认知效应学说：美国打击勒索软件攻击组织的新战略

近年来，随着各国都在努力应对如何应对国家支持的黑客和能力越来越强的勒索软件攻击组织的威胁，进攻性网络行动已成为五眼联盟成员信条中越来越重要的一部分。英国国家网络部队(NCF)最近发布的一项战略讨论了伦敦如何采用新方法开展以破坏信息环境为重点的进攻性网络行动。这一新战略引入了NCF所称的“认知效应学说”，旨在“通过利用对手对数字技术的依赖来改变他们的行为”，并开展进攻性网络行动，以限制对手收集、分发或收集信息、信任信息的能力。由于FBI和其他美国机构试图遏制勒索软件的威胁，他们应该将认知效应作为打击勒索软件运营者及其附属机构行动的一部分。

迄今为止的成功

在过去几年中，华盛顿尝试了多种策略来减缓勒索软件的增长，但仍难以找到有效的威慑力量。它起诉了个别黑客，并制裁了支持犯罪团伙的公司和组织。然而，这些努力在很大程度上都失败了，因为它们没有得到一致应用，勒索软件组织很容易适应这些措施，或者最重要的是，因为这些组织在西方执法机构的控制范围之外运作。作为回应，美国及其一些盟友通过承诺使用进攻性网络能力对付勒索软件组织采取了新策略。

美国司法部(DoJ)和联邦调查局(FBI)在2023年1月下旬宣布他们秘密获得了对Hive系统的访问权限，这是一个臭名昭著的勒索软件组织，它从全球各地的组织窃取了1亿多美元，仅是第一年的运营，就跻身过去两年中最多产的此类机构之列。DoJ和FBI对Hive系统的成功入侵持续了一年多，使政府运营商能够获取解密密钥并将其分发给受害者。同样，当组织拒绝支付赎金时，当局还关闭了Hive用来羞辱受害者和泄露被盗数据的黑暗网站。

关闭Hive也不是一次性行动，因为FBI和DoJ还关闭了RaidForums 、 Genesis Market和BreachForums等网络犯罪中心，并逮捕了这些行动的一些管理员。

然而，华盛顿可以通过利用勒索软件组中现有的漏洞并创建可以被利用的新漏洞来更实施进一步的行动。

狩猎大型游戏猎手

大多数针对美国基础设施的勒索软件攻击都来自被称为大型游戏猎手的组织，他们专门攻击拥有高价值网络的大型企业，这些企业的系统无法承受太多的停机时间。在过去两年中，随着威胁分析人员渗透到这些组织中，心怀不满的成员泄露了内部聊天记录和文件，这些组织的结构和等级制度变得越来越清晰。这些泄密事件提供的新图景和威胁分析师的工作指出了这些实体的主要弱点。

以勒索软件组Conti为例。这是一个由大约70个人组成的网络，他们通过用户名相互认识。该小组的运作方式就像一家小企业，根据员工的技能来招聘员工，然后将他们分配到团队中，让他们负责勒索软件工具包的特定部分。泄露的聊天记录显示，由于低工资、长时间工作和恶劣的工作条件，该组织底层存在紧张关系。这种员工的不满导致低级别职位的频繁更替，在几个网络犯罪论坛上发布了职位招聘，并且几乎没有对新员工进行审查。

Conti并不是唯一一个在士气和偏执方面存在问题的组织。网络犯罪集团TrickBot是另一个例子。Conti泄密事件于2022年2月27日在Conti出来支持俄罗斯入侵乌克兰后发布，促使TrickBot彻底停止运营，将其所有员工迁移到新的论坛帐户、电话、计算机和加密聊天服务。这一转变不足以挽救TrickBot，因为泄密者于3月4日开始发布该组织使用的文件、消息、加密货币钱包地址和IP地址。

因此，勒索软件组织非常清楚政府转向攻击性行动所带来的威胁。LockBitSupp是勒索软件团伙LockBit的领导者，他表示，以勒索软件团伙的基础设施为目标是“对付 [大型游戏猎人] 的最有效方法”，因为它提供了一种有用的方法来窃取解密密钥、关闭服务器以及收集有关勒索软件组织背后的运营商的情报。这是一种有效的方法，如果与使用网络攻击来破坏勒索软件团体运作的信息环境稳定的策略相结合，效果会更好。

对Hive打击的反应不太清楚，但可以合理地假设它对其他勒索软件组织的运作产生了切实影响，进一步滋生了偏执狂，并迫使他们放弃攻击他人网络的常规工作以应对自己的安全。

认知效应学说有采纳

孤独黑客的时代已经结束——正如Conti和Trickbot的泄密事件所显示的那样，现代勒索软件团体像企业一样运作。更广泛的勒索软件生态系统也由连接定义，其中成员经常在论坛上合作，在组织之间移动，并将旧习惯带入新的工作场所。

因此，勒索软件团体的组织复杂性和上述弱点使得使用进攻性网络行动来提高认知效果在打击勒索软件方面特别有用。切断或限制信息流是切断勒索软件团体赖以制造和部署其工具并找到目标的人员网络的绝佳策略。

作为其国家网络战略的一部分，美国政府致力于打击和摧毁威胁行为者。采用认知效应理论是分散勒索软件团体注意力的最佳方式，使其无法执行以持续方式造成严重破坏的通常任务。

注：CSIS的专家詹姆斯·刘易斯在2018年9月发表的研究报告《网络空间中的认知效应和国家冲突》中表示，网络行动的相对匿名性、一定程度的可否认性和信息技术可以产生的强大认知效应，以及它的全球影响力。虽然网络攻击可用于产生类似于动能武器的效果，但无形效果更为重要。信息和决策的操纵将增加任何冲突的复杂性，提供军事优势的来源，并挑战我们传统的、以动力为导向的战略。网络效应将通过对软件、数据、知识和意见的操纵而产生。目标不是动力学而是认知效应，即操纵信息以改变思想和行为。

关于作者

Kyle Fendorf是外交关系委员会数字和网络空间项目的助理研究员。

参考资源

1、https://nationalinterest.org/blog/techland-when-great-power-competition-meets-digital-world/it%E2%80%99s-time-united-states-adopt-new

2、https://www.csis.org/analysis/cognitive-effect-and-state-conflict-cyberspace

声明：本文来自网空闲话plus，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。