卡巴斯基深度報告:從俄烏戰爭重新評估網絡戰
俄羅斯網絡安全公司卡巴斯基近日發布題為《重新評估網絡戰:2022年的經驗教訓》的報告,全面回顧涉俄烏戰爭的網絡空間活動,評析相關活動在當前沖突背景下的意義,認為此場沖突將對網絡安全行業和整個格局產生持久影響。
針對網絡活動與戰爭沖突預警,報告評析認為:當前任何形式的軍事行動都需要現場情報支持,包括涉及網絡空間的信號情報和電子情報;重大軍事行動往往伴隨著旨在癱瘓敵方通信網絡的強大網絡攻擊;在現代沖突期間,軍事攻擊前的幾天和幾周內預期將發生與情報收集和破壞性攻擊有關的網絡戰的顯著跡象和高峰。
針對Viasat網絡攻擊事件,報告評析認為:此事件是與烏克蘭沖突有關的最復雜的襲擊之一,該惡意活動很可能是由熟練且準備充分的威脅行為者在準確的時間范圍內開展的;事件再次表明,網絡攻擊是現代武裝沖突的基本組成部分,可能直接支持軍事行動中的重大事件;高級網絡威脅行為者可能會在各種戰略基礎設施資產中預先部署,為未來的破壞性行動做準備;在武裝沖突期間,很可能發生針對公共通信基礎設施的網絡攻擊,因為交戰方可能認為這些基礎設施具有雙重用途。
針對支持俄烏兩方的黑客組織,報告評析認為:俄烏沖突為包括網絡犯罪分子和黑客活動分子在內的各方新網絡活動創造了“溫床”,各黑客團體開始選邊站隊;預期黑客組織將卷入未來所有重大地緣政治沖突;網絡戰活動正在蔓延到鄰國并影響大量實體,包括政府機構和私營公司;大多數黑客攻擊的復雜性相對較低,對運營的影響非常有限,但可能被媒體放大為嚴重事件并導致聲譽受損。
奇安網情局編譯有關情況,供讀者參考。
重新評估網絡戰:2022年的經驗教訓
此時此刻,說2022年沒有任何事情像我們預期的那樣已經成為陳詞濫調。我們將新冠疫情危機拋在腦后,希望期待已久的恢復正常,但立即陷入了一場20世紀風格的軍事沖突的混亂和不確定性中,這場沖突構成了在整個歐洲大陸蔓延的嚴重風險。雖然對烏克蘭戰爭及其后果進行更廣泛的地緣政治分析最好留給專家,但沖突期間發生了一些網絡事件,我們的評估是這些事件非常重要。
在本報告中,我們建議回顧在網絡空間觀察到的與烏克蘭沖突相關的各種活動,了解它們在當前沖突背景下的意義,并研究它們對整個網絡安全領域的影響。
2月24日前的重大網絡事件時間表
在當今世界,如果沒有現場情報支持,發動任何形式的軍事行動都變得非常困難。大多數情報是通過各種方法從各種來源收集的,例如人力情報(從位于未來沖突地區的人員那里收集)、信號情報(通過攔截信號收集)、地理空間情報(例如來自衛星的地圖)或電子情報(不包括文本或語音)等。
例如,據《紐約時報》報道,2003年,美國制定了大規模網絡攻擊計劃,以在入侵伊拉克前凍結薩達姆侯賽因銀行賬戶中的數十億美元并削弱其政府。然而,由于美國政府擔心附帶損害,該計劃未獲批準。相反,美國在2003年戰爭初期實施了一項更有限的削弱伊拉克軍方和政府通信系統的計劃。該行動包括炸毀手機信號塔和通信網絡,以及對伊拉克電話網絡進行干擾和網絡攻擊。根據同篇報道,另一次此類攻擊發生在1990年代后期,當時美國軍方攻擊了塞爾維亞的電信網絡。無意中,這也影響了國際通信衛星公司(Intelsat)通信系統數天,證明網絡戰期間附帶損害的風險相當高。
從這些事件中吸取的教訓可能讓通過監測潛在沖突地區的新網絡攻擊來預測動態沖突成為可能。例如,在2013年底和2014年1月,我們觀察到APT組織Turla在烏克蘭的活動高于正常水平,APT組織BlackEnergy目擊事件數量激增。同樣,在2022年2月初,我們注意到與Gamaredon組織的命令和控制(C&C)服務器相關的活動量激增。這一活動達到了前所未有的水平,表明為大型信號情報收集工作進行了大量準備。
正如這些案例所示,在現代沖突期間,我們可以預期在軍事攻擊前的幾天和幾周內看到與情報收集和破壞性攻擊有關的網絡戰的顯著跡象和高峰。當然,我們應該注意到,相反的情況也是可能的:例如,從2016年6月開始,但最引人注目的是從2016年9月一直到2016年12月,Turla組織基于衛星的命令和控制(C&C)注冊數量比2015年的平均水平增加了十倍。這表明Turla組織異常活躍,標志著該組織資源的前所未有的動員。同時,據我們所知,隨后沒有發生軍事沖突。
重要見解:
● 當今軍事行動是在戰場上收集支持情報后進行的;這包括信號情報和電子情報等
● 重大軍事行動,如2003入侵伊拉克,伴隨著強大的網絡攻擊,旨在癱瘓敵方通信網絡
●2022年2月,我們注意到與Gamaredon組織的命令和控制(C&C)服務器相關的活動激增;在2013年底和2014年初的APT組織Turla和BlackEnergy活動中觀察到類似的峰值
● 我們可以預期在軍事沖突前的幾天和幾周內發現網絡戰的顯著跡象和高峰
一、沖突首日
在沖突首日(2022年2月24日),大量偽勒索軟件和惡意數據擦除軟件攻擊不加區別地襲擊了烏克蘭實體。在目標方面,我們無法確定任何形式的一致性,這讓我們相信這些攻擊的主要目的可能是造成混亂——而不是實現精確的戰術目標。相反,此階段使用的工具在性質上也各不相同:
● 勒索軟件(IsaacRansom);
● 虛假勒索軟件(WhisperGate);
● 惡意數據擦除軟件(HermeticWiper、CaddyWiper、DoubleZero、IsaacWiper);
● 針對工業控制系統/運營技術的惡意數據擦除軟件(AcidRain、Industroyer2)。
其中一些工具特別先進。據我們所知,HermeticWiper仍然被發現的最先進的活躍惡意數據擦除軟件。Industroyer2是在一家烏克蘭能源供應商的網絡中被發現的,如果攻擊者無法訪問受害者使用的相同工業控制系統設備,則不太可能開發該惡意軟件。也就是說,從軟件工程的角度來看,其中許多工具都非常粗糙,而且似乎是倉促開發的。
除AcidRain(見下文)的顯著例外,我們認為這些各種破壞性攻擊都是隨機的和不協調的——而且我們認為,在戰爭的宏偉計劃中影響有限。
惡意數據擦除軟件和勒索軟件攻擊的數量在第一波之后迅速消退,但仍數量有限的值得注意的事件被報道出來。2022年10月,Prestige勒索軟件影響了烏克蘭和波蘭的運輸和物流行業的公司。一個月后,一種名為RansomBoggs的新病毒再次襲擊了烏克蘭目標——這兩個惡意軟件家族都歸因于“沙蟲”(Sandworm)組織。其他參與最初攻擊浪潮的“出于意識形態動機”的團體現在似乎不活躍了。
重要見解:
● 低級別的破壞性能力可以在幾天內啟動。
● 基于這些破壞性攻擊的不協調性質,我們評估某些威脅行為者似乎能夠在短時間內招募孤立的黑客團體,以執行破壞穩定的任務。我們只能推測這些組織是重新分配給低級別網絡攻擊的內部資源,或者是可以在需要時調動的外部實體。
● 雖然這些破壞性網絡攻擊的影響與同時發生的動能攻擊的影響相比顯得微不足道,但應該指出的是,這種能力理論上可以針對武裝沖突背景之外的任何國家,并且以傳統的網絡犯罪活動為借口。
二、Viasat“網絡事件”
2月24日,依賴ViaSat擁有的“KA-SAT”衛星的歐洲民眾面臨嚴重的互聯網訪問中斷。這個所謂的“網絡事件”在世界標準時間4時左右開始,距離俄羅斯聯邦公開宣布在烏克蘭開始“特別軍事行動”還不到2個小時。從烏克蘭政府征求建議書可以發現,烏克蘭政府和軍方是KA-SAT接入的重要用戶,據報道它們受到了該事件的影響。但中斷也在其他地方引發了重大后果,例如中斷德國風力渦輪機的運行。
ViaSat很快懷疑中斷可能是網絡攻擊的結果。攻擊直接影響衛星調制解調器固件,但截至3月中旬仍未被了解。卡巴斯基專家進行了自己的調查,并在分析調制解調器內部結構和可能涉及的惡意數據擦除軟件植入程序的同時,發現了管理網絡中遠程訪問點的可能入侵路徑。“AcidRain”惡意數據擦除軟件于3月下旬首次被描述,而ViaSat發布了對網絡攻擊的官方分析。后者證實,威脅行為者利用配置不當的VPN通過遠程管理網絡進入,并最終傳遞破壞性有效載荷,影響了數萬個KA-SAT調制解調器。5月10日,歐盟將這些惡意活動歸咎于俄羅斯。
關于這次攻擊的很多技術細節仍然未知,以后可能會在政府視線之外公開。然而,這是迄今為止揭露的與烏克蘭沖突有關的最復雜的襲擊之一。惡意活動很可能是由熟練且準備充分的威脅行為者在準確的時間范圍內進行的,這不是偶然的。雖然破壞活動可能未能嚴重破壞烏克蘭的防御,但它在戰場之外產生了多種影響:刺激美國參議院要求在衛星網絡安全方面發揮作用,加速SpaceX公司“星鏈”(Starlink)部署(以及后來意想不到的費用賬單),以及質疑武裝沖突期間兩用基礎設施的規則。
重要見解:
● ViaSat破壞事件再次表明,網絡攻擊是現代武裝沖突的基本組成部分,可能直接支持軍事行動中的關鍵重大事件。
● 正如多年來人們一直懷疑的那樣,高級威脅行為者可能會在各種戰略基礎設施資產中預先部署,為未來的破壞性行動做準備。
● 在武裝沖突期間,很可能發生針對公共通信基礎設施的網絡攻擊,因為交戰方可能認為這些基礎設施具有雙重用途。由于互聯網的相互關聯性,針對此類基礎設施的網絡攻擊可能會對未卷入武裝沖突的各方產生副作用。保護和連續性規劃對于通信基礎設施至關重要。
● 網絡攻擊引發了人們對商業衛星系統網絡安全的擔憂,這些系統可能支持從自拍地理定位到軍事通信的各種應用。雖然軍事部隊經常討論針對太空動能戰斗的保護措施,并且更多數據中心預計很快就會升空……地面站管理系統和操作人員似乎仍然高度暴露于常見的網絡威脅。
三、選邊站隊:專業的勒索軟件組織、
黑客行動主義者和DDoS攻擊
一如既往,戰時對信息格局有著非常具體的影響。在2022年尤其如此,現在人類掌握了有史以來最強大的信息傳播工具:社交網絡及其有據可查的放大效應。大多數與戰爭相關的真實世界事件(小規模沖突、死亡人數、戰俘證詞的敘述)都在網上以不同程度誠意被分享和批駁。傳統新聞媒體也受到更廣泛的信息戰背景的影響。
DDoS攻擊以及在較小程度上污損隨機網站一直被安全社區視為低復雜性和低影響的攻擊。DDoS攻擊尤其需要生成攻擊者通常無法維持很長時間的大量網絡流量。一旦攻擊停止,目標網站就會再次可訪問。除非電子商務網站暫時失去收入,否則DDoS攻擊或污損提供的唯一價值就是羞辱受害者。由于非專業記者可能不知道各種類型的安全事件之間的區別,因此他們隨后的報道會形成一種無能和安全不足的印象,這可能會削弱用戶的信心。網絡攻擊的非對稱性在支持“大衛對歌利亞”形象方面發揮著關鍵作用,在網絡領域的象征性勝利有助于說服地面部隊在現實戰場上取得類似的成就。
根據卡巴斯基DDoS保護服務數據,自2022年初以來的11個月內,該服務登記的攻擊次數增長可能不會太顯著,但與2021年相比,資源受到攻擊的時間長了64倍。2021年平均攻擊持續約28分鐘,2022年為18.5小時,幾乎是原來的40倍。最長的攻擊在2021年持續了2天,在2022年持續了28天。
卡巴斯基 DDoS保護檢測到的DDoS攻擊總持續時間(以秒為單位),按周計算,2021年對比2022年
自俄烏戰爭開始以來,出現了一些(自認為是)黑客組織,并開始開展活動以支持任何一方。例如,聲名狼藉的集體“匿名者”組織將數十輛出租車派往同一地點,造成莫斯科交通堵塞。
卡巴斯基DDoS保護服務也反映了這一趨勢。大規模DDoS攻擊在一年中分布不均,最激烈的時間是春季和初夏。
卡巴斯基DDoS保護服務檢測到的DDoS攻擊數量(以秒為單位),按周計算,2021年對比2022年
攻擊者在2月至3月初達到頂峰,反映出黑客行動主義的增長,到秋天已經消退。目前,我們看到了定期的預期攻擊動態,盡管攻擊質量發生了變化。在5月至6月,我們檢測到持續時間極長的攻擊。然而,現在攻擊時長已經穩定下來,而過去典型的攻擊會持續幾分鐘,而現在攻擊會持續數小時。
2022年2月25日,臭名昭著的Conti勒索軟件組織宣布“全力支持俄羅斯政府”。該聲明包含大膽的措辭:“如果有人決定組織針對俄羅斯的網絡攻擊或任何戰爭活動,我們將使用我們所有可能的資源來反擊敵人的關鍵基礎設施”。該組織很快跟進了另一個帖子,澄清了他們在沖突中的立場:“作為對西方戰爭販子和美國威脅對俄羅斯聯邦公民使用網絡戰的回應,Conti團隊正式宣布,我們將全力采取報復措施,以防西方戰爭販子試圖攻擊俄羅斯或世界任何俄語地區的關鍵基礎設施。我們不與任何政府結盟,我們譴責正在進行的戰爭。然而,眾所周知,西方主要以平民為目標發動戰爭,如果和平公民的福祉和安全因美國的網絡侵略而受到威脅,我們將利用我們的資源進行反擊。”
兩天后,一名烏克蘭安全研究人員泄露了一大批Conti組織成員間的內部私人消息,涵蓋了從2021年1月開始的一年多的活動。此次信息泄露給該組織帶來了重大打擊,因為其內部活動被暴露給公眾,包括與收到的數百萬美元贖金相關的比特幣錢包地址。與此同時,另一個名為“CoomingProject”的專門從事數據泄露的網絡犯罪組織宣布,如果發現針對俄羅斯的攻擊將支持俄羅斯政府:
其他團體更愿意保持中立,如Lockbit以非政治的方式聲稱他們的“滲透測試者”是一個國際社會,包括俄羅斯人和烏克蘭人,并且這“只是生意”:
2月26日,烏克蘭副總理兼數字化轉型部長米哈伊洛·費多羅夫宣布創建Telegram頻道以繼續在網絡戰線上的戰斗。最初的Telegram頻道名稱中有錯別字(itarmyofurraine),因此又創建了第二個頻道。
“烏克蘭IT軍隊”Telegram頻道
該頻道運營人員不斷給訂閱者下達任務,例如對各種商業公司、銀行或政府網站開展DDoS攻擊:
烏克蘭“IT軍隊”發布的DDoS目標列表
據報道,在短時間內,由志愿者組成的“烏克蘭IT軍隊”通過Twitter和Telegram進行協調,對800多個網站開展了污損或DDoS攻擊,其中包括莫斯科證券交易所等備受矚目的實體。
其他團體也被觀察到發起平行活動,這些團體隨著沖突蔓延到鄰國而選邊站隊。例如,“白俄羅斯網絡游擊隊”聲稱他們通過將白俄羅斯鐵路切換為手動控制來擾亂其運營。目標是減緩俄羅斯軍隊在該國的調動。
“白俄羅斯網絡游擊隊”帖子
一些表達了對烏克蘭沖突的看法的勒索軟件或黑客組織的有限且迄今為止并不詳盡的清單包括:
在公開的親俄團體中,最初為應對“烏克蘭IT軍隊”而成立的Killnet可能是最活躍的。4月下旬,他們攻擊了羅馬尼亞政府網站,以回應羅馬尼亞眾議院議長馬塞爾·喬拉庫在向烏克蘭當局承諾“最大限度的援助”后發表的聲明。5月15日,Killnet在其Telegram頻道上發布了一段視頻,向十個國家宣戰:美國、英國、德國、意大利、拉脫維亞、羅馬尼亞、立陶宛、愛沙尼亞、波蘭和烏克蘭。在這些活動之后,被稱為“匿名者”的國際黑客組織于5月23日向Killnet宣戰。
Killnet在整個2022年繼續開展活動,在發動攻擊前會在其Telegram頻道上發布公告。10月,該組織開始攻擊日本的組織,后來由于缺乏資金而停止了攻擊。它后來襲擊了美國機場和政府網站和企業,但通過沒有取得重大成功。11月23日,Killnet短暫關閉了歐盟網站。Killnet還多次攻擊拉脫維亞、立陶宛、挪威、意大利和愛沙尼亞的網站。雖然Killnet的方法并不復雜,但其不斷成為頭條新聞并引起人們對該組織的活動和立場的關注。
重要見解:
● 烏克蘭的沖突為包括網絡犯罪分子和黑客活動分子在內的各方新的網絡軟件活動創造了溫床,他們爭先恐后地支持自己喜歡的一方。
● 從現在開始,我們可以預期黑客組織將卷入所有重大地緣政治沖突。
● 網絡戰活動正在蔓延到鄰國并影響大量實體,包括政府機構和私營公司。
● 一些團體,例如“烏克蘭IT軍隊”,得到了政府的正式支持,他們的Telegram頻道擁有數十萬訂閱者。
● 大多數攻擊的復雜性相對較低。
● 大多數時候,這些團體進行的攻擊對運營的影響非常有限,但可能會被錯誤地報告為嚴重事件并導致聲譽受損。
● 這些活動可能源自真正的“草根”黑客行動主義者、受到某交戰方鼓勵或支持的團體,或者源自交戰方本身——并且很可能無法分辨出哪個是哪個。
四、黑客攻擊和數據泄漏
在試圖劫持媒體注意力的更復雜的攻擊中,“黑客攻擊和數據泄露”行動自沖突開始以來一直在增加。此概念很簡單:侵入一個組織并在線發布其內部數據,通常是通過一個專門的網站。這比簡單的污損操作要困難得多,因為并非所有機器都包含值得發布的內部數據。因此,“黑客攻擊和數據泄露”行動需要更精確的定位,而且在大多數情況下,還需要攻擊者具備更多技能,因為他們尋找的信息往往深埋在受害者的網絡中。
這種活動的一個例子是烏克蘭士兵的“惡意收集個人信息”。西方實體也成為攻擊目標,例如波蘭政府或英國許多支持脫歐的著名人物。在后一種情況下,內部電子郵件被公開,導致調查記者進行審查。從理論上講,這些數據泄漏可能會受到操縱。攻擊者有足夠的時間編輯任何已發布的文件,或者也可以注入完全偽造的文件。
重要的是要注意,攻擊者絕對沒有必要竭盡全力讓數據泄漏造成破壞。數據的公開可訪問本身就是發生嚴重安全事件的證據,合法的原始內容可能已經包含有罪的信息。
重要見解:
● 在我們對2023年APT的預測中,我們預計“黑客攻擊和數據泄露”將在明年呈上升趨勢,因為它們對媒體曝光率和腐敗程度已經很高的實體(即政客)非常有效。
● 信息戰不是沖突內部的,而是針對所有旁觀者的。我們預計,絕大多數此類攻擊不會針對交戰方,而是針對被認為過于支持(或不夠支持)任何一方的實體。
● 無論是“黑客攻擊和數據泄露”行動還是DDoS攻擊,網絡攻擊興起為國家間外交信號的非動態手段。
五、有毒的開源代碼庫,將開源軟件武器化
開源軟件有很多好處。首先,它通常是免費使用的,這意味著企業和個人可以節省軟件成本。然而,由于任何人都可以為代碼做出貢獻并進行改進,這也可能被濫用,進而打開安全陷阱。另一方面,由于可以公開檢查代碼是否存在任何潛在的安全漏洞,這也意味著只要進行足夠的審查,就可以將使用開源軟件的風險降低到適當的水平。
早在3月,流行的npm包“node-ipc”背后的開發者RIAEvangelist發布了該軟件的修改版本,如果運行的系統具有俄羅斯或白俄羅斯IP地址,則該版本包含特殊功能。在這樣的系統上,代碼會用心形表情符號覆蓋所有文件,另外部署源自同一開發人員創建的另一個模塊的消息“WITH-LOVE-FROM-AMERICA.txt”。node-ipc包在全球超過800000名用戶中非常受歡迎。與開源軟件的情況一樣,部署這些修改后的“node-ipc”版本的效果并不局限于直接用戶;其他開源包放大了效果,例如自動包含最新node-ipc版本的“Vue.js”。
旨在在俄羅斯市場傳播的軟件包并不總是導致文件被破壞,其中一些包含隱藏功能,例如在軟件網站的某個部分或支持該國的政治聲明中添加烏克蘭國旗。在某些情況下,軟件包的功能會被刪除并替換為政治通知。值得注意的是,并非所有軟件包都隱藏了此功能,一些作者在軟件包描述中宣布了該功能。
其中一個項目鼓勵傳播一個文件,該文件一旦打開,將開始通過JavaScript攻擊所列服務器的各個頁面,使網站過載
在GitHub上發現的其他代碼庫和軟件模塊包括:專門為DDoS攻擊俄羅斯政府、銀行和媒體網站創建的代碼庫和軟件模塊;專門用于收集有關俄羅斯基礎設施和活動數據的網絡掃描器;旨在進行大規模報告的Telegram頻道機器人。
重要見解:
● 隨著沖突的持續,流行的開源軟件包可以被開發人員或黑客用作抗議或攻擊平臺
● 此類攻擊的影響可以進一步擴展到開源軟件本身,傳播到自動依賴木馬化代碼的其他軟件包
六、碎片化
在過去幾年中,尤其是在2014年之后,這一過程開始擴展到IT安全領域,各國通過法律禁止彼此的產品、服務和公司。
自2022年2月烏克蘭沖突爆發后,我們看到許多西方公司退出俄羅斯市場,讓其用戶在接收安全更新或支持方面處于困境。與此同時,一些西方國家已經推動禁止使用俄羅斯軟件和服務的法律,因為這些軟件和服務存在被用來發動攻擊的潛在風險。
顯然,不能完全排除政治壓力將一些小市場主體的產品、技術和服務武器化的可能性。然而,對于全球市場領導者和受尊敬的供應商,我們認為這種可能性極小。
另一方面,尋找替代解決方案可能極其復雜。正如我們經常發現的那樣,來自本地供應商的產品的安全開發文化通常明顯不如全球領導者,它們可能存在“愚蠢”的安全錯誤和零日漏洞,使它們很容易成為網絡犯罪分子和黑客活動分子的獵物。
如果沖突繼續加劇,位于政治局勢不需要解決上述問題的國家的組織,仍應考慮可能影響每個人的未來風險因素:
● 隨著IT安全開發商失去一些市場,威脅檢測的質量會下降,從而導致一些合格的IT安全專家的預期流失。對于所有承受政治壓力的安全供應商來說,這是一個真正的風險因素。
● 位于新“鐵幕”兩側甚至同一側(由于當地市場競爭加劇)的IT安全開發人員和研究人員間的通信中斷無疑會降低當前正在開發的安全解決方案的檢測率。
● 網絡威脅情報質量下降:政治壓力以及利用政府的政治言論來賺取額外利潤的企圖導致毫無根據的出于政治動機的網絡威脅歸因、夸大的威脅、較低的聲明有效性標準。
政府試圖整合有關事件、威脅和漏洞的信息并限制對這些信息的訪問會降低整體感知,因為信息有時可能會在沒有充分理由的情況下保密。
重要見解:
● 地緣政治正在發揮重要作用,碎片化進程可能會擴大
● 當供應商終止對產品的支持或退出市場時,安全更新可能是首要問題
● 用本地產品取代老牌的全球領導者可能會為利用零日漏洞的網絡犯罪分子敞開大門
七、發生過網絡戰爭嗎?
自沖突爆發以來,網絡安全界一直在爭論烏克蘭發生的事情是否可以稱為“網絡戰”。正如本報告通篇所記錄的,一個不爭的事實是,隨著烏克蘭沖突的開始,確實發生了重大的網絡活動。這可能是我們需要的唯一標準。
另一方面,許多觀察家曾設想,在發生沖突的情況下,毀滅性的先發制人式網絡攻擊將嚴重損害“特別行動”方。除了Viasat事件的顯著例外,其實際影響仍然難以評估,這根本沒有發生。相反,這場沖突揭示了網絡力量和動能力量之間缺乏協調,并在許多方面將網絡攻擊降級為從屬角色。在沖突的最初幾周觀察到的勒索軟件攻擊充其量只是分散注意力。后來,當沖突在今年11月升級并且烏克蘭基礎設施(尤其是能源網絡)成為明確攻擊目標時,很明顯俄羅斯軍方選擇的工具是導彈,而不是惡意數據擦除軟件。
如果你認同網絡戰的定義是通過網絡手段支持的任何動能沖突,無論其戰術或戰略價值如何,那么2022年2月確實發生了網絡戰。否則,你可能更滿意學者夏蘭·馬丁的“網絡騷擾”。
重要見解:
● 網絡攻擊根本不切實際;只有當秘密行動很重要時,這種不切實際的做法才是合理的。如果不是這樣,計算機的物理破壞似乎更容易、更便宜、更可靠。
● 除非非常重大的網絡攻擊未能引起公眾的注意,否則在撰寫本文時,我們的社區已經大大高估了公開戰爭背景下網絡攻擊的重要性。
八、結論
烏克蘭的沖突將對網絡安全行業和整個格局產生持久影響。無論“網絡戰”一詞是否適用,不可否認的是,當涉及大國時,這場沖突將永遠改變每個人對戰時網絡活動的預期。不幸的是,既定做法有可能成為事實上的規范。
戰爭爆發前,幾個正在進行的多方進程(聯合國的開放成員工作組和政府專家組)試圖就網絡空間中可接受和負責任的行為達成共識。鑒于我們目前正在經歷極端的地緣政治緊張局勢,這些已經很艱難的討論能否在不久的將來取得成果值得懷疑。
與此同時,紅十字國際委員會的“數字標志”項目是一項很有前途的舉措:這是一項擬議的解決方案,可以清楚地識別用于醫療或人道目的的機器,希望攻擊者不會損壞它們。就像現實生活中的紅十字和紅新月標志無法阻止子彈一樣,“數字標志”無法在技術層面上阻止網絡攻擊——但它們至少會讓所有人明白,醫療基礎設施不是合法攻擊目標。
沖突似乎越來越有可能拖延數年,而且死亡人數已經很高……我們希望每個人至少能就此達成一致。
