【编者按】俄罗斯将举行全国范围的“断网”演习,旨在测试俄罗斯的网络防御系统。本文以此为背景通过搜集最新资料继承性地解析“战斗民族”俄罗斯的网络空间作战形态,从俄罗斯网络空间作战的能力保障、攻防能力和特点、网络“靶场”和训练演习以及西方世界对待俄罗斯网络战的态度等几方面加以剖析阐述。
“战斗民族”俄罗斯网络空间作战研究
中国电子科技网络信息安全有限公司 杨晓姣 霍家佳
2019 年对于俄罗斯注定是不平凡的一年,开年之后全球各大媒体对俄罗斯“断网”的报道扑面而来,俄罗斯对外宣布今年 4 月 1 日前,举行全国性的短期脱离全球互联网演习。2 月 20 日,俄总统普京会见俄新闻机构和印刷媒介代表时表示,理论上存在切断俄罗斯与全球互联网联系的可能,俄罗斯有必要建立不依赖任何人的互联网。然而,此举必然会给俄罗斯国民的网络生活造成很大的困扰,并且如此大规模的工程,目前还没有各种费用的详细预算或明细公布出来,俄电信机构对如此高的成本导致的互联网和相关服务消费价格上涨表示担忧。一些评论人士对俄罗斯此举提出了警告,认为这是俄罗斯互联网国有化打击信息自由。那么,面对内外的质疑和反对,俄罗斯何以如此坚持,如此决绝地进行“壮士”断网呢,本文通过搜集到的最新资料继承性解析“战斗民族”俄罗斯的网络空间作战形态。
一、俄罗斯网络空间作战能力保障
俄罗斯已将网络空间安全提升至国家战略高度,强化顶层战略、完善法规体系、构建保障系统、加强人才培养、谋求技术支撑,形成比较全面的网络空间安全保障体系。
(一)战略法规
俄罗斯通过制定一系列国家战略规划文件和出台法律法规,形成独具俄罗斯特色的网络空间安全战略体系。总体来说,俄罗斯网络空间安全战略的形成经历了酝酿、发展和趋向成熟三个阶段。
20 世纪 90 年代,是俄罗斯网络空间安全战略发展的酝酿阶段,期间俄罗斯已经开始重视信息安全领域的法律建设,并颁布了《信息、信息化和信息保护法》《俄联邦国家安全构想》等一系列法律。俄罗斯通过这些法律文件,将信息安全纳入国家安全的管理范畴,从法理上确定了国家在保护信息资源安全方面的权利和责任,为日后网络空间安全战略的形成奠定了基础。2000-2009 年为俄罗斯网络空间安全战略的发展阶段,这个阶段则是侧重国内信息产业的发展,以及将信息安全上升到国家高度,并于 2008 年与格鲁吉亚的战争中,初步实践了网络空间作战。其间,出台了《信息安全学说》《俄联邦信息社会发展战略》《俄联邦保障信息安全领域科研工作的主要方向》《2020 年前俄联邦国家安全战略》。2010 年至今为第三阶段即趋向成熟阶段,这个阶段,俄罗斯面对的网络空间安全压力越来越大,遭受连年居高不下的网络攻击。这个阶段的战略方向是保护重要信息基础设施、加强网络空间管控、部署网络空间军事力量、将网络安全提升到国家安全的战略层次。先后于 2013 年发布了《2020 年前俄联邦国际信息安全领域国家政策框架》《2018 年前信息技术产业发展纲要》《2014—2020 年信息技术产业发展战略及 2025 年远景规划》;2014 年发布了《俄罗斯联邦网络安全战略构想》;2015 年发布了《俄联邦国家安全战略》;2016 年发布了第 2 版《信息安全学说》;2017 年发布了《重要信息基础设施安全法(草案)》《俄罗斯联邦长期科技发展战略》《2017—2030 年俄联邦信息社会发展战略》;2018 年发布了《关键信息基础设施安全保障法案》。
(二)组织和机构
2017 年 2 月俄国防部长谢尔盖·绍伊古公开表示,俄罗斯已经成立专门从事信息作战的部队,标志着俄罗斯首次官方承认其网络战军事力量的存在。
俄罗斯网络空间作战隶属于俄军信息对抗体系,各环节的分工和职责清晰,既包含国防部所属各总局和中央局、各军兵种司令部及军区(联合战略司令部)等各级职能机构,也包含遂行网络空间作战任务的兵力兵器,以及科研单位和教育机构。
其中,总参谋部是网络空间作战的总指挥机关,由分管作战的第一副总参谋长负责,主管网络空间作战指挥系统的规划和建设问题,并依托总参作战总局指挥系统与指挥所、通信总局和总参军事科学委员会等部门开展相关工作。而具体作战工作由总参作战总局负责,该局是网络空间作战的主要规划机构。总参作战总局下设第 5 局和第 6 局,第 5 局专门负责网络空间作战指挥;第 6 局负责网络空间作战技术装备研发。为了加强俄军网络空间作战能力,俄国防部于 2009 年成立了俄军特种技术总中心,并与国防部第 18 中央科研所信息对抗方法与设备科研局一起划归总参谋部隶属。2010 年,又设立了第 19 局,负责管理指挥特种技术总中心和第 18 中央科研所信息对抗方法与设备科研局。
各军兵种总司令部、司令部、军区(联合战略司令部)组建相应的网络空间作战部队,负责组织所属部队遂行网络空间作战任务,担负指挥工作,同时参加总参谋部组织的网络空间作战行动和侦察行动,对所属部队执行网络空间作战行动计划的情况实施监督。
此外,俄罗斯以“技术制胜”为理念,在军内外建设了完备的信息技术研究机构。具有代表性的如信息与自动化研究所、国家自动化系统和计算机软件科技集团、圣彼得堡大学信息技术研究所、“信息系统”特种设计局等等。俄罗斯于 2012 年成立了专门从事国防前沿技术研究的科研管理机构“先期研究基金会”,该机构的三大研究领域之一就是信息技术领域。近年该机构的研究方向开始侧重于未来信息传输和处理系统、量子密码学、计算机软件防护等;2014 年俄罗斯在军内成立了技术科研机构——国防部信息与电信技术发展总局,主要负责统筹规划军队信息技术研究;国防部的另一个研究机构——特种研究中心,在信息通信系统安全、高性能计算机和微电子技术领域也具有突出的研究实力。
(三)人才培养及选拔
早在 2014 年,俄罗斯出台《2030 年前科技发展前景预测》时,就明确了“培养信息技术领域专业人才”的人才培养目标。
俄罗斯的网络战人才培养方式主要采用军队与高校择优选拔联合培养的模式。俄军组建“科学连”,并通过军事通信学院与学生所在高校组成的联合委员会选拔软件开发、计算机安全等相关专业的学生进入科学连,由军事通信学院为科学连的士兵安排优秀的科研人员作为其科学导师,指导士兵科研活动和评估科研成果。
此外,俄联邦政府还在符合条件的地方高等教育教学机构设立军事训练教学中心、军事教学系和军事教研室,以明确培养任务,指定专业方向、拟定培养员额等形式吸纳和储备网络战人才。
为了调动地方高校参与军队网络战人才建设的热情,俄国防部每年都联合联邦教育与科学部以及不同地方高校共同举办“为了俄联邦武装力量全俄科研竞赛”,竞赛主题之一就是信息安全,竞赛参与者最高可获得 75000 卢布的奖金,同时还可能获得进入国防部科研机构工作的机会。
俄罗斯政府除了与高校联合培养网络人才以外,也会采用一些非常规手段招募能力超群的网络战士。比如从网络安全公司和网络犯罪部门招募合适的人员。据说只要网络犯罪避开俄罗斯的目标并利用“他们”的技能来帮政府做事,俄罗斯当局就会对“他们”的犯罪行为“睁一只眼闭一只眼”。一旦俄罗斯当局发现了一个才华横溢的网络罪犯,任何针对该人的悬而未决的刑事案件都会被删除,而这名黑客也将隐匿于俄罗斯情报服务部门。FBI 悬赏 300 万美元通缉的俄罗斯黑客EvgeniyMikhailovichBogachev(被认为在美国选举期间干扰过奥巴马团队),就被怀疑背后受 FSB 的监督和支持。
(四)黑客力量
提到俄罗斯的网络战,不得不提的就是俄罗斯的黑客力量。那么,俄罗斯黑客都干了什么?没有硝烟的网络战中黑客到底扮演着怎样的厉害角色?
大到影响全球经济政治环境:美国大选、法国大选、德国大选、曝光奥运选手用药、入侵纳斯达克、2015 年中国股灾等等事件;小到破解第一版Windows XP,都与其有着脱不开的关系。据说暗网中寻求黑客服务的价格会被分为“黑客”和“俄罗斯黑客”两个价格档次。
历史上,在全球的网络攻击事件中,俄罗斯的个人黑客行为有很多都是可圈可点的。全球第一起数字取证黑客攻击的案例就是由俄罗斯黑客 Markus发起的,1986 年美劳伦斯伯克利国家实验室的电脑被前苏联间谍 Markus 入侵试图窃取美军事秘密,后经过设立蜜罐才追踪到攻击位置;同一时期,1995 年,世界上第一起网上银行抢劫也是俄罗斯黑客所为,Vladimir Levin 当时入侵了花旗银行的电脑系统,通过修改账户信息盗取了超过 1000 万美金的资金,被捕后被判处 3 年徒刑。
俄罗斯的黑客团体当属上世纪的“Moonlight Maze”(“月光迷宫”)和本世纪的 APT 等黑客组织,他们都在其黑客生涯中表现不俗,在俄罗斯乃至全球赫赫有名。
上世纪 90 年代中期至末期,最光辉的俄罗斯网络间谍组织当属“Moonlight Maze”(“月光迷宫”),该组织成员具有高超的技能,多年屡次成功入侵美国军事与政府网络、大学和其他各类研究机构网络,可以算作真正意义上的第一代俄罗斯间谍,对俄罗斯后期的网络间谍组织和活动都产生了重大影响。Moonlight Maze 的攻击所针对的目标是 Sun Solaris 的 UNIX 系统,利用受感染设备立足,搜索同一网络更多潜在受害者。最具代表性的是在上世纪末期,Moonlight Maze入侵美国科罗拉多矿业大学布朗大楼(Brown Building)内昵称为“Baby_Doe”的电脑,并通过这台电脑转进美国国家航空航天局、美国海军和空军总局及遍及全美高校和军事机构的电脑。此项间谍行动持续了数年,搜集了大量敏感信息,据后续统计发现,如果期间搜集的数据打印成稿,其堆积的高度可堪比华盛顿纪念碑。
战绩同样辉煌的黑客组织 APT28(又名Fancy Bear、Sofacy等)和APT29(又 名 Cozy Bear、The Dukes等),被认为分别隶属于俄罗斯的军事情报机构 GRU 和国家安全组织 FSB。过去几十年中,据统计有数百起网络攻击与他们有关,包括美国、欧洲等国家的总统选举。此黑客组织的攻击手段包括通过移动网络截获登录数据、针对系统控制装置发出自定义的恶意邮件、使用“KillDisk”恶意软件删除受感染系统的主引导记录。
二、俄罗斯网络空间作战攻防能力及特点
俄罗斯对军队网络战的发展原则是:加强网络战的攻击实力,强调建设一支攻防兼备的网络作战力量。
(一)网络武器发展
截至目前,并没有公开的资料对俄罗斯网络武器发展作系统性的论述,反倒是基于具体事件,反观西方世界忌惮俄罗斯强大的网络战实力而出台的一系列针对俄罗斯的自卫性方针策略,才可以对俄罗斯的网络武器发展窥见一斑。
2008 年,俄罗斯对格鲁吉亚和乌克兰进行过富有成效的网络攻击,虽然这些攻击遭到了俄官方的否认,但是不可否认的是俄罗斯当时就具备了相当先进的网络武器,包括无线数据通信干扰器、网络逻辑炸弹病毒和蠕虫、网络数据收集计算机和网络侦查工具、嵌入式木马定时炸弹。
2017 年 8 月,美国获取的加拿大通讯安全局的机密文档显示,至少在 2013 年,俄罗斯情报机构就已经具备了劫持卫星信号发起隐秘网络攻击的能力。而这一技术得到公开证明是在2015 年,比俄罗斯掌握此项技术整整晚两年时间。
2017 年 6月,美国基于俄罗斯数年的攻击事件进行调查得出的结果表明,俄罗斯开发的网络攻击武器可以破坏甚至瘫痪电力系统,并且这种攻击属于“定时炸弹”式的全自动攻击。美威胁情报人员表示,如若这种网络武器稍加改造部署在美国,其对电力传输和能源系统将会造成毁灭性的影响。
(二)攻击特点
俄罗斯目前已经掌握了全球先进的网络攻击技术,强大的网络攻击武器配合多样化的作战手段,使得俄罗斯网络战的攻击能力体现以下特点:
(1)形成网电一体攻击体系
俄军强调网络战和电子战紧密联系,认为网络空间军事对抗的基本形势应该是网络电子战。在战场上借助电子战的信号接收、处理和发射手段实现无线接入和无线渗透攻击,从而进行无线网络对抗。2014 年从顿巴斯(Donbas)战争开始,俄罗斯就对乌克兰进行了为期三年的网络战。期间,在乌克兰东部发现俄罗斯数批电子战装备。俄通过这些电子战系统干扰乌克兰关键基础设施的无线电通信、影响雷达系统的工作,甚至致盲 GPS 信号等来破坏其指挥和控制网络。乌克兰的网络专家称与俄罗斯进行的网络战对乌克兰的国家安全构成了“存在性威胁”。
(2)攻击手段更加隐蔽
目前尚无任何机构可以拿出俄罗斯实施网络攻击的证据,俄罗斯也从未公开向任何对手宣战。俄罗斯不断精进的网络攻击手段非常具有隐蔽性,导致对其追踪溯源的难度相当大。
俄罗斯对爱沙尼亚的网络攻击中,攻击数据来自包括美国在内的全球 70 多个国家的网络终端,这样“混淆视听”的做法不仅使被攻击者的判断难度增加,更为攻击者在政治上留下了回旋空间。
(3)进攻速度更加迅速
同样在爱沙尼亚的网络攻击中,网络战爆发的第一天,爱沙尼亚就遭到 1000 次攻击。
第二天攻击次数就激增至每小时 2000 次。攻击到高峰时竟然达到了平均每秒钟 400万个数据包。俄罗斯网络进攻速度之迅速导致爱沙尼亚根本来不及反应,达到了真正意义上的突然袭击的目的。
(三)防御能力
近年来俄罗斯面对西方网络强国的严密监控,为了争夺网络话语权以及维护本国的网络空间安全,俄罗斯非常注重网络防御能力建设。
2016 年,俄罗斯就将克林姆林宫的内部网络与互联网隔绝,同时全面禁止在克林姆林宫内使用 U盘等移动设备;2017 年 7月,俄罗斯禁用某些 web访问工具的提案获得下议院通过,俄罗斯公民无法使用代理、Tor、VPN 等访问网络,当月 31 日,俄总统普京正式签署此项法案,并于 2017 年 11 月 1日生效,该法案也使俄罗斯成为全球首个官方禁止代理、Tor 和 VPN 的国家;2018 年俄罗斯通过一项名为“数字经济国家计划”的新法律草案,该草案提出在 2019 年初实施俄罗斯“断网”测试,即切断本国与全球的网络连接,旨在测试俄罗斯的网络防御系统。同时,新法律草案还要求俄罗斯创建自己的域名系统(DNS),以便在失去与国际服务器的连接时继续运营。
三、俄罗斯网络空间作战“靶场”及训练演习
俄罗斯对推进网络靶场及相关基础设施建设方面非常的积极努力,沿用世界军事强国评估自身战斗力的思路和做法进行网络战靶场建设,“在实战中运用,在实战中评估”,并开展各种网络战训练、演习,积极抢占网络空间优势和控制权。
(一)实战中的网络靶场
俄罗斯与乌克兰有着剪不断理还乱的关系,加之领土归属的争议问题,使得长期以来乌克兰成了俄罗斯测试各种用于入侵西方世界的攻击预演场。基辅网络安全企业 ISSP 公司取证分析师奥力克西-雅辛斯基称,俄罗斯黑客一直在利用乌克兰“磨练及建立各类攻击性技术”,旨在进一步对欧洲及美国等更大目标发动攻击。2017 年 11月,英国国家网络安全中心负责人西兰-马丁也证实,克林姆林宫曾下令对英国多家大型电力公司发动网络攻击。同年 12 月,英国外交大臣鲍里斯-约翰逊访问莫斯科期间,还警告过俄罗斯不可以将英国当做其网络攻击训练“靶场”。
(二)“壮士”断网,对抗西方威慑、确保国家安全
本文第二章节提到俄罗斯的一项新法律草案提出在 2019 年初俄罗斯实施“断网”测试,实际上是俄罗斯为应对国际社会决定切断俄罗斯连接全球互联网的局面进行的一次网络演习。俄联邦政府希望通过这种断网演习来验证俄罗斯是否具备在不向外界传递数据的情况下保证本国互联网 Runet 的正常服务的能力。
由于 DNS 域名解析协议的原因,全球 IPv4 根服务器只能限制在 13 个。目前,1 个根服务器在美国,其余 12 个辅根服务器有 9 个在美国、2 个分别在英国和瑞典、1 个在日本。这 13 个根服务器全部都是由美国政府授权的互联网域名与号码分配机构(ICANN)统一管理。为了摆脱对美国互联网的依赖,俄罗斯已于 2018 年按照总统普京的要求完成备用DNS 的建设。
其实早在 2014 年,俄罗斯通信部就曾举行过全国规模的大断网演习,当时俄罗斯断网的主要目的是测试对因特网有核心控制权的国家是否有能力通过停止对俄罗斯的网络服务对其造成威胁,通过演习,俄罗斯得出的结论是,本国的网络受控于美国,俄罗斯正面临“被断网”的巨大威胁。
时隔五年,俄罗斯再次进行断网演习,其实质是对过去五年所做的各项断网准备加以测试,得出不同系统对断网连接的反应,以及确定系统可能出现的弱点和问题。面对国内外多方的反对和质疑,高成本的断网代价以及由此导致的互联网和相关服务的消费价格上涨,俄罗斯这种“壮士”断网的“一意孤行”无疑证明了其捍卫本国网络安全的决心。
四、以美国为首的西方世界对待俄罗斯网络战的态度
近几年,俄罗斯因乌克兰动乱、克里米亚问题、叙利亚冲突,特别是被指控操纵美国总统大选以及在英国毒害其前谍报人员等,使得俄罗斯与美国为首的西方世界的关系恶化到冷战结束后的最低点。俄罗斯的网络空间与现实世界一样盘根错节,频频被西方世界当做假想敌加以严防死守。
2017 年,美陆军举行“网络探索”演习模拟俄罗斯网络攻击。演习旨在评估美国士兵对来自“俄罗斯”方的攻击的检测异常和探索网络寻找证据的能力。演习共组织了27 个厂商、300 多名参与者进行参与。美方试图将快速修复攻击的时间由目前的数小时压缩到几分钟。这次演习的重点是借鉴俄罗斯在对乌克兰的网络战中使用的电子战战术,美方首次在训练中综合网络和电子战攻击,并且适应技术变革的步伐预测模拟对手未来攻击方法及入侵策略。
2018 年 3 月,英国与俄罗斯的“双面间谍中毒案”闹得沸沸扬扬。英国首先启动军方进行全面现场调查,又在北约盟友的支持下要求俄罗斯在 24 小时内给予解释,否则就要“全方面反制”发动网络战;2018 年 10 月,英国军方针对俄罗斯进行了网络攻击模拟演习。
今年2月, 乌克兰国家安全与国防委员会(National Security and Defense Council of Ukraine, NSDC)发言人 Oleksandr Turchinov 发表声明称,乌克兰将与欧盟组织一系列联合演习,旨在对抗俄罗斯的网络威胁。乌克兰将运用一套应对措施对抗俄罗斯的网络攻击,以防未来乌克兰总统选举期间的俄罗斯干扰。
本文刊登于《网信军民融合》杂志2019年6月刊
声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。