本文字数:3238字
阅读时间:10分钟
编者按
美国大西洋理事会网络方略倡议邀请五名专家就五大议题分享对俄罗斯网络方略的看法,包括俄罗斯网络行动策略及模式以及俄罗斯在近期乌克兰战争中的网络活动情况等。
关于俄罗斯网络行动模式,专家认为:俄罗斯采取“信息对抗”的网络行动模式,旨在通过信息技术和心理等方式影响目标受众的感知;俄罗斯的网络力量远比美国分散,其网络行动通常更具开创性和不确定性,且各机构网络行动还存在竞争性;俄罗斯各机构不同的职能使命和文化特性决定其网络行动模式的差异性,其网络行动具有明显的心理影响特征;俄罗斯情报机构与网络犯罪分子在多层面开展合作,但上述合作通常没有明确授命,网络犯罪分子会根据情况开展行动;俄罗斯网络行动很难概括为模型,重要的是要从战略角度关注俄罗斯行为的模式和动机。
关于俄乌战争对俄罗斯网络行为的启示,专家认为:俄罗斯在战前对乌克兰实施了大规模分布式拒绝服务攻击,旨在通过信息对抗造成国内恐慌,在战争爆发后通过低级别网络攻击活动支持动能军事作战;网络在俄乌战争初期并未发挥主导作用,网络“珍珠港”并未出现,俄罗斯似乎更加注重传统的动能军事活动;俄罗斯开展的最具影响力网络行动主要是干扰性或破坏性攻击,并且使用了更古老、更原始的技战术,所造成的破坏性影响也较小;从准备和风险评估的角度来看,俄罗斯未在网络领域采取实质性行动,因为其目前并未发动大规模破坏性网络攻击。
奇安网情局编译有关情况。
(接上篇)
俄罗斯网络方略
2月25日,就在俄乌战争正式开始的第二天,总部位于俄罗斯的Conti勒索软件组织公开宣布效忠克里姆林宫。该组织在一篇网上帖子中表示,为了应对针对俄罗斯的潜在攻击,该组织将使用“所有可能的资源对敌人的关键基础设施发起反击”。Conti很快修改了该帖子,更换成更为温和的论调,但该组织的举动已经反映了许多专家长期以来一直推测的情况,即俄罗斯的网络犯罪组织在俄网络方略中发挥着重要作用。
为了更好地了解相关情况以及与近期乌克兰战争相关网络事件所反映的俄罗斯网络活动,大西洋理事会请来了五位专家分享他们的看法。
04
问题四:有没有“俄罗斯”式网络行动模型的典型范例?
斯科特·贾斯珀:
“该模型被称为信息对抗,旨在通过信息技术和心理等方式影响目标受众的感知。一个典型例子是2017年针对乌克兰的NotPetya模拟勒索软件,该勒索软件最终归因于俄罗斯总参谋部情报总局的一个军事单位。NotPetya通过多种方式快速传播,破坏了关键基础设施,包括银行、自动柜员机和零售商和交通卡支付系统,给民众带来了痛苦。”
拉法尔·罗霍津斯基:
“俄罗斯的网络力量远比美国分散,其能力来自于犯罪团伙、广告机构和个人等各类行为体。在美国,国防部和网络司令部从国防合同工作人员那里招揽人才。在俄罗斯,这个人才库更大更多样化。俄罗斯的网络行动通常也更有进取精神。这些团体可以将他们的活动与他们认为是来自政治领导层的暗示相结合,并且在勒索软件中保留他们的行动收益。不同的情报和国防机构之间似乎也存在竞争,经常针对同一目标。有时,除了开展网络行动以外,确定网络行动的最终目标也很困难。这表明,给领导层留下深刻印象可能比实现一个有形的目标更重要。”
加比·龙科恩:
“在我看来,俄罗斯没有直接的网络作战模式。相反,我会描述资助这些行动的各情报机构的一些网络行动模式。他们不同的职能使命和文化特性决定了这些差异,尽管在某些情况下可能存在重叠。Turla是由FSB资助的网络间谍组织,也是我个人很喜欢的一个组织。它与GRU资助的Sandworm或APT28截然不同。当然,由国家或代表国家批准的网络犯罪行动看起来十分不同。我要说的是,俄罗斯网络行动的一个明确的特征是心理方面的,这在Sandworm许多行动上体现得淋漓尽致。例如他们在2019年10月对格鲁吉亚的攻击,因为其行动包含破坏性元素,因此本质上旨在被发现。即使是Turla也会在行动中为研究人员留下小彩蛋,特别是在他们的恶意软件中。”
罗曼·桑尼科夫:
“我认为俄罗斯网络空间行动在很多不同层面上开展合作,以至于很难找到一两个典型的例子。正如我前面提到的,雅虎黑客攻击是俄罗斯执法部门与网络犯罪分子合作的一个很好的例子,基本上是授命他们入侵一家私营公司,很可能是针对使用雅虎电子邮件账户的国内反对者。但通常情况下,合作并没有明确授命。我曾与俄罗斯网络犯罪分子交谈过,他们提到,如果遇到他们认为俄罗斯情报部门感兴趣的目标,比如访问外国军事系统,他们会将其卖给俄情报部门或与其做交易,以获得报酬,或者换取用于犯罪活动的‘炫酷工具’。”
贾斯汀·谢尔曼:
“俄罗斯网络行动有许多实例很有启发性,但从分析上讲,我不认为我们应该选择一个作为‘模型’案例进行研究。甚至这个问题的范围本身,关于‘网络’行动而不是‘网络和信息’行动,在某种程度上也代表了西方的观点。美国比莫斯科更严格地区分这些内容,比如美国会区分是入侵政府系统,还是传播关于该政府的消息。当然,出于多种原因,包括从历史、作战和战术角度研究俄罗斯的每个网络行动都具有很大的价值。但从战略角度来看,重要的是要关注莫斯科行为的模式和动机,例如否认和含糊其辞,并认识到一次行动不能被视为其他一切或未来一切的蓝图。”
05
问题五:当前的乌克兰战争是否改变了你对俄罗斯网络行为的看法?
斯科特·贾斯珀:
“并没有。2022年2月15日,一次分布式拒绝服务攻击致瘫了乌克兰国防部、武装部队和乌克兰广播电台的网站,以及国有的Oschadbank和PrivatBank银行的在线服务,包括自动取款机。白宫声称技术证据表明与俄罗斯联邦军队总参谋部情报总局基础设施有关。这次袭击的目的是在入侵之前引起恐慌,这是信息对抗的标志。之后,低级网络钓鱼一直在持续支持经典攻城战的动能攻击。”
拉法尔·罗霍津斯基:
“在俄乌战争初始阶段没有重大的网络成分。除了两起破坏性恶意软件外,人们预期中的网络‘珍珠港’并没有出现。其部分原因可能是因为乌克兰在2022年比2014年有更所准备。这也可能表明俄罗斯网络界内部支持普京目标的人员和反对者之间存在严重分歧。这还可能反映了俄军事机构对网络行动的态度。在大多数情况下,网络行动属于情报范畴。网络行动与近20万俄罗斯军队进入乌克兰的行动肯定不同步。重金属,而不是比特和字节,似乎处于俄罗斯总体规划的最前沿,并主导着这场战役。这可能会在未来发生变化。但就目前而言,网络的作用还不是最主要的。”
加比·龙科恩:
“是的。到目前为止,我们从俄罗斯看到的最具影响力的网络行动主要是干扰性或破坏性攻击。他们似乎正在使用更古老、更原始的战术、技术和程序来实现这一目标(如分布式拒绝服务攻击、网页篡改、恶意擦除软件等),并且这些攻击似乎效果有限。我认为包括我自己在内的很多人都希望在这段时间里看到更多新颖技术被利用,包括采用与正在进行的军事和动能战相协调的战略。有趣的是,英国国家网络安全中心公布的新Sandworm工具Cyclops Blink(据说是Sandworm的新版本VPNFilter)与迄今为止冲突中使用的相对基本的恶意擦除行动间形成了鲜明的对比。但是,我们必须记住这场战争还处于早期阶段,这些网络行动可能也还处于早期阶段。”
罗曼·桑尼科夫:
“虽然我对俄罗斯进攻性网络行动造成的破坏如此之小感到有些惊讶,但总体上并不算太感意外。虽然‘俄罗斯黑客’相当厉害。但正如我们所看到的,他们也绝不是万无一失的。俄罗斯情报机构十分危险,因为它持久且恶意。正如我们在许多例子中看到的那样,比如英国的一些致命中毒事件,但他们绝不是超级间谍。在许多方面,更像《王牌间谍》中的反派,而不是约翰·拉卡雷笔下的反派。”
贾斯汀·谢尔曼:
“我认为现在回答这个问题还为时过早。出于多种原因,我认为现在还很难对‘网络在冲突中的作用’‘俄罗斯的网络战略’这类的问题给出结论。这会是一场漫长的冲突,现在才只开始了几个星期,我们分析的信息都来自公开来源。战争目前还迷雾重重,大量虚假信息和宣传满天飞。得出结论很容易,但重要的是要认识到我们目前在做什么和我们还有什么不知道的(我们不知道的事情还很多)。我还认为,我们应该认识到研究特定领域可能带来的偏见:当你整天研究网络能力时,很容易想象网络是战争中最重要的东西,而完全忽略了能够直接和即刻杀死人的动能军事能力一直都极为重要。从准备和风险评估的角度来看,我们必须认识到,莫斯科没有采取任何行动,因为它没有发动一些人想象中会发生的大规模破坏性网络攻击,但这并不意味着俄罗斯在未来几周或几个月内也不会发动更具侵略性或破坏性的网络行动。”
相关阅读:
网络空间安全军民融合创新中心
奇安信集团网络空间安全军民融合创新中心,作为军地沟通、军地协同的网络空间安全产业发展平台,聚焦网络空间国防安全领域,探索建立网络国防安全建设创新发展模式,致力于打造网络空间安全领域的民间智库。
原文始发于微信公众号(网络空间安全军民融合创新中心):美国专家解析俄罗斯网络行动策略模式及战时活动(续)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论