您的位置:首页 >科技 >

2022年俄乌冲突中的网络空间对抗情况综述

2023-02-01 10:55:06    来源:互联网

文│北京知道创宇信息技术股份有限公司 赵伟 李伟辰 刘光明

俄乌冲突是一场新型的网络信息全面战、综合战,在俄乌物理空间战场之外,多方势力在网络空间这个战场上进行激烈的较量,除了有直接的网络攻击引起系统瘫痪或数据损毁,还有网络信息战对舆论的影响与争夺。全球网络空间已真实地成为霸权国家实施进攻性认知域行动的数字战场,如何应对网络空间安全威胁已经是摆在所有国家面前的严峻挑战。目前,俄乌冲突还在继续,已进入“相持阶段”。梳理分析俄乌网络空间对抗进程,总结俄乌网络空间对抗呈现的主要特征,论述其对未来全球网络空间安全的深远影响,可以引发更多思考。


(相关资料图)

一、俄乌冲突的网络空间对抗回顾

就目前俄乌冲突发展进程看,可以将俄乌冲突划分为三个阶段,即冲突爆发前(2021 年 12 月 1 日—2022 年 2 月 24 日)、冲突初期(2022 年 2 月 24 日—2022 年 4 月 1 日)和冲突相持阶段(2022 年 4 月 1 日之后)。根据网络空间测绘平台和安全智脑系统数据,俄乌双方早在冲突爆发前就开始了网络信息博弈。随着冲突不断升级,俄罗斯与西方围绕乌克兰问题的博弈也延伸到网络空间,以北约为首的各国表面上未直接参与军事冲突,却利用所主导的国际制度和武器化媒体平台极力压制俄罗斯,利用自身的互联网优势引导全球黑客卷入俄乌乱局,导致网络信息战全面拉开。

(一)俄乌冲突爆发前的网络信息对抗

在 2 月 24 日冲突升级之前,俄罗斯便发动了针对乌克兰政府机构等关键部门的大规模分布式拒绝服务攻击(DDoS)和数据擦除恶意软件攻击。1 月初,乌克兰外交部宣称,俄罗斯试图利用网络攻击和虚假信息等混合战争手段,破坏乌克兰稳定局势。此后,乌克兰外交部、教育部、内政部、能源部等部门约 70 个政府网站因遭大规模 DDoS 攻击暂时下线。1 月 13 日,出现了一款针对乌克兰政府和商业实体的新型破坏性擦除恶意软件WhisperGate,执行多阶段攻击,目标指向乌克兰的政府、非营利组织和信息技术实体。2 月 23 日,一款名为 HermeticWiper 的新型数据擦除恶意软件在乌克兰的数百台重要的计算机上被发现。基于全球高级持续性攻击(APT)行为测绘数据发现,俄罗斯的 APT 组织 Gamaredon 在 2021 年 12 月开始对乌克兰进行持续性较大规模网络攻击,网络攻击在 2022 年 2 月达到峰值。

同时,乌克兰依赖以美国为首的一些西方国家也积极开展对俄罗斯的网络攻击。在冲突爆发前,美国就派白宫最高网络安全官员访问北约,协调盟友应对俄罗斯针对乌克兰的电网、通信系统等关键信息基础设施的网络攻击。美国网络司令部还增加了前往东欧的“前线狩猎小组”数量,任务是与其盟友一起“加强”美国和乌克兰的网络防御。2 月 22 日,欧盟启动了“网络快速反应专家小组”项目,帮助乌克兰抵御可能来自俄罗斯的网络攻击。项目的牵头方立陶宛依据欧盟“永久结构化合作防御和安全倡议”启动这个项目,旨在为欧盟及其合作伙伴提供网络防御能力。该团队通过发挥成员国各自的优势,研发网络安全工具包,帮助欧洲各国检测、识别和应对随时可能出现的网络攻击。

美国在俄乌冲突升级前通过网络平台散布了俄罗斯在不久后进攻乌克兰的舆论,揭开了俄乌冲突舆论信息战的序幕。自 2021 年底,美国多次渲染俄罗斯即将“入侵”乌克兰,并多次公布俄军在俄乌边境调动和部署情况。美国官方多次为“入侵”设定了时间表,虽然每次到了时间点入侵都未发生,但是又会快速抛出新的“入侵”时间。2 月 17 日,美国国务卿布林肯在联合国安理会发表讲话称,美国情报显示俄罗斯已经走上了战争道路,计划未来数日进攻乌克兰。俄乌局势紧张期间,俄罗斯曾开展多次网络信息战影响乌克兰舆论宣传。1 月 13 日,乌克兰政府网站遭到篡改,网站页面发布了旨在引发恐慌的虚假信息。乌克兰有关部门还查封了一个拥有超过 18 万个社交媒体账号用来散布假新闻的僵尸网络。

(二)俄乌冲突初期的网络信息对抗

2 月 24 日,俄乌冲突爆发,俄罗斯针对乌克兰的网络攻击对关键目标造成了实质性的破坏。乌克兰国家紧急事务部门称,冲突爆发后乌克兰多个电信基础设施因网络攻击出现经常性服务中断,政府不得不寻求美国星链(Starlink)卫星互联网提供的服务。3 月 1 日,伊赛特公司(ESET)安全团队披露了针对乌克兰政府组织的第三种数据擦除恶意软件 IsaacWiper。这种新型数据擦除恶意软件不带用于代码验证的数字签名,与 HermeticWiper 没有代码相似性且复杂度较低,并自 2 月 24 日起不断采用各种技术手段实施攻击。乌克兰数百台关键计算机被检测到数据擦除恶意软件,涉及乌克兰的金融和政府承包商,导致相关组织的系统设备数据遭到恶意删除。

据俄罗斯卫星通讯社 2 月 27 日消息,国际黑客组织“匿名者”(Anonymous)宣布对俄罗斯发动“网络战”,声称对今日俄罗斯电视台(RT)遭受的一次网络攻击负责,并“黑掉”了车臣政府网站,也攻击了不少俄罗斯的摄像头。同日,美国前国务卿希拉里·克林顿呼吁美国黑客对俄罗斯发动网络攻击。2 月 27 日,乌克兰在网络上招募了一支由安全研究人员和黑客组成的志愿“IT 军队”,对包括政府机构、关键基础设施和银行在内的 31 个俄罗斯实体目标进行网络攻击。另据 Cyberscoop 网站消息,俄罗斯政府 3 月 2 日公布的一份清单显示,有 17500 多个 IP 地址和 174 个互联网域名参与了针对俄境内目标的持续 DDoS 攻击,克里姆林宫、国家杜马和国防部的网站因 DDoS 攻击而离线。所列清单包括美国联邦调查局、中央情报局主页及其他一些网站,而这些网站的顶级域名显示这些网站是在白俄罗斯、德国、乌克兰、格鲁吉亚等国及欧盟注册的。俄罗斯政府公布的清单包括美国联邦调查局、中央情报局及其他一些在白俄罗斯、德国、乌克兰、格鲁吉亚等国及欧盟注册的网站。数据显示,超过 50 个国际黑客组织卷入了俄乌网络冲突。在双方势力的持续抗衡下,其中 39 个黑客组织支持乌克兰,并持续对俄罗斯发起网络攻击,仅 13 个黑客组织表示支持俄罗斯。

乌克兰背后的西方国家尤其是美国利用自己对全球主流媒体、社交平台的掌控,以及一批跨国信息科技公司在互联网世界的资源主导权,持续堵截俄罗斯的舆论信息传播渠道。2 月 27 日,欧盟宣布禁止俄罗斯电视台和俄罗斯卫星通讯社两家俄罗斯官方媒体在欧盟境内传播,相关制裁措施在 3 月 2 日正式生效。主流社交平台和跨国信息科技公司也纷纷跟进,美国 Meta 公司禁止俄罗斯官方媒体在其平台投放广告。谷歌公司封锁了俄罗斯官方媒体的 YouTube 频道,并将俄罗斯国家资助的出版商从谷歌新闻中除名;微软从其全球微软应用商店中删除了俄罗斯新闻应用程序;苹果在俄罗斯以外国家/地区的 App Store 中删除了俄罗斯的新闻应用程序。这一系列限制措施导致俄罗斯官方媒体难以发声,俄罗斯在全球舆论战场落于下风。

(三)俄乌冲突相持阶段的网络信息对抗

在网络战方面,俄乌双方都遭受了持续性、系统性的网络攻击,其中既有国家背景的 APT 组织行动,也有国际黑客组织发起的行动,还有不确定攻击来源的行动。截至 9 月中旬,总部位于瑞士的非政府组织网络和平研究所(Cyber Peace Institute)统计数据显示,自冲突爆发以来,俄乌双方 57 个不同实体进行了近 450 次攻击(大约每周 12 次)。据乌克兰国家特殊通信和信息保护局 8 月 26 日公布的统计数据,自冲突爆发以来,乌克兰共遭到 1123 次网络攻击。乌克兰政府、地方政府是主要被攻击目标,其他受网络攻击影响较大的有金融机构、国防机构、能源企业等关键基础设施。

随着冲突升级,俄罗斯遭受网络攻击的频次逐渐增多,破坏性也不断增强。俄罗斯联邦储蓄银行(Sberbank)官网披露其在 5 月 6 日成功击退了有史以来规模最大的 DDoS 攻击,峰值流量超过 400 Gb/秒,攻击流量来自美国、英国、日本和中国台湾的 27000 台被感染的设备。8 月 29 日至 9 月 11 日的 14 天内,乌克兰网络部队对俄罗斯发动新一轮网络攻击,瘫痪了包括俄罗斯最大银行俄罗斯联邦储蓄银行、俄罗斯最大的汽车及零配件在线销售平台在内的 2400 个俄罗斯网站。美国网络司令部司令兼国家安全局局长保罗·中曾根(PaulNakasone)曾在 6 月 1 日承认,美国军方对俄罗斯展开了“全方位”的进攻行动、防御行动和信息行动。

在舆论信息战方面,各种信息域融合对抗的信息战和新媒体时代的舆论战使有关俄乌冲突的国际话语权争夺异常激烈。9 月初,美国 Meta 公司宣布已经关闭了数量庞大的脸书(Facebook)和照片墙(Instagram)的俄罗斯用户群,这些用户群针对德国、法国、意大利、乌克兰和英国在 60 多个冒充欧洲新闻机构的网站发布的虚假信息,传播与俄乌冲突及其对欧洲影响有关的虚假内容。据英国广播公司(BBC)5 月 10 日报道,俄罗斯胜利日期间,俄罗斯境内部分电视台遭受网络攻击,黑客成功获取权限后发布反战信息。这次协同网络攻击影响了包括俄罗斯第一频道、Rossiya-1、MTS 和 NTVPlus 等俄罗斯主要媒体。在胜利日期间,在俄罗斯总统普京发表讲话时,黑客组织破坏了俄罗斯在线的电视时间表网页,并发布反战信息。

二、俄乌冲突中网络空间对抗的主要特点

俄乌冲突具备明显的“混合战争”特点,除高强度军事冲突外,还包括网络攻击、舆论攻击、信息对抗、封锁制裁等非常规、非对称作战。从俄乌冲突演进过程可以发现,在现代战争开局阶段实施高强度的网络信息战已成为首选项,关键信息基础设施也成为网络战的重点攻击对象,而舆论信息战的全程运用使双方博弈“白热化”,已成为决定网络信息战成败的杀手锏。

(一)网络空间对抗已融入现代军事行动,多种手段实施网络攻击成为“首选项”

网络战具有攻击成本低、效果好、难溯源的特点,拥有极强的隐秘性和巨大的杀伤力。在现代战争开局阶段,利用网络战损毁敌国关键信息系统,窃取军事情报,瘫痪互联网、通信、交通、能源、金融等关键基础设施,打击敌方军事指挥控制能力,已经是“首要必选手段”。事实上,网络攻击与军事行动的协同作用已被多国国防战略或军事条令所认同,并不断得到军事实践的验证。俄乌冲突进一步印证伴随现代军事行动的网络攻击是信息时代战争形态的必要元素。不管网络战最终能否成为一个独立的战争形态或应用场景,它作为现代军事行动的必要元素是毋庸置疑的。

(二)国家级网络战和针对关键信息基础设施的攻防战成为网络战的“胜负手”

俄乌冲突的网络空间对抗活动包括 DDoS 攻击、钓鱼欺诈、漏洞利用、供应链攻击、恶意数据窃取和数据擦除攻击等。其中,破坏性 DDoS 攻击目前已成为国家、政治团体甚至恐怖组织最直接的常用手段;长期性、高破坏性的有组织 APT 攻击,再加上散点攻击、无形可查、多轮无喘息的黑客攻击,能给对手造成全维度立体化网络打击。全方位立体化实施多种手段组合的不间断攻击,能在对手的网络空间挖开缺口,配合军事战争行动,实施深度伤害。

俄乌冲突中对关键基础设施的攻击表现尤为显著。乌克兰政府部门、军事设施政府网站、军事设施、金融能源等关键基础设施已遭受不少于 3 次大规模网络攻击,导致网站瘫痪、面临数据擦除危险,多个电信基础设施因为网络攻击出现经常性服务中断,乌克兰政府不得不临时切断互联网。俄罗斯也不断遭到来自国外的网络攻击,大规模的 DDoS 攻击一度使克里姆林宫、联邦政府、国防部在内的多个核心政府门户网站关闭。关键信息基础设施的安全问题已经打破网络与物理世界的壁垒,构成了严重的现实威胁。针对关键信息基础设施攻防战已然成为网络战的“胜负手”。

(三)舆论信息战成为网络对抗的决胜关键,是决定网络战成败的“杀手锏”

俄乌冲突爆发以来,双方在舆论上交锋的内容、呈现形式和程度变化与军事领域密切相关。俄乌冲突的舆论之争沉浸于当下传统媒体与新媒体融合的传播环境中。围绕两国政治领袖的媒介形象、最新战况、平民伤亡、国际舆论、战争对他国经济影响等各种事实性信息和意见性信息交织呈现、真假难辨。俄乌冲突中的舆论战呈现为两国在文本、议题、共情等方面的争夺,两国在不同维度开展动员、博弈与说服。在其背后,更深层次的原因是两国对舆论话语权的争夺,试图以舆论的力量威慑并压制对方。

由于互联网的触手已经遍及全球,深入每个人的生活,这使舆论信息战的覆盖面和影响度远超从前。俄乌网络信息战中,网络攻防和涉及舆论的认知控制战相互交织。无论是冲突前期俄罗斯通过网络在乌克兰传播虚假信息引发社会恐慌情绪,还是后期西方国家凭借对主流信息渠道的控制权创造出对俄舆论的压倒性态势,都可以看出,在纯粹的网络攻防之外,左右民众认知的网络舆论战,可能发挥压倒实战的成效,甚至反转战争局势的作用。网络舆论信息战已经成为网络对抗的决胜关键,甚至成为能决定网络战成败的“杀手锏”。

三、俄乌冲突对未来全球网络空间安全的影响

俄乌冲突所揭示的网络空间安全风险以及网络战“热战化”倾向,导致全球网络空间安全面临空前的挑战,对未来网络空间的国际秩序重塑带来深远影响。

(一)网络空间军备竞赛加剧,国际安全与和平将面临极大挑战

俄乌网络冲突的“热战化”让一些原本没有明确感知到网络空间安全风险的国家产生了极强的不安感,促使这些国家加速推进网络空间军事化进程。美国作为网络空间的超级大国,在俄乌冲突中表现出来的进攻性网络安全战略意图,也加剧了国际网络空间军备竞赛。整体技术优势赋予美国强大的网络攻击能力和情报收集能力,而俄乌冲突为美国网络空间能力的运用提供了国际舞台。在硬实力方面,美国的人工智能、大数据、卫星互联网、网络军事能力等,为美国掌控战场动态,为乌克兰加固网络防线、提供情报发挥了重要作用;以谷歌、苹果为代表的跨国科技公司以停止服务、断供、退市为武器对俄罗斯发起经济科技制裁,显示出美国经济科技实力不可低估的强制力量。

在国际舆论战场,美国基本主导了西方网络世界,美式民主和价值观再次成为团结西方阵营的旗帜,而西方阵营之外的近百个国家的声音几乎湮没在国际舆论场。在绝对实力方面,“西强东弱”的态势依然没有发生变化,特别是在网络空间,美国凭借其强大的科技和产业力量,持续扩大其绝对的实力优势,国际安全与和平将面临极大挑战。

(二)网络空间底层信任基础面临地缘政治威胁

全球网络在技术层面遵循统一运行规则,而在遭遇国际社会种种主权边界时,全球网络又会呈现分裂的态势。俄乌冲突爆发后,美国等西方国家在网络领域的制裁行为逐步升级,力图切断俄罗斯与全球互联网的联系,使其陷入“信息孤立”。美国互联网高技术企业停止或限制与俄罗斯的合作会阻碍俄罗斯网络服务和软硬件发展,掌握数字空间基础资源的众多企业选边站队。俄罗斯的一些国家基础设施网站数字证书也陆续被西方国家的证书机构吊销,迫使俄罗斯宣布建立本国的根证书颁发机构签发新的数字证书。随着这些平台和服务从俄罗斯消失,将会对互联网有效运行所依赖的底层信任带来冲击。

除了在内容层面的遏制,美国也在互联网基础层面打压俄罗斯。俄乌冲突爆发后,美国互联网骨干网络供应商柯根特(Cogent)通信公司和流明(Lumen)科技公司决定停止向俄罗斯提供互联网骨干网服务,致使俄罗斯主要的电信运营商不得不为其互联网流量寻找替代传输方案,这进一步影响了俄罗斯在冲突中获取通信和情报的能力。由于这两个公司是俄罗斯重要的国际中转供应商,停止提供服务导致俄罗斯国际带宽出口降低,访问国际网络的网速会变慢,扰乱俄罗斯互联网服务。可以推想,俄罗斯今后必定会在安全脆弱性较高的领域进一步减少对西方国家的依赖,建立起可替代的安全系统。其他新兴市场国家基于安全底线思维,也会全面审视相互依赖网络的安全风险,这将会对互联网有效运行所依赖的底层信任以及多利益相关方治理模式带来冲击,网络空间底层信任基础面临地缘政治威胁。俄乌冲突引发的这些国家制裁行动,也敲响了在互联网基础层发生数字冷战的警钟。

(本文刊登于《中国信息安全》杂志2022年第12期)

标签: 网络攻击 俄罗斯的 基础设施

相关阅读