编者按
瑞士苏黎世联邦理工学院安全研究中心学者斯特凡·索桑托和维多利亚·加约斯联合撰文称,乌克兰在俄乌战争中的进攻性网络战略的成功表明,西方政府或许应摒弃理想化的法律和道德限制,转而务实地采取“负责任地不负责任”的作战方式。
文章称,西方民主国家一直致力于推动国际法和网络空间“负责任”行为的发展,而乌克兰却利用网络攻击打破了西方的禁忌和法律限制;乌克兰在网络空间采取的“数量重于质量”的策略,旨在通过广泛的攻击目标来实现特定的战略目标;乌克兰武装部队和情报部门将包括国内黑客和国际志愿者在内的非国家行为体军事化,将网络行动外包给上述行为体或与其合作开展网络行动,从而广泛地攻击俄罗斯民用基础设施;俄罗斯最近也开始效仿乌克兰的做法,将国内黑客行动主义者和国际志愿者军事化,但选择不与黑客行动主义者合作开展行动;乌克兰的网络安全和防御态势已成功地适应了俄罗斯的威胁,而乌克兰在网络领域的攻击性成就表明,希望通过法律约束各国在网络空间采取负责任的行为并遵守国际法的道德愿望固然值得称赞,但却与当代数字冲突的现实格格不入。
文章称,欧洲国家多年积极参与联合国关于网络空间负责任行为的讨论,并谴责民族国家在和平时期发起的恶意网络攻击,这在欧洲大陆形成了一种认为进攻性网络行动在政治上是不可接受的规范性立场;部分欧洲军事和情报官员认为,理想化法律主义的抬头阻碍了网络战专家的想象力、即兴发挥和创造力,导致网络进攻行动难以执行,限制了欧洲在网络空间内及通过网络空间与对手进行博弈和对抗的能力;欧洲不应再过分强调网络空间的责任,也不应质疑进攻性网络行动的使用,而应勇于学习、发展并适应数字冲突的新现实;欧洲各国政府应当牢记,成为“负责任的网络力量”以及加强网络空间规范和国际法,是实现全球稳定终极目标的手段而非目标本身,西方军队必须不断调整并提升作战效能才能赢得战争胜利;在大国冲突时代,“负责任地不负责任”或许是加快网络空间作战节奏、促进创新和加强合作的必要条件,其他都可能只是“过时的政治手段”。
文章称,俄乌战争是欧洲学习如何利用进攻性行动,以及如何在网络空间做到“负责任地不负责任”的最佳课堂;西方军队从俄乌网络战中汲取的最重要的教训就是,单次进攻性网络行动的有效性取决于能否在整个战争过程中保持稳定的作战节奏,从长远来看,在网络空间“数量比质量更重要”。上述作战动态产生的原因主要包括三点:一是网络防御者会随着时间的推移不断适应对手的战术、思维和任务目标,从而自然而然地提升自身能力;二是重要的数字资产会在战时变得日益坚固,使得对手更难对其保持控制;三是对手攻破一个目标所花费的时间和资源越多,用于攻破其他目标的时间和资源就越少。同时,网络攻击者通常有三种方法来保持作战节奏:一是增加投入特定网络任务区域的人员和资源;二是将人员和资源从一个区域转移到另一个区域;三是扩大区域内的目标范围,将一些重要性较低但防护较弱的数字资产也纳入攻击范围。
文章称,目前尚不清楚西方军队究竟计划如何在网络空间与势均力敌的对手作战,北约很可能选择与俄罗斯2025年初前行动方式更为相似的网络作战方式,例如在军事行动前攻击敌方的通信基础设施瓶颈、在军事行动期间转向开展支持其动能军事作战的网络行动;但北约成员国可能仍会避免将进攻性网络行动和情报收集工作外包给全球各地的黑客行动主义者和志愿者,因为这会造成法律和组织上的摩擦;西方政府应该借鉴乌克兰的经验,重新审视其目前对武装冲突法的过度强调,摒弃“责任”的概念,拿捏在网络空间“负责任地不负责任”的艺术。
文章称,西方政府应该反思乌克兰的教训,因为其未来很可能成为这种新型战争方式的受害者,重点启示包括五点:一是敌对的民用基础设施是不容错过的网络攻击目标,即使是最小程度的干扰也能助力打击敌方经济;二是黑客行动主义者和志愿者将在战时开展网络行动,民主政府可以选择忽视,也可以选择积极支持、整合和指导以弥补能力缺口和情报需求;三是进攻性网络行动的数量掩盖了单个行动的节奏和有效性,如果整体规模已经给防御者带来压力,那么并非所有进攻性网络行动都必须快速、可靠且有效地执行;四是网络空间信息 “真假并存”,虚假网络攻击声明可能会产生影响舆论、散布疑虑、鼓舞士气的效果;五是网络空间中的伦理和国际法并非一成不变或绝对的,需要各国政府不断重新评估和调整。
奇安网情局编译有关情况,供读者参考。
乌克兰战争后的进攻性网络行动和作战效能
3月4日,就在美国总统特朗普宣布暂时中止美国对乌克兰军事援助的第二天,乌克兰9名青年公民被授予博赫丹·赫梅利尼茨基勋章。这些乌克兰人并非身经百战、肌肉发达的老兵——他们是平民。更确切地说,他们是乌克兰黑客组织“拉斯卡”(Laska,意为“黄鼠狼”)的成员。该组织因其“在俄罗斯网络空间的巧妙行动,显著削弱了俄罗斯军工复合体的能力,并提供了关键信息”,而获得了乌克兰国防情报局(GUR)颁发给平民的最高军事奖章。
西方民主国家一直致力于推动国际法和网络空间“负责任”行为的发展,而乌克兰却利用网络攻击打破了西方的禁忌和法律限制。乌克兰在网络空间采取的“数量重于质量”的策略,旨在通过广泛的攻击目标来实现特定的战略目标。乌克兰毫不犹豫地攻击民用基础设施,并将包括国内黑客和国际志愿者在内的非国家行为体军事化。俄罗斯随后也做出了应对,但并非总是成功。乌克兰在网络领域的“成就”表明,尽管人们长期以来希望通过法律约束各国在网络空间采取负责任的行为并遵守国际法,这种道德愿望固然值得称赞,但这些愿望与当代数字冲突的现实却形成了鲜明的对比。
“负责任的”网络行动
莱茵巴赫是一个仅有2.6万居民的小镇,位于前西德首都波恩西南约20公里处。然而,这座宁静的小镇却坐落着德国联邦国防军的网络作战中心(ZCO),它是德国联邦国防军的进攻性网络部队。ZCO的前身——计算机网络作战大队(CNO)——正是从这里于2015年发动了德国已知的首次进攻性网络行动。当时,德国计算机网络作战大队(CNO)入侵了一家阿富汗移动电话运营商的内部网络,以获取有关一名在阿富汗被绑架的援助人员的信息。
德国网络作战中心(ZCO)指挥官斯文·詹森7月8日接受采访时表示,ZCO遵守国家和国际法律,恪守武装冲突法,并以精准可控的方式开展行动。他指出,“每一项计划措施都经过仔细审查和记录;法律评估是ZCO工作不可或缺的一部分。”斯文·詹森强调这一点,反映了欧洲的政治话语,即普遍认为进攻性网络行动在法律上可疑,可能具有破坏性,并且鉴于其隐蔽性和秘密性,在道德上令人反感。事实上,多年来,欧洲积极参与联合国关于网络空间负责任行为的讨论,并不断谴责俄罗斯在和平时期发起的恶意网络攻击,这在欧洲大陆形成了一种规范性立场,即认为进攻性网络行动在政治上是不可接受的——甚至在战时也是如此。欧洲日益关注混合战争和“非和平”状态,却因持续不断的冲突升级担忧和武装冲突门槛的不确定性,反而强化了这种看法。
早在2019年,时任荷兰国防网络司令部司令埃莉诺·博克霍尔特-奥沙利文在一次采访中指出,“律师们正在阻碍网络专家们的想象力、即兴发挥和创造力,而这些对于应对未来的网络场景至关重要”,并且“在当前的政治环境下,网络进攻行动很难执行”。2024年7月,一位匿名欧洲情报官员在Binding Hook网站上撰文警告称,理想主义的法律主义正在抬头——即“一种对情报和网络领域的片面理解,认为法律是塑造网络空间能力的理想治理工具”。这位情报官员强调,这种趋势“正日益限制我们在网络空间内及通过网络空间与对手进行博弈和对抗的能力”。
尽管存在这些担忧,英国政府在2021年全面认可了“负责任的民主网络力量”这一概念,以将其自身的网络进攻行动与俄罗斯和其他所谓“不负责任”国家的行为区分开来。值得注意的是,“负责任”一词主要适用于和平时期的行为,而非战争时期,其核心理念是促进自由、开放、和平与安全的网络空间。因此,它既涵盖了现有的国际法,也包含了联合国在2021年认可的11项关于负责任国家行为的非约束性规范。例如,这些规范包括:各国应避免开展破坏关键基础设施的网络活动(规范F);以及各国应合作打击网络犯罪和恐怖主义活动(规范D)。
英国国家网络部队(NCF)——由英国国防部和政府通信总部(GCHQ)合作成立——随后于2023年4月发布了一份题为《在实践中的负责任网络力量》的指导文件。该文件中,英国NCF公开承诺维护强有力的法律和道德框架,确保严格的国内监督和问责,并遵循结构化的规划流程,以确保英国的网络行动具有问责性、精准性并经过精心校准。然而值得注意的是,英国NCF从未在和平时期开展过任何进攻性网络行动,这或许反映出其任务领域在政治上仍然高度敏感,且受到诸多法律限制。
事实上,迄今为止,英国NCF和德国ZCO公开知晓的进攻性网络行动仅限于战时反恐行动。2015年,当时德国军队仍在阿富汗驻扎,ZCO入侵了一家阿富汗电信运营商的系统,追踪了一名人质谈判专家的手机。2017年6月,时任英国国防大臣迈克尔·法伦爵士透露,“我们现在在打击‘伊斯兰国’的战争中常规使用进攻性网络攻击,不仅在伊拉克,也在解放拉卡和幼发拉底河沿岸其他城镇的战役中。这些进攻性网络攻击已经开始对削弱‘伊斯兰国’的能力产生重大影响。”
欧洲不应再过分强调网络空间的责任,也不应处处质疑进攻性网络行动的使用,而应勇于学习、发展并适应数字冲突的新现实——这一战场超越了传统的和平与战争范畴。而乌克兰持续不断的战争,正是学习如何利用进攻性行动,以及如何在网络空间做到“负责任地不负责任”的最佳课堂。
数量重于质量
如果说西方军队应该从过去3年半在乌克兰的网络战中汲取一条网络战教训,那就是单次进攻性网络行动的有效性取决于能否在整个战争过程中保持稳定的作战节奏。从长远来看,在网络空间,数量比质量更重要。
这种作战动态的原因很简单。首先,网络防御者会随着时间的推移不断适应对手的战术、思维和任务目标,从而自然而然地提升自身能力。其次,在战争过程中,重要的数字资产会变得越来越坚固,使得对手更难对其保持控制。第三,对手攻破一个目标所花费的时间和资源越多,他们用于攻破其他目标的时间和资源就越少。对于攻击者而言,通常有三种方法可以防止作战节奏放缓:增加投入特定网络任务区域的人员和资源;将人员和资源从一个区域转移到另一个区域;或者扩大区域内的目标范围,将一些重要性较低但防护较弱的数字资产也纳入攻击目标。
在乌克兰,这种作战动态已逐渐清晰地展现出来。俄罗斯能够专门用于乌克兰战区的进攻性网络能力受到限制。与此同时,俄罗斯还必须在北美、西欧、中亚以及其他与其长期国家安全态势相关的地区保持网络行动的存在。相比之下,乌克兰可以集中全部精力对俄罗斯的整个数字基础设施发动攻击。乌克兰也没有效仿俄罗斯的做法,对高价值通信基础设施资产发动破坏性网络攻击,例如俄罗斯分别在2022年和2023年攻击了美国卫星通信公司Viasat和乌克兰电信公司Kyivstar。相反,乌克兰采取了更为广泛的打击范围,除少数例外情况外,将所有位于.ru域名空间内的民用和政府资产都视为合法目标,无论它们是银行、药店、快餐外卖服务还是剧院。欧洲当前的政治论述和对武装冲突法的解读会将这些民用资产的打击视为不负责任、不可接受且可能违法的行为,因为这违反了区分原则和军事必要性原则。
在为国家生存而战的同时,乌克兰并没有浪费时间和官僚资源来建立自己的军事网络司令部和法律部门。同样,由于战场上更紧迫的能力需求,乌克兰也没有大幅加强内部进攻性网络作战人员的培训。相反,乌克兰武装部队和情报部门做出了一个明确的选择:外包给海外志愿者和国内黑客行动主义者并与之合作,以指导、支持并协助开展针对俄罗斯数字基础设施的进攻性网络行动。
将“非国家”行为体军事化
2024年4月,居住在美国密歇根州的美国黑客行动主义者克里斯托弗·科特赖特接受BBC采访时,谈到了他从时任乌克兰空降突击部队司令那里获得的嘉奖。克里斯托弗·科特赖特的国际黑客组织“一拳战队”(Team OneFist)很可能是因为入侵俄罗斯监控摄像头,并将俄罗斯军队和装备调动的情报直接提供给乌克兰军方而获得此奖。这可能是历史上首次有军事指挥官在持续的武装冲突中正式感谢国际黑客组织的行动。大约一年后,即2025年3月,乌克兰军事情报部门向乌克兰黑客组织“拉斯卡”(Laska)授予了博赫丹·赫梅利尼茨基勋章,该组织的具体行动至今仍不为人知。
时至今日,乌克兰武装部队或情报机构是否拥有自己的网络攻击部队仍是未知数。西方政府和网络威胁情报公司通常避免公开谈论或发布任何关于乌克兰网络威胁行为体的报告。但众所周知,乌克兰军事情报部门与黑客行动主义者之间的合作已持续数年。2024年和2025年,乌克兰国防情报局(GUR)与拥有12.5万名成员的众包组织“乌克兰IT军队”合作,对包括俄罗斯银行、互联网服务提供商以及COS项目(一个俄罗斯社区项目,旨在为无人机控制器和屏幕开发定制固件并提供俄语支持)的数字基础设施在内的民用目标发动了分布式拒绝服务(DDoS)攻击。据GUR官网称,COS项目之所以成为攻击目标,是因为其“软件被俄罗斯人用于重新刷新大疆无人机的固件,以满足作战行动的需求”。
此外,7月初,乌克兰军事情报单位与黑客组织“黑猫头鹰”(Black Owl,简称BO)和“乌克兰网络联盟”联手,对俄罗斯无人机供应商Gaskar公司发动了一场破坏性攻击。“乌克兰网络联盟”成立于2016年,一直以来断断续续地为乌克兰武装部队和情报部门提供服务。BO团队于2024年1月26日成立,此时距离战争爆发已近两年。值得注意的是,BO团队的首次破坏性攻击行动是在GUR的官方网站上宣布的——两天后,该组织才创建了自己的Telegram频道。GUR与BO团队的关系非同寻常;他们甚至可能就是GUR的一部分。根据BO团队的Telegram频道消息,他们对Gaskar公司的攻击导致47TB的数据和10TB的备份文件被删除或窃取。他们还通过清除4个ESXi平台、26台虚拟服务器、200个计时站和20台MikroTik路由器,使Gaskar的生产线瘫痪。
俄罗斯最近开始效仿乌克兰的做法,将国内黑客行动主义者和国际志愿者军事化。在战争初期,俄罗斯的战争计划中根本没有俄罗斯黑客行动主义者。例如,迄今为止,俄罗斯勒索软件组织尚未明显参与乌克兰战争。这部分归功于俄罗斯联邦安全局(FSB)在战争前一个月史无前例地逮捕了14名REvil勒索软件组织的成员,以及当时最大的勒索软件组织Conti在入侵后不久的瓦解。Conti最终的覆灭是由于其俄罗斯和乌克兰成员之间的内讧,导致数千条聊天记录泄露,暴露了该组织的内部运作。
包括KillNet和NoName057(16)在内的俄罗斯黑客组织间接参与了这场战争,它们对支持乌克兰的国家的网站发起独立的DDoS攻击。自2023年11月以来,NoName057(16)已对德国超过250个政府和企业网站发起了14次DDoS攻击。值得注意的是,7月16日,由欧洲刑警组织和欧洲司法组织协调的联合国际行动摧毁了NoName057(16)在欧洲的DDoS攻击基础设施。此次行动导致2人被捕,签发了7份逮捕令,并在捷克、法国、德国、意大利、波兰和西班牙进行了24次搜查。随后,5名居住在俄罗斯的NoName057(16)成员被列入欧洲刑警组织的十大通缉犯名单。德国执法部门估计,NoName057(16)的支持网络由遍布全球的4000多名用户和数百台服务器组成。
然而,除了这些案例外,俄罗斯情报机构基本上拒绝将黑客行动主义者纳入其行动之中。相反,他们创建了自己的虚假黑客行动主义网络身份,例如XakNet、Solntsepek和Cyber Army of Russia Reborn,以此来掩盖其网络行动。目前尚不清楚俄罗斯情报机构为何选择这种繁琐的方式。这一决定可能源于多种因素的综合作用,包括:认识到黑客行动主义在塑造网络战争叙事方面的战略价值;创造一个实验空间以迷惑防守方;以及出于职业自尊心,不愿在战时与黑客行动主义者、低级网络犯罪分子和业余人士合作。
2025年,情况发生了显著变化。在乌克兰战争的大部分时间里,KillNet以发起声势浩大的DDoS攻击和不时被Telegram封禁而闻名。该组织的DDoS攻击从未对战场实际作战产生任何显著影响,这使其完全被归类为黑客行动主义。然而,5月22日,KillNet据称入侵了乌克兰武装部队使用的芬兰Sensofusion平台。据称,KillNet提取了数万架乌克兰无人机的位置数据,包括GPS坐标、型号和无人机ID。随后,该组织将这些位置数据转发给了俄罗斯第88侦察突击旅Española,后者随即对乌克兰目标发动了无人机袭击。
自2025年5月以来,KillNet据称还开展了其他与战场相关的行动,包括入侵乌克兰统一态势感知平台DELTA和美国卫星图像公司Maxar的在线平台。Maxar平台遭入侵很可能是伪造的,从未发生过。截至发稿时,Sensofusion平台遭入侵和DELTA平台遭入侵是否真的发生仍不得而知。Sensofusion公司和乌克兰武装部队均未就此事发表公开评论。
乌克兰模式的成功
多年来,由于俄罗斯不断变化的情报需求和乌克兰不断演进的防御态势,俄罗斯在网络空间的作战方式经历了数次战略转变。2022年,乌克兰国家特殊通信和信息保护局(SSSCIP)记录了997起严重和高危网络事件。到2023年底,这一数字下降至367起。2024年上半年,高危网络事件的数量仅为48起,与2022年相比下降了95%。这种趋势在媒体对乌克兰的报道中也得到了显著体现。据报道,俄罗斯最近一次成功瘫痪乌克兰大型企业的破坏性网络行动是2023年12月“沙虫”(Sandworm)组织对乌克兰电信公司Kyivstar长达一个月的渗透。从统计数据来看,这些数字似乎表明,乌克兰的网络安全和防御态势已成功地适应了俄罗斯的威胁。
乌克兰的成功很可能迫使俄罗斯调整其整体战略。根据SSSCIP的预测,“2023年,俄罗斯的战略重心从摧毁互联网服务提供商、政府部门和机构的基础设施转向巩固据点并秘密窃取信息,利用网络力量收集有关其军事打击效果的反馈。[…] 2024年,SSSCIP观察到,俄罗斯的战略重点转向与战区直接相关的任何行动以及对服务提供商的攻击。”
SSSCIP的数据还显示,网络攻击事件总数从2023年上半年的1079起增至2023年下半年的1463起,再到2024年上半年的1729起,12个月内增长了60%。这一增长可能表明,俄罗斯网络攻击者正在攻击更广泛的目标,以获取与战场相关的情报。正如SSSCIP指出,“2022年,敌方黑客的目标是那些网络安全存在明显缺陷、漏洞以及容易被利用的漏洞的组织。2024年,黑客不再仅仅利用任何漏洞,而是将目标锁定在对其军事行动的成功和支持至关重要的区域。”尽管网络攻击事件总数有所增加,策略也有所改变,但俄罗斯仍然必须面对能力上限的限制,这自然会限制其在任何特定时间点能够在网络空间开展的行动数量。这个上限究竟在哪里,还有待观察。俄罗斯与黑客行动主义者的合作可能会进一步提高这个上限。
负责任地不负责任
目前尚不清楚西方军队究竟计划如何在网络空间与势均力敌的对手作战。同样不清楚的是,北约内部或各成员国是否就如何在长达一年的动能战争中保持网络作战节奏进行过任何讨论。值得注意的是,北约可能选择的网络作战方式似乎与俄罗斯在2025年初之前的行动方式更为相似。北约成员国很可能会在军事行动开始前攻击敌方的通信基础设施瓶颈——就像俄罗斯在2022年2月24日摧毁3万台Viasat调制解调器那样。北约成员国也将从最初摧毁互联网服务提供商和政府网络转向开展支持其动能战役的行动。所有这些行动都将符合武装冲突法。即便如此,北约成员国可能仍会避免将进攻性网络行动和情报收集工作外包给全球各地的黑客行动主义者和志愿者,因为这会造成法律和组织上的摩擦。
然而,鉴于俄罗斯网络进攻行动所面临的困境,西方政府或许应该借鉴乌克兰的经验,重新审视其目前对武装冲突法的过度强调,摒弃“责任”的概念。在某种程度上,这种政策转变已经发生,因为西方政府对乌克兰的网络进攻行动保持沉默——甚至可能是在默许支持。
但民主政府——尤其是欧洲的民主政府——由于根深蒂固的政治信念,很难效仿乌克兰的做法:西方政府自然会从优势地位出发进行战斗,无需利用网络空间的每一个可能优势来打击对手;进攻性网络行动会严格遵守国内监督、问责制和国际法律框架,即使敌对行动不遵守;西方政府能够在整个战争期间保持网络空间的稳定节奏。
过去3年,乌克兰向世界展示了一条截然不同的发展道路,它通过将黑客行动主义者、大学生以及国内外的IT社群军事化,掌握了在网络空间“负责任地不负责任”的艺术。西方政府或许应该反思乌克兰的教训,因为未来它们很可能成为这种新型战争方式的受害者。
首先,无论是银行、互联网服务提供商、超市还是在线零售商店,敌对的民用基础设施都极具吸引力,不容错过。即使是最小程度的干扰也能助力对敌方的经济打击。其次,无论政府是否愿意,黑客行动主义者和志愿者都会在战时开展网络行动。民主政府可以选择忽视这些行动,也可以积极支持、整合并指导他们,以弥补能力缺口和情报需求。第三,进攻性网络行动的数量掩盖了单个行动的节奏和有效性。换句话说,如果整体规模已经给防御者带来压力,那么并非每次进攻性网络行动都必须快速、可靠且有效地执行。第四,网络空间中的事物并非都是真实的。错误的自我归因或声称发生了网络行动(即使实际上并未发生)可能会影响新闻报道,在国际上散布疑虑,并在国内起到鼓舞士气的作用。第五,网络空间中的伦理和国际法并非一成不变或绝对的,需要各国政府不断重新评估和调整。
民主政府,尤其是欧洲各国政府,应当牢记,成为“负责任的网络力量”,以及加强网络空间规范和国际法,是实现全球稳定这一最终目标的手段,而非目标本身。军队必须不断调整自身,提升作战效能,才能在战争来临时赢得胜利。在大国冲突时代,“负责任地不负责任”或许是加快网络空间作战节奏、促进创新和加强合作的必要条件。其他一切都可能只是过时的政治手段。
作者简介
斯特凡·索桑托:瑞士苏黎世联邦理工学院安全研究中心高级研究员。他领导网络防御团队,同时也是风险与韧性团队的联合负责人。
维多利亚·加约斯:瑞士苏黎世联邦理工学院安全研究中心研究员。她专注于军民融合和关键基础设施网络安全,尤其关注数字行动在冲突环境中的作用。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
