最近一两周,新一轮俄乌军事冲突爆发成为全球关注的重大事件。在激烈的军事冲突之中,网络攻击在战争前期、战争进行中、敌对各方、全球各个阵营中随处可见,通过网络空间传播虚假信息、释放信息烟幕、误导决策,以及通过网络攻击破坏重要基础设施和通信系统,网络攻击直接影响战争的进程,与传统的军事手段相互交织、互动推进。

鉴于双方网络攻击手段的介入,国际社会认为此次冲突是一次典型的“混合战争”(hybrid warfare)---混合了传统的军事行动以及非传统的数字或网络战争。与传统的物理攻击不同,网络战并不是以直接杀伤敌方有生力量为目的,其主要目标是干扰和破坏敌方网络设施、基础设施、联网设备等。

这种虚拟空间攻击和物理攻击手段紧密结合、互相促动的模式,释放了现代战争的潜能,正在成为战争新形态。

一、俄乌网络战真实场景分析

新一轮俄乌冲突作为一个正在发生的现代版战争,为网络武器的运用提供了真实的场景分析环境。网络战的几个主要手段,在本次冲突中也都能找到可以对号入座的行动案例。

(一)网络攻击伴随战争密集发生

据公开信息分析,截至目前可观察到的俄罗斯对乌克兰大规模、高水平的网络攻击有三波。

2022年1月14日前后,第一轮攻击——WhisperGate数据擦除器。70 多个乌克兰政府网站遭到APT组织攻击,其中包括属于乌克兰外交部、教育部、能源部、国防部、国家紧急事务局、内阁等的中央和地区政府网站。这次攻击的发现,首先是360安全大脑1月10日观察到,1月15日微软报告称发现APT组织向乌克兰的一些重要机构投递WhisperGate样本,相关样本的破坏行为会加密磁盘MBR和机器上指定类型的文件。

2月15日前后,第二轮攻击——DDoS攻击。2月15日,乌克兰多处信息资源遭到强大的DDOS攻击,导致 Privatbank 和 Oschadbank 的 Web 服务工作中断。国防部和乌克兰武装部队的网站也遭到攻击。2月18日,乌克兰计算机应急响应小组(CERT-UA)在一份报告中表示,在这轮攻击中,攻击者曾动用到多种DDoS即服务平台,以及包括Mirai与Meris在内的多个僵尸网络。美国政府已经认定这波DDoS攻击与俄罗斯武装部队总参谋部情报总局(GRU/格鲁乌)有关。美国国家安全副顾问Anne Neuberger表示,“我们已经掌握了俄情报总局与此次事件有关的技术信息,发现已知的GRU基础设施曾向乌克兰方面的IP地址和域名传输大量通信内容。”Neuberger补充道,尽管这些攻击“影响有限”,但这也许是在“为更具破坏性的后续攻势奠定基础”。届时,可能还将有针对乌克兰领土的入侵行动与线上攻击协同推进。英国政府也指责俄罗斯格鲁乌黑客在上周针对乌克兰军方和国有银行网站的在线服务发动了DDoS攻击。

2月21-23日前后,第三轮攻击——HermeticWiper数据擦除器、恶意文档鱼叉钓鱼攻击及DDoS攻击。安全社区在2月23日观察到HermeticWiper攻击,报告称APT组织向乌克兰上百个机构投递HermeticWiper。乌克兰多个政府部门网站和银行业务又遭到网络攻击。乌克兰数字转型部部长米哈伊洛·费多罗夫(Mykhaylo Fedorov)称,乌克兰遭遇新一轮大规模分布式拒绝服务攻击。同时,据360安全大脑的观察, 2021年年末开始大量乌克兰用户遭到了疑似APT组织的恶意文档鱼叉钓鱼攻击,攻击者利用诱饵文档释放并执行vbs脚本,通过创建计划任务的方式完成恶意文件的驻留,这些vbs文件名多数以.log结尾,且经过高度混淆。相关攻击活动的受影响用户规模和活跃度在今年2月21日激增并达到了顶峰。另外,在2月23日,乌克兰境内多个政府机构(包括外交部、国防部、内政部、安全局及内阁等)以及两家大型银行的网站再次沦为DDoS攻击的受害者。专注监测国际互联网状态的民间组织NetBlocks还证实,乌克兰最大银行Privatbank、国家储蓄银行(Oschadbank)的网站也在攻击中遭受重创,目前与政府网站一同陷入瘫痪状态。

(二)虚假信息影响心理认知

当地时间2月24日,俄罗斯总统普京宣布在顿巴斯地区发起“特别军事行动”。俄乌紧张局势持续升级,而网上相关信息在此之前和之后,也是铺天盖地,难辨真假。虽然在全球关注的众多大事件发生后,都会有大量虚假信息在网上出现,但本次的虚假信息传播,显然范围更大,规模更广。在全球各个国家不同语言的平台,关于当地局势发展情况的相关虚假信息都在不断传播泛滥。

如果说网络攻击方面俄罗斯实力强大且蓄谋已久抢得先机,那么在信息战上的交锋,俄乌双方都是不遗余力,难分胜负。战争进行中,大量战场图像信息在网络发布,但其中混入了很多虚假信息,要么嫁接错误的视频图像和音频,要么伪造官方发布,要么半真半假,利用机器人农场快速投放和传播。乌克兰居民还报告说收到了假短信,称该国的ATM取款机无法正常运作,网络安全专家说,这可能是一种恐吓策略。乌克兰国家安全与国防委员会信息安全和网络安全处处长纳塔利娅·特卡丘克也表示,网络攻击窃取情报信息和个人数据,试图破坏稳定、抹黑和操纵国家。

这些是传统舆论战心理战的升级版——通过网络空间发布有利于己方和不利于对方的虚实信息,混淆视听,或试探对手反应,或震慑对方心理,或影响判断认知,以收到不战而屈人之兵,或在全球范围内收割同情和支持的目的。目前,开战以来俄乌双方真实战况到底怎么样,估计不少人都困扰不已。

(三)更多力量卷入网络对抗

随着冲突战争推进,有更多力量正在卷入网络战中。

据媒体报道,在美国主导下,欧盟目前已经成立了由克罗地亚、爱沙尼亚、荷兰、波兰、罗马尼亚、立陶宛等国网络专家组成的网络快速反应小组,帮助乌克兰应对网络攻击。其中,爱沙尼亚更已经向乌克兰派出网络专家。美国前国务卿希拉里,甚至公开呼吁美国黑客对俄罗斯发动网络攻击。美国情报机构也建议拜登政府对俄罗斯发动“大规模网络攻击”,包括切断俄罗斯全境的互联网连接、停电和干扰铁路道岔的运行。

2月27日,乌克兰数字化转型部长米哈伊洛·费多罗夫在社交媒体上称,基辅正在组建“IT部队”,“继续在网络战线上作战”,并公开喊话马斯克,要求他为乌克兰提供星链终端。马斯克随即回复称,星链服务系统已在乌克兰启动,而且“很活跃”,乌克兰可以通过正在运行的星链卫星使用宽带服务。马斯克同时承诺,将为乌克兰提供更多终端。

据报道,疑遭网络攻击,俄罗斯克里姆林宫(kremlin.ru)、联邦政府(government.ru)和国防部(mil.ru)在内的许多俄罗斯网站下线。

二、俄乌网络战的四个特点

本次俄乌军事冲突具备明显的伴生网络战的特点。对于发生在非交战期间的某一具体网络攻击行为是否是战争行为,在国际上目前尚没有清晰的界定,也是各方一直在探讨的问题。

但伴随新一轮俄乌军事冲突之中交战双方的多级、多次网络攻击波,纳入战争行为基本上应无异议。

这次正在发生的网络战具有下列一些特点:

(一)范围更广、力度更大

俄乌冲突中的网络攻击发生时间长,波及面广,在双方都涉及到政府网站、银行等各类信息基础设施,且伴随冲突进行,一轮一轮的网络攻击不断升级扩大。2月15日的网络攻击,据称是乌克兰遭遇的有史以来最大的网络攻击。在乌克兰检测到的擦除恶意软件也影响了乌克兰在拉脱维亚和立陶宛的政府承包商,这表明网络战攻击很可能会“溢出”到其他国家。

(二)紧密伴随军事行动

本次俄乌冲突中的网络战,网络安全平台Vectra AI首席执行官希特什·谢斯(Hitesh Sheth)认为,是“在人类历史上第一次,网络攻击已经成为了一项重要的武器”。从时间上来看,网络攻击的高峰也与战争推进步调一直。例如,2 月 23 日的 DDoS 攻击发生即在普京下令全面入侵乌克兰前大约 12 小时。这与俄罗斯在格鲁吉亚的南奥塞梯出兵有相似之处,美国陆军上校 Bob Killebrew (retd) 在《 小型战争杂志》发表的一份报告中指出,俄罗斯的网络攻击是与常规攻击并同步使用的。

(三)社会公众心理战意义更大

网络攻击理论上具备攻击核心基础设施的能力,并造成破坏性打击,但在本次冲突中,这种情况到现在尚未被观察到。更大的意义似乎对社会公众施加心理影响,从而达到心理战的目的,起到瓦解分化的作用。

(四)毁灭性行动或将伴随而来

在网络攻击中,乌克兰一再成为主要受害者,而俄罗斯自然而然被认定是幕后黑手。但是,针对西方社会的指责,俄罗斯表示,它“以前没有、现在也没有在网络空间进行过任何‘恶意’行动”。

无论是技术和证据怎样,俄罗斯的概不认账激起了乌克兰、欧美等国的一再指责,称乌克兰遭受网络攻击是俄罗斯对乌克兰采取侵略行动的例证。2月24日,负责乌克兰政府和企业网络安全的企业赛门铁克、ESET称,乌克兰政府和金融机构大批信息系统数据遭到破坏。乌克兰政府据此声称,此次遭受的网络攻击力度空前。乌克兰国家安全和国防委员会副秘书长谢尔希·德梅迪克(Serhiy Demedyuk)称,“对网站的篡改只是第一步,毁灭性行动将伴随而来,我们预感在不久的将来将有灾难发生”。

三、混合战争已是大势所趋

战争的目的是军事与政治目标,而网络攻击可以在减少杀伤的情况下,达成战争目的。俄罗斯是世界公认的网络战力强国,从2014年第一次俄乌军事冲突开始,以俄罗斯为主,双方就开始大打网络战。

2008 年俄罗斯对格鲁吉亚的战争可能是第一次真正的混合战争,传统的军事力量和黑客力量结合在一起。但鉴于格鲁吉亚的互联网普及率低(当时约有 7% 的格鲁吉亚人使用互联网)以及相对简单的网络攻击,结果只是摧毁和破坏了大量政府网站,因而更像是网络战争的预演。

本次俄乌冲突再次印证,网络攻击伴随现代军事行动必将是信息时代战争形态的大势所趋。但从更广更长的视角看,网络战还存在许多需要国际社会进一步观察和认识的问题。

譬如,目前还没有国际公认的标准来判定一个国家发动的网络攻击是否等同于武装攻击,后者可能会引发军事回应。目前还没有任何具有法律约束力的国际文件,明确规范网络空间的国家间关系。如果交战国在和平时期违反国际法,或在战争时期违反武装冲突法,则国际法允许自卫和应对武装攻击。除了什么构成网络空间的武装攻击外,现有国际法的哪些条款适用于网络空间的战争行为尚不明确。

当地时间2月27日,俄罗斯总统普京已经命令俄战略威慑力量进入“特殊战备状态”的消息传开,人类又一次感受到核恐怖并不遥远。

此前,全球似乎达成了广泛默契——太空系统和核指挥与控制系统是神圣不可侵犯的,迄今为止还没有报道反映,伴随军事打击发生了针对核力量指挥控制系统的网络攻击。

目前,我们没有看到一场全面的网络战争,笔者也非常担忧,人类理智究竟能否战胜狂热,不去突破网络战的边界。

关于作者

傅强 虎符智库特约作者,多年从事高技术领域投资与企业管理,目前就职于中国航天科技集团。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。