编者按:美国西点军校陆军网络学院的助理教授、哥伦比亚大学萨尔茨曼战争与和平研究所研究学者埃里卡·罗纳根近日发表题为《乌克兰冲突中网络代理人的启示》的文章,研析网络代理人对国家政府的价值和风险、俄乌冲突中出现的新形式网络代理人战争,并提出对未来战争冲突的政策启示。

文章称,俄乌冲突的最重要的网络特征之一是网络代理人战争以新的方式“卷土重来”;许多参与冲突的网络代理人团体更多地是作为跨国社会性和政治性参与者来开展政治动员和施加政治影响,而不是作为国家政府的代表以胁迫或作战为目的开展网络效应行动;网络代理人的概念并不新颖,但在俄乌冲突的背景下具有新的和不断发展的特征,为网络代理人如何在未来的危机和冲突中发挥作用提供了重要启示;鉴于网络代理人是俄乌冲突的一贯特征而非异常现象,各国政府必须评估网络代理人影响俄乌冲突新方式的影响,以便更好地预测其在未来突发事件中的作用。

文章称,传统的网络代理人是与各国政府形成了“模棱两可、似是而非”关系的各种网络行为者,包括网络犯罪组织、爱国黑客或黑客行动主义者、私人公司、APT组织等。网络代理人对政府的价值体现在以下五点:一是双方关系的模糊性和隐秘性使各国政府能够合理推诿,从而避免潜在报复或付出政治代价;二是网络代理人团体可以从事更具侵略性、破坏性或攻击性行动,攻击某些被视为武装部队“禁区”的关键目标;三是网络代理人的行动可以在国际危机期间转移国内政治或民族主义压力;四是网络代理人可以减轻潜在黑客的对政权的威胁;五是网络代理人可以增强国家网络能力。网络代理人对政府的风险体现在以下三点:一是网络代理人团体可能会超出其授权范围,从而导致国家政府遭受反击或报复,或增加意外升级的可能性;二是网络代理人可能效率低下、推卸责任或将政府资源用于自身目标;三是网络代理人可能会背叛其国家支持者,从事直接或间接破坏支持者利益或政治稳定的网络活动。网络代理人战争的核心方面取决于代理人团体与国家支持者间关系的性质,国家对网络代理人团体活动有效指挥控制的程度以及所承担风险的程度是其能否获益的决定因素。

文章称,俄乌冲突中出现了大量传统网络代理人行为,包括国家暗中允许或更直接地怂恿附属的非国家行为者开展网络攻击,同时与政府关系更松散的黑客组织也被激发参与到冲突中。俄乌冲突揭示出网络代理人战争的新形式,包括:一是网络代理人正在吸引来自世界各地与其政治取向一致的参与者,成员和支持者更加国际化;二是网络代理人更多地对战场以外的目标开展破坏性或滋扰性网络活动;三是网络代理人不仅通过网络效应行动来影响冲突进程以及威慑或胁迫外部各方,还将网络攻击用作政治动员的工具,从而进一步对战争进行政治叙述并塑造不同受众的看法。

文章称,亲俄罗斯黑客组织Killnet和乌克兰“IT军队”在冲突的政治立场上处于对立面,并且吸引了截然不同的受众,但两个团体间存在以下三点重要相似之处:一是在其志愿者的国际代表性和攻击范围方面都具有跨国特征,都将精力集中在攻击乌克兰战区以外的目标上;二是主要开展低成本的破坏性网络攻击,从而让潜在的志愿者更广泛地参与;三是都利用社交媒体平台来开展政治动员并围绕战争塑造信息叙述活动。两个组织也存在三点关键差异:一是与政府的关系亲密度不同,没有证据表明前者与俄罗斯政府存在正式关系,而后者则由乌克兰政府官员创建,并可能被纳入乌克兰正规武装部队;二是后者既包括一个大型的、面向公众的、全球参与的志愿者网络,还包括由乌克兰国防和情报人员组成的内部团队;三是后者在组织和方法方面比前者更加纪律严明,声称审慎选择攻击目标。

文章称,俄乌冲突所出现的网络代理人新趋势具有以下六点政策启示:一是未来的危机和冲突几乎肯定会涉及一系列网络代理行为者,这些代理人行为者在技能水平、与中央政府的联系以及攻击不同类型目标的意愿方面各不相同;二是政策制定者在考虑俄乌冲突对国际规范的启示时应谨慎行事,避免混淆战时网络行为和平时网络行为;三是政策制定者不应对不同的网络代理人采用一刀切的方法,传统的政策工具无法有效应对与政府无直接关系且成员更国际化的网络代理人;四是网络代理人对冲突的虚拟与实际影响使得政策制定者解决问题的方式变得更为复杂;五是政策制定者应注意避免无意中陷入网络代理人的政治叙事从而导致其能够借此提高在受众中的知名度;六是西方决策者应关注乌克兰将非正式黑客组织纳入国家正规武装部队的进展,从而就政府如何更好地整合和利用民间网络人才来提高网络防御和弹性汲取经验教训。

奇安网情局编译有关情况,供读者参考。

乌克兰冲突中网络代理人的启示

1► 介绍

在2022年2月俄乌冲突爆发前,网络社区内关于乌克兰冲突的许多专家评论都集中在三件事上:俄罗斯将在多大程度上发起一场网络“震慑”综合行动以迫使乌克兰屈服;担心俄罗斯对美国、英国和欧洲进行网络攻击,以阻止西方干预或报复经济制裁;对俄罗斯将在现代战场上有效整合网络和动能作战的程度的猜测。然而,经过一年多的战争,这些问题都没有像大多数分析人士预期的那样成为冲突网络层面的决定性特征。相反,这场战争最重要的网络特征之一是第三方参与者扮演与俄罗斯或乌克兰结盟的交战方(网络代理人)的角色。虽然网络代理人的概念并不新颖,但它在俄乌冲突的背景下具有新的和不断发展的特征,为网络代理人如何在未来的危机和冲突中发挥作用提供了一个潜在的预览。

此外,俄乌冲突中网络代理人的一个重要特征是他们愿意在战区外开展网络攻击,包括针对美国、英国和欧洲。虽然政策制定者就可能蔓延到乌克兰以外的潜在俄罗斯网络攻击发出警告,但他们不一定预料到攻击最终会以何种形式发生——特别是黑客活动组织开展的低影响、破坏性网络活动。例如,2022年1月下旬,英国国家网络安全中心(NCSC)警告称,俄罗斯可能通过网络手段对付私营部门,并建议企业“增强网络安全弹性以应对在乌克兰及其周边地区的恶意网络事件。”2022年2月,美国网络安全和基础设施安全局(CISA)向私营公司发出严厉警告,称俄罗斯“在过去十年中将网络作为其力量投射的关键组成部分......俄罗斯人明白,致瘫或摧毁关键基础设施——包括电力和通信——可以增大对一个国家的政府、军队和人民的压力,并加速他们屈从俄罗斯的目标。”然而,俄罗斯APT行为者在很大程度上避免了对西方目标开展重大的网络攻击。相反,与俄罗斯政府关系更为模糊的代理人开展了大量破坏性网络活动。

在俄乌冲突爆发之初,网络代理人团体的盛行就显而易见了。例如,2022年2月24日,“匿名者”黑客组织通过其Twitter账户宣布“目前正在参与针对俄罗斯联邦的行动。我们的行动针对的是俄罗斯政府。”此后不久,此前温和的黑客雇佣组织Killnet转变为一个出于政治动机的黑客行动主义实体,并开始持续针对一系列西方目标开展低成本、破坏性的网络攻击。大约在同一时间,新成立的乌克兰“IT军队”(一支包括来自乌克兰和世界各地的个人的志愿黑客军队)开始对俄罗斯联邦境内的目标发动攻击。换句话说,乌克兰冲突的特点是代理人战争显著卷土重来,但具有新颖的特征和组合方式。具体而言,这些网络代理人团体中的许多更多地是作为跨国社会性和政治性参与者(为政治动员和影响创造平台),而不是作为代表国家政府以胁迫或作战为目的开展网络效应行动的传统代理人。

鉴于网络代理人是俄乌冲突的一贯特征而不是异常现象,各国政府应该预见到未来的战争可能会产生类似的模式。然而,政策制定者似乎忽视了战争的这一方面,而是更多地关注分析俄罗斯在网络空间明显表现不佳的原因,或者强调他们自己在促进乌克兰网络防御方面的作用。然而,由于这场战争背景下发生的网络活动中有很大一部分是由不同类型的网络代理行为者实施的,因此决策者必须评估网络代理人影响俄乌冲突新方式的影响,以便更好地预测它们在未来突发事件中的作用。

2► 网络代理人战争的传统概念

网络空间中的“代理人战争”概念并不是一个新现象。事实上,在网络冲突存在的几十年里,各国政府已经与各种网络行为者(有意或无意)形成了模棱两可、似是而非的关系。这些行为者包括复杂程度不同的犯罪组织(例如勒索软件组织);爱国黑客或黑客行动主义者;私人公司;与政府有着更密切但仍似是而非关系的高级持续威胁行为者。大多数关于网络代理人的讨论都集中在国家指导(公开程度不同)或使非国家行为者能够代表国家利益或符合国家利益开展网络行动的不同方式上。

俄罗斯在网络代理领域一直是一个特别高产出的行为者,将这些团体用于网络效果行动,以及更广泛的信息和心理战目的。这不足为奇,因为俄罗斯的学说将网络空间和网络战概念化为更广泛的“信息对抗”中的一个要素。例如,莫斯科与网络犯罪组织建立了长期关系:为他们提供安全庇护所,保护他们免遭起诉,并对他们的犯罪活动视若无睹,以换取他们的默契,避免损害俄罗斯在网络空间的利益,并在被要求代表政府行事时随时可派上用场。最近,俄罗斯允许勒索软件组织在其领土上开展活动,并对西方目标开展造成重大损失的攻击(即使俄罗斯未指示或命令上述组织这样做),包括2021年针对美国公司的一系列勒索软件攻击,例如Colonial Pipeline和肉类加工商JBS等。然而,俄罗斯对网络犯罪集团的容忍度有时会受到考验,例如俄罗斯在2022年1月宣布联邦安全局(FSB)已瓦解勒索软件集团REvil,逮捕其部分成员并没收其资产。

俄罗斯还利用有意和无意的网络代理人来补充其军事行动。作为2008年俄格战争的一部分,俄罗斯政府很可能协助创建了在线论坛以散布恶意软件并协调针对格鲁吉亚目标的网络攻击。在2014年克里米亚危机背景下,网络代理人团体也大量出现。例如,2014年10月,专家怀疑与APT28(与俄罗斯军事情报机构GRU相关的俄罗斯APT组织)有联系的黑客组织“网络金雕”(CyberBerkut)破坏了乌克兰的选举系统,并在议会选举前在网上发布了泄露数据。而在2015年,APT28对乌克兰一个国家电网开展了首次已知的网络攻击,在冬季使乌克兰电网中断数小时。同样值得注意的是,乌克兰爱国黑客组织在俄罗斯2014年的军事行动中也很活跃——例如“乌克兰网络军”(Ukrainian Cyber Army)开展了网站污损和类似类型的低影响攻击。

从历史上看,出于各种原因,各国发现与网络代理人团体合作很有吸引力。这些关系的模糊性和隐秘性使各国政府能够合理推诿自己在网络事件中的作用,从而保护自己免受对手的潜在报复或在其国内政治背景下付出政治代价。在某些情况下,政府可能会发现默许代理人团体从事比其愿意直接开展的更具侵略性、破坏性或攻击性行动的好处,或者政府可能允许它们攻击政府可能视为其网络部队禁区的某些类型目标,例如民用关键基础设施。作为一种压力释放形式,怂恿网络代理人团体采取行动也可以作为在国际危机期间转移国内政治或民族主义压力的一种手段。允许网络代理人还可以使政权的潜在威胁忙碌起来:潜在的黑客可以针对内部竞争对手和政权的外部威胁,而不是将其网络技能用于对抗政府。此外,特别是对于不太成熟的网络力量,代理人团体可以提供急需的国家网络能力或技术人员的增强。在某些情况下,组织严密的网络犯罪团伙可能比某些民族国家行为者更加老练。从网络代理人团体的角度来看,隐性或显性的国家支持提供了许多好处。最重要的是,国家提供的法律保护可以保护代理人团体免受国际执法部门的起诉甚至引渡,使团体能够在不受审查的情况下开展活动。网络代理人也可能从其可能无法获得的资源、技术、培训和能力中获益。

然而,也存在风险。特别是,就国家而言,网络代理人团体可能会超出其授权范围,从而产生反击或报复该国政府的风险,或增加意外升级的可能性。另外,网络代理人可能效率低下、推卸责任或将政府资源转移到自己想要的目标上。最后,网络代理人可能会背叛其国家支持者,从事直接或间接破坏支持者利益或政治稳定的网络活动。因此,网络代理人战争的一个核心方面取决于代理人团体与国家支持者间关系的性质。一个国家对代理人团体活动有效指挥控制的程度(指导该团体为自己的利益开展网络行动)或者该国是否冒着代理人表现不佳和行为过度的风险,塑造了使用网络代理人的好处和风险。

3► 发生在乌克兰的传统形式网络代理行为

2022年的俄乌冲突中出现了大量此类传统网络代理人行为——国家暗中允许或更直接地怂恿附属的非国家行为者开展网络攻击。从这个意义上说,当前的冲突反映了俄罗斯过去做法的连续性。传统网络代理人战争的一个例子是APT28在2022年4月8日试图复制其2015年破坏乌克兰电网的成功尝试,但以失败告终。虽然最终没有成功(乌克兰的计算机应急响应小组和一家斯洛伐克网络安全公司阻止了攻击),但俄罗斯似乎一直在努力通过利用传统代理人团体将网络力量应用为更广泛的作战方法的一部分。事实上,有证据表明,攻击者在冲突的第一阶段就获得了对电网系统的访问权限。

乌克兰冲突的另一个特点是激活了与俄罗斯保持一致的黑客组织,这些组织与莫斯科的关系更加模糊,可能处于更宽松的指挥和控制结构之下——类似于俄罗斯2008年在俄格战争和2014年在克里米亚危机动员这些团体。事实上,这些团体中有许多声称与俄罗斯政府没有正式的隶属关系,即使它们是为了俄罗斯的利益而运作。具体来说,这些与俄罗斯保持一致的黑客组织一直在积极攻击乌克兰境内的利益目标,包括关键基础设施,即使其攻击的复杂性和严重性很小。例如,2022年8月15日,俄罗斯黑客组织“(人民网络军)”(People"s Cyber Army)对乌克兰国有核电公司Energoatom开展了分布式拒绝服务(DDoS)攻击。该黑客组织释放了725万个机器人账户,虚假流量充斥着电力公司的网站。尽管如此,Energoatom还是能够在几个小时内阻止DDoS攻击,“人民网络军”迅速转移到其他乌克兰目标。在另一个说明性示例中,2022年7月1日,与俄罗斯保持一致的黑客组织XakNet声称对乌克兰最大的能源控股公司DTEK开展了网络攻击,并在其Telegram频道上发布了旨在作为其成功渗透公司网络证据的屏幕截图。这起网络事件与俄罗斯导弹袭击DTEK位于克里维里赫的Kryvorizka热电厂同时发生,尽管网络事件和动能事件间的联系可能是虚假的。

4► 网络代理人战争的新形式

与此同时,乌克兰冲突正在揭示更加国际化的网络代理人战争的新排列,就像更广泛的常规冲突本身吸引了多个外部参与者一样。具体而言,在乌克兰冲突的政治背景下发生的网络活动中有很大一部分是由黑客组织实施的,这些组织正在攻击战区以外的目标——无论是在俄罗斯本土还是针对西方的目标,特别是北大西洋公约组织(NATO)成员国。此外,这些团体正在吸引来自世界各地与其政治取向一致的参与者,即使它们可能缺乏其他更直接与政府保持一致的威胁行为者(例如APT28)的技能和成熟度。仅检视这些类型的网络代理行为者的两个不同示例——Killnet和乌克兰“IT军队”——揭示了这些团体间的一些相似之处和差异,以及它们如何改变网络代理人战争的性质。

特别是,虽然这两个团体表达了截然相反的政治倾向,并且在与政府的隶属关系方面也有所不同(乌克兰“IT军队”最初是由政府官员创建的,而Killnet声称独立于莫斯科),但他们主要关注的是对乌克兰战场以外的目标进行破坏性或滋扰性网络活动。此外,这两个网络代理组织都维护着活跃的社交媒体论坛,在那里它们为成员提供有关计划和执行网络攻击的指导。但这些论坛也用于传达政治信息,并充当虚拟政治动员的一种形式,围绕一项事业召集骨干人员并塑造冲突的叙事。

正是这种更多面向国际的成员和目标攻击的结合,加上使用网络攻击作为政治动员的工具,使得这种形式的网络代理人战争在作战环境中特别有趣和新颖。从这个意义上说,这些网络代理人既是跨国行为者,也是本地行为者——作为培养其内部政治叙事的一种手段在战场以外开展行动,同时塑造更广泛的冲突叙事。换句话说,这些团体在乌克兰战争中发挥作用,不仅仅是因为它们的网络效应行动如何影响冲突进程,或者通过威慑或胁迫外部各方。毕竟,这些团体开展的操作类型是低成本、破坏性的网络攻击,不会造成太大的损害。相反,这些团体的网络活动是其进一步对战争进行政治叙述并塑造不同受众的看法的一种方式,正是通过这个视角——而不是网络效应——才能最好地理解他们的影响。

5► Killnet

与俄罗斯保持一致的黑客组织Killnet在冲突的初始阶段变得活跃,它以前是一个小而不起眼的雇佣组织僵尸网络,后来更名为国际知名的黑客组织。Politico将该组织与更老练的俄罗斯威胁行为者进行对比,将其描述为“更像是一个手持低级网络攻击工具和战术的愤怒的、民族主义的网络暴徒”。事实上,Killnet的拥护者并不是特别技术娴熟,该组织几乎只开展直接的DDoS活动,在其社交媒体渠道上发布简单的脚本供追随者使用。然而,Killnet因其近乎常规的针对西方实体(包括关键基础设施)的攻击而备受分析人员和媒体的关注。这将Killnet与其他亲俄罗斯的黑客组织区分开来,后者主要关注乌克兰境内的目标,可能与俄罗斯的常规军事行动协调或至少保持一致。

例如,2023年2月上旬,Killnet对美国十几家医院发起了一波DDoS攻击。但是,就像Killnet之前的许多破坏性攻击一样,对美国医院的实际影响微乎其微。根据Cloudfare的说法,这些攻击中最大的一次只持续了10秒,全部攻击只持续了6分钟。同样,美国医院协会表示,“影响似乎微乎其微,而且是暂时的”。这种网络活动是Killnet方法的标志:针对西方关键基础设施和其他目标开展低影响的破坏性网络活动。在这些类型的活动中,Killnet似乎并不专注于通过其破坏性攻击实际产生影响——或者至少并不特别关心其自我生成的虚张声势是否与现实相符。尽管其网络行动的影响微乎其微,但Killnet似乎喜欢用夸张和炫耀胜利的语言来围绕其网络活动召集支持者。

针对较小的国家,尤其是波罗的海国家,Killnet在维持较长时间的破坏性攻击方面更为成功。例如,2022年5月,作为对支持乌克兰的国家“宣战”的一部分,Killnet对北约成员国拉脱维亚的数十个目标发起了DDoS攻击,范围包括政府、交通和金融等。伴随这些攻击的是,Killnet的Telegram频道和其他社交媒体网站呼吁骨干人员对拉脱维亚开展更多的网络攻击。2022年7月,在拉脱维亚政府表示将摧毁苏联时代的纪念碑后,Killnet再次以拉脱维亚为目标发动了一次大规模的破坏性攻击——包括对拉脱维亚公共广播中心的12小时干扰。2022年8月又发生了一次破坏性攻击,这次是针对拉脱维亚议会的网站,此前该机构宣布俄罗斯是支持恐怖主义的国家。所有这一切都发生在6月份针对立陶宛的为期10天的DDoS攻击浪潮后,以回应立陶宛政府决定阻止某些俄罗斯出口产品。此外,这些只是Killnet和类似组织对拉脱维亚和立陶宛以及爱沙尼亚开展的破坏性攻击的少数例子,这些国家以这种方式遭网络代理人攻击。

在某些方面,虚张声势可能是重点。具体来说,Killnet作为一个组织取得成功的一个重要方面来自其Telegram频道和相关媒体网站,成员们经常互相祝贺,甚至利用西方媒体关于他们网络攻击的报道来增强内部的可信度并提高团队内部的士气。Killnet的Telegram频道只有俄语,拥有超过9万名订阅者。事实上,正如Dark Reading报道的那样,由于其DDoS活动的公共性质(即使它们没有造成任何有意义的影响),Killnet的社交媒体追随者显著增加:“Killnet的亲俄罗斯DDoS活动也开始吸引更多的追随者和粉丝。”Killnet甚至已成为俄罗斯与战争相关的流行文化的一个特征。2022年夏天,俄罗斯说唱歌手卡哲·奥博伊玛发表了一首赞美Killnet的歌曲“KillnetFlow”。2022年10月,Killnet与俄罗斯珠宝商HooliganZ展开珠宝合作,该集团还销售其他Killnet品牌商品。这“作为一种宣传形式,有助于招募新成员并促进该组织的事业”。

与其他与俄罗斯保持一致的黑客组织一样,Killnet的领导人Killmilk坚决否认与俄罗斯政府有任何正式关系,并声称该组织完全是自我组织和维持的。然而,很明显,Killnet正在为俄罗斯在冲突中更广泛的政治目的服务。例如,Killnet的Telegram频道仅以俄语发布(再加上它试图在更广泛的俄罗斯文化中站稳脚跟),这一事实提供了对该组织有兴趣动员的受众(国内俄语或附近讲俄语的受众)的见解。从这个意义上说,Killnet表面上是莫斯科活动的有用工具,既维持国内对俄罗斯军事介入乌克兰的支持,又让潜在的破坏者和心怀不满的潜在网络行为者忙碌起来。这与最近关于在国际危机期间使用网络代理人的研究相一致,各国在上述危机期间被发现使用这些行为者作为安抚某些国内政治观众的手段。虽然该研究侧重于这些团体在促进危机缓和方面发挥的作用,但它反映了一个重要的见解,即在使用网络代理人团体时存在国内政治考虑,这些网络代理人团体对政府而言可能与国际组织一样重要,甚至更重要。

6► 乌克兰“IT军队”

虽然Killnet和乌克兰“IT军队”在冲突的政治立场上处于对立面,并且吸引了截然不同的受众,但两个团体间存在几个重要的相似之处。这暗示着乌克兰冲突引发的网络代理人战争的新兴趋势。乌克兰“IT军队”和Killnet在其志愿者的国际代表性和攻击范围方面都具有跨国特征。具体来说,这两个组织都将精力集中在攻击乌克兰战区以外的目标上,例如民用关键基础设施。虽然Killnet主要针对西方开展DDoS攻击,但乌克兰“IT军队”几乎完全针对俄罗斯联邦境内(而不是战场上)的俄罗斯目标以及白俄罗斯。此外,Killnet和乌克兰“IT军队”都更喜欢低成本、破坏性的网络攻击,可能是因为这可以让潜在的志愿者更广泛地参与,让有同情心的人更容易加入这一事业。最后,这两个群体都利用社交媒体平台(尽管方式不同)作为他们促进政治动员和塑造围绕战争的信息叙述活动的一部分。

然而,两个组织间也存在关键差异。一个重要的区别是每个团体与政府的关系的性质——这是网络代理人战争的核心要素。虽然俄罗斯政府显然从Killnet的活动中获益,但没有证据表明两者之间存在正式联系。相比之下,虽然乌克兰政府公开否认在“IT军队”的活动中发挥任何作用,但该组织最初是由乌克兰副总理兼数字转型部长米哈伊洛·费多罗夫于2022年2月创建的,据说是在乌克兰科技企业家叶戈尔·奥舍夫的建议下。此外,2023年3月,乌克兰政府宣布正在制定立法,从而使“IT军队”正规化并将其纳入该国的正规武装部队。另外,乌克兰政府与“IT军队”间的关系也没有什么合理推诿。正如《新闻周刊》所描述的那样,乌克兰政府“是第一个在真枪实弹战争中公开支持黑客民兵的国家,当然也是第一个欧洲民主国家”。同样,《连线》杂志将“IT军队”描述为“一支旨在在快速变化的战区中间行动的由政府领导志愿者部队”。尽管如此,值得注意的是,分散的志愿网络公民民兵的想法在欧洲并不是一个全新的概念,“爱沙尼亚防内联盟”内的“网络部队”就是一个例子。

事实上,虽然“IT军队”坚持其独立于乌克兰政府运作(至少在新立法通过前),但研究人员表示该组织实际上分为两个不同的团体。第一个是一个大型的、面向公众的、全球参与的志愿者网络,他们对俄罗斯目标开展破坏性网络行动。然而,值得注意的是,其会员规模随着时间的推移一直在下降,估计在2022年2月有近300000名订阅者,而到2023年3月降至将近200000名。“IT军队”的第二个组成部分是“可能由乌克兰国防和情报人员组成的内部团队,他们一直在针对特定的俄罗斯目标进行试验并开展越来越复杂的网络行动。”因此,后一个组成部分体现了网络代理人战争的传统概念(其特征是军事和情报组织与网络行为者间可合理推诿的联系),而前者类似于网络代理人的新排列。

在其组织和方法方面比Killnet纪律严明得多,声称在制定目标决策时是经过深思熟虑的。例如,“IT军队”发言人在回答《新闻周刊》记者的提问时指出,该组织“专注于对俄罗斯造成经济损失,以削弱其对乌克兰发动战争的能力……我们不针对普通公民,我们非常注意遵守武装冲突法。”该小组已制定机制,用于组织不同类型的目标并确定其优先级,确定给定攻击所需的预期技能水平,以及协调和消除不同活动间的冲突。“IT军队”的Telegram频道还为破坏性攻击维护了一个例行的任务分配流程,其中每天在同一时间(欧洲中部时间9时)发出行军命令,目标通常按主题组织(例如周末的送餐服务,造成俄罗斯公民日常生活轻微不便——这表明“IT军队”有时确实可能以普通平民为目标)。尽管有这种级别的组织(表面上比Killnet更多),但几乎没有证据表明“IT军队”的破坏性网络攻击对俄罗斯政府的决策或俄罗斯民众对战争的支持产生任何有意义的影响。

这表明,与Killnet一样,网络攻击本身(以及它们的影响)并不代表“IT军队”对更广泛冲突的主要贡献。相反,乌克兰“IT军队”利用社交媒体创建了与其事业保持一致的本地(乌克兰)和国际(主要是西方)支持者社区。因此,集体开展相对简单的网络攻击的行为可以建立和加强社区,提供一些来凝聚和激励支持者的东西。这两个群体如何使用社交媒体平台也暗示了其旨在动员的不同受众。Killnet的Telegram页面专注于塑造俄语受众的看法。相比之下,“IT军队”的Telegram页面同时使用乌克兰语和英语,这反映了该组织旨在吸引的西方受众。事实上,虽然该组织在2022年2月26日发布的第一篇Telegram帖子是乌克兰语,但第二篇是英语,并包含以下信息:“对于来自其他国家的所有IT专家,我们用英语翻译了任务。任务#1我们鼓励你们对这些资源使用任何网络和DDoS攻击媒介。”接下来是一份按部门组织的俄罗斯目标清单,从俄罗斯天然气工业股份公司(Gazprom)和俄罗斯卢克石油公司(Lukoil)这样的“商业公司”到俄罗斯联邦储蓄银行(Sberbank)这样的“银行”,再到包括总统办公室、国防部等机构在内的“国家”。从这个意义上说,乌克兰“IT军队”是乌克兰为塑造乌克兰内部和重要的是西方受众的信息环境而做出的更广泛努力的一个缩影,西方受众的政治支持对于为乌克兰提供军事支持至关重要。

7► 政策启示

该分析得出若干政策启示。一个明确的发现是,未来的危机和冲突几乎肯定会涉及一系列网络代理行为者,这些代理人行为者在技能水平、与中央政府的联系以及攻击不同类型目标的意愿方面各不相同。一些与俄罗斯政府保持一致的网络代理人对乌克兰的关键目标开展了(或试图开展)更复杂的攻击;其他网络代理人在乌克兰境内开展了低成本攻击;还有一些网络代理人在战区以外对西方目标开展了破坏性攻击。

一些人认为,在乌克兰冲突的背景下,网络代理人行为的激增对有关国家支持网络代理人团体的国际规范产生了负面影响。西方国家试图推广一种规范,即国家应对其未能限制或对源自其主权边界的代理人团体视而不见的任何网络攻击负责。此外,在联合国不限成员名额工作组2021年3月的最终报告中,几乎所有国家都同意维护负责任的行为规范,包括关于防止滥用信息和通信技术的规范。因此,一些人认为,乌克兰公开支持对俄罗斯开展攻击的网络代理人团体(例如乌克兰“IT军队”)“严重违反了最近商定的关于网络空间国家行为的规范,以及北约成员国和欧盟的外交政策立场。”然而,正如其他人指出的那样,这种推理的一个关键挑战是,武装冲突代表了一个与和平时期甚至国际危机时期根本不同的背景——其中“网络规范应该在从国际人权法(IHRL)向武装冲突法(LOAC)过渡前或期间被搁置一旁。”因此,政策制定者在考虑这场冲突的规范性启示时应谨慎行事,避免混淆战时网络行为与常规竞争期间的网络行为——尤其是因为这可能会无意中破坏在实际适用的情况下建立网络规范的重要努力。

此外,政策制定者不应对这些不同的行为者采用一刀切的方法。传统的政策工具——例如对网络代理人团体的国家支持者施加外交压力(例如拜登于2021年6月在日内瓦峰会上警告普京不要允许团体对美国关键基础设施开展网络攻击),再加上执法行动和破坏性活动,可能更有效地应对传统的网络代理人行为者,尤其是那些国家对其拥有更有效指挥控制的行为者。这些方法(可能连同可靠的报复威胁,例如反复公开确认北大西洋公约第五条款适用于网络领域)似乎已成功阻止俄罗斯直接命令或允许更先进的威胁行为者对北约成员国开展重大网络攻击。虽然是推测,但俄罗斯决定在2022年1月(即战前1个月)——瓦解勒索软件组织REvil的决定在一定程度上是为了向俄罗斯控制的其他组织发出信号,或许是为了阻止它们采取不受欢迎的网络行动或者推动它们与莫斯科的目标保持一致。一个潜在的例子是2022年2月25日,Conti勒索软件组织在其暗网网站上发表声明称,其“正式宣布全力支持俄罗斯政府”,并将对任何“针对俄罗斯的战争活动”做出回应。这是值得注意的,因为Conti此前并不是出于政治动机的行为者,而是坚决专注于网络犯罪以获取经济利益。事实上,该组织政治化的决定造成了内部裂痕,并可能引发了内部文件的重大泄露。

然而,这些传统工具不太可能对像Killnet这样与中央政府有更间接关系并获得更多国际支持的组织同样有效。这些群体可能不太依赖政府提供的避风港(特别是因为缺乏先进的基础设施、对开源工具的依赖以及全球成员使它们相对容易和低成本地解体和重组)。这意味着,通过向国家支持者施加压力来运用传统杠杆来塑造这些群体的行为是徒劳的。

此外,新的网络代理人对乌克兰冲突的影响——更多是在塑造政治动员和培养或加强对战争的叙述方面,而不是在其网络行动的实际影响方面——使政策制定者通常倾向于解决这些群体的方式变得复杂。在某些方面,从政策的角度来看,与打击政治叙事或提供可信的竞争性叙事相比,专注于挫败、减轻网络效应行动或提高对网络效应行动的弹性更为直接。然而,这些网络代理人如何塑造冲突更像是政治战争,而不是胁迫。这与西方政策制定者在乌克兰战争背景下面临的更广泛挑战有关——即,虽然先进的自由民主国家在很大程度上团结一致,并且在反击俄罗斯侵略方面比预期更具凝聚力,但世界上很大一部分国家要么同情俄罗斯要么不结盟。当然,像Killnet和乌克兰“IT军队”这样的网络代理组织只是塑造不同受众看法的更广泛竞赛的一个组成部分。然而,在通过“黑客雇佣”的视角评估这些群体的影响(并通过扩展,应用政策来解决这些问题)时,政策制定者忽视了它们在冲突中的真正作用。

此外,政策制定者和媒体在描述各种网络威胁行为者团体的运作时倾向于默认使用夸张的语言,而不管他们的真实声望。但是,关于这些网络代理团体的夸夸其谈只会进入它们的叙述,这些团体反过来将其用作进一步团结其支持者的工具。因此,政策制定者应注意避免无意中参与团体的政治叙事并提供使它们能够提高自己在受众中的知名度的素材。

最后,最近宣布乌克兰“IT军队”可能被并入乌克兰武装部队的消息表明,这对网络防御和弹性具有更广泛的影响。乌克兰国家网络安全协调中心负责人娜塔莉亚·特卡丘克向《新闻周刊》表示,政府有动力使“IT军队”正规化,以便该组织“成为建设国家网络防御能力的基础,让网络志愿者参与这些活动,并创建一支网络预备役。”“IT军队”似乎支持这一努力,评论称“我们完全相信工作组为使网络领域的大规模斗争合法化所做的努力,并欢迎它不再成为灰色地带的时刻。我们...相信将‘IT军队’整合到网络预备役中将有助于建立针对网络威胁的更有效防御。”这种转变可能是前所未有的。没有非正式黑客组织被纳入国家正规武装部队的已知先例。然而,其他国家已经采用志愿者模型开展网络防御。例如,爱沙尼亚开创了一种通过其“爱沙尼亚网络防御联盟”利用志愿网络防御者的方法——该联盟本身是为应对2007年俄罗斯对该国的网络攻击而创建的。乌克兰面临的一个关键问题是,一支以前主要执行进攻性任务的力量如何能够在技能和致力于不同类型任务方面转变为专注于防御的部队。对与俄罗斯保持一致的目标开展低成本破坏性攻击所需的专业知识水平不同于保卫国内网络和系统所需的专业知识水平。另一个重要问题是“IT军队”的哪些部分将转变为正规部队,特别是考虑到该团体目前的国际构成——以及政府将能够在多大程度上控制“IT军队”中那些未被归入传统指挥结构的人员的活动,并防止他们变得行为失常。西方决策者应密切关注这一过程在乌克兰的进展情况,因为它可以为政府如何更好地整合和利用自己的民间网络人才来提高网络防御和弹性提供重要的经验教训。

声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。