文│ 国际关系学院国际政治系讲师、北京大学中外人文交流研究基地副研究员 孙冰岩

尽管网络空间存在的相互攻击现象在信息化时代已经数见不鲜,但是,在美国媒体的频繁炒作下,美俄网络安全博弈依然成为2021 年上半年的焦点。国家间的网络攻击事件再次引发全球对网络安全领域的关注。2021 年上半年,美俄网络攻击的特点、高频度美俄网络安全事件的出现以及美俄在网络安全领域双边关系的未来趋势等问题,值得关注。

一、2021 年上半年的美俄网络安全事件

根据美国媒体报道,自拜登于 2020 年年底确定胜选结果后,俄罗斯情报机构及其支持的黑客组织对美国的网络攻击行动相继于 2020 年 12 月至 2021年 5 月被发现和披露。在这段时期,由美国政府和美国媒体宣称的源于俄罗斯政府以及政府庇护下黑客组织的网络攻击事件主要有三起,即对美国软件公司 SolarWinds 的供应链攻击、对美国国际开发署的木马邮件攻击以及对美国能源基建企业的运行系统攻击。可以看出,美国媒体披露于 2021 年上半年的主要攻击事件都与俄罗斯相关。

对 SolarWinds 的网络攻击隐蔽时间最长、情报破坏性最大,攻击行为于 2020 年 12 月才首次被美国从事网络安全业务的企业火眼(FireEye)公司侦测到。火眼公司告知美国政府时,连美国最顶尖的政府网络安全部门国家安全局都对本次攻击毫无察觉。攻击被侦测到以后,美国政府部门介入溯源调查,美国媒体则从今年 4 月才开始大量披露攻击的内幕情况。根据《纽约时报》2021 年 5 月 28 日的更新报道,俄罗斯联邦对外情报局(SRV)早在 2020 年以前就秘密进入向美国政府提供软件服务的 SolarWinds 企业网络,秘密修改大部分美国政府部门(包括核心情报部门)都在使用的 Orion 平台更新代码。在使用该平台的美国政府部门更新软件时,俄罗斯联邦对外情报局顺利进入 150 多家重要的政府部门和企业并获得大量核心机密数据。本次攻击在美国政界引起巨大震动,因为使用该软件的美国关键涉密部门如美国国家安全局、国土安全部以及商务部和财政部的涉密单位,都在毫不知情的情况下被俄罗斯黑客窃取大量机密数据和重要信息。

2021 年 5 月,微软公司宣称其最先侦测到俄罗斯黑客通过伪造安全证书进入美国国际开发署邮件系统,并假冒国际开发署名义向与其合作的非政府组织发送木马邮件。收到并打开木马邮件的非政府组织网络和信息,同样被俄罗斯黑客成功渗透。

2021 年 5 月初,美国最大的成品油管道运营公司科洛尼尔(Colonial)的管道控制网络遭到非政府黑客组织的攻击,导致输油管道网络的瘫痪和管道大规模关停。在这家负责提供美国东部地区用油量45% 的企业关停主管道后,美国交通部被迫面向 17个州和首都华盛顿发布能源紧急状态,美国东部地区出现加油站大量缺油停售和民众排队抢油囤油事件。为恢复输油管道运行,科洛尼尔被迫向黑客组织支付比特币作为勒索金,以换取该组织停止攻击管道。事后,美国联邦调查局宣称,位于东欧的黑客组织 DarkSide 是本次攻击的发起者,同时指责俄罗斯政府秘密庇护该黑客组织。

值得注意的是,以上所有关于美国遭到俄罗斯网络攻击的信息都来源于美国媒体和政府的单方面报道和宣称,而由于网络攻击溯源本身的复杂性,很难从事实角度认定以上的网络攻击事件来源于俄罗斯,但如果只从 2021 年上半年由美国媒体单方面曝光的网络安全事件来看,大国在网络空间的复杂博弈已经发展到新的阶段。在大国政治博弈加剧的国际环境下,网络安全领域已经成为除经济、政治、价值观、军事以外国家之间的第五种常规博弈领域。随着大国政治博弈的加剧,网络攻击无论是从攻击对象、攻击类型还是攻击目的来看都比以往更加全面、综合和多样化。美俄之间可能发生过的网络攻击事件明显体现出这些特点。从攻击对象看,以往美俄之间可能发生过的网络攻击大部分属于两国网络情报部门秘而不宣的低烈度“暗战”,网络攻击的主要对象是对方的情报部门,尤其是那些进行网络情报搜集的部门。然而,假如攻击确实来源于美俄两国之间,从 2021 年上半年发生的攻击事件来看,美俄两国的网络攻击越来越多地转向情报部门以外的其他政府部门(如人事管理部门、财政部、商务部等)、民用基础设施以及重要的民间科技企业,攻击对象也更加全面地包含官方与非官方、政府与非政府的组织和机构、营利性企业与非营利性企业等;从攻击类型来看,假如美国媒体对可能来自俄罗斯的网络攻击的报道属实,当前美俄之间的网络攻击手段已经呈现出更加复杂的综合使用特点。邮件木马、伪造安全证书、秘密改写软件代码、供应链式攻击以及鼓励国际黑客参与攻击等综合性手段被混合使用于两国的网络攻击行动;从攻击的目的来看,尽管可能发生于美俄之间很多网络攻击的最终目的是施压对方,但具体的攻击事件总是包含不同的攻击诉求。从美方对网络攻击的溯源分析看,2021 年上半年,对美网络攻击的目的主要包含经济勒索、情报窃取、数据信息窃取、施压反俄的非政府组织等。可以看出,网络攻击已经被很多国家当作实现经济勒索、政治施压、情报渗透、文化传播目标的常规手段。

二、美俄网络安全事件频发的深层原因

发生在 2021 年上半年的美俄网络安全事件并非两国在网络安全领域的首次冲突。事实上,美国国内媒体对“俄罗斯网络攻击”的新闻炒作从 2014 年就开始了,但 2021 年美国媒体的炒作力度确属前所未有。网络安全议题从其表象看属于网络攻击与防护的技术性问题,但国家间网络安全矛盾的根本原因在于权力政治的博弈,美俄网络安全矛盾的根源在于美俄政治博弈。美俄关系自 2014 年加速恶化后,美国媒体关于俄罗斯网络攻击的报道开始大量出现。美俄关系经特朗普政府到拜登上台已经下降到“触底”阶段后,美国媒体关于美俄网络攻击事件的报道在 2021 年上半年大量出现就不足为奇了。

美俄之间的政治博弈是如何从博弈结构层面影响到网络安全议题层面的?这需要从美俄关系恶化以后双方采取的政策博弈策略说明。2014 年的克里米亚事件后,美国联合其欧洲盟国对俄罗斯施加经济制裁,给俄罗斯的经济发展带来严重伤害。作为对俄罗斯吞并克里米亚的其他反制措施,美国增加对俄罗斯周边国家尤其是乌克兰和高加索国家的经济、军事援助,鼓励这些国家与北约在对俄防务领域密切合作。美国谋求将北约的势力范围继续东扩,挤压俄罗斯的安全缓冲空间,直接威胁俄罗斯在东欧地区的战略安全。除从地缘战略角度侵蚀俄罗斯的安全空间以外,美国还通过其惯用的颜色革命手段,支持俄罗斯国内亲西方的反对派,直接对俄罗斯的内政进行外部干预,使用西方人权民主等价值观标准,将普京治下的俄罗斯塑造为独裁专制国家。面对美国在经济、外交、安全与价值观方面对俄罗斯的全面施压,国力相对较弱的俄罗斯并不能在以上四方面对美国采取对等的施压措施。俄罗斯只能通过非对称反制的战略,在其他领域如网络空间领域,采取平衡美国施压措施的反制行动。事实上,美国媒体关于俄罗斯在网络空间对美国进行攻击行动的密集报道也正是从 2014 年开始的。根据《华盛顿邮报》2016 年 12 月 31 日和《华尔街日报》2016年 12 月 30 日的报道,俄罗斯黑客在 2014 年曾秘密进入美国政府的软件供应商网络,通过修改软件更新代码的方式,向使用软件的美国电网植入攻击木马。美俄在网络空间的博弈从 2014 年开始加速升级。然而,由于奥巴马政府在处理俄罗斯对美国网络攻击时采取非常谨慎的态度,奥巴马时期的美俄网络冲突尽管存在但总体上被控制在低烈度范围。

2016 年美国大选后,随着美国情报部门披露俄罗斯黑客攻击民主党全国委员会邮件系统,美国国内政治精英认为俄罗斯黑客通过公布民主党领导层的邮件内容,以实现打压希拉里、分化民主党选民和推动特朗普选情的目标。美国政治舆情自此认定俄罗斯对美国网络攻击与俄罗斯干预美国选举有直接关系,白宫决策层也开始废弃奥巴马政府时期对俄罗斯网络攻击的谨慎回应策略。2018 年,特朗普将发动网络攻击的权限给予专门从事日常网络攻击活动的国家安全局和中情局,授权这些部门在没有总统批准的情况下,基于情报搜集和“前沿防御”(forward defense)的目的攻击或瘫痪敌国基础设施网络。特朗普还授意美国网络部队对俄罗斯采取“攻击 + 曝光”(hack-and-dump)模式对俄罗斯干预美国大选进行同样方式的报复。“攻击 + 曝光”模式要求,凡是美国通过网络攻击获取的俄罗斯内部机密信息,只要其不利于俄罗斯国内政治稳定,美国都会将其公之于众。随着特朗普在网络攻击命令授权方面为美国网络部门“松绑”,美国政府的网军开始对俄罗斯以及其他国家(包括中国)采取更加放肆的网络攻击和秘密监控活动。根据《纽约时报》2019 年 6 月 15 日的报道,美国网络部门于 2019 年夏季成功对俄罗斯民用电网实施攻击并将潜伏性网络武器秘密植入俄罗斯电网设备中。攻击行为被《纽约时报》曝光后,特朗普的国家安全事务助理博尔顿在回应中暗示,本次攻击属于对俄罗斯在网络空间对美攻击行为的报复行动。

在美俄在乌克兰东部、反导部署、北约东扩、叙利亚内战等问题上持续紧张的背景下,拜登上台后继续打着西方人权民主旗号对俄罗斯内政进行干预。拜登政府以人权价值观为借口,通过团结欧盟等西方阵营,一方面,支持和扶植俄罗斯国内政治反对派,另一方面,则通过追加对俄经济制裁,施压普京“善待”的西方国家支持的俄罗斯政治反对派。可以说,拜登上台后美国通过其价值观外交对俄罗斯内政的干预达到前所未有的强度,而在其他领域则并没有减少对俄罗斯的施压力度。基于反制美国干预其内政的目标,俄罗斯自然会在其他议题领域对美国采取更具进攻性的施压措施。由于网络空间的攻击活动具有隐蔽程度高、溯源难度大、行动成本低等特点,俄罗斯在网络空间对美国的非对称反制程度有可能随着拜登政府干预俄罗斯内政的程度而逐渐升级。当然,2021 年上半年的美俄网络安全事件也有可能是美国政府和媒体蓄意炒作的结果。从美国政府单方面给出的信息和美国媒体单方面作出的报道内容看,现有的攻击不是由俄罗斯政府发起,就是由俄罗斯政府庇护的黑客组织发起,总之,攻击都是和俄罗斯相关的。然而,从美俄在网络空间的“互动”传统以及美国超级强大的网络攻击能力看,美国很可能隐瞒了其对俄罗斯发动的网络攻击活动,利用其全球传媒传播优势,将俄罗斯塑造为网络攻击的“施暴者”,将自己塑造为网络攻击的“受害者”。就此而言,美俄网络安全事件的根源虽然在于美俄博弈的升级和博弈策略的选择,但2021 年上半年美俄网络安全事件的频发也要“归功”于美国政府和媒体强大的舆情传播能力。

三、美俄网络安全关系的未来

2021 年上半年美国本土网络被攻击事件频繁曝光后,美国政府和学界对攻击的反应非常强硬,通过网络手段对俄罗斯进行报复似乎已成为除白宫以外的政策共识。负责美国网络情报搜集和网络攻击行动的国家安全局局长保罗·纳卡索内(Paul M.Nakasone)已经多次在听证会上向国会暗示,如果美国不在网络领域对俄罗斯采取报复性攻击,俄罗斯黑客将继续肆无忌惮地试探美国在网络防御政策上的底线。参议院和众议院情报委员会主席也在今年的网络攻击事件曝光后频频发声,暗示国会将会支持拜登政府对俄罗斯采取适当的网络报复措施,通过在网络空间对俄罗斯采取威慑行动,防止俄罗斯黑客继续有恃无恐攻击美国。然而,尽管国会和网络安全专家都催促拜登在网络安全领域对俄罗斯采取惩罚行动,拜登政府当前应对俄罗斯网络攻击的方式却更加温和,其对俄罗斯网络攻击发出的报复威胁也更加暧昧。在美国情报部门技术专家确证SolarWinds 攻击事件的发起者属于俄罗斯联邦对外情报局以后,拜登宣布对俄罗斯追加更多经济制裁,但没有宣布要在网络空间对俄罗斯采取报复性攻击。拜登政府回应俄罗斯网络攻击的谨慎方式已经体现出美国未来应对俄罗斯网络攻击的大方向政策。

首先,在美方宣称 2021 年上半年对美国的主要网络攻击事件与俄罗斯有关以后,拜登政府警告要对俄罗斯未来的网络攻击采取“适当”(proportionally)的报复措施,这说明拜登政府在未来会致力于管控两国在网络空间的冲突,谨慎考虑美国在网络空间对俄罗斯采取的报复措施,防止美俄在网络空间的冲突升级为两国相互对民用基建设施的大规模攻击,防止俄罗斯对美国的网络攻击成为美国舆情关注的焦点,以致迫使拜登政府不得不把战略重心从对华战略竞争转移到对俄网络防御。基于此,拜登政府将继续对俄罗斯的网络活动采取谨慎回应策略。为避免美俄网络冲突升级,拜登甚至可能收回特朗普时期授予网络攻击部门的自主决策权,对美国网络攻击部门的攻击行动实施更加严格的“微管理”。在对俄罗斯未来的网络攻击进行回应时,拜登政府可能会更多地诉诸经济制裁手段而不是网络报复措施。拜登政府在回应政策上的谨慎与克制并非基于其对俄罗斯的友好态度,而是因为拜登政府不愿意因为美俄网络冲突将其外交战略的重心从对抗中国转移到其他领域。在拜登政府看来,美俄在网络空间的冲突必须被管控稳定并服从于美中战略竞争这个战略大环境。拜登在宣布与普京 6 月进行首脑会晤时声称,美国将致力于构建美俄“稳定与可预测的”(stable and predictable)双边关系。这说明,在拜登政府的战略构想中,对俄关系要让位和服从于对华关系大局。在拜登政府牢牢锚住对华战略竞争这个战略目标的政治大背景下,美国必须从稳定美俄关系、管控美俄冲突的角度处理对俄关系。“稳定与可预测”的美俄关系有利于美国集中资源精力展开对华战略竞争。因此,在拜登政府稳定美俄关系的政治共识背景下,美俄网络冲突会继续以低烈度对抗但不可能升级为高烈度冲突的趋势向前发展。

其次,尽管相互指责对方为网络攻击发起者将继续成为美俄政治博弈过程中惯用的手段,但网络安全技术本身的发展特点却使美国在考虑网络报复时不得不“三思后行”。在网络空间,进攻的便利与报复的困难使网络攻击属于低成本、更便捷的低烈度冲突手段,美俄在未来依然会倾向于选择这种具有进攻性但很难被界定为“战争行为”的模糊施压行动作为其政治博弈的常规策略,美俄之间的网络安全事件也会在未来被更加频繁地曝光于公众视野。

从网络安全技术本身的特点看,只要存在物理网络的联通状态,就不存在无法攻破的网络系统。美国的网络安全专家在谈及增强美国的网络防护能力时也都承认,即使再强大的网络防护也只是能增加攻击者的突防难度,或者在攻击者试图破防时发出警告,或者在攻击者试图破防时防护系统主动采取抵御措施,但绝对的网络安全防护是不可能实现的。因此,只要网络系统以联通状态存在,成功的网络攻击总是有可能发生的。随着网络防护技术的发展,黑客们也在攻击技术方面取得“与时俱进”的发展。根据美国麻省理工学院网站对全球各国黑客成功破防网络系统所需时间的数据统计,俄罗斯黑客在突破网络防御方面拥有除美国以外的最快速度。从截止到 2018 年的网络攻击数据看,全球黑客成功实施一次网络攻击的平均时间为 4 小时 37 分,而俄罗斯黑客只需要 18 分 49 秒即可成功实施一次攻击。麻省理工学院的数据说明,俄罗斯确实具有非常强大的网络攻击能力。除俄罗斯以外,美国在网络攻击能力方面则更被公认为资源投入最大和能力最强。在美俄都拥有强大攻击能力以及攻击行动很容易实施的情况下,美俄之间低烈度的网络攻击“暗战”肯定会继续进行。

从美国网络安全技术发展的现状与特点看,拜登政府要在网络领域报复俄罗斯确实会使美国自己面临更大的网络安全威胁。在 SolarWinds 攻击事件曝光后,美国国会迅速成立专门的网络安全调查团队,对美国可能受到网络攻击的民用基建系统(如水网、电网、核电站、公共交通调度)进行防护能力评估。在 2020 年 3 月国会发布的《网络空间日光浴委员会报告》(Cyberspace Solarium CommissionReport)中,调查团认为敌国对美国关键基础设施进行网络攻击的后果要比加州山火和德州飓风破坏力更强,美国当前在关键基建领域的网络防护能力明显地无法抵御敌国潜在的网络攻击。美国在基建方面对网络防护建设的不自信也使拜登政府在做好美国自己的基建网络防御之前不敢妄谈对俄罗斯的大规模网络报复。

从美国网络安全能力的角度看,尽管美国拥有当前全球最强大的网络部队,美国在采取报复性网络攻击方面的战术选项却并不多,这导致和平时期美俄在网络空间出现大规模冲突的可能性极低。网络武器与常规武器的不同在于,无论是用于进攻还是防御,网络武器的本质是程序与代码,其一旦被使用即可能被对手分析、解码并可能被重新编码为新的网络武器。很多美国网络武器属于只能使用一次的复杂病毒性程序,为避免本方程序被分析解码,美国的网络战部门在使用这些耗资巨大所研发出的病毒“武器”时也会非常谨慎。事实上,美国媒体已经多次披露,很多国际黑客组织已经成功解码美国网络情报部门所使用的攻击程序,黑客组织对这些攻击方法进行重新编码后对美国进行“以彼之道还施彼身”式的攻击。国际黑客组织甚至针对美国的网络武器编码习惯建立国际黑客通用数据库,共享美国网络武器的编程原理以对抗美国发起的网络溯源、侦测和攻击行动。因此,从维持美国网络攻击武器机密性的角度出发,拥有强大网络攻击能力的美国在采取网络报复措施时可以使用的报复武器也乏善可陈。基于此,拜登政府在未来的报复措施中可能还是更加青睐于使用经济制裁而非网络武器来应对俄罗斯的网络攻击。

(本文刊登于《中国信息安全》杂志2021年第6期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。