美俄網絡安全博弈:現狀、原因與未來
盡管網絡空間存在的相互攻擊現象在信息化時代已經數見不鮮,但是,在美國媒體的頻繁炒作下,美俄網絡安全博弈依然成為2021 年上半年的焦點。國家間的網絡攻擊事件再次引發全球對網絡安全領域的關注。2021 年上半年,美俄網絡攻擊的特點、高頻度美俄網絡安全事件的出現以及美俄在網絡安全領域雙邊關系的未來趨勢等問題,值得關注。
一、2021 年上半年的美俄網絡安全事件
根據美國媒體報道,自拜登于 2020 年年底確定勝選結果后,俄羅斯情報機構及其支持的黑客組織對美國的網絡攻擊行動相繼于 2020 年 12 月至 2021年 5 月被發現和披露。在這段時期,由美國政府和美國媒體宣稱的源于俄羅斯政府以及政府庇護下黑客組織的網絡攻擊事件主要有三起,即對美國軟件公司 SolarWinds 的供應鏈攻擊、對美國國際開發署的木馬郵件攻擊以及對美國能源基建企業的運行系統攻擊。可以看出,美國媒體披露于 2021 年上半年的主要攻擊事件都與俄羅斯相關。
對 SolarWinds 的網絡攻擊隱蔽時間最長、情報破壞性最大,攻擊行為于 2020 年 12 月才首次被美國從事網絡安全業務的企業火眼(FireEye)公司偵測到。火眼公司告知美國政府時,連美國最頂尖的政府網絡安全部門國家安全局都對本次攻擊毫無察覺。攻擊被偵測到以后,美國政府部門介入溯源調查,美國媒體則從今年 4 月才開始大量披露攻擊的內幕情況。根據《紐約時報》2021 年 5 月 28 日的更新報道,俄羅斯聯邦對外情報局(SRV)早在 2020 年以前就秘密進入向美國政府提供軟件服務的 SolarWinds 企業網絡,秘密修改大部分美國政府部門(包括核心情報部門)都在使用的 Orion 平臺更新代碼。在使用該平臺的美國政府部門更新軟件時,俄羅斯聯邦對外情報局順利進入 150 多家重要的政府部門和企業并獲得大量核心機密數據。本次攻擊在美國政界引起巨大震動,因為使用該軟件的美國關鍵涉密部門如美國國家安全局、國土安全部以及商務部和財政部的涉密單位,都在毫不知情的情況下被俄羅斯黑客竊取大量機密數據和重要信息。
2021 年 5 月,微軟公司宣稱其最先偵測到俄羅斯黑客通過偽造安全證書進入美國國際開發署郵件系統,并假冒國際開發署名義向與其合作的非政府組織發送木馬郵件。收到并打開木馬郵件的非政府組織網絡和信息,同樣被俄羅斯黑客成功滲透。
2021 年 5 月初,美國最大的成品油管道運營公司科洛尼爾(Colonial)的管道控制網絡遭到非政府黑客組織的攻擊,導致輸油管道網絡的癱瘓和管道大規模關停。在這家負責提供美國東部地區用油量45% 的企業關停主管道后,美國交通部被迫面向 17個州和首都華盛頓發布能源緊急狀態,美國東部地區出現加油站大量缺油停售和民眾排隊搶油囤油事件。為恢復輸油管道運行,科洛尼爾被迫向黑客組織支付比特幣作為勒索金,以換取該組織停止攻擊管道。事后,美國聯邦調查局宣稱,位于東歐的黑客組織 DarkSide 是本次攻擊的發起者,同時指責俄羅斯政府秘密庇護該黑客組織。
值得注意的是,以上所有關于美國遭到俄羅斯網絡攻擊的信息都來源于美國媒體和政府的單方面報道和宣稱,而由于網絡攻擊溯源本身的復雜性,很難從事實角度認定以上的網絡攻擊事件來源于俄羅斯,但如果只從 2021 年上半年由美國媒體單方面曝光的網絡安全事件來看,大國在網絡空間的復雜博弈已經發展到新的階段。在大國政治博弈加劇的國際環境下,網絡安全領域已經成為除經濟、政治、價值觀、軍事以外國家之間的第五種常規博弈領域。隨著大國政治博弈的加劇,網絡攻擊無論是從攻擊對象、攻擊類型還是攻擊目的來看都比以往更加全面、綜合和多樣化。美俄之間可能發生過的網絡攻擊事件明顯體現出這些特點。從攻擊對象看,以往美俄之間可能發生過的網絡攻擊大部分屬于兩國網絡情報部門秘而不宣的低烈度“暗戰”,網絡攻擊的主要對象是對方的情報部門,尤其是那些進行網絡情報搜集的部門。然而,假如攻擊確實來源于美俄兩國之間,從 2021 年上半年發生的攻擊事件來看,美俄兩國的網絡攻擊越來越多地轉向情報部門以外的其他政府部門(如人事管理部門、財政部、商務部等)、民用基礎設施以及重要的民間科技企業,攻擊對象也更加全面地包含官方與非官方、政府與非政府的組織和機構、營利性企業與非營利性企業等;從攻擊類型來看,假如美國媒體對可能來自俄羅斯的網絡攻擊的報道屬實,當前美俄之間的網絡攻擊手段已經呈現出更加復雜的綜合使用特點。郵件木馬、偽造安全證書、秘密改寫軟件代碼、供應鏈式攻擊以及鼓勵國際黑客參與攻擊等綜合性手段被混合使用于兩國的網絡攻擊行動;從攻擊的目的來看,盡管可能發生于美俄之間很多網絡攻擊的最終目的是施壓對方,但具體的攻擊事件總是包含不同的攻擊訴求。從美方對網絡攻擊的溯源分析看,2021 年上半年,對美網絡攻擊的目的主要包含經濟勒索、情報竊取、數據信息竊取、施壓反俄的非政府組織等。可以看出,網絡攻擊已經被很多國家當作實現經濟勒索、政治施壓、情報滲透、文化傳播目標的常規手段。
二、美俄網絡安全事件頻發的深層原因
發生在 2021 年上半年的美俄網絡安全事件并非兩國在網絡安全領域的首次沖突。事實上,美國國內媒體對“俄羅斯網絡攻擊”的新聞炒作從 2014 年就開始了,但 2021 年美國媒體的炒作力度確屬前所未有。網絡安全議題從其表象看屬于網絡攻擊與防護的技術性問題,但國家間網絡安全矛盾的根本原因在于權力政治的博弈,美俄網絡安全矛盾的根源在于美俄政治博弈。美俄關系自 2014 年加速惡化后,美國媒體關于俄羅斯網絡攻擊的報道開始大量出現。美俄關系經特朗普政府到拜登上臺已經下降到“觸底”階段后,美國媒體關于美俄網絡攻擊事件的報道在 2021 年上半年大量出現就不足為奇了。
美俄之間的政治博弈是如何從博弈結構層面影響到網絡安全議題層面的?這需要從美俄關系惡化以后雙方采取的政策博弈策略說明。2014 年的克里米亞事件后,美國聯合其歐洲盟國對俄羅斯施加經濟制裁,給俄羅斯的經濟發展帶來嚴重傷害。作為對俄羅斯吞并克里米亞的其他反制措施,美國增加對俄羅斯周邊國家尤其是烏克蘭和高加索國家的經濟、軍事援助,鼓勵這些國家與北約在對俄防務領域密切合作。美國謀求將北約的勢力范圍繼續東擴,擠壓俄羅斯的安全緩沖空間,直接威脅俄羅斯在東歐地區的戰略安全。除從地緣戰略角度侵蝕俄羅斯的安全空間以外,美國還通過其慣用的顏色革命手段,支持俄羅斯國內親西方的反對派,直接對俄羅斯的內政進行外部干預,使用西方人權民主等價值觀標準,將普京治下的俄羅斯塑造為獨裁專制國家。面對美國在經濟、外交、安全與價值觀方面對俄羅斯的全面施壓,國力相對較弱的俄羅斯并不能在以上四方面對美國采取對等的施壓措施。俄羅斯只能通過非對稱反制的戰略,在其他領域如網絡空間領域,采取平衡美國施壓措施的反制行動。事實上,美國媒體關于俄羅斯在網絡空間對美國進行攻擊行動的密集報道也正是從 2014 年開始的。根據《華盛頓郵報》2016 年 12 月 31 日和《華爾街日報》2016年 12 月 30 日的報道,俄羅斯黑客在 2014 年曾秘密進入美國政府的軟件供應商網絡,通過修改軟件更新代碼的方式,向使用軟件的美國電網植入攻擊木馬。美俄在網絡空間的博弈從 2014 年開始加速升級。然而,由于奧巴馬政府在處理俄羅斯對美國網絡攻擊時采取非常謹慎的態度,奧巴馬時期的美俄網絡沖突盡管存在但總體上被控制在低烈度范圍。
2016 年美國大選后,隨著美國情報部門披露俄羅斯黑客攻擊民主黨全國委員會郵件系統,美國國內政治精英認為俄羅斯黑客通過公布民主黨領導層的郵件內容,以實現打壓希拉里、分化民主黨選民和推動特朗普選情的目標。美國政治輿情自此認定俄羅斯對美國網絡攻擊與俄羅斯干預美國選舉有直接關系,白宮決策層也開始廢棄奧巴馬政府時期對俄羅斯網絡攻擊的謹慎回應策略。2018 年,特朗普將發動網絡攻擊的權限給予專門從事日常網絡攻擊活動的國家安全局和中情局,授權這些部門在沒有總統批準的情況下,基于情報搜集和“前沿防御”(forward defense)的目的攻擊或癱瘓敵國基礎設施網絡。特朗普還授意美國網絡部隊對俄羅斯采取“攻擊 + 曝光”(hack-and-dump)模式對俄羅斯干預美國大選進行同樣方式的報復。“攻擊 + 曝光”模式要求,凡是美國通過網絡攻擊獲取的俄羅斯內部機密信息,只要其不利于俄羅斯國內政治穩定,美國都會將其公之于眾。隨著特朗普在網絡攻擊命令授權方面為美國網絡部門“松綁”,美國政府的網軍開始對俄羅斯以及其他國家(包括中國)采取更加放肆的網絡攻擊和秘密監控活動。根據《紐約時報》2019 年 6 月 15 日的報道,美國網絡部門于 2019 年夏季成功對俄羅斯民用電網實施攻擊并將潛伏性網絡武器秘密植入俄羅斯電網設備中。攻擊行為被《紐約時報》曝光后,特朗普的國家安全事務助理博爾頓在回應中暗示,本次攻擊屬于對俄羅斯在網絡空間對美攻擊行為的報復行動。
在美俄在烏克蘭東部、反導部署、北約東擴、敘利亞內戰等問題上持續緊張的背景下,拜登上臺后繼續打著西方人權民主旗號對俄羅斯內政進行干預。拜登政府以人權價值觀為借口,通過團結歐盟等西方陣營,一方面,支持和扶植俄羅斯國內政治反對派,另一方面,則通過追加對俄經濟制裁,施壓普京“善待”的西方國家支持的俄羅斯政治反對派。可以說,拜登上臺后美國通過其價值觀外交對俄羅斯內政的干預達到前所未有的強度,而在其他領域則并沒有減少對俄羅斯的施壓力度。基于反制美國干預其內政的目標,俄羅斯自然會在其他議題領域對美國采取更具進攻性的施壓措施。由于網絡空間的攻擊活動具有隱蔽程度高、溯源難度大、行動成本低等特點,俄羅斯在網絡空間對美國的非對稱反制程度有可能隨著拜登政府干預俄羅斯內政的程度而逐漸升級。當然,2021 年上半年的美俄網絡安全事件也有可能是美國政府和媒體蓄意炒作的結果。從美國政府單方面給出的信息和美國媒體單方面作出的報道內容看,現有的攻擊不是由俄羅斯政府發起,就是由俄羅斯政府庇護的黑客組織發起,總之,攻擊都是和俄羅斯相關的。然而,從美俄在網絡空間的“互動”傳統以及美國超級強大的網絡攻擊能力看,美國很可能隱瞞了其對俄羅斯發動的網絡攻擊活動,利用其全球傳媒傳播優勢,將俄羅斯塑造為網絡攻擊的“施暴者”,將自己塑造為網絡攻擊的“受害者”。就此而言,美俄網絡安全事件的根源雖然在于美俄博弈的升級和博弈策略的選擇,但2021 年上半年美俄網絡安全事件的頻發也要“歸功”于美國政府和媒體強大的輿情傳播能力。
三、美俄網絡安全關系的未來
2021 年上半年美國本土網絡被攻擊事件頻繁曝光后,美國政府和學界對攻擊的反應非常強硬,通過網絡手段對俄羅斯進行報復似乎已成為除白宮以外的政策共識。負責美國網絡情報搜集和網絡攻擊行動的國家安全局局長保羅·納卡索內(Paul M.Nakasone)已經多次在聽證會上向國會暗示,如果美國不在網絡領域對俄羅斯采取報復性攻擊,俄羅斯黑客將繼續肆無忌憚地試探美國在網絡防御政策上的底線。參議院和眾議院情報委員會主席也在今年的網絡攻擊事件曝光后頻頻發聲,暗示國會將會支持拜登政府對俄羅斯采取適當的網絡報復措施,通過在網絡空間對俄羅斯采取威懾行動,防止俄羅斯黑客繼續有恃無恐攻擊美國。然而,盡管國會和網絡安全專家都催促拜登在網絡安全領域對俄羅斯采取懲罰行動,拜登政府當前應對俄羅斯網絡攻擊的方式卻更加溫和,其對俄羅斯網絡攻擊發出的報復威脅也更加曖昧。在美國情報部門技術專家確證SolarWinds 攻擊事件的發起者屬于俄羅斯聯邦對外情報局以后,拜登宣布對俄羅斯追加更多經濟制裁,但沒有宣布要在網絡空間對俄羅斯采取報復性攻擊。拜登政府回應俄羅斯網絡攻擊的謹慎方式已經體現出美國未來應對俄羅斯網絡攻擊的大方向政策。
首先,在美方宣稱 2021 年上半年對美國的主要網絡攻擊事件與俄羅斯有關以后,拜登政府警告要對俄羅斯未來的網絡攻擊采取“適當”(proportionally)的報復措施,這說明拜登政府在未來會致力于管控兩國在網絡空間的沖突,謹慎考慮美國在網絡空間對俄羅斯采取的報復措施,防止美俄在網絡空間的沖突升級為兩國相互對民用基建設施的大規模攻擊,防止俄羅斯對美國的網絡攻擊成為美國輿情關注的焦點,以致迫使拜登政府不得不把戰略重心從對華戰略競爭轉移到對俄網絡防御。基于此,拜登政府將繼續對俄羅斯的網絡活動采取謹慎回應策略。為避免美俄網絡沖突升級,拜登甚至可能收回特朗普時期授予網絡攻擊部門的自主決策權,對美國網絡攻擊部門的攻擊行動實施更加嚴格的“微管理”。在對俄羅斯未來的網絡攻擊進行回應時,拜登政府可能會更多地訴諸經濟制裁手段而不是網絡報復措施。拜登政府在回應政策上的謹慎與克制并非基于其對俄羅斯的友好態度,而是因為拜登政府不愿意因為美俄網絡沖突將其外交戰略的重心從對抗中國轉移到其他領域。在拜登政府看來,美俄在網絡空間的沖突必須被管控穩定并服從于美中戰略競爭這個戰略大環境。拜登在宣布與普京 6 月進行首腦會晤時聲稱,美國將致力于構建美俄“穩定與可預測的”(stable and predictable)雙邊關系。這說明,在拜登政府的戰略構想中,對俄關系要讓位和服從于對華關系大局。在拜登政府牢牢錨住對華戰略競爭這個戰略目標的政治大背景下,美國必須從穩定美俄關系、管控美俄沖突的角度處理對俄關系。“穩定與可預測”的美俄關系有利于美國集中資源精力展開對華戰略競爭。因此,在拜登政府穩定美俄關系的政治共識背景下,美俄網絡沖突會繼續以低烈度對抗但不可能升級為高烈度沖突的趨勢向前發展。
其次,盡管相互指責對方為網絡攻擊發起者將繼續成為美俄政治博弈過程中慣用的手段,但網絡安全技術本身的發展特點卻使美國在考慮網絡報復時不得不“三思后行”。在網絡空間,進攻的便利與報復的困難使網絡攻擊屬于低成本、更便捷的低烈度沖突手段,美俄在未來依然會傾向于選擇這種具有進攻性但很難被界定為“戰爭行為”的模糊施壓行動作為其政治博弈的常規策略,美俄之間的網絡安全事件也會在未來被更加頻繁地曝光于公眾視野。
從網絡安全技術本身的特點看,只要存在物理網絡的聯通狀態,就不存在無法攻破的網絡系統。美國的網絡安全專家在談及增強美國的網絡防護能力時也都承認,即使再強大的網絡防護也只是能增加攻擊者的突防難度,或者在攻擊者試圖破防時發出警告,或者在攻擊者試圖破防時防護系統主動采取抵御措施,但絕對的網絡安全防護是不可能實現的。因此,只要網絡系統以聯通狀態存在,成功的網絡攻擊總是有可能發生的。隨著網絡防護技術的發展,黑客們也在攻擊技術方面取得“與時俱進”的發展。根據美國麻省理工學院網站對全球各國黑客成功破防網絡系統所需時間的數據統計,俄羅斯黑客在突破網絡防御方面擁有除美國以外的最快速度。從截止到 2018 年的網絡攻擊數據看,全球黑客成功實施一次網絡攻擊的平均時間為 4 小時 37 分,而俄羅斯黑客只需要 18 分 49 秒即可成功實施一次攻擊。麻省理工學院的數據說明,俄羅斯確實具有非常強大的網絡攻擊能力。除俄羅斯以外,美國在網絡攻擊能力方面則更被公認為資源投入最大和能力最強。在美俄都擁有強大攻擊能力以及攻擊行動很容易實施的情況下,美俄之間低烈度的網絡攻擊“暗戰”肯定會繼續進行。
從美國網絡安全技術發展的現狀與特點看,拜登政府要在網絡領域報復俄羅斯確實會使美國自己面臨更大的網絡安全威脅。在 SolarWinds 攻擊事件曝光后,美國國會迅速成立專門的網絡安全調查團隊,對美國可能受到網絡攻擊的民用基建系統(如水網、電網、核電站、公共交通調度)進行防護能力評估。在 2020 年 3 月國會發布的《網絡空間日光浴委員會報告》(Cyberspace Solarium CommissionReport)中,調查團認為敵國對美國關鍵基礎設施進行網絡攻擊的后果要比加州山火和德州颶風破壞力更強,美國當前在關鍵基建領域的網絡防護能力明顯地無法抵御敵國潛在的網絡攻擊。美國在基建方面對網絡防護建設的不自信也使拜登政府在做好美國自己的基建網絡防御之前不敢妄談對俄羅斯的大規模網絡報復。
從美國網絡安全能力的角度看,盡管美國擁有當前全球最強大的網絡部隊,美國在采取報復性網絡攻擊方面的戰術選項卻并不多,這導致和平時期美俄在網絡空間出現大規模沖突的可能性極低。網絡武器與常規武器的不同在于,無論是用于進攻還是防御,網絡武器的本質是程序與代碼,其一旦被使用即可能被對手分析、解碼并可能被重新編碼為新的網絡武器。很多美國網絡武器屬于只能使用一次的復雜病毒性程序,為避免本方程序被分析解碼,美國的網絡戰部門在使用這些耗資巨大所研發出的病毒“武器”時也會非常謹慎。事實上,美國媒體已經多次披露,很多國際黑客組織已經成功解碼美國網絡情報部門所使用的攻擊程序,黑客組織對這些攻擊方法進行重新編碼后對美國進行“以彼之道還施彼身”式的攻擊。國際黑客組織甚至針對美國的網絡武器編碼習慣建立國際黑客通用數據庫,共享美國網絡武器的編程原理以對抗美國發起的網絡溯源、偵測和攻擊行動。因此,從維持美國網絡攻擊武器機密性的角度出發,擁有強大網絡攻擊能力的美國在采取網絡報復措施時可以使用的報復武器也乏善可陳。基于此,拜登政府在未來的報復措施中可能還是更加青睞于使用經濟制裁而非網絡武器來應對俄羅斯的網絡攻擊。
本文刊登于《中國信息安全》雜志2021年第6期
文│ 國際關系學院國際政治系講師、北京大學中外人文交流研究基地副研究員 孫冰巖
