2024年,全球网络空间呈现区域性和阵营性紧张态势,世界强国国防网络建设竞争持续加速,网络空间正加速演变为战略威慑与控制新领域。国家间网络斗争博弈日益加剧,网络空间斗争从技术力量抗衡走向体系化国家力量比拼,网络战成为国家实现政治、军事、经济等利益的重要手段。
一、实施针对政治安全的“网络干扰选举战”,具有“统筹运作、多管齐下”的特点。
互联网近年来已成为政治角力新战场,网络攻击政治化趋势日益明显。“网络干扰选举战”是指在网络空间发起的针对选举系统、候选人、选民等网络攻击和网络影响力活动,旨在阻碍选举进程、扭曲选举结果并破坏国家政治生态。2024年是“超级选举年”,全球超过50个国家举行选举,包括美俄总统大选、欧洲议会选举等,地缘政治紧张局势紧张引发诸多针对选举的高强度、针对性网络干扰活动。
针对美国大选的网络干扰活动上升到新高度,网络攻击和网络影响力活动层出不穷。冒充美国总统拜登的假机器人电话1月21日开始在新罕布什尔州流传,敦促民主党人不要在初选中投票,这是首个使用人工智能生成音频虚假信息干扰美国选举的案例。特朗普的竞选团队8月10日表示,伊朗黑客攻击并泄露其内部通讯,目的是干涉2024年大选并在美民主进程中制造混乱。为特朗普提供咨询的美国优先政策研究所的计算机系统10月12日遭网络入侵,成为第二起因支持特朗普而成为网络攻击目标的事件。
微软威胁分析中心4月17日发布报告称,COLDRIVER等俄罗斯黑客组织的网络活动显著增加,可能是旨在推动干扰美国11月大选系列黑客活动的“第一波”。网络安全公司Recorded Future于6月24日发布报告称,与俄罗斯有关的威胁行为者CopyCop正试图利用虚假新闻网站和生成式人工智能影响即将到来的美国总统大选。微软8月9日发布报告称,伊朗正加速开展旨在影响美国大选的在线活动,包括开展电子邮件网络钓鱼攻击、创建虚假新闻网站等,试图煽动分裂并影响美国大选。微软9月17日发布报告称,俄罗斯公关人员已将其影响和虚假宣传策略转向参加美大选的民主党候选人,并炮制伪造视频和其他虚假内容,试图抹黑竞选活动。英国战略对话研究所10月24日发布报告称,俄罗斯国家媒体在社交媒体上散布虚假言论,指责美国政府在飓风海伦和米尔顿过后严重无能,以在美总统大选前影响选民。
美国家情报总监办公室、联邦调查局和网络安全和基础设施安全局8月19日发布联合声明,指责伊朗正在进行“针对美国公众的影响行动和针对总统竞选的网络行动”。美国国家情报总监办公室9月6日称,俄罗斯正利用秘密资助的团体和国营媒体对美国选民开展“多管齐下”的虚假宣传活动,试图激化美国内分裂,并增加对特朗普的支持。美国司法部9月27日公布了一份起诉书,指控3名伊朗黑客发起“黑客泄密”活动,旨在影响2024年美国总统大选。美国国家情报总监办公室10月22日表示,俄罗斯等外国对手在美国大选前已经加速影响力行动。美国国家情报总监办公室、联邦调查局和网络安全和基础设施安全局11月1日发布联合声明称,俄罗斯行为者制作并广泛传播试图影响美选举的虚假视频。
罗马尼亚国家机构解密报告显示,在罗马尼亚总统首轮选举期间,该国的选举基础设施遭到了8.5万多次网络攻击,威胁行为者还获得并泄露了与选举有关网站的访问凭证;选举遭受了网络影响力运动,其中100多名拥有800多万活跃粉丝的TikTok罗马尼亚网红被操纵,传播宣传总统候选人加里·乔治斯库的选举内容。罗马尼亚宪法法院12月6日裁定取消首轮总统选举结果,并决定举行新选举。此次事件成为首个网络活动导致选举失效的案例,欧盟也决定就俄罗斯网络干扰罗马尼亚选举对TikTok展开调查。
除美国和罗马尼亚外,全球还发生了众多针对选举的网络干扰事件。韩国国家情报院2月28日称,朝鲜间谍机构近期开设了自己直接经营的虚假媒体,针对韩国受众散布虚假信息,并正利用人工智能技术为韩国4月大选前传播虚假新闻做准备。俄罗斯中央选举委员会表示,在俄罗斯3月15日至17日举行第八次总统选举期间,该国远程电子投票系统门户遭受了10余万次外国网络攻击。非营利组织AI Forensics于4月17日发布报告称,俄虚假信息网络Doppelganger正通过Facebook虚假账户购买广告传播亲俄言论,开展针对欧盟大选的影响力活动。亲俄黑客组织HackNeT于6月6日攻击了三个荷兰政党网站,并称“荷兰是第一个选举新一届欧洲议会的国家,因此也是第一个遭受DDoS攻击的国家”。
二、实施针对战场行动的“网络军事攻击战”,具有“渗打互融,情战给合”的特点
网络空间既是一个作战领域,也是辅助和支持其他领域物理作战的赋能领域。战争冲突正在成为战场网络行动演变的“强大催化剂”,促发各国不断创新和发展网络攻击技战术。“网络军事攻击战”是指针对军事人员、装备和设施的网络攻击行动,旨在实现窃取军事情报、瘫毁军事目标、辅助动能作战等一系战场目标。年内,在俄乌冲突、中东危机中,美俄以伊等国开展了一系列军事网络行动。
乌克兰安全局1月表示,乌方拆除了2个遭俄罗斯黑客入侵的在线监控摄像头,上述基辅住宅楼上的摄像头遭俄罗斯入侵和劫持,并被用于监视基辅的防空部队和关键基础设施;自俄乌冲突以来,该局已封锁了约1万个数字摄像头,因为这些摄像头可能被俄用于对乌进行导弹袭击的准备工作。乌克兰国家网络安全协调中心1月警告称,俄罗斯正加大网络间谍活动力度,试图通过窃取军事人员凭据,来侵入乌军事态势感知和指挥控制系统。网络安全公司Securonix于2月发布报告称,俄罗斯APT组织Shuckworm已针对乌克兰军方发起了有针对性的攻击活动,试图渗透和危害目标系统。乌克兰国家安全局4月表示,有证据表明俄罗斯军队入侵特定军事人员设备,并曾借此引导对第128山地突击旅的导弹袭击,造成至少19名乌士兵死亡。乌克兰国家特殊通信和信息保护局5月表示,俄罗斯军事黑客增加了对乌克兰军用手机的网络攻击次数,越来越多地利用信使和社交工程策略来传播恶意软件。
曼迪昂特公司7月发文称,俄罗斯对乌克兰的网络作战方法发生了显著变化,攻击目标由民用关基设施转向军事目标,寻求最大限度地整合网络作战能力与常规作战能力;越来越多的证据表明,从2023年乌大反攻前的几个月开始,多个俄网络单位已将目标从战略性的民用目标转向了士兵的计算机和移动端点,以便在乌前线实现战术性军事目标;俄已重新平衡其总体作战概念,将重点放在那些能够为常规部队提供更直接、更具象的战场优势的目标上;上述变化表明,俄情报部门已调整思维方式,最大限度地整合网络作战能力与常规作战能力,以更好地支持未来几个月俄在乌东部发起的新一轮攻势。文章认为,俄罗斯调整后的网络战工作将主要实现以下三个目标:一是渗透乌克兰前线士兵使用的设备;二是渗透乌军用于指挥控制、态势感知和其他操作需求的数字系统;三是定位乌军事装备和阵地。
乌克兰国家特殊通信和信息保护局9月发布《2024年上半年俄罗斯网络行动》报告称,2024年以来,俄罗斯黑客的关注点转向与战场直接相关的目标以及对服务提供商的攻击,不再只是利用所能利用的漏洞,而是瞄准对其军事行动的成功和支持至关重要的领域,旨在保持低调以在与战争和政治相关的系统中保持存在。
作为对伊朗支持的胡塞武装1月攻击美军驻约旦后勤基地的报复行动,美国2月对伊朗军事间谍船贝赫沙德号开展了网络攻击。美国官员表示,此次行动的目的是遏制贝赫沙德号与胡塞武装分享情报的能力,后者一直在红海攻击货船。伊朗伊斯兰革命卫队(IRGC)表示,10月1日晚对以色列的导弹袭击非常成功,此次行动还包括一次大规模网络攻击,令敌人“措手不及”。
三、实施针对金融体系的“网络资金盗窃战”,具有“隐蔽实施,见缝插针”的特点
网络金融和加密货币的兴起和蓬勃发展带来了新机遇,同时也面临众多不断变化的网络威胁,针对数字资产存储和交易的网络攻击风险日益加剧。“网络资金盗窃战”是指出于经济动机利用网络安全漏洞、社会工程活动等开展的,针对数字金融资产、平台或其基础系统的网络攻击,旨在通过互联网渠道盗窃资金。2024年,朝鲜继续利用互联网开展金融盗窃行动,用于补充资金支持自身广泛目标。
联合国朝鲜问题专家小组3月20日发布年度报告称,朝鲜对加密货币的网络盗窃为其提供约50%的外汇收入,并将所获用于支持其核计划;自2017年以来,朝鲜网络犯罪分子通过58起针对加密货币服务的网络攻击以及其他非法网络操作,估计已窃取30亿美元的虚拟资产。联合国制裁监察员5月10日提交联合国安理会制裁委员会的文件显示,朝鲜3月通过虚拟货币平台Tornado Cash洗钱1.475亿美元。
加密货币管理平台CoinStats于6月23日发布公告称,该公司遭受了网络攻击,影响了平台上所有托管钱包的1.3%,即1590个加密钱包,大量证据表明朝鲜黑客组织Lazarus黑客发动了此次攻击。微软公司11月22日发布报告称,与朝鲜有关的威胁行为者Sapphire Sleet在6个月内策划的社会工程活动中窃取了价值超过1000万美元的加密货币。去中心化金融平台Radiant Capital称,朝鲜国家附属黑客组织Citrine Sleet于10月16日通过网络攻击侵入其系统盗窃5000万美元加密货币。
信息安全公司SlowMist于4月表示,朝鲜黑客组织Lazarus Group已升级其欺诈活动,正通过利用LinkedIn冒充加密货币行业的知名人士来策划网络钓鱼攻击,进而部署旨在窃取关键信息和数字资产的恶意软件。谷歌6月13日发布报告称,朝鲜黑客Pukchong引诱毫无戒心的受害者下载伪装成加密货币价格跟踪器的恶意软件,针对巴西加密货币交易所、金融科技公司和个人发起网络攻击。微软8月30日发布报告称,隶属于朝鲜侦察总局121局的威胁行为者Citrine Sleet利用谷歌远程代码执行漏洞攻击了加密货币行业。Jamf威胁实验室9月16日发布报告称,朝鲜威胁行为者试图利用LinkedIn,针对去中心化金融(DeFi)、加密货币和类似业务的员工传播恶意软件RustDoor。安全研究人员10月13日称,朝鲜威胁行为者正使用名为FASTCash的恶意软件从ATM机上进行未经授权的现金提取。网络安全公司卡巴斯基10月23日发布报告称,朝鲜黑客组织Lazarus策划出新的、复杂的社会工程方案,对全球加密货币行业实施网络攻击。网络安全公司SentinelOne于11月7最新研究指出,朝鲜威胁行为者BlueNoroff使用带有虚假新闻标题和加密货币相关主题的电子邮件,以及针对macOS系统的恶意软件,瞄准加密货币行业。
四、实施针对社会民生的“网络关基毁瘫战”,具有“攻击面广,影响广泛”的特点
关键基础设施关系国家安全、国计民生和公共利益,具有基础性、支撑性、全局性作用,是国家社会经济生活秩序正常运转的重要支撑,也因此成为黑客实施网络攻击的高价值目标。“网络关基毁瘫战”是指针对国家关键基础设施系统开展的网络渗透、劫持、攻击、瘫毁等活动,旨在实现削弱社会基础、影响国家稳定、造成经济损失等广泛目标。年内,针对关键基础设施网络攻击事件高发频发,针对关键基础设施的网络威胁的复杂性和有效性日益激增。
网络安全公司KnowBe4于8月发布报告称,针对电网、通信系统、交通网络、港口和其他基础设施的网络攻击成为“新的地缘政治武器”;针对关键基础设施的网络攻击在全球范围内激增,对国家安全和经济稳定构成重大风险;在全球范围内,自2020年以来每周针对公用事业的网络攻击平均数量增加了4倍;2023年1月至2024年1月期间,全球关键基础设施遭受了超过4.2亿次网络攻击,即每秒约13次攻击。
网络性能检测公司Netscout发布2024年上半年“DDoS威胁情报报告”称,过去4年中,银行、金融服务、政府和能源供应商等公共事业等关键基础设施部门遭受DDoS攻击增加了55%;随着针对发电厂、供水系统和其他重要系统的攻击不断增加,关键基础设施运营技术已成为安全行业日益紧迫的关注重点。
乌克兰利沃夫市一家市政区域能源公司1月遭受网络攻击,此次攻击使用了新的恶意软件变种“霜冻粘液”,导致600多栋公寓楼的供暖中断两天。乌克兰最大国有石油天然气公司Naftogaz、乌克兰国家邮政服务提供商Ukrposhta和乌克兰国家运输安全局(DSBT)和乌克兰铁路运输公司Ukrzaliznytsia于1月遭受网络攻击,导致重要服务中断。乌克兰国防部情报总局年内持续对俄罗斯众多关键部门实施攻击,重要情况包括:窃取了500多个俄罗斯军事基地的建设计划;破坏俄罗斯国防部关键通信服务器;扰乱俄罗斯城市地铁票价支付系统;摧毁了俄罗斯军工企业等使用的数据中心;攻击了莫斯科污水网络通信系统运营公司Moskollector;导致克里米亚等地至少25万人断网;导致俄罗斯城市停车支付系统瘫痪;致瘫4家俄罗斯银行在线服务等。
以色列最大的移动电话提供商Pelephone于1月23日因遭黑客组织“匿名苏丹”攻击而陷入中断服务。以色列黑客组织“我们红色邪恶”针对伊朗通讯系统开展网络攻击,导致伊朗部分地区8月1日晚间互联网接入中断。伊朗中央银行和其他几家银行8月14日遭受了一次重大网络攻击,导致该国银行系统大范围中断,评估表明这是有史以来针对伊朗国家基础设施的最大网络攻击之一。伊朗第一副总统穆罕默德·礼萨·阿里夫9月透露,该国燃料分配系统一年内遭受两次相同的网络攻击。以色列黑客组织“红色邪恶”和“我们红色邪恶”9月声称,入侵了黎巴嫩政党和准军事组织真主党使用的供水系统,并设法改变了氯含量。伊朗10月12日遭受大规模网络攻击,导致伊朗政府服务中断、重要信息被窃取,尤其是核设施也受到影响。
五、实施针对民心士气的“网络认知心理战”,具有“因情制宜,润物无声”的特点
随着信息网络技术的迅猛发展,世界主要国家均将网络心战纳入新型作战样式。“网络认知心理战”是指利用网站、社交媒体、电子邮件等互联网传播媒介,向特定受众传播具有明确目标的倾向性、误导性、蛊惑性舆论宣传活动,旨在达到打击民心士气、扭曲事实观点、制造分裂对抗、造成局势混乱等目的。当前,网络认知心理战已经成为大国战略博弈、地缘政治斗争、武装战争冲突的新形态和新战法,人工智能技术的发展和运用正将网络心战的技术能力和效能提升到新层次。
俄罗斯黑客2月攻击了《乌克兰真理报》、Liga.net、Apostrope和Telegraf等多家媒体,并传播了同一条假消息,即“俄摧毁了乌东城市阿夫季夫卡的一支乌克兰特种部队”。网络安全公司ESET于2月发布报告称,与俄有关的黑客分针对乌不同群体,如普通民众、地方政府和能源公司、旅外乌克兰人和异见人士等,多次开展所谓“特克森托行动”,主要目标是“散布怀疑”。乌克兰安全局4月表示,俄罗斯情报部门针对乌克兰高级政府和军事官员发起大量虚假信息和心理行动。5月9日,亲俄罗斯黑客于劫持了乌克兰电视频道和拉脱维亚电视网络,来转播莫斯科胜利日阅兵;俄罗斯克里米亚地区、巴什基里亚地区以及奥伦堡、鄂木斯克和伊尔库茨克等城市的多家广播服务网络也遭到黑客攻击,播放与乌克兰有关的视频以及反对派媒体的头条新闻。乌克兰国家特殊通信和信息保护局7月称,Telegram上的几个热门乌克兰新闻频道遭到黑客攻击,并传播与乌克兰总统泽连斯基有关的虚假消息。10月7日,俄国家电视广播公司遭受大规模网络攻击,乌克兰政府称“乌克兰黑客通过对全俄国家电视广播公司进行大规模攻击来‘祝贺’普京的生日”。乌克兰计算机应急响应小组10月警告称,与俄罗斯相关的黑客组织UAC-0050近期针对乌克兰机构发起了大规模信息宣传活动,通过虚假威胁称已在乌机构内安置炸弹来制造恐慌。
网络安全公司SentinelLabs和ClearSky Cyber Security于2月发布报告称,俄罗斯Doppelgänger影响力行动网络精心策划针对美西方的影响力行动,传播旨在影响公众舆论的宣传和虚假信息内容,特别是针对当前与民众相关的地缘政治和社会经济话题。网络安全公司Recorded Future于5月9日发布报告称,与俄罗斯有关联的CopyCop影响力网络能够利用人工智能抓取来自主流媒体的合法内容,将其转化为带有政治偏见的宣传,并自动利用虚假媒体进行传播;CopyCop已证明人工智能大规模生成虚假信息的可行性,使得合法媒体机构面临着其材料被窃取、剽窃和武器化以支持敌对国家叙事的风险。
Recorded Future公司10月发布报告称,俄罗斯信息战理论将网络空间视为战场和战略优势领域,已经将战略性信息攻击(SIA)纳入俄罗斯武器库;SIA是一种融合心理和技术战术的概念,旨在破坏和破坏对手的国家网络信息稳定;SIA将俄通过非动能手段对敌方国家关键基础设施造成战略破坏的能力进行概念化,通过“心理攻击”(影响行动)和“技术攻击”(网络攻击)来瞄准对手,以造成精确的战略损害;SIA的目标是利用战略性非动能能力使冲突升级,并通过造成重大基础设施破坏,迫使对手屈服;SIA的心理攻击重在塑造对手的看法并削弱对其领导层和机构的信任,通过传播真假信息或利用现有的社会紧张局势,试图制造广泛的混乱和动乱;SIA技术攻击包含旨在破坏或摧毁国家关键基础设施的复杂网络攻击,旨在造成长期广泛而非短期有限的影响。
微软威胁分析中心2月发布题为《伊朗大力开展网络影响力行动以支持哈马斯》报告,称伊朗针对以巴冲突开展的网络影响力行动旨在实现四项目标,包括:一是通过分化来破坏以色列国内稳定;二是对以色列实施报复;三是恐吓以色列公民及其支持者;四是破坏国际社会对以色列的支持。具体策略包括:一是冒充以色列活动团体和伊朗合作伙伴;二是动员以色列人开展实地行动;三是通过文本和电子邮件以更高的频率和复杂性来放大影响;四是利用官方媒体来放大网络行动。网络安全公司Recorded Future于5月8日发布报告称,与伊朗结盟的行为者Storm-1364发起被称为Emerald Divide的复杂影响力活动,旨在通过扩大意识形态分歧和削弱对以色列政府的信任来操纵以色列社会,特别是利用对以巴冲突和其他社会和政治问题的反应。
法国国防和国家安全总秘书处下属的负责打击外国数字信息干扰的机构VIGINUM于2月宣布,一个涉及193个网站的旨在向西方传播亲俄内容的网络“Portal Kombat”发表了超过15万篇文章和帖子,其中大部分转发自俄罗斯和亲俄罗斯媒体,主要目的是为俄在乌军事行动辩护,内容带有“强烈的意识形态偏见”和“明显的虚假和误导性故事”。德国外交部文化与传播部3月表示,俄罗斯旨在破坏欧洲对乌克兰支持的虚假信息活动规模、技巧和隐蔽性都显著增强;该部发现在社交媒体平台X上发现了由超过5万虚假账户组成并每天发布20万个帖子的网络,这是迄今为止最大的操纵德公众舆论的企图之一;当前的虚假信息旨在歪曲观点、扭转争论的天平,这种技术更像是行为科学中的“轻推”,即利用小的社会和信息线索来巧妙地改变观点或行动。
人工智能公司OpenAI于5月30日发布的第一份有关其模型滥用报告称,俄罗斯、伊朗和以色列的恶意行为者一直在利用OpenAI的工具在社交媒体平台上创建和发布有关各种地缘政治和社会经济问题的宣传内容,试图通过制作虚假的社交媒体评论、文章和多种语言的翻译文本来影响政治结果和公众言论,该公司在过去3个月内已成功揭露并封杀了5起此类行动。OpenAI于10月再次发布报告称,该公司自2024年初以来已经破坏了20多次网络和秘密影响行动。
关于作者
赵慧杰 虎符智库专家、网络空间安全军民融合创新中心高级研究员、奇安网情局主编。主要从事网络安全领域研究工作,对国外国防网络建设发展、网络空间战略政策、网络空间国际斗争、网络武器研发和新兴技术应用等长期进行跟踪研究。