乌克兰网络专家评析俄乌战争中的俄罗斯网络行动

编者按

乌克兰国家战略研究所信息安全和网络安全部门负责人、爱沙尼亚国际防务与安全中心（ICDS）弹性乌克兰计划特约专家德米特罗·杜波夫博士撰文评析俄罗斯网络攻击活动、网络信息战活动以及未来所面临的挑战。

文章称，针对俄罗斯网络攻击活动可以得出四个方面判断：一是网络攻击方法有限，主要使用标准的网络攻击方法，表明俄罗斯既没有期望也没有准备好长时间地维持网络活动；二是网络攻击影响有限，在很大程度未能成功突破乌克兰关键基础设施系统；三是利用个人数据支持行动，包括利用从公共数据库窃取的个人数据针对特定目标开展网络攻击等；四是与盟国合作开展攻击，与俄罗斯和白俄罗斯特种部门有关的黑客组织共同对乌克兰开展网络攻击活动。

文章提出，俄罗斯认为“信息战”是在冲突的活跃阶段得到持续执行和加强的网络活动与信息和心理特别行动（IPSO）的结合；俄罗斯利用信息战行动来影响某一特定地区或国家的居民，以引发混乱、镇压抵抗和改变其政治行为；俄罗斯在俄乌战争期间对乌克兰电视台、网站等目标多次开展攻击活动并发布虚假消息；俄罗斯的网络活动与俄罗斯的宣传体系密切协调，黑客和媒体管理者就操控事件的实施和迅速报道开展合作。

文章认为，俄罗斯在网络安全和网络战能力方面将面临五方面长期挑战，如无法解决将削弱俄罗斯在高度活跃的网络空间领域的竞争能力。具体包括：一是俄罗斯高级专家忙于应对针对俄罗斯基础设施的网络攻击，无暇开展攻击性网络活动；二是俄罗斯网络安全意识有限，未实施有效网络安全防护措施；三是俄罗斯黑客操作技能薄弱，无法在网络冲突中开展计划周密的网络行动；四是大量网络安全公司退出俄罗斯市场，而俄罗斯没有能力使用自有技术替代许多软硬件解决方案；五是俄罗斯大量网络安全专家计划离俄，俄罗斯政府需要找到人才枯竭的解决方案。

奇安网情局编译有关情况，供读者参考。

俄乌战争中的网络空间战

虽然人们的注意力主要集中在乌克兰的常规战争上，但俄罗斯的攻击也包括持续的网络措施。在活跃冲突发生的第一个月，针对乌克兰信息基础设施的网络攻击数量达到了去年同期的三倍。

2014年，俄罗斯就开始测试对乌克兰进行网络攻击的新方法。从那时起，许多关键基础设施（CIF）就成了俄罗斯网络攻击的目标。更引人注目的网络攻击包括针对乌克兰喀尔巴阡地区能源公司的攻击（2015年）、对乌克兰财政部和国库的攻击（2016年），以及广泛传播的NotPetya加密病毒（2017年）攻击。俄罗斯认为“信息战”是在冲突的活跃阶段得到持续执行和加强的网络活动与信息和心理特别行动（IPSO）的结合。

2007年在爱沙尼亚、2008年在格鲁吉亚、2014至2015年在乌克兰，俄罗斯都曾在先期和同步物理行动开展了网络空间行动，如骚乱、挑衅或全面军事行动。俄罗斯2022年乌克兰军事行动先期和同步开展了以下活动：

● 攻击公共数据库（存储公民和政府数据的数据库）：为未来发动网络攻击奠定基础（1月14日-15日）。

● 准备性攻击：针对公共信息资源和银行机构的分布式拒绝服务（DDoS）攻击、针对政府当局和关键基础设施的网络钓鱼攻击、恶意软件传播、针对公共和私人网络的渗透与破坏（2月14日至23日）。

● 支持军事行动的网络活动：电子邮件和简单的通知服务消息、对关键基础设施的网络攻击、网站污损、DDoS攻击、访问内部信息系统尝试（2月24日）。

一、来自网络前线的观察结果

关于俄罗斯对乌克兰设施发动网络攻击有效性的数据有限。外国分析人士声称，在战争开始时发生了多次成功的袭击。然而，只有三起重大网络事件得到证实：针对乌克兰电信公司（Ukrtelecom）的攻击；针对乌克兰一些公共部门电子文件管理系统的攻击，如外交部；以及针对卫星通信提供商Viasat的攻击。此外，俄罗斯还继续对卫星互联网服务提供商“星链”进行了网络攻击，但没有取得成功。

根据2022年1月中旬以来俄罗斯的网络活动，我们可能会得出一些初步结论：

● 有限的方法。俄罗斯主要使用标准的网络攻击方法，如DDoS和网络钓鱼。总体上，网络钓鱼攻击的质量都很低，这表明俄罗斯既没有期望也没有准备好长时间地维持网络活动。尽管如此，这些有限的方法已经取得了一些成功，并仍可能成为一种威胁。

● 有限的影响。虽然乌克兰和国际专家都认为关键基础设施是网络攻击的优先目标，但没有迹象表明对乌克兰关键基础设施开展的攻击取得了成功。这可能表明，俄罗斯未能在很大程度上突破关键基础设施系统——成功突破很可能已经被利用了。

● 个人数据使用。2月25日有报道称乌克兰士兵和相关个人私人电子邮件账户遭到黑客攻击，特别是乌克兰电子邮件服务i.ua和meta.ua托管的账户，上述攻击显然得益于从公共数据库窃取的个人数据。个人数据保护是一个具有更广泛背景的重要问题。有关布查屠杀的信息让人尤为不安，这表明俄罗斯侵略者掌握了关于乌克兰人的详尽个人数据，包括地址、社会关系和就业状况，并根据特定标准（如是否为参加过反恐行动/联军行动的退伍军人、志愿者或与公共部门合作的人员），利用这些信息来锁定和清除相关人员。

● 白俄罗斯和俄罗斯特种部门间的合作。截至4月中旬，乌克兰专家发现了至少14个与俄罗斯和白俄罗斯特种部门有关的黑客组织。专家还指出，一些来自顿涅茨克人民共和国和卢甘斯克人民共和国的特殊机构也参与其中，它们很可能是俄罗斯的特种部门单位。

二、网络与信息和心理特别行动（IPSO）

俄罗斯利用信息战行动来影响某一特定地区或国家的居民，以引发混乱、镇压抵抗和改变其政治行为。和平时期的行动可能旨在影响外国（如2016年美国）选举，或引发公众骚乱导致政局不稳（如新冠疫情初期的乌克兰）。在危机和战争期间，网络行动往往变得更加激进，其目标是破坏或攻击媒体机构和公共部门的网站，传播虚假新闻。

俄罗斯在乌克兰战争中最引人注目的大规模网络行动发生在3月16至17日，当时有超过12个乌克兰信息源同时遭到攻击。袭击的焦点是Ukraine 24电视频道的直播新闻。袭击者成功地散布谣言称泽连斯基总统发表演说宣布乌克兰投降，并同时在社交媒体上发布了（质量极低劣的）所谓的此次演讲的“深度造假”视频。黑客还攻击了大量乌克兰媒体网站，利用了Redtram广告应用程序的漏洞。3月17日，有10多个网站报告称，黑客试图张贴俄罗斯国旗、圣乔治丝带、“Z”和“V”符号等网络横幅。

其他网站也遭遇了旨在引起骚乱和恐慌的黑客攻击。例如，3月3日，奥德萨地区的一些当地社区网站遭遇黑客攻击，黑客呼吁乌克兰人放下武器，并散播了关于蛇岛袭击的虚假信息。3月14日，俄罗斯黑客侵入了日托米尔市议会网站，并在主页上发布了一条要求立即撤离和不要抵抗的信息。这几乎逐字照搬了黑客在扎波罗热市议会主页上留下的信息（里面提及“扎波罗热市议会”的文字甚至都没有更改）。3月17日，俄罗斯黑客入侵了乌克兰司法系统的网站，放置乌克兰捍卫者（俄罗斯称之为民族主义者）的虚假宣传，并指责他们逮捕乌克兰平民并将其用作人肉盾牌。

这些入侵事件大多被俄罗斯大众媒体迅速报道。这表明要么就事件直接与俄罗斯大众媒体代表进行了协调，要么随后立即向他们进行了报告，以便及时报道。这种策略对俄罗斯的黑客组织来说并不新鲜。例如，在2014年的乌克兰总统选举中，俄罗斯黑客未能按攻击计划操纵中央选举委员会网站上的数据，但俄罗斯电视台还是播报了虚假数据。因此，俄罗斯的网络活动与俄罗斯的宣传机器密切协调：黑客和媒体管理者就操控事件的实施和迅速报道开展合作。

三、俄罗斯的未来挑战

虽然战争还远未结束，但很明显，乌克兰维护网络安全的努力迄今为止已经取得了相当大的成功。乌克兰成功防范了重要IT系统发生故障，乌克兰和外国网络活动人士对俄罗斯境内的一系列目标成功发起了反击。例如，他们获得了许多俄罗斯公司和组织的数据（包括参与战争的俄罗斯军事人员的个人数据）。俄罗斯政府和公共机构的主要网站曾被暂时关闭，使用的是亲乌克兰的网络活动分子在战争开始时迅速创建的工具。这些工具使任何对网络技术有基本了解的人都能够参与网络攻击。

这些挑战和全球许多国家遏制俄罗斯网络威胁的努力表明，俄罗斯将面临一些网络安全和网络战能力方面的长期挑战：

● 专家短缺。俄罗斯最优秀的专家（包括处理网络犯罪的专家）都参与了攻击性网络活动，但针对俄罗斯基础设施的网络攻击越来越多，将迫使他们专注于防御，降低了他们发动进攻的潜在可能性。

● 网络安全意识有限。对俄罗斯航空运输局的网络攻击是一个突出的例子。该机构甚至没有用于恢复政府电子邮件和电子文档管理服务的备份。这表明他们没有意识到需要强大的网络安全。对俄罗斯政府、总统、公共和安全部门以及中央银行网站的成功网络攻击表明，尽管网络安全受到关注并获得了公共资金投入，俄罗斯网络安全专家的能力却很有限。

● 中级专家操作技能薄弱。尽管俄罗斯黑客享有很高的声誉，但他们（以及一般所称的IT专家）却未能在这场积极的网络对抗中展现出人们认为其应有的能力。在过去，成功的行动通常会有一个详细的行动计划和详细的目标清单。俄罗斯在当前网络冲突中的反应未经深思熟虑，其对乌克兰的网络攻击部分得到了俄罗斯情报机构通过人力间谍活动等传统手段收集的数据的支持。

● 外国专业知识的撤出。近40家网络安全公司已经宣布退出俄罗斯市场，并暂停了对俄罗斯客户的服务。这带来了长期的挑战，因为许多软件或硬件解决方案不能使用俄罗斯自有技术进行替代（根据俄罗斯专家的说法，替代可能需要6到12个月时间）。与此同时，2022年3月30日的总统令要求，所有俄罗斯关键基础设施从3月31日开始暂停采购外国软件，从2025年1月1日开始禁止使用外国软件。此外，到2022年9月底，俄罗斯政府必须制定一个使用俄罗斯设备替代外国制造的无线电、电子和电信设备的计划。有评估认为这几乎是不可能的，因为现有的俄罗斯技术明显不如国外的同类技术。无论如何，禁止技术进口将成为一种假象，因为这只会使当前购买他国产品并把标识换成“俄罗斯制造”的做法更加大行其道。

● 人才枯竭。另一个长期挑战是，许多俄罗斯网络安全专家（甚至可能有四分之一的专家）正计划离开俄罗斯。俄罗斯政府需要找到解决方案，其可能推出更严苛的限制措施而非激励措施。2022年3月25日，有媒体报道称，与俄罗斯寡头叶夫根尼·普里戈津有关的一家康科德集团的公司敦促政府起草一项法律，让IT专家更难出国旅行。俄罗斯数字发展部和克里姆林宫发言人德米特里·佩斯科夫后来否认了这件事，信息也被删除。另外，俄罗斯国家杜马成员亚历山大·金什坦建议成立类似于苏联时代半监狱的“IT联合组织（IT joints）”，让获刑的专家在国家安全部门的监督下从事研发工作。这看起来并非一个严肃的提案，但由于最近很多俄罗斯IT专家被捕，这可能是为试验该想法的舆论试探，并让俄罗斯公众做好心理准备。

除非得到解决，否则这些挑战将削弱俄罗斯在高度活跃的网络空间领域的竞争能力——甚至乌克兰战争已经显示了俄罗斯在多大程度上无法在这一领域达成效果。

声明：本文来自网络空间安全军民融合创新中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。