摘要

“前出狩猎”是指美军网络司令部向海外派遣网络作战部队,通过主动追捕形式,发现并识别对手的网络行动,在强化针对性防护的同时,公开曝光对手网络攻击信息以达到震慑目的。本文综述美军近期的三次“前出狩猎”行动,并对行动和影响进行深入分析。

2023 年 2 月 24 日,俄乌冲突迎来一周年。尽管期间发生了激烈的网络战,导致政府与金融等机构的网站瘫痪、业务停服,运营商的通信服务中断,但乌克兰仍然设法维持住了大部分的社会公共服务,俄罗斯的网络攻击并没有出现战前预期的现象:因网络攻击导致大面积断电、停水。

乌克兰显然比许多人预期的更好地保护了自己。乌克兰官员表示,这在一定程度上要归功于包括美国网络司令部和私营部门在内的盟友帮助。在2022 年 12 月召开的里根国防论坛上,美国国家安全局局长、网络司令部司令保罗·中曾根表示,美国与乌克兰合作加强网络防御和提供安全保障的努力获得了丰厚的回报。

在战前,美国网络司令部网络国家任务部队向乌克兰派出 “前出狩猎”小组(由最初的10人增加到39人),实施“前出狩猎”任务,检测乌克兰的计算机网络以寻找被渗透的迹象和驱逐潜伏的攻击者。在俄乌冲突爆发后,甚至还执行了对俄罗斯的进攻性任务,帮助乌克兰减少了基础设施的安全漏洞,提升了防护水平。

目前,美国已经将“前出狩猎”行动扩展到更多国家和地区,在提升合作伙伴和盟友网络安全的同时,为自身团队提供实践经验和发现对手的能力。可以说,“前出狩猎”行动在为美国和美国的合作伙伴提供有价值的洞察和情报的同时,可以增强美国保护和加强其网络和系统,以及关键基础设施的能力。

一、“前出狩猎”行动出台背景

所谓“前出狩猎”行动(Hunt forward operations),是由2018年美国《国家网络战略》中正式提出的“持续交战”的作战方针,是指美军网络司令部通过向海外派遣网络空间作战部队,采取在网络空间主动追捕形式,发现并识别对手的网络行动,在强化针对性防护的同时,公开曝光对手网络攻击信息以达到震慑目的。

美军网络战司令部司令中曾根的攻击性网络战略,是在特朗普的前国家安全顾问约翰·博尔顿的关注下制定的,代表了美国在网络上对抗对手的模式转变。2018年司令部构想中写道:“在这种动态环境下,美国必须增强弹性,尽可能地前出到敌人活动的源头进行防御,并不断与恶意的网络空间行动者竞争,以产生持续的战术、战役和战略优势。”中曾根和美国网络司令部不是等待对对手网络攻击后做出被动反应,而是转而谈论“持续交战”(persistent engagement)原则、“前沿防御”(Defense Forward)战略和“前出狩猎”(Hunt forward),这些词汇涵盖了从对“伊斯兰国”和伊朗防空系统发动数字攻击,到为摧毁俄罗斯电网奠定基础的所有网络攻击事件。

中曾根强调,美国网络部队坚持通过支持和行动与对手交战,包括共享威胁指标、提供警告、共享人员和提供见解,具体体现于“前出狩猎”行动、进攻性网络空间行动和信息行动;通过广泛出动网络部队并在不同的网络上开展追捕,美军可以发现开展敌对网络行动的对手,并识别其网络攻击手段和所使用的网络工具,从而有针对性强化对对手的网络防护,并通过公开披露对手网络武器信息来扩大影响效力。

“前出狩猎”行动在美国网络司令部的“持续交战”战略中发挥着至关重要的作用。美军经常在海外部署,但这种派遣代表着一种不同的军事支持。美国军方没有携带坦克、直升机和舰艇,而是派遣其配备有熟练攻防技能和网络作战武器的网络战士。随着网络部队的未来扩编,“前出狩猎”行动前成为美国网络司令部的“增长型业务”。美军“前沿防御”政策设定了一个重要的基调,强调了网络威胁的严重性,并承认在网络空间中保卫美国需要在美军网络之外执行网络作战行动。

二、美军“前出狩猎”行动综述

从2018年起至今,美国网络司令部已在全球20个国家开展了37次“前出狩猎”行动,其中包括爱沙尼亚、立陶宛、黑山、北马其顿和乌克兰。2021年,美国网络司令部在一系列不同国家开展了9次“前出狩猎”行动,其中包括2021年12月派出团队前往乌克兰帮助该国加强网络防御。

下面我们来回顾分析一下部分美军网络司令部 “前出狩猎”网络作战行动。据美国网络司令部公布的消息,

1. 爱沙尼亚与美国联合开展“前出狩猎”行动

2020年9月23日至11月6日,爱沙尼亚和美国网络司令部在爱沙尼亚国防军网络上联合开展了一次“前出狩猎”网络空间行动。该行动旨在打击恶意网络行为者,加强了两国关键资产的网络防御能力。

来自美国的 “前出狩猎”团队和来自爱沙尼亚国防军网络司令部的网络人员共同合作,在关键网络和平台上搜寻恶意网络行为者。美国此前与欧洲各国建立了合作伙伴关系,这是美国与爱沙尼亚之间的首次防御网络行动。

尽管面临全球流行病的挑战,美国还是安全地部署到爱沙尼亚和其他欧洲国家,为期数周,以获得对对手可能影响美国的活动的独特见解。战斗团队积极搜寻、识别和缓解对手恶意软件和指标。然后,不仅与美国政府,而且与私人网络安全行业和盟友广泛共享该恶意软件,这直接提高了美国关键基础设施和相关网络的整体安全。爱沙尼亚国防军网络司令部副司令Mihkel Tikk说:“与美国等最亲密盟友的联合行动对于确保我们的服务安全至关重要。这一行动是我们与美国合作伙伴合作的另一个成功里程碑。”

2. 俄乌战争美军“前出狩猎”网络作战行动

2022年2月24日俄乌战争爆发。俄罗斯军队和情报部队利用一系列网络作战能力,包括间谍活动、影响力和攻击部队,来支持其物理攻击和宣传活动。一直寻求美国和北约援助的乌克兰更是叫苦不迭。乌克兰国家特殊通信和信息保护局于 3 月 29 日宣布“网络战正在进行中”,并指出“网络犯罪者不断试图破坏乌克兰的信息基础设施造或收集重要信息。”

微软威胁情报中心(MSTIC)观察到,与 GRU、SVR 和 FSB 俄罗斯情报部门(包括 APT28、Sandworm、Gamaredon、EnergeticBear、Turla、DEV-0586 和 UNC2452 / 2652)相关的黑客组织为冲突做好了准备,并从 2021 年 3 月就开始加强了对乌克兰及其盟国的攻击。报告显示,微软观察到的针对乌克兰数十个组织的破坏性攻击(2 月 23 日至 4 月 8 日之间近 40 次)中,有 32% 直接针对乌克兰政府机构,超过 40% 是针对关键基础设施。俄罗斯黑客利用多个恶意软件家族对乌克兰目标进行破坏性活动,微软威胁情报中心将其中三个(FoxBlade、CaddyWiper 和 Industroyer2)归属于 Sandworm。他们的成员在微软看来是俄罗斯 GRU 主要特殊技术中心(GTsST)74455 部队的军事黑客。

归因于俄罗斯的攻击组织

美国一再声称不直接介入乌克兰冲突,其网络司令部却从战争一开始就介入了乌克兰战争。美国网络司令部司令保罗·中曾根将军于 2022 年 4 月 5 日再华盛顿国会山参议院军事听证会上告知国会:在俄罗斯袭击乌克兰之前和期间,美国网络司令部在保护国内外网络和关键基础设施方面发挥了关键作用,美国网络司令部在俄罗斯猛攻中加强对乌克兰及盟友的支援。

保罗·中曾根将军告诉参议院军事委员会,他的作战部门已于2021年底向乌克兰派遣了一支“前出狩猎”网络部队,以帮助乌克兰建立网络防御。“前出狩猎”网络部队是在2021年12月应乌克兰政府的邀请去了那里,停留了近90天。这支队伍在2022年2月跟国防部其他人员一起在俄罗斯对乌克兰采取大规模军事行动前撤出。

在乌克兰,美军“前出狩猎”网络部队提供了远程分析支持并开展了网络防御活动。识别网络空间的网络漏洞和威胁——这些行动后来“增强了乌克兰的复原力”和其他行动。据悉,部署“前出狩猎”这一举措是美国应对俄罗斯入侵的“不可或缺的”。俄罗斯对Viasat卫星系统的攻击、持续不断的数据擦除攻击、对乌克兰的政府程序的破坏性攻击——这是一直在持续开展的事情。

“前出狩猎”活动关键的作用在于美军网络司令部与东道国共享他们发现的情报。“前出狩猎”行动中发现对手并暴露了他们的工具。让对手在花费巨资的网络攻击工具被曝光,失去网络入侵攻击功能。美国网络司令部“前出狩猎”(Hunt Forward)作战行动客观上令俄罗斯对乌克兰网络攻击的效果远远低于外界在俄乌冲突爆发之初的预测,也正在塑造拜登政府“速度更快、力度更强、范围更广”,兼顾当下打击和未来遏制的网络对抗新策略。

中曾根将军首次证实,美国以进攻性攻击行动对乌克兰应对俄罗斯的军事行动表示支持。“前出狩猎”行动进行了一系列全方位的行动——进攻性行动、防御性行动、(和)网络空间战信息综合分析行动。这位四星将军没有详细说明这些活动,但解释了这些活动是如何合法的及如何在完全由文职人员监督军队并通过国防部决定的政策进行的。

3.美国网络司令部首次在立陶宛开展“前出狩猎”行动

据美国C4ISR网站2022年5月6日报道,美国网络司令部和立陶宛国防部分别发表声明称,美国网络司令部一支网络国家任务部队团队与立陶宛网络部队完成一项为期3个月的“前出狩猎”联合网络作战行动。立陶宛邀请美军“前出狩猎”网络战队来监控网络系统,识别网络安全威胁和漏洞,在俄罗斯对东欧不断升级的网络侵略中加强该国的网络安全防御。该“前出狩猎”行动从2月底俄罗斯入侵乌克兰开始,持续到5月8日结束。

此次行动是美国和立陶宛网络部队首次共同开展的网络空间行动,双方网络作战人员共同在立陶宛关键国防系统和外交部网络上搜寻恶意网络活动。行动目标是观察和识别威胁两国的恶意活动,并利用所获见解来加强国土防御并提高关键网络弹性。立陶宛国防部副部长马吉里斯·阿布克维丘斯在行动闭幕式表示,乌克兰战争表明网络攻击是现代战争不可或缺的一部分,因此必须提前做好准备并建设能力,从而确保关键网络的安全。

此次行动也是美国针对俄乌冲突开展的第二项“前出狩猎”任务。美国网络司令部网络国家任务部队威廉·哈特曼表示,在立陶宛的部署与俄乌冲突直接相关,基于俄罗斯对波罗的海国家和周边其他组织构成的威胁,此次行动被提到日程前列。网络国家任务部队指挥官陆军少将乔·哈特曼在5月4日的一份声明中说,“前出狩猎”行动是证明网络是一项团队运动,必须协同努力。通过这些任务,识别了网络攻击者试图大范围攻击重要政府网络的意图。

美国防部副部长马吉里斯·阿布克维修斯说,俄乌战争表明“网络攻击是现代军事行动中不可分割的一部分”,而准备工作是关键。乌克兰的系统每天都会遭到数字攻击,造成通信和网站瘫痪。在美军实施“前出狩猎”行动过程中,数十个国家的网络安全能力得到了加强。这些行动提供了对手所没有的关键不对称优势。在敌人入侵美国并破坏美国的网络之前,在境外率先发现他们。同时,还要让伙伴和盟友更加安全。

三、“前出狩猎”行动预算经费

美军近些年大幅提升网络空间作战能力发展战略投入。2021 年 3 月,美国提出了针对中国的“太平洋威慑计划”(PDI)。在 2022 年财年财政拨款的 71亿美元中,有大批资金用于网络相关项目。同时,美国 2022 年国防部预算中用于网络空间能力建设和发展的资金,在保持多年稳定状态后,首次出现较大幅度增长,相比 2021 财年,增幅约为 6%,主要用于全面网络防御能力建设,为各级网络司令部和网络任务部队提供增强的权力、指导和控制支持,大幅提升网络作战、网络安全和网络技术工作人员的专业知识和技能。

美国国防部长办公室(OSD) 主计长的 2022 年预算概览为“‘狩猎’防御性网络空间行动”提供了 1.472 亿美元。价值 1.472 亿美元的项目包括美国网络司令部的“前出狩猎”行动和美国空军的网络漏洞评估 (CVA/H:Cyberspace Vulnerability Assessment/Hunter) 计划。主计长的预算概览中没有提供这些数字是:为深入挖掘和“前出狩猎”增加了 1470 万美元——从 2021 年拨款的 1200 万美元增加到 2022 年的 2670 万美元。最新的2023 年国防预算揭示2023年国防部“前出狩猎”行动预算7640万美元。

美军声称“前出狩猎”行动不仅可以保护美国网络系统和设施,还能为美国及其合作伙伴提供有价值的情报。细究美军这一看似自卫式的行动,不难看出美军网络战力量建设“疯涨”势头及其深层缘由。

四、“前出狩猎”行动网络作战武器

最初的美军网络司令部本身没有自己的工具或数字基础设施,主要依靠国家安全局的技术、员工和设备来完成工作。因此,曾公开招标寻求技术领先的国防合同商的支持。下图是2020年美军网络司令部的“前出狩猎”招标公告。

2022年4月21日,Sealing Technologies公司宣布,美军网络司令部(CYBERCOM)网络采购办公室与其签订了一份价值近6000万美元的合同,该公司将为美军网络司令部的“前出狩猎”行动的成功实施生产解决方案原型。该合同为期三个年,将用于网络国家任务部队(CNMF: Cyber National Mission Force)——一支具有进攻和防御能力的网络战队。

SealingTech首席执行官Ed Sealing表示:”在短短几个月内,为美国网络司令部作战人员带来一个有效的“前出狩猎”系统,这不是一个小成就。”。“我们以使命为动力。通过这一追求……SealingTech利用我们的知识、经验和创新,快速创建、测试、改进和部署一个原型,帮助美国网络防御者更有效地保护网络空间。”

Sealing Technology的 “前出狩猎”解决方案套件将为美军网络国家任务部队提供对网络作战的自动化部署、配置和数据流的支持。该解决方案还被设计为模块化的独立单元,可以携带在飞行的商用飞机上使用。并可以根据任务要求提供灵活性,并允许它们“针对增强的性能特征进行优化”——本质上是为了确保网络战队无论是在乌克兰还是在世界其他地方执行“前出狩猎”任务时都能得心应手。

Sealing Technologies公司(SealingTech)位于美国马里兰州哥伦比亚,物联网(IoT)、机器学习、人工智能(AI)和云产业中前沿研究、产品、工程和集成服务的领导者。2021年增长最快的私营公司50强之一。2018年、2019年至2020年间,SealingTech的平均收入增长率为110.07%。

五、美军网络司令部“前出狩猎”行动分析

1. “前出狩猎”凸显美军网络空间战略更具进击性

美军开展“前出狩猎”网络空间作战行动是其先发制人战略使然。美军在网络建设方面处于“小步快跑”状态。2011年,美国防部《网络空间行动战略》提出应对网络空间威胁的五大战略举措。2015年,美国防部首次明确提出“网络战”。2018年,美军将网络司令部升级为第10个联合作战司令部。当前,着眼可能成为未来网络空间作战“游戏规则改变者”的新兴技术,美军加紧人工智能、量子、5G、云计算、区块链等颠覆性技术的研发和应用。“前出狩猎”行动构想,或可视作美军网络战“触角”前伸、抢占网络作战优势之举。

网络空间作战胜利与否取决于网络空间优势,要获取网络空间优势,就必须“首先行动”“先敌行动”“先发打击”。这是一种积极主动和先发制人的发展策略与能力的运用手段。美国国防部条令《网络空间作战》(JP3-12),将在己方网络之外,以防御为目的针对对手网络的攻击行动,纳入防御性网络空间作战行动。美国新版国防部网络战略提出“前出防御”“持久交战”等,都体现了美国网络空间作战能力运用的进攻性和侵略性。

2. “前出狩猎”推进美军网络空间实战应用

提前培塑联合力量。美军一直注重发展进攻性网络作战力量。早在2012年美军便组建网络部队。2018年5月,美军网络部队第一批133支网络战队遍及各大军种,并具备全面作战能力。乌克兰战争加剧了美军网络升级的需求。在华盛顿国会山参议院军事听证会上,美国网络司令部司令保罗·中曾根援引正在发生的事件和有影响力领域的未来说,美国网络司令部的网络任务部队可能会经历超出最初批准的增长。虽然网络任务部队预计在不久的将来会增加 12 多个新团队,但这个数字可能会增加。网络任务部队被称为“战斗部门”,因为它执行美军国防部的网络作战行动。

美军现有133支网络战队

美军通过相关政策文件和条令,使网络司令部和作战司令部联系更为紧密,推进网络司令部与国家安全局的拆分。拆分后的网络司令部将在人员组成、预算编制、作战行动上具有更大自主权,指控流程进一步简化,作战行动开展更加高效。此外,美国网络司令部还与国家安全局建立“网络 9 线” (Cyber 9-Line)机制,应对国内外网络威胁情况。美国陆军网络司令部将部分网络防御职责移交给陆军网络企业技术司令部,以便能更好关注网络战、电子战和信息战。

近年来,美军连续举办“网络闪电战”“网络卫士”“网络旗帜”等网络对抗演习,反复验证“联合全域指挥与控制”概念,不断强化网络作战综合能力。此外,美军也注重与盟国加强网络空间协作,以求在新兴作战领域形成集体优势。此次“前出狩猎”行动,美军也有拉拢合作伙伴加大境外练兵之意。

六、美军“前出狩猎”行动影响与建议

美军的“前出狩猎”行动以阻止恶意攻击的名义,挑战网络空间国际规则,侵害他国网络主权,有造成擦枪走火、导致危机升级的可能。

美国新的网络攻防理念是要将所有的刺探窃密、网络骚扰等非军事领域的网络行动纳入视野,相应降低动用国家力量的门槛,将影响全球战略稳定,对国家安全和互联网的未来带来深远影响。

中国作为一个网络和数字经济大国,对于数字基础设施的依赖日益严重。现在网络战已经成为现代战争的重要内容,期间会发生高密度、高强度和高数量的网络攻击行动,对关键信息基础设施的防护带来更严峻挑战,也提出了更高的防护要求。否则,相关基础设施可能会成为对手制造破坏和发起严重攻击的工具。

为了适应和应对这种防御前置的理念与行动,我国应该从观念、体系和能力三个方面着力进行加强:

观念上:应建立以网络安全为支柱的现代国防观念:科学制定出具有全局性和前瞻性的网络空间战的主动进击的战略。通过前置防御、主动作为,掌控网络空间斗争的主动权、网络空间发展的自主权。

体系上:聚焦提升关键信息基础设施防护体系与能力建设,组建网络安全国家战队,构建全维度的国家安全防护体系。

能力上:专注提升网络空间作战能力建设,通过促进人才培养、加强网络武器研发、以及强化网络作战模拟培训等方式,打造一支专业技术强、实战能力强且训练有素的网络作战部队,应对日趋复杂严峻的网络空间形势。

参考文献:

1.北京奇安盘古实验室:《Bvp47:美国NSA方程式的顶级后门技术细节》,2022年2月

2. Microsoft:《Special Report: Ukraine:An overview of Russia’s cyberattack activity in Ukraine》

3. Wired: https://www.wired.com/story/general-paul-nakasone-cyber-command-nsa

4https://www.c4isrnet.com/dod/2020/02/12/how-hunt-forward-teams-can-help-defend-networks/

5. https://www.cyberscoop.com/nakasone-persistent-engagement-hunt-forward-nine-teams-ukraine/

6. https://www.fedscoop.com/cyber-command-awards-nearly-60m-contract-for-hunt-forward-operations/

7. https://kaitseministeerium.ee/en/news/hunt-forward-estonia-us-strengthen-partnership-cyber-domain-joint-operation

8. CYBERCOM Seeks "Hunt Forward" Funding Boost - Breaking Defense https://breakingdefense.com/2021/06/cybercom-seeks-hunt-forward-funding-boost/

9. https://deftech.nc.gov/blog/2020/11/09/diu-hunt-forward

10. https://ee.usembassy.gov/2020-12-03/

11. https://www.sealingtech.com/

关于作者

马烈, 奇安信虎符智库研究员,二十余年网络安全技术工作经验,曾获2014年国家科技成果一等奖。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。