美国专家探析美军支持乌克兰的进攻性网络行动

编者按

美国网络司令部司令保罗·中曾根近日接受英媒专访，首次证实美国正在开展进攻性网络行动以支持乌克兰。鉴于进攻性网络行动的敏感性，中曾根的言论引起广泛关注，俄罗斯外交部就此警告美国称网络攻击挑衅将产生灾难性后果。美国网络安全记者兼《零日倒计时：“震网”和世界上首个数字武器的发布》作者作家金·泽特尔采访两名前美国网络司令部法律官员及某美国政府匿名官员，以探析美国网络司令部行动性质、方式和影响。

根据美军条令，进攻性网络行动是“旨在在外国网络空间和通过外国网络空间投射力量的任务”，以支持作战指挥官或国家目标。进攻性网络行动既包括打击对手网络能力或在物理领域造成“精心控制的级联效应”的网络攻击，也包括为收集情报而开展“网络利用”行动。专家分析认为，美军所开展的进攻性网络行动并非“前出狩猎”行动，后者涉及在美国政府系统内或外国政府或实体系统内的威胁搜寻；美军行动很可能是网络攻击与网络侦察活动的结合，其形式多样且对影响进行了控制，从而避免构成武力使用或武力攻击并导致美国被直接卷入俄乌冲突。

专家分析认为，美国政府网络领域同样采取了避免直接参战的谨慎立场，但在行动细节不明确的情况下，很难判断美军行动是否有可能将美国卷入冲突；取决于所用技术及对俄罗斯系统的影响，美国可能采取进攻性行动的方式有很多可能性，包括破坏或阻止俄罗斯对乌克兰的信息行动、通过锁定用户阻止俄罗斯对乌克兰发起的网络攻击、通过操纵代码或转移路径来破坏俄罗斯恶意软件等；国际社会仍未解决围绕网络冲突和门槛的许多法律问题，难以判断美军行动是否符合武力使用或武力攻击的条件或以其他方式造成冲突升级，美军行动方式对此有很大影响；如果美国向乌克兰提供有关俄罗斯计算机和网络漏洞的信息，从而协助乌克兰发起网络攻击，这可能会使美国陷入危险境地；俄罗斯回应会权衡法律、政治和军事后果，基于政治考量也可能决定不对属于武力使用或武力攻击的行动做出报复。

奇安网情局编译有关情况，供读者参考。

美国网络司令部司令兼国家安全局局长保罗·中曾根将军6月初对记者表示，美国为了支持乌克兰而对俄罗斯开展了进攻性网络行动。该言论引起了轰动。

中曾根称“我们已经开展了一系列全方位的行动：进攻性、防御性和信息行动”，并指出这些行动是合法的，且得到了适当民事当局的批准。

中曾根未详细说明他所指的行动类型，但许多人认为他指的是计算机网络攻击，即旨在削弱、破坏或摧毁目标的行动。这种性质的网络攻击似乎与美国白宫的既定政策相矛盾，即美国不会直接参与俄罗斯对乌克兰的战争。行动还可能使冲突升级，并将美国直接拉入与俄罗斯的战争。

中曾根发表声明几天后，俄罗斯似乎将中曾根的言论解读为美国改变政策的证据。俄罗斯外交部警告美国不要用网络攻击来挑衅俄罗斯，否则俄将采取“坚定而坚决”的报复措施，可能造成灾难性后果。俄外交部表示，“国家间的直接网络冲突中不会有赢家。”

但在美国白宫新闻发布会上，当被问及进攻性网络行动是否与政府反对直接卷入冲突的政策相矛盾时，白宫新闻秘书卡琳·让-皮埃尔表示上述行动并不矛盾。她称，“我们不这么看……所以，答案很简单：不。”她没有详细说明这些行动，也没有解释为什么美国政府认为其没有越界。

那么这两种说法怎么可能是真的——美国正在进行网络攻击行动，而这些行动与白宫的政策并不矛盾？

我与三位专家进行了交谈，他们就此事提供了见解：加里·科恩，曾在2014年至2019年期间担任美国网络司令部总法律顾问，现为美国大学技术、法律和安全项目主任；加里·布朗，曾在美国网络司令部十年前成立时担任首位高级法律顾问，现为国防大学学术副院长和网络法教授；参与美国网络行动决策的某现任政府官员，他要求保持匿名，因为他无权讨论此类问题。

01

什么是进攻性网络行动？

围绕中曾根的评论有很多困惑，因为不清楚他在“进攻性网络行动”一词中包括哪些类型的行动，军事术语也称为OCO。

根据美军条令（特别是《网络空间作战联合出版物3-12》），广义上的进攻性网络行动是“旨在在外国网络空间和通过外国网络空间投射力量的任务”，以支持作战指挥官或国家目标。该活动包括打击对手的网络能力或在物理领域造成“精心控制的级联效应”的网络攻击——例如，影响武器系统、指挥和控制能力或后勤行动。正如国际法所定义的那样，一些进攻性网络行动“可能包括上升到使用武力水平的行动”。

但进攻性行动还包括“网络利用”，即为收集情报而开展的行动。根据美国防部条令，这包括军事情报活动、信息收集和其他本身不会“产生网络空间攻击效果”但可能为未来产生此类效果的军事行动做准备的行动。

加里·科恩表示，这与情报界出于地缘政治目的收集情报不同。此举是为了收集有关计算机系统、网络和设备的信息的侦察，以绘制其架构图或发现可能在美国未来进行的网络攻击中使用的漏洞。他称，“除了能够收集信息之外，它不一定以任何方式改变系统。”

来自美国军方联合出版物3-12的图表显示了美国网络部队的防御和进攻活动。进攻性网络行动（又称OCO）包括网络攻击和“网络空间利用”，后者通常涉及对敌方系统的侦察，以收集有关系统和网络的信息并发现漏洞。

美军《网络空间作战联合出版物3-12》网络空间行动示图

02

网络进攻行动是否与“前出狩猎”行动相同？

不同。中曾根的言论对此造成了混淆，因为在同一次采访中，他在提到进攻行动时还讨论了“前出狩猎”行动，导致一些人认为两者是同一回事。

“前出狩猎”行动不是进攻性行动。“前出狩猎”行动涉及在美国政府系统内或外国政府或实体（得到其同意的情况下）系统内的威胁搜寻活动，以寻找黑客或网络防御入侵的证据。对于乌克兰，这可能涉及远程协助和现场协助，以帮助乌克兰人发现其网络内的威胁。但此类行动不会涉及美国入侵俄罗斯系统。这也不是美国第一次在美国境外开展“前出狩猎”行动。

加里·科恩称，“在2018年美国中期选举前，这些‘前出狩猎’行动是在乌克兰、黑山和北马其顿进行的，这些地区是俄罗斯恶意网络活动的试验场。”

在开展“前出狩猎”行动时，美国可能会发现俄罗斯的恶意软件和植入程序，然后与乌克兰和其他盟国共享以发展针对它们的防御措施。中曾根在采访中表示，美国的“前出狩猎”活动是“保护美国和盟友的有效方式”，涉及与乌克兰和商业安全公司的共享信息。在俄乌战争爆发之前和之后，来自思科、ESET、曼迪昂特和微软的安全团队一直在帮助乌克兰防御和发现对其网络的威胁，而美国政府的“前出狩猎”行动将加强这项活动。

03

中曾根提到进攻性行动时是在谈论攻击还是利用（侦察）？

很难说。中曾根可能是故意让他的评论含糊其辞，美国白宫和网络司令部都拒绝详细说明，只是让记者参考中曾根非直接的采访内容。

这些行动可能包括侦察和攻击活动的结合，旨在对军事条令所定义系统产生影响。但这并不意味着美国一直在摧毁俄罗斯的系统。网络攻击的范围很广，从仅产生非常细微影响的行动到物理破坏设备并可能越界使用武力的行动。

三位专家都表示，美国可能不会参与后者。加里·科恩称，“我不知道中曾根将军在那个非常广泛的范围内指的是什么，但我不相信他指的是会构成任何接近使用武力的行动。”但这留下了很多可能选项。

要求保持匿名的政府官员称，“网络的好处在于它允许你调节活动以控制你的影响水平。你可以通过多种方式向乌克兰提供支持，但又不会给俄罗斯攻击我们国家的借口。”

这主要归结为我们谈论的潜在的升级活动，即美国对俄罗斯的进攻性网络行动根据国际法是否构成武力使用或武力攻击，这可能会触发俄罗斯以将美国拉入冲突的方式做出回应。

04

美国可能对俄罗斯开展什么样的进攻性袭击？

美国白宫坚称，任何进攻性网络行动都不会越界直接与俄罗斯开展军事交战。加里·科恩表示他相信白宫的话，但在不知道有关行动的任何细节（攻击目标是什么或行动产生什么影响）的情况下，很难说这些行动是否有可能将美国卷入冲突。

美国政府在向乌克兰提供的其他类型的支持方面非常谨慎，以避免被指控直接参战，并且很可能在网络领域采取相同的考虑因素。

美国可以做什么才不会有被卷入冲突的风险？

匿名政府官员表示，如果俄罗斯试图打击乌克兰士气或对乌克兰开展信息行动，美国可能会利用网络行动来破坏或阻止俄罗斯以某种方式发送信息的能力，而这并不是使用武力，具体取决于所用技术及对俄罗斯系统的影响。

加里·科恩提供了一个不同的示例，其中美国网络司令部发现了用于对乌克兰发起网络攻击的系统管理员的用户名和密码，并进入系统以更改密码。他称，“所以现在你已经锁定了系统用户。你已经产生了破坏效应，但你没有做任何损害系统的事情。这远未达到破坏或造成损害并开始牵涉到武力使用问题。”

专家们表示，至于哪些活动符合武力使用或武力攻击的条件或以其他方式造成冲突升级，这很难说，因为围绕网络冲突和门槛的许多法律问题仍未解决。即使是试图在《塔林手册》中回答这些问题的顶级法律人士也未能就许多情况达成一致。

匿名政府官员称，“我们可以瘫痪一个网络，只要没有动能效应并且不会造成伤害，有些人可能会认为这不是使用武力。但这是一个悬而未决的问题......我们以一种避免越界的方式开展这些行动，但没有人知道界限是什么。界限每天都在形成。”每个国家都以不同的方式划分界限。他指出，“如果你改变信息，使系统变慢或暂时或永久停止运行......法国会认为这是对主权的侵犯，但其他国家会认为这没有违反主权和国际法。”

加里·康恩表示，各国如何解释不同行为以及其对行为的容忍度非常重要。他指出，“越来越多的国家一直在就其对国际法和网络的看法发表声明，但在许多这些规则的边缘仍然存在很多模棱两可的地方。”

如果美国的进攻性网络行动没有造成任何人员死亡或受伤，则可以说这不是武力攻击。但是，如果网络行动导致设备永久无法操作，专家们对于这是否是武力攻击存在分歧。

《塔林手册》专家认为据报道由美国和以色列发起的著名“震网”行动（摧毁或禁用了伊朗核计划中使用的1000多台离心机）是非法使用武力，但他们在是否属于武力攻击的问题上存在分歧。

加里·布朗表示，为了解决这个关于使整个系统无法运行的问题，行动可能涉及一些更微妙的事情，比如通过操纵代码或转移其路径来确保俄罗斯发起的特定恶意软件不起作用。他称，“如果恶意软件不起作用，攻击者不一定知道会发生什么，因此他们可能会认为软件有问题，而没有意识到有人侵入服务器并使其无法正常工作。”但如果俄罗斯得知恶意软件遭到破坏，它可能会争辩称这是美国的直接参与。

如果美国要摧毁或破坏俄罗斯的军事系统，而不仅仅是用于网络攻击的计算机，其影响将更加明显。许多人批评美国拒绝设立禁飞区来保卫乌克兰领空，理由是这会使美国和欧洲伙伴直接卷入战争。但是，如果美国瘫痪或破坏了俄罗斯的计算机系统，而上述系统被用于监视和探测针对俄罗斯或乌克兰境内的俄罗斯军队发射的乌克兰导弹，这可能被视为武力使用或武力攻击，具体取决于其开展行动的方式。

加里·科恩和加里·布朗表示这很复杂。

加里·科恩称，“各国对是否需要物理伤害或人身伤害或只是一些功能丧失有不同的看法。”即使是使用武力，这也并不意味着它是非法的，因为乌克兰有自卫权并且已经提出了援助请求。科恩称，“《联合国宪章》规定的自卫权有一个集体组成部分，允许美国协助乌克兰。”他指出，美国并未表示正在为乌克兰开展集体自卫，因此这种说法可能没有实际意义。但科恩表示，还有一个单独的问题是，这种水平的协调支持是否仍会触发武装冲突法，“使美国成为当前冲突中的共同交战方”。

加里·布朗表示，除了所有这些，如果一项瘫痪或破坏俄罗斯防空系统的行动使俄罗斯无法检测和监控来自除乌克兰以外其他国家（例如美国）的袭击，那么可能会引发其他担忧。他称，“你必须非常小心地剥夺他们感知攻击来临的能力，因为我们希望他们知道我们没有向他们发射导弹。”

05

协助乌克兰开展网络攻击怎么样？

如果直接对俄罗斯发动网络攻击可能面临越界风险，美国是否可以向乌克兰提供情报，帮助乌克兰对俄罗斯系统发动网络攻击？

加里·科恩称，“当冲突持续时，直接支持当事方之一开展特定行动的行为可能会使支持国成为冲突方。这可能是一条非常细微的界限。”

据报道，美国向乌克兰提供了情报，乌克兰军方随后利用该情报击沉了俄罗斯军舰莫斯科号，并杀死了多名俄罗斯将领。但是，当美国政府在报道发表后急于与乌克兰的行动保持距离时，这种情报共享的敏感性就很明显了。美国国家安全委员会发言人发表声明称，向乌克兰人提供情报并非“意图杀死俄罗斯将领”。而其他美国官员则告诉记者，美国不知道提供的有关莫斯科号的情报将被乌克兰用来向该舰发射导弹。

同样在网络领域，如果美国向乌克兰提供有关俄罗斯计算机和网络漏洞的信息，从而使乌克兰能够对这些系统发起攻击，这可能会使美国处于危险境地，特别是因为很难声称美国出于攻击以外的任何原因提供了漏洞信息。

加里·科恩表示，一般来说，“漏洞是非常具体的东西。如果我没有预料到乌克兰人会利用这个漏洞开展一些操作活动，我为什么要提供这个漏洞呢？”

06

即使网络行动不符合武力使用或武力攻击的条件，俄罗斯是否会发起报复？

尽管必须权衡任何回应的法律、政治和军事后果，俄罗斯可以做任何其想做的事。即使美国开展的行动明显属于武力使用或武力攻击，俄罗斯也可以决定开展报复不符合其利益。

加里·科恩称，“这其中包含绝对巨大的政治因素。”他指出伊朗未对“震网”攻击做出回应。他称，“大多数审视该行动的人都认为，行动对伊朗的离心机造成了一定程度的损害和伤害，这将上升到武力使用的程度。但伊朗从未这样说过，这是伊朗做出的政治决定。”

声明：本文来自网络空间安全军民融合创新中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。