前情回顾·俄乌网络战发展形势

安全内参7月26日消息,英国皇家联合军种国防研究所(RUSI)发表了文章《俄罗斯网络战重心转向乌克兰前线》,作者为谷歌云旗下曼迪安特公司网络谍报分析经理Dan Black。该文章认为,俄罗斯对乌克兰的网络作战方法发生了显著变化,攻击目标由民用关基设施转向军事目标,寻求最大限度地整合网络作战能力与常规作战能力。安全内参编译如下。

随着俄罗斯按计划展开主要的夏季攻势,莫斯科在乌克兰的网络作战方法发生了显著变化,而这些变化此前被长期低估。现在正是审视这些变化的最佳时机。

迄今为止,大多数西方分析都集中在俄罗斯发动的第一波次引人注目的网络攻势上,试图剖析攻击方法的优劣,并评估俄罗斯对乌克兰关键基础设施展开新一轮类似性质破坏性攻击的可能性。然而,这些分析的关注点有所偏差,导致西方对俄罗斯网络作战的理解局限于一个维度,认为俄罗斯试图通过广泛破坏计算机网络让乌克兰社会压力不断累积。实际上,这种“打击有价值目标”的策略自俄乌战争的第一年起就不再占主导地位。当时,俄罗斯期望通过短期战争取胜。

现实比想象的更为残酷。俄罗斯情报部门已经调整了他们在网络空间的态势,以应对长期战争的需求。越来越多的证据表明,从2023年乌克兰大反攻前的几个月开始,多个俄罗斯网络单位已经将目标从战略性的民用目标转向了士兵的计算机和移动端点,以便在乌克兰前线实现战术性军事目标

这种作战重点的转变是全面的。长期以来,俄罗斯军事情报部门总参谋部情报总局(GRU)和国内安全部门联邦安全局(FSB)互相竞争、互不信任。如今,为了提高军事效能,两者统一了之前相互脱节的网络工作,并对一系列作战方法进行了系统性调整。

这只是一种优先级的相对转变,而非对俄罗斯更广泛战略的彻底改革。目前,部分作战活动模式表明俄罗斯仍对乌克兰关键基础设施目标感兴趣。由于这些目标在当下并不具备情报价值,这可能说明俄罗斯正在为未来的破坏行动做准备。然而,显而易见的是,莫斯科已经重新平衡其总体作战概念,将重点放在那些能够为常规部队提供更直接、更具象的战场优势的目标上。

这些调整不仅反映了俄罗斯对乌克兰的野心在缩减,也表明在过去两年冲突升级为消耗战后,俄罗斯改变了对基辅主要力量来源的总体判断。这些变化还表明,经过两年的高强度作战,俄罗斯情报部门已经调整了思维方式,最大限度地整合网络作战能力与常规作战能力,以更好地支持未来几个月俄罗斯在乌克兰东部发起的新一轮攻势。

俄罗斯的战术转变

我们基本可以断定,俄罗斯调整网络战重心,是为了满足对战术相关信号情报日益增长的需求。调整后的网络战工作将主要实现以下目标。

首要目标是渗透乌克兰前线士兵使用的设备。

由于基辅方面非常重视“数据驱动战斗”的理念,智能手机成为确定运动模式和定位乌克兰阵地的重要数据来源。乌军严重依赖免费加密消息应用(EMAs),例如用于安全通信的Signal,因此对这些设备的窃听成为GRU和FSB的首要任务。

对于莫斯科来说,想要大规模收集这些类型的信号并非易事。流行的加密消息应用所使用的密码协议已经经过了严格的公众审查,俄罗斯军情部门很难悄然破解这些协议。前线的手机也不太可能连接到移动网络,否则俄罗斯可以通过入侵电信基础设施或电子战手段可靠地收集地理位置和其他信号。为了填补这一关键的信号收集空白,俄罗斯情报部门必须吸取一些新的作战理念。

第一种方法较为常规,即通过恶意软件全面入侵设备。这些恶意软件通常伪装成乌克兰军队使用的应用程序。这种技术并不新鲜。早在2016年,GRU就篡改了一个乌克兰应用程序,用于定位炮兵单位。但是,随着基辅不断进行软件驱动的军事创新,伪装恶意软件为移动应用的成本大幅上升。为了传递恶意软件,这些行动通常依赖于高度定制的社交工程,重新利用合法的军事通信,并通过Signal和Telegram聊天与目标直接互动以建立关系。

另一种较新的方法则通过常见加密消息应用内置的设备链接功能来窃取消息。一家与俄罗斯军方相关的单位,专注于通过社交工程使乌克兰士兵将由俄罗斯情报控制的加密消息应用实例(包括Signal、Telegram和WhatsApp)链接到他们的账户。类似的FSB行动主要是利用已经链接到乌克兰士兵手机的系统。根据微软的报告,来自FSB主要信号情报单位第16中心的网络操作人员,对窃取包含Signal桌面版消息内的文件特别感兴趣。一旦获得这些文件,他们就可以访问目标的私人Signal对话和附件。

同样,为了获得类似的访问权限,GRU也在通过近距离访问利用俄军在战场上缴获的移动设备和其他系统。这表明,网络操作人员开始通过技术手段使俄军能够独立启动对乌克兰设备的情报收集。

例如,一项Mandiant研究揭示了GRU的特殊技术主要中心(GTsST),即通常所说的APT44或Sandworm,如何为俄罗斯地面部队提供专用基础设施和技术指令,使他们能够从前线俘获的设备中获取Telegram和Signal通信。乌克兰国家安全局(SBU)也同样报告了Sandworm利用俘获的设备作为突破口传送恶意软件“Infamous Chisel”,从而渗透军事网络并从连接的“星链”终端和乌克兰军队使用的专业应用套件中收取数据。

第二大目标是渗透乌克兰军队用于指挥控制、态势感知和其他操作需求的数字系统。

毫无疑问,像Delta和Kropyva这样的数字化战场管理系统一直是乌克兰军队信息和作战优势的关键所在。事实上,莫斯科也认为这些系统非常有效,甚至也在尝试为俄罗斯军队开发精确复制品。与试图伪装成这些应用的恶意软件以入侵端点的行动不同,实现上述目标需要欺骗士兵放弃他们的凭证,从而为俄罗斯军情部门提供秘密视角,混入基辅的通用作战图景。

除了通过专门行动获取乌克兰士兵使用的设备和系统的访问权限,俄罗斯还调整了网络部队的定位,帮助定位乌克兰的军事装备和阵地。SBU警告称,俄罗斯试图控制人口中心的被入侵网络摄像头,以定位乌克兰的防空设施和其他关键基础设施对象,并将目标数据输入其侦察-打击复合体。荷兰军事情报部门也同样警告公众,俄罗斯网络战的整体重心发生了转移,开始强调军事阵地和装备的定位和绘制行动,以便日后实际夺取这些设施。向乌克兰提供援助的国家应该充分考虑这种网络支持的监视活动带来的潜在风险。在欧洲各地不断升级的破坏活动强烈表明,洞悉西方军事供应链目前是俄罗斯情报部门在数据收集方面的优先事项。

值得注意的是,每一条新的作战理念都说明,俄罗斯网络部队与常规部队之间的双向关系不断加深。二者在战争初期的协调工作不断延伸,已经涵盖了战略和战术目标。此外,这些作战理念还说明,在特定行动中,俄罗斯网络部队很可能会向前线靠拢,尝试利用这些移动设备可能提供的短暂战术情报。展望未来,随着战争的继续,我们可以合理预期,二者之间更密切的合作关系将带来进一步的调整和更新的作战理念。

对乌克兰和北约的影响

上述分析对西方决策者的主要启示是,移动设备已经成为俄罗斯在乌克兰网络战中的关键重心。由于俄乌战争前线技术密度高、传感器密布,从士兵设备和连接它们的数字网络收集信号成为重中之重。随着新技术继续塑造战场形态、推动前线的战术创新,这类行动在战争的下一阶段可能会变得更加普遍。

我们需要认识到,俄乌战场的技术环境已经发生了根本性变化。早期关于政府和私营部门支持乌克兰网络防御能力的经验教训不再适用。敏感军事网络和移动设备变得更加模糊,虚拟事件也更加难以响应,准备好提供相应类型安全援助的防御伙伴也更少。尽管乌克兰在防御方面取得了令人印象深刻的成就,但俄罗斯对部队使用方式的调整要求我们重新关注如何才能最好地维持国际社会对乌克兰网络防御的支持。这一点尤其重要,因为其他新兴威胁正越来越多地消耗有限的情报资源和注意力。

同样重要的是,我们必须开始承认,这些间谍行动能够造成严重的次生后果。比如,2023年11月,乌克兰第128山地突击旅遭到致命打击,原因就是俄罗斯入侵了一名士兵的Signal账户。虽然主流观点日益怀疑网络行动能否对俄罗斯带来军事效益,但我们必须认真思考俄罗斯重新调整作战任务会带来哪些影响。鉴于消耗战已成为俄罗斯战略的关键要素,我们还应该思考上述调整对网络在传统军事行动中日益扩展角色意味着什么。

恶意链接设备即使在手机断开连接、被销毁或以其他方式不可用时仍然可以被窃听,这是因为Signal消息不需要通过收件人的手机即可路由到链接设备。因此,即使通信没有到达预期的乌克兰收件人,也能到达俄罗斯操作人员手中。正如一位乌克兰专家所说,如果“一名营级战斗小组的士兵被俘或死亡,他的手机落入敌手,俄罗斯人会在一个月内读取该小组的所有通信”。这些行动可能带来严重的长期影响。

我们还应准备好在乌克兰以外看到俄罗斯应用新的作战理念。如今,Signal和其他加密消息应用已成为敏感通信的标配。这些应用在西方军队、政治家、民间社会团体中得到广泛使用,而这些群体都是俄罗斯情报部门的常见目标。因此,俄罗斯很有可能将为战争开发的战术更广泛地用来获取其他紧急情报。例如,从乌克兰的伙伴那里收集外国政治情报,或者干扰西方即将举行的某场重要选举。历史告诉我们,俄罗斯的技战术很少只用于乌克兰。

参考资料:https://rusi.org/explore-our-research/publications/commentary/russias-cyber-campaign-shifts-ukraines-frontlines

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。