结合并可能会造成堪比传统战争所造成的损害。网络战会破坏各类互联网服务以及各类关键基础设施,此外网络战还会像传统战争一样,将敌对宣传、虚假信息和间谍活动作为其武器库的一部分。(注:目前对于网络战的定义尚未形成一个统一的标准定义和划分标准,在现实情况中,西方各国对此也常根据国际和本国政治和形势的需要对此进行调整和相应的诠释。)

三、俄乌冲突中网络战的整体分析

3.1 俄方网络战攻击的情况

西方普遍认为俄罗斯针对乌克兰的网络攻击并不是在2022年,而是很早就已经开始,时间可追溯到2014年俄罗斯吞并克里米亚半岛的时期。欧盟议会2022年的简报-《俄罗斯对乌克兰的战争:网络攻击的时间表》对此展示了网络攻击时间线。

图1:俄罗斯网络攻击乌克兰的时间线[2]

在2023年3月初,乌克兰国家特殊通信和信息保护局(SSSCIP)发布了一份名为《俄罗斯的网络战术:2022年的经验和教训》的报告[3]。在2023年9月该机构再次发布了一份名为《俄罗斯的网络战术 2023 H1》的报告[4]。在这两份报告中描述了2022年和2023年上半年乌克兰遭受网络攻击的整体情况。两份报告的主要内容如下:

3.1.1 遭受攻击的目标

遭受网络攻击的行业和机构主要如下:

军事、安全和国防部门

遭受攻击的目标包括乌克兰几乎所有的军事委员会、国防部、国家安全局、国家边防局、国防承包商以及制造商。

政府部门

遭受攻击的目标包括乌克兰主要政府部委、地方政府组织、国有机构和国有企业。

电信和IT行业

遭受攻击的目标包括向乌克兰政府部门提供通信服务和产品的IT公司、ISP、托管服务商以及通信网络(包括地面和卫星通信网络)。私营公司在23年遭受了更多攻击。

物流与运输行业

遭受攻击的目标包括铁路公司、邮政服务、物流承包商。

媒体行业

遭受攻击的目标包括国家或私营的广播电台、报纸、新闻机构以及互联网媒体机构。

能源部门与行业

遭受攻击的目标包括设计和建造天然气以及石油管道的机构、发电厂、电网以及电力供应公司。

金融业

遭受攻击的目标包括整个金融体系。

医疗和保险行业

遭受攻击的目标包括主要的保险公司和医疗/保健组织。

3.1.2 发起攻击的主要俄方机构和最活跃的亲俄黑客组织

发起攻击的主要俄方机构为:

俄罗斯联邦联邦安全局(FSB)

俄罗斯联邦武装部队总参谋部(GRU)

俄罗斯联邦外国情报局(SVR)

这些报告中提到至少有 9 个已知或与俄罗斯有关联的网络威胁团队参与攻击活动。其中最活跃的组织包括:

Gamaredon(由 FSB 控制)

Sandworm(由 GRU 控制)

XakNet

CyberArmyofRussia

Zarya

KillNet

3.1.3 主要攻击手段

主要的网络攻击手段包括:

鱼叉式网络钓鱼以及钓鱼邮件用于窃取信息和登录凭证;

利用恶意软件感染(如Gamaredon、CrescentImp)或通过可利用的安全漏洞(如CVE-2022-30190漏洞)进入内部网络;

利用恶意软件(如针对Windows系统的HermeticWiper、IsaacWiper、CaddyWiper恶意擦除程序,针对各种类型的 Linux 系统的AwfulShred、SoloShred恶意擦除程序以及Prestige等勒索软件)对数据进行彻底地删除和破坏;

利用恶意软件(如Industroyer2)对发配电等关键基础设施进行破坏;

利用恶意软件(如LoadEdge后门监控软件)实现对目标的持续监控,收集和获取情报信息;

发起DDOS分布式拒绝服务攻击,破坏服务可用性以及重路由网络流量数据;

利用控制/攻陷的媒体账户发布真实/虚假的信息打击/迷惑乌克兰群众和参军人员

3.2 乌方网络战攻击/反击的情况

在爆发冲突后,乌方也发起了大规模对等网络攻击。其中就包括乌方数字化转型部长组建的IT团队发起了多次针对俄方目标的DDoS和擦除器攻击。尽管如此,与俄方相比,乌方的网络攻击力量和能力相对偏弱。然而乌方一直在努力通过外部援助加强其网络防御并开展对等网络攻击。乌方官员在冲突爆发后不久就表示,在攻击方面有高达40万名多国黑客自愿反击俄罗斯数字资产[5]。2022年3月29日,俄罗斯外交部发布关于《“集体西方”持续性网络攻击》的声明称美国及其盟友正对俄开展大规模网络行动,针对性恶意攻击每天达数十万起。声明中指出,俄罗斯国家机构、大众媒体、关键基础设施和民生保障系统媒体都遭受了网络攻击[6]。该声明从侧面印证了来自乌方外部援助攻击的巨大数量和攻击面的广泛性。

3.3 西方的援助

来自西方国家的政府机构、私营公司的援助对于乌方整体加强网络连通性和网络安全性是比较有效的。援助的对象既包括乌方政府部门也包括私营企业。整个援助可以从冲突前和冲突后分开来看待。

3.3.1 冲突前的援助

在冲突爆发前几年以美国为主的西方政府就已向乌方提供了资金和技术方面的援助。这里列出了一些援助的具体情况[7]。

截至2022年2月,美国累计向乌克兰提供了近1亿美元的网络安全网络能力发展援助。

2022年2月之前,美国政府与乌克兰政府各部和关键基础设施部门密切合作,支持乌克兰的网络恢复能力,包括自2017年以来提供4000多万美元的网络能力发展援助。

从2020年开始,美国国际开发署(AID)启动了一项耗资3800万美元的雄心勃勃的网络安全改革计划,该计划的初衷是在未来通过几年的努力加强乌克兰的网络安全法律和监管环境,培养乌克兰的网络技术人才,并加强乌克兰顶尖大学的课程设置,以及在关键基础设施运营商和私营部门解决方案提供商之间建立联系。该项目已在乌克兰政府内部部署了二十多名技术专家,以增强乌克兰的网络响应和恢复能力,并部署了网络安全软件和硬件工具,以确保关键基础设施对物理和网络攻击的恢复能力。

美国能源部(DOE)与乌方能源部门有着长期的合作关系,包括与乌方公用事业公司合作,以帮助增强其网络安全态势。在俄方采取特别军事行动的准备过程中,美国能源部利用其国家实验室的专业知识,与乌方公用事业公司合作,增强潜在的网络安全增强,同时协助乌方开展长期恢复工作。

美国财政部(DOT)通过软件工程研究所(SEI)与乌克兰国家银行(NBU)合作,支持NBU的计算机安全事件响应团队(CSIRT),以改善乌克兰金融服务部门的网络安全信息共享。在冲突爆发前,美国财政部向乌克兰国家银行提供了具体网络安全问题方面的援助,同时继续开展长期网络安全项目,以更好地帮助乌克兰金融部门实现网络弹性。

2021年12月至2022年2月,美国网络司令部(USCC)的网络专家与乌克兰网络司令部人员一起开展了防御网络行动,除此之外,美方团队还提供了远程分析和咨询支持,实现与乌克兰境外的关键网络保持一致。

欧盟通过启动欧盟-乌克兰网络对话(2021年6月)、加强了该国电信服务的运营能力以及打击虚假信息,支持乌克兰应对网络攻击[2]。

3.3.2 冲突后的援助

在俄乌爆发冲突后,以美国为主的西方国家政府立即向乌方提供了高密度和全方位的技术和物资援助。很大程度上减缓了乌方所面临的网络安全威胁压力并降低了因网络攻击而带来的危害。部分援助情况罗列如下。

美国国际开发署(USAID)向乌方能源和电信等关键部门的基本服务提供商、政府官员和关键基础设施运营商紧急提供了6750多个应急卫星通信设备,包括卫星电话和数据终端。该机构资助的技术专家为乌克兰政府内的基本服务提供商提供了实际支持,包括政府各部和关键基础设施运营商(特别是在能源部门),以识别恶意软件并在事件发生后恢复系统。此外,该机构和美国国务院一起探索新的机制,利用美国和乌克兰网络安全服务提供商提供的服务,支持和加强乌克兰政府自己的网络防御工作。

美国联邦调查局(FBI)向其乌克兰国家安全和执法部门提供了直接支持,包括向乌克兰合作伙伴介绍俄罗斯情报部门的网络行动;共享有关潜在或持续恶意网络活动的网络威胁信息;帮助识别和阻止传播针对乌克兰政府和军队的虚假信息;分享调查方法和网络事件响应最佳实践。FBI还从乌克兰处获得了威胁情报和线索,以便利用FBI独特的调查和情报能力采取相关行动。FBI、美国国务院和其他美国政府机构也协助乌克兰识别和采购硬件和软件,以支持网络防御。

美国能源部(DOE)和其他机构与乌克兰进行合作,进一步整合乌克兰电网与欧洲输电系统运营商网络(ENTSO-E),包括满足网络安全要求和增强其能源部门的弹性。(注:美方评估全面整合ENTSO-E是保护乌克兰金融、能源和国家安全的关键)。

美国网络安全和基础设施安全局(CISA)与包括乌克兰在内的主要合作伙伴交换了与俄罗斯特别军事行动有关的网络安全威胁技术信息。并在冲突爆发后,CISA发布警报,提供针对乌克兰组织的破坏性恶意软件的技术细节和环节指导。

2022年3月4日,乌克兰被北约认可的合作网络防御卓越中心(CCDCOE)接纳为派遣成员[8]。该中心作为北约的网络知识中心、研究机构以及训练和演习设施将为乌方提供知识信息共享、实训演练。

在欧盟这方,应乌克兰政府的要求,欧盟在2022年2月首次在行动环境中启动了 PESCO(永久结构性合作 – 深化欧盟成员国之间的防务合作)的网络快速响应小组(CRRT)。小组的网络安全专家将在威胁检测、识别和缓解方面向乌政府提供帮助。

2023年11月欧盟网络安全局(ENISA)和乌方国家网络安全协调中心(NCCC)以及乌克兰国家特殊通信和信息保护局(SSSCIP)共同签署正式达成一项工作安排,重点关注能力建设、最佳实践交流和提高态势感知。这是ENISA首次与欧盟以外的国家进行合作。对此,欧盟外交与安全政策高级代表/欧盟委员会副主席何塞普·博雷尔表示:这项安排是我们帮助乌克兰抵御俄罗斯的整体支持以及我们对乌克兰安全的长期承诺的另一个重要组成部分[9]。

  • 私营公司的援助

值得注意的是,许多跨国IT公司在冲突发生后以宣称的商业行为方式直接或间接向乌方提供了包括威胁情报、安全设备、应急设备方面的援助。因此在这里单独进行介绍。

微软公司

美国IT巨头微软公司在援助乌方方面的措施尤为突出。在冲突爆发前几个小时前,Microsoft总裁布拉德·史密斯(Brad Smith)在一篇博客文章 [10]中说,Microsoft工程师检测到并逆向工程了一种新的恶意软件。在三个小时内,该公司发布了软件更新以防范恶意软件,警告乌克兰政府有关威胁,并提醒乌克兰“对包括军方在内的一系列目标的攻击”。一位知情人士说,在美国政府的建议下,微软立即向邻近的北约国家发出警告。其他的一些援助包括:

  • 2022年3月4日停止了在微软公司俄罗斯的新产品和服务销售[11]
  • 帮助乌克兰加强了其计算基础设施,特别是将其迁移到云端以确保其安全并为此花费了07亿美元[12]
  • 微软威胁情报中心(MSTIC)向乌克兰政府开通了24/7网络安全热线并实时提供警报,协助乌方政府应对网络攻击。[13]
  • Microsoft 灾难响应团队在爆发冲突后的不到四周的时间内完成或完成了67 个项目,以帮助乌克兰本国团体以及正在协助乌克兰的国外团体。
  • 仅截至2022年底,微软已向乌方提供了超过4亿美元的支持。[14]

Fortinet

在冲突爆发几小时之内,美国政府就联系到位于美国加州的国际著名安全厂商Fortinet,因为他们在售的一种安全软件可用于应对乌克兰国家警察和其他乌克兰政府部门正面临着的“分布式拒绝服务攻击”(DDoS)。所需资金在数小时内就批准通过,美国商务部在15分钟内给出了出口许可。一位熟悉此次行动情况的人士解释道,在收到请求的8小时内,一组工程师已经将Fortinet软件安装到乌克兰警方的服务器上,用以抵御攻击浪潮[15]。除此之外,Fortinet公司在2022年3月7日宣布暂停在俄罗斯的业务,包括Fortinet 的销售、支持和专业服务,并声称将继续遵守所有安全协议以及美国和其他适用的政府法规和准则 [16]。

其他的一些公司

Google Cloud 网络安全子公司 Mandiant 与乌克兰政府和网络防御援助合作组织 (CDAC) 密切合作,以减轻网络攻击影响。他们的一些行动包括“安全评估、事件响应服务、共享网络威胁情报” [17] 。

SpaceX公司在冲突爆发后捐赠了3600个终端[18],为150000个乌方地面站提供宽带互联网并为此每月花费2000万美元。但首席执行官埃隆·马斯克对于俄乌冲突有独立见解,不仅要求美国国防部接管其卫星网络的资金(注:美国五角大楼在2023年6月1日证实和该公司签订服务合同[19],),还提出一个问题:如果一个商业供应商正在协助美国并成为目标,美国是否应该保护它?[20]

3.4 俄方网络空间战略在冲突中的影响

北约卓越战略通信中心(NATO Strategic Communications Centre of Excellence)在2021年出版的《俄罗斯的网络空间战略》报告[21]中对俄方网络空间战略做了详细的分析。在这份报告中北约认为俄方通常不使用网络(kiber)或网络战(kibervoyna)这两个术语,除非提到西方或其他外国关于该主题的著作,他们倾向于使用信息化这个词,从而在更广泛的信息战(informatsionnaya voyna)范围内将网络行动概念化。俄罗斯军事理论家使用的术语是一个整体概念,包括计算机网络作战、电子战、心理作战和信息作战[22]。

俄罗斯对“信息对抗”的概念化以及网络空间在其中的作用在战略政策文件中进行了概述,例如军事学说(2014 年)、俄国家安全战略(2015 年)、外交政策概念(2016 年)、信息安全学说(2016 年)、关于武装部队在信息空间活动的概念观点(2016 年)以及俄罗斯军事思想家的著作和出版物。从俄罗斯的角度来看,网络战或俄罗斯的“信息技术战”只是“信息对抗”(informatsionnoe protivoborstvo)总体概念的一部分。俄罗斯国防部将信息对抗描述为国家利益和思想的冲突,通过针对对手的信息基础设施来寻求优势,同时保护己方的对象免受类似影响。

公开的俄罗斯学说和政策文件没有明确提到网络行动。在讨论作战环境时,俄罗斯使用“信息空间”(informatsionnoe prostranstvo)或“信息领域”(informatsionnaya sfera)一词,这比西方的“网络空间”或“网络领域”概念更全面。俄罗斯的“信息武器”概念(在西方的说法中几乎不存在)包含了更多的内容而不仅仅是数字措施。尽管俄罗斯武装部队含糊地将其定义为“用于发动信息战的信息技术、手段和方法”,但实际上该概念涵盖了广泛的活动(通常强调影响人类的思想);这些活动包括散布虚假信息、电子战、削弱导航支持、制造心理压力和破坏对手的计算机能力 [23]。

与西方不同,俄罗斯的“信息对抗”是持续不断的,无论是否与对手发生常规冲突。俄罗斯认为网络行动(或信息技术手段)是用于在信息对抗中获得优势的众多方法之一,并将信息对抗视为大国政治和经济体系以及文明之间持续的地缘政治零和竞争。

基于俄罗斯理论中信息空间、信息对抗的广泛概念,俄罗斯网络行动的重点也更倾向于战略性和长期性,而不是作战或战术。换言之,大多数信息武器在行动中的实际使用都是针对影响目标国家政府和社会正常运行的机构和设施,而不是作战部队或军事指挥和控制。这种战略重点会影响到俄罗斯如何组织和部署其网络部队,但另一方面,该战略重点也会受到网络战能力实现的反向影响。

根据以上的战略思想,基本能看清俄乌冲突中俄方在“信息战”中的发挥和应用。在冲突中,针对乌克兰系统的攻击主要集中在政府部门、军事行政部门和一些关键基础设施。从乌克兰国家特殊通信和信息保护局(SSSCIP)发布的《Russia’s Cyber Tactics: Lessons Learned 2022》报告,可以看到攻击目标的集中性。

图2:2022年乌方证实攻击事件

数据来源:《Russia’s Cyber Tactics: Lessons Learned 2022》

此外同时俄方对于心理作战,即公开或隐蔽地宣传活动也投入了相当的资源。在2022年俄方利用信息运营(IO)的概念,从公开的国家支持媒体到秘密的平台和账户,全方位来塑造和影响公众对战争的看法。这些行动和操作聚焦于三个目标:1. 破坏乌克兰政府形象;2.中断对乌克兰的国际支持;3.维持俄罗斯国内对战争的支持 [24] 。而以谷歌、Meta(前脸书)、YouTube、Twitter为代表的西方公司则在冲突爆发后迅速封禁和阻止了俄方在这些平台的账号和IO活动。

图3:谷歌在2022年中止了俄罗斯的IO活动数量[24]

3.5 对俄方网络战能力的评价

西方对于俄方网络战能力的评估历经了两个历程,2022年俄乌冲突前非常重视,冲突后则发生质疑。

3.5.1 2022年冲突前 –  强大和老练的对手

自2000年后期以来,西方对于俄罗斯作为网络空间强大潜在对手的威胁认知显著增长,认知的增长是由一系列网络攻击事件(西方将这些事件描述为“示威事件”)所塑造。这些“示威事件”可归为三类。

  • 第一类是网络攻击和其他形式的冲突相结合。
  • 第二类是西方归咎于俄方国家支持的网络犯罪行为。
  • 第三类是创新的网络攻击新形式。

通过观察以上事件,西方普遍认为俄罗斯在网络战方面是一个非常强大和老练的对手。

在第一类“示威事件”中,西方分析人士观察到,俄罗斯国家和国家相关行为者多次使用网络和信息技术,并经常将其与其他形式的冲突行动相结合。这些最明显的行动包括俄罗斯对爱沙尼亚(2007 年)[25]、格鲁吉亚(2008 年)[26]、乌克兰(2013 年)[27]以及格鲁吉亚(2019年)[28] 这些邻国使用网络攻击。例如,在2008年俄格战争期间的网络攻击是俄方最早同时使用军事行动和网络/信息攻击的例子。在与俄罗斯军队发生直接冲突之前,来自俄方的攻击导致许多格方政府网站都被迫关闭。黑客使该国最大的商业银行和媒体机构下线,并破坏了格鲁吉亚总统和外交部的网站。而发生在2015年和2016年对乌克兰电力基础设施的破坏性网络攻击被一些西方安全研究人员认为是历史上第一次网络攻击者造成重大停电的情况。2016年的攻击短暂切断了基辅五分之一居民的电力,铁路系统也受到影响。

第二类“示威事件”包括2017 年的 NotPetya 恶意软件攻击,该攻击最初针对乌克兰,但随后蔓延到全球,包括物流公司、医院和制药公司,造成约 10 亿美元的损失。美国国土安全专家汤姆·博塞特(Tom Bossert)认为:“这相当于使用核弹取得了小小的战术胜利。”[29]。NotPetya 攻击被归咎于俄罗斯联邦武装部队总参谋部( GRU) 74455 部队的 Sandworm 小组。另外的攻击还包括 2020 年 SolarWinds 供应链攻击,其中受感染的软件包括美军所有五个分支、五角大楼、美国国务院、美国航空航天局(NASA)、美国国家安全局(NSA)、美国邮政局、国家海洋与大气管理局(NOAA)、美国司法部和总统办公室以及大量的企业和高校 [30] 。 SolarWinds 供应链攻击同样被归咎于俄罗斯联邦外国情报局(SVR) 的APT29团队 ,该团队主要关注政治领域的网络间谍活动,以针对政党、政府、国际组织、智库和非政府组织而闻名。

第三类“示威事件“是一种网络攻击形式的创新,在和平时期、冲突时期以及战争时期通过隐蔽的方式利用网络信息和影响力行动来传播虚假信息,并试图影响第三方国家的公众舆论、选举或国内冲突。对2016年美国总统大选的干预是记录最多的案例。西方认为它显示了俄罗斯使用信息技术和信息心理工具的作案手法。这次干扰涉及对美国选举基础设施的攻击,获取并随后泄露民主党国会竞选委员会 (DCCC) 和民主党全国委员会 (DNC) 的数据,包括该党候选人希拉里·克林顿的电子邮件。[31]其他的类似事件包括2014 年试图通过入侵乌克兰选举委员会让乌克兰民众来对乌克兰选举结果产生怀疑;2016年底在黑山与北约进行入盟谈判的最后阶段对黑山媒体和政府进行网络宣传活动和网络攻击;2017年通过发布谣言和人身攻击对法国总统大选进行干预;

因此,在俄乌双方爆发冲突前,基于对俄罗斯网络空间战略的研究,以及俄罗斯在2000年以后所展示 “示威事件”的能力认可,西方普遍认为俄方的这些能力将在冲突中大显身手,并结合军事力量和军事行动,在短时间内击垮乌方。

此外,西方对于网络战所造成的破坏效果一直抱有较高的期望。2012年,时任美国国防部部长的莱昂·帕内塔(Leon Panetta)提出“网络珍珠港”这一说法,认为通过“同时对我们的关键基础设施发动多次攻击,并结合物理攻击” ,“造成物理破坏和生命损失,这种攻击将使国家瘫痪和震惊,并产生一种深刻的新脆弱感” [32]。西方认为网络战将摧毁乌克兰的战时指挥和控制系统,破坏防御性军事行动,以及让武器系统失能。对关键基础设施的攻击将造成电力中断、供水中断、通信中断、业务和生产中断的灾难性影响。

3.5.2 2022年冲突后 –  强大?也许

俄乌冲突发生后,西方对俄罗斯在网络战方面所展示出来的能力看法,基本上呈现一路走低的趋势。

事实上,发生冲突前期和后期,确实有诸多事件表明俄方的确发动了种类繁多的网络攻击并展示了相对高超的能力。在爆发冲突前2022年1月和2月,就已发生了一系列试图破坏乌克兰的系统和服务的网络攻击,包括对政府、大学网站的篡改、针对能源部门的鱼叉式攻击,针对国防部和银行业的DDOS攻击、利用破坏性的擦除器恶意软件攻击乌克兰政府、金融、能源、信息和通信技术 (ICT)、农业和非营利部门。在冲突爆发的前一小时,俄罗斯使用代码为“AcidRain”的恶意软件对 Viasat 卫星调制解调器进行攻击,关闭了乌克兰和欧洲部分地区的卫星通信,同时也对德国风力涡轮机系统产生了溢出效应[33]。

到2022年 4 月下旬,Microsoft记录了至少六个不同的与俄罗斯结盟的行为者对乌克兰进行的 237 次行动,包括破坏性袭击,干扰、情报收集和虚假信息的传播。2022 年 8 月,乌克兰计算机应急响应小组报告说,在战争的前六个月发生了超过 1,123 次网络攻击,频率增加了三倍。

除了上述的网络攻击行动外,俄方还通过定制特定信息,并利用社交媒体针对乌克兰、西方、非洲和拉丁美洲在内的发展中国家以及俄罗斯本身的民众开展了大量网络信息和影响力宣传活动。例如在乌克兰电视频道乌克兰 24 上植入虚假信息,声称乌克兰总统沃洛德米尔·泽伦斯基已经投降,并附有一段深度伪造的视频[34]。这些努力的目标是希望在西方国家内部引发国内对政治领导层支持乌克兰的不满,暗示与战争有关的截然不同的利害关系或立场,以及在一些国家之间播下不信任和紧张局势,并影响和引导其他非利益直接冲突的国家民众对于俄方行动的观点和看法。

然而,尽管有着丰富的网络攻击和网络行动种类,但西方所设想的那种网络战的恐怖能力以及战场影响却没有能够得到充分证实。乌军方的武器设施没有失能,受影响军方的战时通信通过SpaceX公司的Starlink得到了及时解决;网络攻击没有造成乌方全国性的停电,金融系统也仅仅只是短暂中断;政府部门依旧在运转;在乌军方接管互联网提供商(ISP)后,互联网服务得到了恢复;虚假的信息宣传被快速地识别,用于宣传的账户和社交媒体及渠道被迅速地关停和封堵。

整体而言,西方评判俄方对乌克兰境内的网络攻击影响是有限的,攻击的方式和手段并没有超出战前所观察和了解到的范围。因此,从公开的途径上看到西方包括很多国家政府、军方、研究机构以及网安行业专家认为也许高估了俄罗斯的网络战能力,并认为俄方的网络攻击行动在配合军事行动以及达成俄方战略目标的协同和效果方面未达到预判。

3.5.3 对俄方网络战效果不佳的分析

由于冲突双方在公布网络战攻防的情况上有所保留,且很难找到可靠的报告。使得这场所谓“第一次全面网络战争”的战争迷雾更为浓厚,无法清晰地看清俄乌双方网络攻击效果的真实情况。尽管如此,由于网络攻击整体上未达到西方的预判效果,一些西方机构、媒体作者、分析人员作出了俄方网络战能力及效果不佳的结论。

对于效果不佳的主要原因总结和分析如下:

  • 俄方前期的“示威行动”暴露了不少俄方的攻击思路、攻击方式和攻击手段。俄方的网络攻击涉及乌方的政府、能源、通信、金融等机构;攻击的方式除了攻击直接目标外也扩展到攻击供应链;攻击的手段除了诸如传统的漏洞利用、DDOS攻击、内容篡改、钓鱼邮件、勒索软件外还包括擦除器恶意程序以及Industroyer恶意程序这类新的攻击工具。这些攻击手段最为典型的就是擦除器恶意程序以及Industroyer恶意程序。与以往窃取信息数据的网络攻击不同,擦除器恶意程序从一开始就设计为破坏存储的数据,造成系统和应用中断、下线和不可用以及不可挽回的损失。Industroyer则与Stuxnet网络攻击类似,旨在破坏集中使用ICS工业控制系统的能源机构目标。 总而言之,由于俄方将乌方视为网络攻击的“试验场”,让西方得以提前窥探和了解了俄方网络攻击的方式方法,并进行针对性地研究和反制措施的制定,从而降低了俄方网络攻击的突然性和攻击效果。
  • 西方对乌方施予的援助发挥了重要的网络安全防御作用。正如前面所述,西方早在2022年俄乌冲突爆发前的多年前就不断地通过国家机构之间的合作,向乌方提供了从资金、技术、物资以及人员的全方面援助。这些援助在一定程度上巩固了乌方的国内网络安全体系。

在这些援助中作者认为最为重要的当数西方和乌方建立了一套情报共享、情报整合、情报分析以及情报预警的网络安全威胁情报体系。通过美国国家机构、美军方、NATO(北约)、欧盟以及美方撮合的跨国科技公司(如微软、谷歌等)、乌方得到了丰富的情报资源技术支持,在应对俄方的网络攻击时,能更早和更有效地进行准备和应对。

  • 俄方内部协调或许存在问题。2022年的俄方特别军事行动是一项高度机密的军事行动。从后期披露的情报信息可以看出即便是参战的俄方作战部队,有些也是在战前数小时内才知道行动的目的和目标。因此,存在俄方网络攻击力量同样也未能得到提前预知的可能性。其次受限于组织协调能力,俄方或许无法按照所掌握的计划和精准度来协调网络战部队和传统军事进攻部队共同开展军事行动。
  • 俄方可能有意隐藏了其真实的能力。在2022年3月22日。针对美白宫方面21日发表的拜登总统书面声明警告(“我们对俄罗斯施加了前所未有的经济制裁,莫斯科可能会以‘网络攻击’来报复”),俄罗斯总统新闻秘书佩斯科夫就回应称,与包括美国在内的许多西方国家不同,俄罗斯联邦不从事国家层面的“强盗行为”[35]。展开来看,有四点原因可能是俄方隐藏实力的出发点。

其一,乌方以前曾是苏联的一部分组成,与俄方在2014年以前也有着相对密切的多层面,多级别合作,例如2013年12月,俄乌双方国家合作委员会第六次会议期间还签署14项双边协议[36],因此俄方对于乌方的情况整体上较为熟悉。一些真正的杀手锏经评估后被隐藏。

其二,乌方国家层面的数字化程度与西方发达国家相比还有差距,一些高级网络武器库暂无用武之地。

其三,俄方的整体作战目标并非定义为完全摧毁乌方的国计民生,因此没有大规模地针对乌方关键基础设施展开无差别的攻击;

其四,战场是双向的,所谓道高一尺魔高一丈,俄方反过来也可通过示弱的方式观察西方及乌方的网络安全防范措施以及对俄方发起的网络攻击来进一步了解对方的实力,学习相关的方式方法,并据此对己方的网络空间战略和战术作出相应的调整。

  • 出于政治宣传的目的,西方刻意夸大彼此协同防御能力并故意贬低俄方能力和攻击效果。对于西方的此类常规双标操作,我们对此并不陌生。

四、对网络战的反思

4.1 网络战的作用被夸大

随着俄乌冲突进入第三年,越来越多的官员、学者,研究人员对网络战的作用进行了反思和深度思考。考虑到网络战的特点,我们更应该谨慎地看待其带来的作用,无论是某些案例是如何的成功。

整体来看,战前西方认为俄方的网络战能力将给乌方带来严峻的挑战,并将在开战后短期内造成严重的损失。然而实际情况是开战后既未出现类似雷达不开机、指挥失灵的“网络珍珠港”好莱坞镜头,也没有出现因网络攻击而造成的政府管控失效、社会剧烈动荡的情况。尽管如此,不得不承认,双方的攻防对抗确实对彼此造成相应的危害,当然相比技术能力以及成果而言,俄方要更胜一筹。从持续2年多的冲突来看,冲突中网络战的效果的确没有如早期最坏情况下所预判的那样产生最大化和高度可见的影响,因此对网络战的作用西方确有可能进行了夸大。接下来的内容将就导致网络战作用夸大的一些因素和原因进行分析。

4.1.1 网络战存在有效性依赖

首先,正如所有的武器系统都有对应的目标和应用场景,只有在正确的使用场景下才能发挥最大的武器效能一样,网络攻击的有效性很大程度上取决于网络攻击所针对的系统[37]。一个网络互联互通且缺乏网络安全防护和安全加固的系统将是理想的目标并能造成对应的危害;而网络隔离且经过加固的系统,即便是民用系统也将成为网络攻击的巨大挑战。这也许是本次冲突少有报道军方战场武器系统因遭受网络攻击而失效的原因。事实上包括乌方SSSCIP机构以及其他机构(如阿姆斯特丹法学院和战略与国际研究中心)的研究都表明,俄方的网络攻击极少针对军事目标,绝大多数的网络攻击都是针对政府机构、私营企业以及平民目标,与乌克兰武装部队几乎没有明显的联系。

4.1.2 网络攻击的其他弱势

其次,网络攻击有一些其他的天生弱势,导致其难与真实的战场紧密结合。这些弱势主要包括如下:

  • 网络攻击时效性较长

洛克希德马丁公司提出的网络安全攻击链模型很好地诠释了网络攻击的过程。在实际网络攻击中,成功攻击的过程通常耗时较长,仅前期的侦查阶段、武器制作阶段和投送阶段就需要耗费大量的精力和时间。以Stuxnet震网病毒事件为例,美以双方为此准备了4年之久,在完全摸清伊朗核设施的设备生产商、供应商、软件开发商,并在模拟的系统上进行了成功的仿真测试后,才开始实施最后攻击。除了这种高端攻击行为,普通的网络攻击通常也需要数天到数周不等的时间来进行准备和实施行动。例如美国Mandinat公司的一份报告[38]指出,在2022年10月针对乌方一处发电设施的网络攻击中,攻击者在攻击前至少花费数周时间进行了系统入侵和潜伏。因此,这样的攻击时长在实际的作战环境中,显然不满足真实战场所强调的“侦查打”一体化的要求。

  • 网络攻击的可重复性较低

网络攻击更加依赖于攻击的隐蔽性,一旦攻击手法、攻击工具(通常是攻击程序或攻击代码)被曝光、被捕获并进行逆向分析后,则这种网络攻击就将很快不再有效并失去利用价值。以APT攻击为例,一旦攻击方式和POC代码被披露,在存在有效威胁情报告知的情况下,其危害范围将急剧缩减,攻击和利用的时间窗口也将快速降至数天内。对比真实的战地环境,如果指挥员评判第一次杀伤或破坏效果不佳 ,完全可以立即组织第二次同样的攻击以实现攻击的目的。欧洲网络冲突研究计划的主任Max Smeets在其《No Shortcuts: Why States Struggle to Develop a Military Cyber-Force》[39](中文译名:《无捷径可走:为什么各国都在努力发展一支军事网络部队》)一书中曾提到即便北约国家间也不会共享网络攻击武器,因为披露这些网络攻击武器就意味着该国武器失去了攻击的突然性、独有性以及效能最大性,从侧面证明和解释了网络攻击的可重复性较低以及保质期很短。

  • 网络攻击的杀伤和损害效果有限

在俄乌冲突中,确实出现了例如擦除器以及Industroyer这样旨在破坏数据和能源设施的恶意程序并且它们的确也取得了令人瞩目的攻击成果。但此类攻击造成的损害也只是暂时和短暂的。如果具备有效的安全备份机制以及备份数据/备份软件,又或迁移至云端就可以很好的应对擦除器恶意程序的攻击。Industroyer恶意程序造成的电厂供电中断从披露的信息看通常也仅造成数小时至数天的电力供应中断,其破坏程度显然是无法比拟投向电力设施的航空炸弹和导弹造成的物理损害。至于其他的一些攻击所造成的危害也有限。例如DDOS攻击通常只能造成短期内包括服务和网络通信在内的可用性中断,而对网络通信的破坏本身也会直接影响网络攻击行动的畅通性;钓鱼邮件、网页篡改、虚假内容宣传则较容易被甄别和修正,而且影响的受众面也受限(有没有接收到信息和具不具备判断能力);勒索软件的危害则取决于被加密锁定的数据本身价值以及是否具有备份数据。综合来看,俄方的网络行动并未对乌方国民经济的运行造成全国性及严重的困扰,对地面军事行动的帮助也未见明显的帮助。为此有西方评论认为“尽管俄罗斯的网络战具有破坏性,有时甚至令人恐惧,并导致数千万美元的损失,但整个事件从未超过一系列恶作剧的水平。也没有任何东西可以对乌克兰施加真正的压力,迫使该国或其朋友做出让步。[40]

4.1.3对网络战的高估原因

前期对网络战进行高估有可能是以下一些原因造成。

  • 在网络战作用的评估活动中对网络对抗性活动与战略相关性影响这二者之间关系权重设置过高,一定程度上影响了评估的结果;
  • 高估了网络战的破坏性和持续性影响。
  • 过于高估已方的攻击能力以及过于低估对方的防御能力都将导致评估结果的偏差更大;
  • 为了争取更多的资源或某种宣传需要而刻意夸大对手的攻击能力和破坏效果;
  • 未能合理看待作战环境。实际中网络战攻击破坏性将呈现两头减弱的情况,即信息化和数字化不发达的对手,破坏性有限;反之,二者均发达的对手,由于网络安全的投入更多,攻击困难度也将直线上升,破坏性也会不如预期;

网络攻击效果与信息化、数字化发展程度之间的关系

4.2 网络战的适用战场到底在什么地方

4.2.1 网络战的特性

在全球数字化发展的浪潮中,因当前国际形势日趋混乱复杂,各国政府争相发展网络攻防对抗能力。此外由于网络空间和网络攻防的一些独有特性,导致各方在选择网络攻击活动时并不那么投鼠忌器,这些特性包括如下:

其一,由于网络的互联互通性以及跟踪溯源的困难性,导致在没有官方正式明确的冲突中,以及常规武器无法攻击和波及的情况下,选择网络攻击成为了一种可行的手段和潜在威慑存在。

其二,由于在网络攻防对抗领域不存在核均衡所提供的相互摧毁的战略威慑力,使得网络攻击活动存在战略和战术层面的冒险性。

其三,网络空间涉及面广泛,即便是小国、非政府组织甚至个人都可能针对其中的某些范围或某类特定目标发起攻击,这些攻击甚至有可能给强大的对手造成意外的影响和损失;

其四, 综合来看网络攻击的成本远小于常规战争的成本。使得该活动成为一种相对择优的可选攻击方式;

其五, 网络攻击具有隐蔽性,无论攻击方得手与否,又或被攻击方被攻破与否,绝大多数情况下,攻防双方都不会进行公开展示或承认;

4.2.2 适用的战场场景

战争本身就是人类社会中的最高阶以及最复杂的群体活动,在这样的活动中为了获得优势并最终达到战争的目的,冲突双方会动用一切可能的资源和手段,然而单纯依靠网络战达到传统战争的效果,达到不战而屈人之兵,显然是过于乐观。此外考虑到俄乌双方均并未能通过网络攻击手段对冲突产生决定性影响的战略成果,目前看来网络战并不适宜作为决定战略目标达成的关键手段。从前面具体的分析来看,由于网络战存在诸多的缺点,在实际战争中,网络战似乎更适于作为间谍、破坏、颠覆和牵制的工具,并更适于运用在以下具体的场景:

  • 战争爆发前,对特定的目标机构、目标人员、目标受众展开系统渗透与潜伏、进行信息情报的窃取、煽动舆情的混淆与引导;
  • 战争爆发初期,通过各类网络攻击破坏手段(如利用未经公布的安全漏洞和定制工具进行攻击、运行驻留潜伏的恶意程序进行系统和数据的破坏、发动DDOS攻击、实施内容篡改和虚伪信息的发布等)发起突然的攻击和系统性的阻断与破坏,在短时间对关键基础设施造成广泛的攻击破坏影响,配合传统军事行动获得或加强初期行动的优势;
  • 战争爆发后的长期时间内,通过舆情的引导和控制以及持续不断的网络攻击与破坏,向敌方持续输出心理压力,消耗和分散对方的资源;通过网络攻击建立隐蔽的战场前后方监视,并进行情报搜集和情报获取,获得更有利的战争态势。

4.3 可以学习的经验

坦率而言,对这样一场还未结束的战争冲突展开评判并得到结论尚为时过早。尽管如此,我们还是可以从已有的信息中学习到很多有用的经验教训。

4.3.1 强化网络战的威慑力

敢战方能止战。金一南将军曾在一次演讲中提到要建立真正的威慑,威慑不是告诉敌方我方防御有多强,而是让敌方知道动手后面临我雷霆万钧的反击手段和反击后果。这种威慑力在网络空间同样需要。

4.3.2 加快国产化替代的步伐

俄乌冲突后,西方国家对俄展开了史无前例的全方位封堵和制裁措施,除了官方制裁外,很多的西方企业也置商业准则和商业信誉于不顾,在第一时间就关停驻俄分支机构,中止提供产品咨询、产品销售、产品售后等服务,参与配合制裁,甚至利用自身技术优势实质性参与冲突。对此,我们必须提高警惕,进一步提高自主可控,加快国产化替代的步伐,避免遭受此类场景的威胁。

4.3.3 加强网络攻防协调

网络安全协调主要考虑以下三个方面的内容。第一,在战争中,组建的网络战部队如何协同配合传统军事部队开展军事行动;第二,如何协调民间机构、民间组织以及个人开展网络攻防;第三,如何加强和优化全国性的统一网络防御指挥和应急机制。在这里主要讨论后两方面的内容。

在这场网络战中俄乌双方均动员和组织了官方和民间力量参与网络防御和网络攻击。从动员组织能力和可利用的资源来看,以美国和欧盟为主要的西方集团相对更胜一筹。然而,从冲突的实际参与方来看,即便是美国也难以仅靠官方和军方力量开展网络攻防行动,未来的网络战冲突必然需要调集和协调包括政府机构、军队、民间企业和机构、个人在内的全部资源,建立公私结合的全国性网络安全防务机制。

另外,应加强全国性的统一网络防御指挥和应急机制并不断进行优化。这些机制包括不限于实现国内外网络威胁情报的整合、共享和通告;组建全国、省、市三级的应急响应支持队伍;建立协调国内网络安全企业和民间网安人士参与攻防的通路和管理机制等;

4.3.4 持续加强网络安全建设投入

毋庸置疑,持续地加强网络安全建设投入,夯实和拔高网络安全防御城墙是对抗网络战的另一重要措施。这些措施包括扩展和提升现有的网络安全检测、安全防御、安全响应与处置以及安全评估能力;充分利用机器学习、大数据挖掘、人工智能等先进技术实现高效的网络安全分析和快速地响应处置;将网络防御的范围扩展到供应链,进一步增强网络防御的整体性;不断地组织开展广泛的实战化、场景化的网络安全攻防演练检测和评估真实的防御能力;开展持续的安全意识培训促使个人形成安全保密以及反间谍的思想意识以及良好的网络安全工作行为。

4.3.5 威胁情报、漏洞管理、云计算、零信任、入侵检测、终端防护以及舆情管控是关键和主要防护手段

在这场俄乌冲突中,我们可以观察到冲突双方均采用多种有效的措施来对抗网络攻击。在这些措施中,作者认为关键和主要的防护手段是威胁情报、漏洞管理、云计算、零信任、入侵检测、端点防护以及舆情管控。

威胁情报可在整个过程中提供早期的预警、中期的处置建议以及事后的分析;有效的漏洞管理可以及时发现漏洞以及对漏洞修补加固过程进行闭环管控,避免遭受恶意代码的攻击;云计算帮助实现系统的整体弹性以及提高了冗余灾备能力;零信任可以最大程度上加强身份验证、实现最小特权以及减少偷窃凭据和账户的滥用;入侵检测帮助检测实时攻击行为以及移动和驻留中的恶意程序,它可以是多种技术手段的组合;端点防护帮助终端、主机针对恶意程序实现安全检测和防护,同时通过安全配置加固,避免遭受凭证的窃取、数据的损失以及系统和应用的破坏;舆情管控则帮助识别和封堵敌对虚假信息的传播和扩散。

结束语

俄乌冲突将是一场写入人类历史纪录的重大地缘冲突,网络战是这场冲突中一个特别值得观察了解和学习的内容。就当下情况而言,受限于披露证据材料的早期性和不完整性,想要从中得到关于网络战在战略和理论层面的客观性结论还是非常困难。本文所阐述的内容和提出的观点可能也存在与真实现状不符的情况。但无论如何,俄乌冲突表明网络战已经不是一个学术上概念,而是真实发生的现实。尽管这场网络战的效果从西方的视野来看不达预期,但我们切不可对此进行低估。在全球形势日趋混乱和紧张的情况下,料敌从宽、强化我方网络战威慑力、持续开展国内网络安全攻防能力建设、建立政府统一下的网络安全防务机制是我们可取的网络安全策略。


文章来源: https://blog.nsfocus.net/cyberwar/
如有侵权请联系:admin#unsafe.sh