俄罗斯利用网络代理人保持网络空间战略优势和强国地位

本文探讨了俄罗斯将网络行动外包给非国家行为体的模式。本文基于泄密文件、起诉书、西方情报机构的出版物、学术研究以及网络威胁情报供应商和网络安全公司的报告，分析了俄罗斯如何利用私营公司、黑客行动主义团体和网络犯罪组织来拓展和强化其网络能力，旨在阐明国家和非国家网络行为体之间界限模糊的问题，以及对归因、威慑和更广泛的网络威胁形势的意义。

• 俄罗斯的混合网络模式——将国家战略与非国家执行相结合——维持了其非对称优势，并巩固了其作为全球领先网络行为体的地位。

• 苏联解体为网络犯罪创造了一个宽容的环境，因为体制崩溃和经济困难导致训练有素的信息技术专业人员和前情报人员在灰色地带活动——利用他们的技能模糊了国家机构、私营企业和有组织网络犯罪之间的界限。

• 俄罗斯情报机构——俄罗斯联邦安全局（FSB）、俄罗斯对外情报局（SVR）和武装部队总参谋部情报总局（GRU）——的职责相互重叠，并经常将网络行动外包给私营公司和犯罪集团，尽管存在与控制和意识形态不可预测性相关的风险，但仍增强了影响力和创新能力。

• 一些亲俄黑客组织，例如Cyber Army of Russia_Reborn，曾与GRU的APT44（又名Sandworm）合作。同样，像Conti这样的网络犯罪组织也与俄罗斯情报部门合作，以换取保护或默许，但在某些情况下，也出于爱国情怀。然而，这种联盟十分脆弱；当意识形态动机出现分歧时，这种合作可能会破裂。

• 私人网络安全公司为俄罗斯情报部门提供漏洞研究、工具开发和技术培训，而公关公司则领导协调影响活动，例如“分身”（Doppelgänger）行动。

模糊的界限：

后苏联俄罗斯的网络犯罪

1991年苏联解体标志着俄罗斯发展轨迹的关键时刻，为独特的犯罪生态系统奠定了基础。中央权力的瓦解造成了权力真空，执法机构资金不足，效率低下。在这种制度薄弱的背景下，数字领域基本上不受监管，为网络犯罪活动的滋生提供了沃土。缺乏监管，加上全球经济的快速数字化，导致网络犯罪肆意滋生。

苏联中央计划经济结束后的经济动荡加剧了这种无法无天的局面。随着国家启动快速而混乱的私有化进程，一种狂野西部式的资本主义环境应运而生。大多数民众面临失业、贫困或经济机会有限的困境。受影响的人群中包括训练有素的IT专家。他们中的许多人转向网络犯罪，将其视为一种利润丰厚的选择。同样，许多面临工资暴跌或失业的原情报人员利用自己的技能和人脉，为蓬勃发展的犯罪网络提供服务。随着时间的推移，俄罗斯情报机构开始利用在此期间建立的非正式联系。

俄罗斯网络战机构的组织格局

在俄罗斯的战略世界观中，网络作战、心理影响和信息战并非被划分为不同的类别，而是被视为服务于俄罗斯外交政策目标的相互关联的工具。

俄罗斯网络犯罪网络的历史发展

在机构层面，三个主要国家实体参与网络行动：俄罗斯联邦安全局（FSB）、俄罗斯外国情报局（SVR）和俄军总参谋部情报总局（GRU）：

• 作为俄罗斯主要的国内情报机构，FSB负责反间谍、执法和内部安全行动。然而，其职责范围也延伸至所谓的“近邻”——后苏联地区——俄罗斯在这些地区保持战略影响力。

• SVR是俄罗斯主要的对外民事情报机构，其重点是收集海外情报，尤其是在战略、经济和技术领域。

• GRU是俄罗斯的军事情报机构。它曾制造过NotPetya恶意软件攻击等备受瞩目的网络事件，并以使用网络工具支持常规军事目标而闻名。

这种机构生态系统是由情报机构之间职责重叠和官僚竞争所塑造的。这些机构并非在统一的指挥下运作，而是相互竞争影响力，并经常导致网络行动平行或不协调。

俄罗斯网络战略的同心圆架构：

从国家机构到犯罪代理

俄罗斯的网络外包生态系统由参与其中的非国家行为体的多样性以及它们与国家情报机构之间形成的流动关系所定义。它可以用同心圆来表示，以国家为中心，各种类型的非国家行为体围绕其旋转。

俄罗斯的外包生态系统

私营IT公司是这一生态系统的重要支柱。俄罗斯1995年4月3日的第40-FZ号联邦法律规定，企业有法律义务协助联邦安全服务机构执行分配给这些机构的职责。因此，几家受俄罗斯管辖的公司确实不同程度地与俄罗斯情报部门合作。据美国称，这些公司其中包括卡巴斯基和Positive Technologies等知名行业领袖。较小的公司也与俄罗斯情报部门有联系，例如NTC Vulkan、Neobit和Digital Security。除IT和网络安全公司外，某些公关公司也积极参与信息行动，例如Struktura、社会设计机构（SDA）和互联网研究机构（IRA）。

除私营部门，俄罗斯情报部门还利用黑客行动组织，例如CyberArmyofRussia_Reborn、XakNet Team和Infoccentr。这些组织是在2022年俄乌战争爆发后出现的。据曼迪昂特公司（现为Google Cloud的一部分）称，这些亲俄黑客行动分子与GRU之间可能存在运营联系，特别是通过与APT44（又名Sandworm）的协调。已知的联合活动包括归因于APT44的针对乌克兰基础设施的破坏性擦除攻击，随后附属黑客行动组织在其Telegram频道中公开泄露被盗数据。这些组织还与操纵美国、波兰和法国水利和能源设施的工业控制系统有关。

与此同时，俄罗斯情报部门可能会以更投机的方式动员孤狼和网络犯罪团伙。虽然一些行为体可能在意识形态上与俄罗斯的利益一致，但其他人则通过合作换取保护或默许，以继续开展出于经济动机的行动。俄罗斯联邦安全局的官员也有可能嵌入这些团体中，以监视他们并最终影响他们。涉及Conti、TrickBot和BlackBasta的泄密事件揭示了这些团体与俄罗斯联邦安全局之间的潜在联系。这些联系很可能是与犯罪网络中少数人建立关系的结果。

外部化能力：私营部门

为俄罗斯网络和影响活动提供支持的服务

私营公司为俄罗斯情报部门

提供网络和影响力能力服务

私营实体代表俄罗斯情报部门开展的网络外包活动主要起到支持性作用。这些私营公司并非直接领导攻击行动，而是提供关键能力，以提升俄罗斯网络行动的效率、可扩展性和覆盖范围。它们提供用于数据收集和分析、漏洞识别和培训的工具和软件平台。

这些公司也充当着专业的人力资源公司的角色。通过举办诸如夺旗赛（CTF）或技术会议之类的活动，网络安全组织帮助俄罗斯情报部门寻找具有专业技能的优秀人才进行招募。

在信息行动方面，私营实体在跨多个数字平台的影响力活动的设计、管理和部署中发挥着突出的作用。

外包风险与收益：

俄罗斯对外部网络能力的精心利用

对于国家将其网络能力外包而言，诉诸非国家行为体既有风险，也有益处。风险方面，外包本身就意味着失去直接控制权。在与黑客行动组织、独狼组织或网络犯罪组织等非国家行为体合作时，这种风险尤为明显。与私营IT公司的合作可以通过签订合同协议正式化，这些协议规定了条款和条件，提供了一定程度的监督，但与非正式行为体的合作则更具不可预测性。这些行为体根据自身动机行事，其行为可能偏离国家的预期目标。

此外，非国家行为体的动机并不总是与俄罗斯国家一致。意识形态分歧可能导致他们退出合作。Conti的案例说明了依赖受意识形态驱动的代理人的不稳定性。2022年2月，该勒索软件组织公开宣布支持俄罗斯对乌克兰的军事行动。然而，此举引发了强烈反对：仅仅2天后，推特账户@ContiLeaks就开始发布该组织的内部通讯。虽然泄密者的身份尚未得到证实，但一些报道称，泄密者可能是一名乌克兰人，或者是反对俄罗斯对乌克兰军事行动的Conti分支机构中失望的成员。由此产生的后果导致该组织分裂，并最终于2022年5月解散。

从利益方面来看，外包具有显著的战略优势。它使俄罗斯情报部门能够降低运营成本并保持灵活性，同时利用外部行为体的技术复杂性和创新能力。情报机构本质上是围绕机构知识和长期规划构建的，而私营部门的专家和地下行动者往往在敏捷性、适应性和非常规思维方面更胜一筹。这种互补性增强了俄罗斯的整体网络和影响力，巩固了其作为顶级网络强国的地位。

安全研究中最常提到的外包优势之一是合理推诿，即一个国家可以否认对非国家行为体的行为负责，即使这些行为是由国家指挥或协调的。然而，在俄罗斯的背景下，合理推诿的相关性有限。俄罗斯一直否认参与网络和影响力行动，包括西方政府和网络安全专家直接归咎于其情报部门的行动。在这种环境下，推诿通常不是为了让人相信，而是为了成为一种不合理推诿。这个概念指的是尽管有大量证据，但仍主动否认责任。这使得俄罗斯能够保持模糊性，避免直接升级，并使其对手处于如何或是否回应的不确定境地。

案例研究：“分身”（Doppelgänger）

信息操作网络的架构

自2022年俄乌战争爆发以来，亲克里姆林宫的影响力行动在规模和复杂程度上均有所加强。其中最突出且持续存在的行动之一是“分身”（Doppelgänger）行动——一项大规模的信息行动，其特点是冒充合法新闻机构和政府网站传播虚假信息。该行动由一个由俄罗斯公司和非营利组织组成的网络在克里姆林宫的监督下密切协作地执行。

Doppelgänger信息操作网络的组织

对社会设计机构（SDA）泄密事件及随后美国起诉书的分析表明，在战略层面，俄罗斯总统办公厅是“分身”相关活动的指挥中心。它负责监督这些活动的资金，发布叙事指令，设定活动目标，并收集绩效指标。俄罗斯总统办公厅成员定期与执行工作的关键行为体举行协调会议。他们还与俄罗斯外交部联络，利用俄罗斯驻世界各地的大使馆传播“分身”的叙事，使虚假信息传播范围更广，并更具合法性。

“分身”网络的运营核心由三个关键实体组成：社会设计机构（SDA）、Struktura和自治非商业组织Dialog（ANO Dialog）：

• SDA是此次行动执行的先锋，负责协调和执行。该机构建立并管理一个假冒网站网络，这些网站模仿欧洲各地的官方政府门户网站和值得信赖的媒体。这些虚假网站被用来发布虚假或操纵的内容，旨在混淆视听、抹黑或煽动公众舆论。SDA还负责监督管理在各个社交媒体平台上运营的机器人农场，从而实现虚假信息叙事的人为放大和协调传播。

• Struktura是“分身”行动的技术骨干。它与SDA紧密相连——共享创始人、人员和基础设施——并在功能上与SDA的虚假信息机构融为一体。Struktura专门负责开发和维护支持行动后勤的IT基础设施。

• ANO Dialog是一个与国家结盟的非营利组织，它是克里姆林宫的宣传工具，在俄罗斯国内宣传政权认可的言论。

总的来说，“分身”行动体现了俄罗斯如何利用私人组织来推进其战略信息战目标。

结论

俄罗斯的网络格局深深植根于后苏联转型时期，当时的国家软弱、经济动荡和体制分裂为网络犯罪提供了滋生地。多年来，这种环境已经发展成为一个精心培育的混合生态系统。

这种模式使俄罗斯能够将成本外部化、能力多元化，并在网络空间保持战略优势。国家和非国家行为体之间模糊的界限并非治理不善的表现，而是俄罗斯网络战略的刻意为之，与俄罗斯应对与西方非对称竞争的更广泛方针相一致。

俄罗斯国家对这种分散的代理网络的依赖也反映了俄罗斯独特的“信息对抗”理论，该理论将网络行动、心理操纵和影响力活动视为一个综合连续体的一部分。

这种融合确保了俄罗斯很可能长期在网络领域仍然是先进和破坏性的行为体。