烏克蘭核電站遭到物理/網絡協同攻擊？微軟報告遭眾多網絡專家質疑

CyberScoop報道稱，微軟總裁布拉德史密斯最近大部分時間都在華盛頓各地宣傳他的公司關于俄羅斯-烏克蘭戰爭中網絡戰現狀和虛假信息的全面報告。 他與《華盛頓郵報》外交事務專欄作家大衛·伊格內修斯就其調查結果進行網絡直播。之后，他前往里根研究所的自由與民主中心就這份名為《保衛烏克蘭：網絡戰爭的早期教訓》的27頁報告發表了20分鐘的演講，隨后他加入了參議員安格斯·金 (I-ME)小組討論會。紐約時報、CNN、華盛頓郵報、NPR 和其他媒體報道這項研究是對烏克蘭戰爭中原本不透明和令人困惑的數字戰線的準確而有啟發性的觀察。

然而，在報告浮出水面后不久，領先的網絡安全專家和外交政策學者開始提出嚴重的問題和擔憂。他們對文件的許多關鍵點表示懷疑——即關于對核電站進行物理和網絡攻擊的說法——他們抱怨微軟試圖描述烏克蘭網絡沖突的狀態以促進其商業利益。

網絡安全學者、約翰霍普金斯大學高級國際研究學院教授托馬斯·里德說：“微軟是這個領域在這個星球上最具影響力的公司之一，[并且]微軟有責任做到這一點。” “如果你發布這類信息，你必須以一種清醒的方式，以一種以事實為依據的方式，以一種使用專業估計語言的方式來發布。”

總的來說，CyberScoop與十幾位著名的網絡安全威脅分析師、高管、軍事網絡從業人員和學者進行了交談討論，他們都批評微軟發布的報告既沒有包含技術基礎，也沒有支持其觀點的證據。他們說，更重要的是，它不符合即使是大多數科技公司在制作關于民族國家或犯罪網絡威脅活動的類似報告時也遵守的學術研究的基本標準。 

小證據，大結論

“來源引用很少，甚至不存在，”蘭德公司的虛假信息研究員和高級社會科學家克里斯托弗保羅說。他說，“在文本中存在一些指向特定來源和其他報道的鏈接，第一個實際參考是8 年代報紙頁面副本的數字來源”。保羅還指出，該報告向微軟自己的AI for Good Research Lab提供了許多數據和表格，該實驗室被微軟稱為專注于人工智能和機器學習的“數據科學家和研究人員的慈善團隊”，但沒有提供足夠的詳細信息。  

作為全球最大的科技公司之一，微軟確實對在烏克蘭進行的網絡攻擊擁有獨特的洞察力，并且就此而言，在世界大部分地區都如此。由于其網絡的覆蓋范圍和規模，它還經常與美國政府合作開展網絡安全業務。理所當然地，它將定位于了解烏克蘭網絡沖突的性質，并幫助告知公眾、政策制定者和該領域的專家。 

同樣，CyberScoop和許多其他出版物定期報道有關網絡活動和民族國家特工的行業報告。但在這種情況下，專家表示，微軟強大的全球市場地位、將自己定位為抵御俄羅斯網絡攻擊的堡壘所帶來的潛在商業利益以及烏克蘭極其微妙的局勢，使得該報告的大膽主張和缺乏數據令人擔憂。 

可以肯定的是，關于烏克蘭網絡戰的輪廓以及俄羅斯在其殘酷戰役中使用網絡手段的所有方式，仍有很多未知之處。但許多批評者對該報告提出質疑，因為他們認為微軟的報告夸大了俄羅斯協調網絡和物理戰的程度，并認為它將俄羅斯在烏克蘭的行動描述為過于復雜。

在給CyberScoop的一份聲明中，微軟發言人為該報告辯護，并對批評者的描述提出異議，稱該公司希望接觸更廣泛的受眾，這些受眾可能并不精通網絡攻擊的技術性質。 

發言人說：“網絡安全問題在整個數字環境中普遍存在，超出了安全社區，延伸到了關鍵受眾，包括政策制定者和其他并不總是沉浸在技術細節中的人。” “我們支持我們的報告及其調查結果，并歡迎與安全界內外的其他人進行持續對話，因為我們共同努力，為保衛烏克蘭和保護網絡安全生態系統盡自己的一份力量。” 

涉嫌核電站攻擊的問題

許多專家的主要反對意見涉及微軟對烏克蘭核電廠的明顯攻擊的未經證實的說法，據稱該攻擊將物理攻擊與網絡攻擊相結合。 

報告（第7頁）稱，“俄羅斯軍方在3月初聯合網絡和常規武器攻擊核電站”，并指出一個俄羅斯組織于3月2日在核電公司的計算機網絡上橫向移動，然后于3月3日發動軍事攻擊。

CyberScoop采訪的十幾位專家中的大多數人都認為這種說法存在嚴重問題。托馬斯·里德指出，雖然微軟最初暗示俄羅斯人使用網絡從核電站收集情報，但在接下來的句子中，該報告似乎在對沖，稱備受推崇的微軟威脅情報中心 (MSTIC) “確定了一個俄羅斯組織在核電公司的計算機網絡內橫向移動。”

“這個[聲明]充滿了假設，”托馬斯·里德說，他寫了大量關于俄羅斯情報的文章，并表示將重點從工廠本身轉移到更大的公司是誤導性的。“第一句話沒有第二句話支持。”

他還指出，雖然報告稱該工廠的網絡事件為“武器”，但對俄羅斯組織“橫向移動”的描述并不符合武器的條件。

托馬斯·里德說，盡管他對微軟關于烏克蘭的報告有看法，但通常來自MSTIC 的工作都是高水準的，并且沒有企業營銷或嘩眾取寵的光彩。“我對MSTIC以及他們一直在做的取證和調查工作表示最崇高的敬意——奇怪的是，這份報告并沒有反映他們的工作質量和水準，”他說。

另一位著名的網絡安全專家胡安·安德烈斯·格雷羅-薩德也表示，核電站軼事似乎高估了俄羅斯軍方目前的戰略能力。

SentinelOne的首席威脅研究員和SAIS的兼職教授格雷羅-薩德說：“提出俄羅斯軍隊的現實是一個包括不同情報部門和動能部隊之間有組織的協調，這是非常有吸引力的。” “它構建了一個我們還沒有看到的強大熊的視圖。”

（SentinelOne是Microsoft Defender for Endpoint 的競爭對手，后者是一個有助于防御高級持續性威脅的安全平臺）。

了解利害關系

格雷羅-薩德 說，由于烏克蘭目前的局勢及其引發的政策問題，比以往任何時候都更重要的是弄清實地或數字領域可能發生或可能不會發生的事情。  

“在有人建議將網絡作為國際刑事法院應考慮作為戰爭罪調查一部分的領域時，研究團隊和技術輸出應盡可能保持客觀和嚴謹，”他說。

核電站的故事也引起了一位高級國防官員的注意。

“就網絡攻擊而言，從戰略上講，這是俄羅斯人不想做的事情，”海軍研究生院國防分析部主任、《網絡戰爭與網絡現實：國際網絡沖突》一書的作者瑞安·馬內斯 (Ryan Maness)，”在電子郵件中說。“他們希望工廠完好無損，以獲得針對烏克蘭的戰略能源優勢（敲詐、脅迫），因此他們希望它能夠正常運轉。工廠周圍的槍擊事件是不負責任的。但據我所知，并沒有威脅到反應堆。”

他說，微軟正在提出“對戰爭網絡形勢的非常不完整的評估”。

像其他接受CyberScoop采訪的人一樣，Maness表示，這份報告給了俄羅斯人太多的信心。

該文件的許多最直言不諱的批評者表示，如此規模的報告不應被解讀為微軟的營銷宣傳，而應更多地依賴攻擊入侵指標和清醒的技術分析。相反，格雷羅-薩德說，這份報告似乎是“試圖進行技術研究并將其變成一個奇怪的游說機會。”

格雷羅-薩德還表示，該報告總是提出有問題的說法。例如，該報告在沒有證據支持這些聯系的情況下，將特定的網絡威脅與個別俄羅斯情報機構聯系起來。具體來說，該報告將各種網絡釣魚、數據盜竊和擦除攻擊歸咎于三個不同的俄羅斯情報機構，但沒有解釋它是如何做出每種歸屬的。他說，即使是最優秀的威脅分析師也很難建立這種聯系。

在2019年之前一直擔任中央情報局俄羅斯分析師、現在經營研究和分析公司 Activesmeasures的邁克爾·范·蘭丁厄姆（Michael van Landingham）也表示，該報告缺乏數據破壞了其調查結果。例如，他說，目前尚不清楚微軟是如何確定俄羅斯針對烏克蘭的網絡入侵企圖中只有29%成功的。

“作為微軟，你用你的數據捕捉到的俄羅斯網絡活動的范圍是什么，或者你正在測量什么，你可能遺漏了什么？” 他說。“我希望看到更多關于微軟可以看到什么和他們看不到什么的討論，以及這如何影響他們對阻止入侵的判斷的信心水平，以及打破威脅情報團隊或作者對這些入侵的廣泛看法是為了。”

他說，總體而言，他擔心該報告的概括性給非技術性受眾留下的問題多于答案。

“當你為更廣泛的受眾寫作時，所有這些東西都會被歸入大網絡！”他說。“但是 CYBER的問題！是 [現實] 顯然要微妙得多，而不是CYBER保護傘下的一切！在武裝沖突中產生的影響與作者或通才讀者可能預期的一樣。”

參考資源 

1、https://www.cyberscoop.com/cybersecurity-experts-question-microsofts-ukraine-report/

2、https://www.documentcloud.org/documents/22076854-microsoft_defending-ukraine_early-lessons-from-the-cyber-war

文章來源：網空閑話