美国德克萨斯大学法学院教授兼学术事务副院长罗伯特·切斯尼撰文,分析美国政府就SolarWinds黑客活动制裁俄罗斯所划定的红线。

文章称,虽然美国政府主要以SolarWinds恶意网络活动为由对俄罗斯相关实体和个人进行制裁,但并将未采取间谍活动甚或网络间谍活动总体上是不法行为的立场,因为美国本身也通过网络手段开展了大量间谍活动。

迄今为止,美国政府尚未发表正式声明,说明从规范意义上讲哪些是将特定网络间谍活动视为不法行为的必要或充分条件。但通过美国政府声明,可以发现其中存在五个可以帮助理解美国“隐晦红线”的五个变量:一是黑客活动感染规模;二是攻击者的历史活动记录;三是黑客活动攻击媒介;四是遭受攻击目标的性质;五是黑客活动造成的经济损失。此外,还有一个因素可能促成制裁,即网络间谍活动所造成的国内政治影响。

虽然可以分析出上述相关变量和促成因素,但美国政府的制裁行动和声明并未向外界明示黑客活动的红线,因为美国政府本身也可以在无达成内部统一意见的情况下采取相关行动。此次制裁对美国未来黑客活动响应有一定的参考价值,但并未设置出一套明确的衡量指标。

奇安网情局编译有关情况,供读者参考。

美国政府4月15日宣布制裁俄罗斯各种实体,以对SolarWinds Orion漏洞利用活动作出回应。但是,美国说明了俄罗斯人越过了什么规范界线呢?

一、进入正题前:到底发生了什么?

美国总统拜登根据国际紧急经济权力法(IEEPA)援引其法定权力,发布了建立一个扩大制裁框架的新行政命令,以响应俄罗斯针对美国、其他国家和俄罗斯公民开展的各种恶意活动。

用通俗的话来说,这意味着美国财政部现在有权以参与或支持各种活动为由指定特定外国实体和个人接受金融制裁。同样,美国务院将采取行动阻止上述人员入境美国。有时,当根据IEEPA建立此类制裁制度时,不清楚美国财政部是否会(如果有的话)实际列出要制裁的特定人员和实体。不过,在其他时候,政府机构之间的预先协调会让美财政部立即采取行动。后者就是今天发生的事情:美财政部同时通过制裁大量俄罗斯个人和实体来行使其权力。

二、制裁是否明确涉及俄罗斯的网络活动?

是的。该行政命令指定了可证明制裁正当的七种恶意活动。如外界所料,它们的范围涉及从干涉选举到暗杀。但是,对于本文来于最重要的是列表第一项:“恶意网络活动”。

三、具体来说谁因这些网络活动而受到制裁?

正如美财政部解释性声明所述,该部已经指定了为俄罗斯情报机构网络活动提供各种形式直接支持的6家俄罗斯公司。美国财政部表示,“这些公司为俄罗斯联邦安全局(FSB)、联邦武装力量总参谋部情报总局(GRU)和对外情报局(SVR)提供了一系列服务,范围涉及从提供专业知识到开发工具和基础架构,再到促进恶意网络活动。”

美国财政部还以行政命令的名义发布了一项单独指令,禁止美国金融机构从事俄罗斯主权债券交易。但此制裁似乎并非专门针对俄罗斯的恶意网络活动。

四、SolarWinds黑客活动是这些制裁的理由之一吗?

是的。正如美国白宫在“情况说明”中所解释的,证明这些制裁正当的一个恶意网络活动案例是“SolarWinds事件”。该声明继续将这一攻击正式归因于俄罗斯,更具体地说,归因于俄罗斯对外情报局(SVR):

今天,美国正式将俄罗斯外国情报局(SVR),又称APT 29、“舒适熊”(Cozy Bear)或The Dukes,指定为利用SolarWinds平台和其他信息技术基础架构开展的广泛网络间谍活动的始作俑者。美国情报界对SVR的归因评估具有高度信心。

俄罗斯对外情报局的SolarWinds黑客活动在财政部的解释声明中也很突出。

五、SolarWinds黑客行动是唯一被提及为当今制裁基础的俄罗斯网络活动吗?

不是。美国财政部的声明有最详细的信息,而且毫不奇怪,它还列举了俄罗斯政府实体开展的一系列有问题的网络活动,这些实体不仅包括俄罗斯对外情报局(SVR),还包括俄罗斯联邦安全局(FSB)和俄罗斯联邦武装力量总参谋部情报总局(GRU)。美财政部将这三个实体统称为“俄罗斯情报机构”,声称相关机构“已经执行了最近历史上一些最危险和最具破坏性的网络攻击,包括SolarWinds攻击。”美国财政部提供的大多数示例都是针对GRU的:NotPetya、“奥林匹克破坏者”(Olympic Destroyer)以及在美国和法国的选举干预。FSB也被引述攻击俄罗斯记者和持不同政见者,以及“美国政府人员和全球数百万私人公民”。

六、美国政府是否声称所有网络间谍活动都是错误的?如果没有,SolarWinds黑客活动越过了什么红线?

美国显然未采取间谍活动总体上是不法行为的立场,也未采取通过网络手段开展的间谍活动总体上是不法行为的立场——毕竟,美国本身通过网络手段开展了大量间谍活动。那么,什么是将SolarWinds黑客活动视为不法行为的依据,给了它在制裁解释中的显著位置?

目前,最好的答案是在美国财政部的声明中:

这种入侵的范围和规模,再加上俄罗斯开展鲁莽和破坏性网络行动的历史,使其成为国家安全问题。SVR通过允许在数以万计的SolarWinds客户的计算机上安装恶意软件,已威胁到全球技术供应链。入侵受害者包括金融部门、关键基础设施、政府网络等。此外,此事件将使美国和全球的企业和消费者付出数百万美元才能完全解决。

请注意,该段中引用了几个变量(上面提到的白宫“情况说明”中也提到了其中的一些变量)。迄今为止,美国政府尚未发表声明,说明从规范意义上讲,其中哪些(如果有的话)是将特定的网络间谍活动视为不法行为的必要或充分条件。但是,这意味着至少这种特定的组合可以解决问题。因此,让我们分别识别这些变量,以便尽可能地理解美国政府隐晦地绘制的红线:

一是感染规模。该活动最终将Sunburst恶意软件存储在“数以万计”的计算机上,尽管SVR仅在这些情况的一小部分中积极利用了其产生的访问权限。当然,SolarWinds黑客活动在规模上并非独一无二。这个变量,单独存在,肯定不足以证明对该行动的规范性批评是合理的。

二是攻击者历史记录。只要考虑到整个俄罗斯政府而不是特别是SVR的活动,用“鲁莽”来描述俄罗斯意图使用网络手段造成具体伤害而不是仅用于收集信息来说的话已经是过于仁慈了。特别是GRU一次又一次表明了其造成这种伤害的意图,包括以远远超出其直接目标的莽撞方式。当然,美国政府的立场是开展SolarWinds黑客活动的是SVR,而不是GRU。SVR并不清白,但是同样,它没有GRU破坏性网络行动的具体历史记录。这对“历史记录”变量是否重要?也许是这样。但是很显然,美国政府的做法是将俄罗斯政府作为一个整体作为相关分析单位——这使得SVR与GRU的区别无关紧要。那是否是思考这一点的最明智的方式是一个非常有趣且令人烦恼的问题。但是,出于分析目的决定将俄罗斯政府内部机构视为相同的决定,进一步模糊了美国政府试图划定红线的确定。

三是特定攻击媒介。美国政府呼应微软公司布拉德·史密斯的担忧,强调这一特定活动利用了软件供应链。这是绝对禁止的吗?那可能不是美国的立场,因为这绝不是第一次软件供应链攻击,而且以前的此类攻击都没有引发这种反击。

那么,是否可能是,一般软件供应链类别的某些特定子集有所不同,需要特别保护吗?更具体地说,美国的立场是供应商更新系统(例如SVR在这种情况下利用的Orion更新系统)在某种程度上应该是间谍活动的绝对禁区?这个含义从财政部声明中得出并非不合理。但是,如果这是此处意图的一部分,则会引起严重的定义性问题。所有软件更新安排都会以这种方式得到庇护吗?还是仅与某些类别软件有关的更新,例如在SolarWinds Orion事件中待裁决的网络监视工具?

四是最终目标的性质。声明强调指出,遭入侵的系统包括政府行为者、关键基础设施实体、金融部门实体(当然,它们是关键基础设施的一部分)等。这些系统中的某些或全部是禁区吗?我对美国政府想要采取这一立场表示怀疑。例如,以政府网络为目标肯定不是美国的立场。当然,许多人主张将各种关键基础设施领域确定为网络攻击的禁区,尤其是金融部门实体。但是,我不认为美国政府愿意推进此界线作为对网络间谍活动的普遍限制——金融情报对美国同样至关重要。

五是补救的最终财务成本。是否可能存在一个标度,越过此标度,补救措施的巨大财务影响就会导致本来可以容许的网络间谍活动成为问题?从理论上也许是这样,但是很难看到人们如何在实践中实施这样的规则。

我将提到另一个可能的因素,即财政部声明中没有提及的一个因素:国内政治显著性。不管是好是坏,SolarWinds的故事已经在头条新闻上流传多月,有时甚至主导了新闻。换句话说,这在全国对话中已成为一种现象,比大多数这种情况更为严重。这具有实际和持续的政治影响,不断产生被视为做出强力回应的压力。

采取这种有力对策最重要的媒介应该是防御性措施,例如向网络安全和基础设施安全局(CISA)集中更多的资源,以便更好地捍卫联邦民用行政部门系统。但是可以理解,压力全部体现在要求对造成这些麻烦的实体采取行动上。

七、关于SolarWinds黑客活动越过什么界线的问题是否有明确的答案?

并不尽然。拜登政府完全有可能在未达成关于SolarWinds黑客活动越过哪条红线(如果有的话)的共识立场的情况下采取了相关行动。可能(甚至是很可能)美国政府在这一点有各种不同观点,并且在观点不统一的情况下仍然采取了行动。

声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。