2022年俄乌冲突中的网络空间对抗情况综述_赵伟.pdf

yberspace Strategy Forum网络空间战略论坛C66/2022.122022 年俄乌冲突中的网络空间对抗情况综述文北京知道创宇信息技术股份有限公司 赵 伟 李伟辰 刘光明【摘要】俄乌冲突爆发以来，网络战和舆论信息战不断升级，引发全球关注。俄乌双方的关键信息基础设施均遭受到大规模网络攻击，舆论信息战的覆盖面和影响度远超从前。目前，俄乌冲突已进入“相持阶段”，网络空间安全风险以及网络战“热战化”倾向明显，让全球网络空间安全面临空前的挑战，给未来全球网络空间安全格局带来深远影响。【关键词】俄乌冲突；网络空间对抗；舆论信息战；全球网络空间安全俄乌冲突是一场新型的网络信息全面战、综合战，在俄乌物理空间战场之外，多方势力在网络空间这个战场上进行激烈的较量，除了有直接的网络攻击引起系统瘫痪或数据损毁，还有网络信息战对舆论的影响与争夺。全球网络空间已真实地成为霸权国家实施进攻性认知域行动的数字战场，如何应对网络空间安全威胁已经是摆在所有国家面前的严峻挑战。目前，俄乌冲突还在继续，已进入“相持阶段”。梳理分析俄乌网络空间对抗进程，总结俄乌网络空间对抗呈现的主要特征，论述其对未来全球网络空间安全的深远影响，可以引发更多思考。一、俄乌冲突的网络空间对抗回顾就目前俄乌冲突发展进程看，可以将俄乌冲突划分为三个阶段，即冲突爆发前（2021 年 12 月 1日2022 年 2 月 24 日）、冲突初期（2022 年 2 月24 日2022 年 4 月 1 日）和冲突相持阶段（2022年 4 月 1 日之后）。根据网络空间测绘平台和安全智脑系统数据，俄乌双方早在冲突爆发前就开始了网络信息博弈。随着冲突不断升级，俄罗斯与西方围绕乌克兰问题的博弈也延伸到网络空间，以北约为首的各国表面上未直接参与军事冲突，却利用所主导的国际制度和武器化媒体平台极力压制俄罗斯，利用自身的互联网优势引导全球黑客卷入俄乌乱局，导致网络信息战全面拉开。（一）俄乌冲突爆发前的网络信息对抗在 2 月 24 日冲突升级之前，俄罗斯便发动了针对乌克兰政府机构等关键部门的大规模分布式拒绝服务攻击（DDoS）和数据擦除恶意软件攻击。1 月初，乌克兰外交部宣称，俄罗斯试图利用网络攻击和虚假信息等混合战争手段，破坏乌克兰稳定局势。此后，乌克兰外交部、教育部、内政部、能源部等部门约 70 个政府网站因遭大规模DDoS 攻击暂时下线。1 月 13 日，出现了一款针对乌克兰政府和商业实体的新型破坏性擦除恶意软件WhisperGate，执行多阶段攻击，目标指向乌克兰的政府、非营利组织和信息技术实体。2 月 23 日，一款名为 HermeticWiper 的新型数据擦除恶意软件在乌克兰的数百台重要的计算机上被发现。基于全球高级持续性攻击（APT）行为测绘数据发现，俄罗斯的 APT 组织 Gamaredon 在 2021 年 12 月开始对乌克兰进行持续性较大规模网络攻击，网络攻击在 2022 年 2 月达到峰值。同时，乌克兰依赖以美国为首的一些西方国家也积极开展对俄罗斯的网络攻击。在冲突爆发前，美国就派白宫最高网络安全官员访问北约，协调盟友应对俄罗斯针对乌克兰的电网、通信系统等关键信息基础设施的网络攻击。美国网络司令部还增加了前往东欧的“前线狩猎小组”数量，任务是与其盟友一起“加强”美国和乌克兰的网络防御。2 月22 日，欧盟启动了“网络快速反应专家小组”项目，帮助乌克兰抵御可能来自俄罗斯的网络攻击。项目的牵头方立陶宛依据欧盟“永久结构化合作防御和安全倡议”启动这个项目，旨在为欧盟及其合作伙伴提供网络防御能力。该团队通过发挥成员国各自的优势，研发网络安全工具包，帮助欧洲各国检测、识别和应对随时可能出现的网络攻击。美国在俄乌冲突升级前通过网络平台散布了俄罗斯在不久后进攻乌克兰的舆论，揭开了俄乌冲突舆论信息战的序幕。自2021年底，美国多次渲染俄罗斯即Cyberspace Strategy Forum网络空间战略论坛2022.12/67将“入侵”乌克兰，并多次公布俄军在俄乌边境调动和部署情况。美国官方多次为“入侵”设定了时间表，虽然每次到了时间点入侵都未发生，但是又会快速抛出新的“入侵”时间。2 月 17 日，美国国务卿布林肯在联合国安理会发表讲话称，美国情报显示俄罗斯已经走上了战争道路，计划未来数日进攻乌克兰。俄乌局势紧张期间，俄罗斯曾开展多次网络信息战影响乌克兰舆论宣传。1月13日，乌克兰政府网站遭到篡改，网站页面发布了旨在引发恐慌的虚假信息。乌克兰有关部门还查封了一个拥有超过 18 万个社交媒体账号用来散布假新闻的僵尸网络。（二）俄乌冲突初期的网络信息对抗2 月 24 日，俄乌冲突爆发，俄罗斯针对乌克兰的网络攻击对关键目标造成了实质性的破坏。乌克兰国家紧急事务部门称，冲突爆发后乌克兰多个电信基础设施因网络攻击出现经常性服务中断，政府不得不寻求美国星链（Starlink）卫星互联网提供的服务。3 月 1 日，伊赛特公司（ESET）安全团队披露了针对乌克兰政府组织的第三种数据擦除恶意软件 IsaacWiper。这种新型数据擦除恶意软件不带用于代码验证的数字签名，与 HermeticWiper 没有代码相似性且复杂度较低，并自 2 月 24 日起不断采用各种技术手段实施攻击。乌克兰数百台关键计算机被检测到数据擦除恶意软件，涉及乌克兰的金融和政府承包商，导致相关组织的系统设备数据遭到恶意删除。据俄罗斯卫星通讯社 2 月 27 日消息，国际黑客组织“匿名者”（Anonymous）宣布对俄罗斯发动“网络战”，声称对今日俄罗斯电视台（RT）遭受的一次网络攻击负责，并“黑掉”了车臣政府网站，也攻击了不少俄罗斯的摄像头。同日，美国前国务卿希拉里克林顿呼吁美国黑客对俄罗斯发动网络攻击。2 月 27 日，乌克兰在网络上招募了一支由安全研究人员和黑客组成的志愿“IT军队”，对包括政府机构、关键基础设施和银行在内的 31个俄罗斯实体目标进行网络攻击。另据 Cyberscoop网站消息，俄罗斯政府 3 月 2 日公布的一份清单显示，有 17500 多个 IP 地址和 174 个互联网域名参与了针对俄境内目标的持续 DDoS 攻击，克里姆林宫、国家杜马和国防部的网站因 DDoS 攻击而离线。所列清单包括美国联邦调查局、中央情报局主页及其他一些网站，而这些网站的顶级域名显示这些网站是在白俄罗斯、德国、乌克兰、格鲁吉亚等国及欧盟注册的。俄罗斯政府公布的清单包括美国联邦调查局、中央情报局及其他一些在白俄罗斯、德国、乌克兰、格鲁吉亚等国及欧盟注册的网站。数据显示，超过50个国际黑客组织卷入了俄乌网络冲突。在双方势力的持续抗衡下，其中 39 个黑客组织支持乌克兰，并持续对俄罗斯发起网络攻击，仅 13个黑客组织表示支持俄罗斯。乌克兰背后的西方国家尤其是美国利用自己对全球主流媒体、社交平台的掌控，以及一批跨国信息科技公司在互联网世界的资源主导权，持续堵截俄罗斯的舆论信息传播渠道。2 月 27 日，欧盟宣布禁止俄罗斯电视台和俄罗斯卫星通讯社两家俄罗斯官方媒体在欧盟境内传播，相关制裁措施在 3 月2 日正式生效。主流社交平台和跨国信息科技公司也纷纷跟进，美国 Meta 公司禁止俄罗斯官方媒体在其平台投放广告。谷歌公司封锁了俄罗斯官方媒体的 YouTube 频道，并将俄罗斯国家资助的出版商从谷歌新闻中除名；微软从其全球微软应用商店中删除了俄罗斯新闻应用程序；苹果在俄罗斯以外国家/地区的 App Store 中删除了俄罗斯的新闻应用程序。这一系列限制措施导致俄罗斯官方媒体难以发声，俄罗斯在全球舆论战场落于下风。（三）俄乌冲突相持阶段的网络信息对抗在网络战方面，俄乌双方都遭受了持续性、系统性的网络攻击，其中既有国家背景的 APT 组织行动，也有国际黑客组织发起的行动，还有不确定攻击来源的行动。截至 9 月中旬，总部位于瑞士的非政府组织网络和平研究所（Cyber Peace Institute）统计数据显示，自冲突爆发以来，俄乌双方 57 个不同实体进行了近 450 次攻击（大约每周 12 次）。据乌克兰国家特殊通信和信息保护局 8 月 26 日公布的统计数据，自冲突爆发以来，乌克兰共遭到 1123次网络攻击。乌克兰政府、地方政府是主要被攻击目标，其他受网络攻击影响较大的有金融机构、国防机构、能源企业等关键基础设施。随着冲突升级，俄罗斯遭受网络攻击的频次逐渐增多，破坏性也不断增强。俄罗斯联邦储蓄yberspace Strategy Forum网络空间战略论坛C68/2022.12银行（Sberbank）官网披露其在 5 月 6 日成功击退了有史以来规模最大的 DDoS 攻击，峰值流量超过 400 Gb/秒，攻击流量来自美国、英国、日本和中国台湾的 27000 台被感染的设备。8 月 29 日至9 月 11 日的 14 天内，乌克兰网络部队对俄罗斯发动新一轮网络攻击，瘫痪了包括俄罗斯最大银行俄罗斯联邦储蓄银行、俄罗斯最大的汽车及零配件在线销售平台在内的 2400 个俄罗斯网站。美国网络司令部司令兼国家安全局局长保罗中曾根（Paul Nakasone）曾在 6 月 1 日承认，美国军方对俄罗斯展开了“全方位”的进攻行动、防御行动和信息行动。在舆论信息战方面，各种信息域融合对抗的信息战和新媒体时代的舆论战使有关俄乌冲突的国际话语权争夺异常激烈。9 月初，美国 Meta 公司宣布已经关闭了数量庞大的脸书（Facebook）和照片墙（Instagram）的俄罗斯用户群，这些用户群针对德国、法国、意大利、乌克兰和英国在 60 多个冒充欧洲新闻机构的网站发布的虚假信息，传播与俄乌冲突及其对欧洲影响有关的虚假内容。据英国广播公司（BBC）5 月 10 日报道，俄罗斯胜利日期间，俄罗斯境内部分电视台遭受网络攻击，黑客成功获取权限后发布反战信息。这次协同网络攻击影响了包括俄罗斯第一频道、Rossiya-1、MTS 和 NTV-Plus 等俄罗斯主要媒体。在胜利日期间，在俄罗斯总统普京发表讲话时，黑客组织破坏了俄罗斯在线的电视时间表网页，并发布反战信息。二、俄乌冲突中网络空间对抗的主要特点俄乌冲突具备明显的“混合战争”特点，除高强度军事冲突外，还包括网络攻击、舆论攻击、信息对抗、封锁制裁等非常规、非对称作战。从俄乌冲突演进过程可以发现，在现代战争开局阶段实施高强度的网络信息战已成为首选项，关键信息基础设施也成为网络战的重点攻击对象，而舆论信息战的全程运用使双方博弈“白热化”，已成为决定网络信息战成败的杀手锏。（一）网络空间对抗已融入现代军事行动，多种手段实施网络攻击成为“首选项”网络战具有攻击成本低、效果好、难溯源的特点，拥有极强的隐秘性和巨大的杀伤力。在现代战争开局阶段，利用网络战损毁敌国关键信息系统，窃取军事情报，瘫痪互联网、通信、交通、能源、金融等关键基础设施，打击敌方军事指挥控制能力，已经是“首要必选手段”。事实上，网络攻击与军事行动的协同作用已被多国国防战略或军事条令所认同，并不断得到军事实践的验证。俄乌冲突进一步印证伴随现代军事行动的网络攻击是信息时代战争形态的必要元素。不管网络战最终能否成为一个独立的战争形态或应用场景，它作为现代军事行动的必要元素是毋庸置疑的。（二）国家级网络战和针对关键信息基础设施的攻防战成为网络战的“胜负手”俄乌冲突的网络空间对抗活动包括 DDoS 攻击、钓鱼欺诈、漏洞利用、供应链攻击、恶意数据窃取和数据擦除攻击等。其中，破坏性 DDoS 攻击目前已成为国家、政治团体甚至恐怖组织最直接的常用手段；长期性、高破坏性的有组织 APT 攻击，再加上散点攻击、无形可查、多轮无喘息的黑客攻击，能给对手造成全维度立体化网络打击。全方位立体化实施多种手段组合的不间断攻击，能在对手的网络空间挖开缺口，配合军事战争行动，实施深度伤害。俄乌冲突中对关键基础设施的攻击表现尤为显著。乌克兰政府部门、军事设施 政府网站、军事设施、金融能源等关键基础设施已遭受不少于 3 次大规模网络攻击，导致网站瘫痪、面临数据擦除危险，多个电信基础设施因为网络