从美国咨询公司博思艾伦报告看俄罗斯网络作战

 

转载: 信息安全与通信保密杂志社

引用本文:罗仙,胡春卉,霍家佳.从美国顶尖信息技术咨询公司博思艾伦报告看俄罗斯网络作战[J].信息安全与通信保密,2020(9):85-91.

摘 要:俄罗斯联邦军队总参谋部情报总局是俄罗斯最大的军事情报部门,多年来俄罗斯军方利用该组织在全球范围内进行网络作战,以支持其外交政策。2020年3月,美国顶尖信息技术咨询公司博思艾伦发布报告披露俄罗斯军事情报组织GRU,基于此报告,首先概述了GRU组织在过去15年间的网络攻击行为及3个典型案例,其次剖析了该组织发动网络攻击与俄罗斯政治诉求之间的内在逻辑关系,最后简要总结了几点认识。

 

引言

2020年3月11日,美国“网络空间日光浴委员会”提出“分层网络威慑”战略,要求美国必须主动发现、追踪和反制对手低于武装冲突阈值下的行动并施加代价,其中提及俄罗斯网络干预选举等行为。2020年是美国第59届总统选举年,为严防“网络干预选举”事件的重演,美国联邦政府、各州政府高度警惕,在加强立法、资金援助、技术支持等方面采取了积极措施;美国网络安全企业等也不断揭露俄罗斯的网络作战行动,以提升警惕、加强防范。

基于此背景,2020年3月27日,美国顶尖信息技术咨询公司博思艾伦(Booz Allen Hamilton)发布了一份研究报告《揭露俄罗斯军事网络作战背后的逻辑》。该公司成立于1914年,于成立之年在全球首次提出“管理咨询”的概念。截至目前,博思艾伦已发展成为由约2.63万名科学家、工程师、软件开发人员、技术人员和咨询顾问组成的大型信息技术咨询公司,公司年收入逾40亿美元。根据该公司官网的最新介绍来看,核心业务主要聚焦于咨询服务、数字化解决方案、分析工具、工程和网络安全五大方面。

博思艾伦的这份报告瞄准俄罗斯三大情报机构之一的俄罗斯联邦军队总参谋部情报总局(GRU),以《俄罗斯联邦军事学说》为“突破口”,通过开源情报,细数了GRU在2004年至2019年间开展的网络攻击行为。报告认为俄罗斯军方十余年来利用其情报组织在全球范围内支持其外交政策,网络行动与军事安全策略不谋而合。报告采取“战略顶层切入、广泛政治背景融入、大量经典案例分析”的研究方法,将看似零散、隐蔽的网络行为与俄罗斯外交、军事策略进行了逻辑性关联,值得学习和借鉴。同时,报告中提及的经典案例为研究俄罗斯网络作战提供了很好的指引。

 

报告主要内容

报告首先概述了GRU在过去15年间的网络攻击行为以及俄罗斯联邦军事学说列举的18种军事风险和5种军事威胁,其次通过33个案例研究来重新审视与剖析GRU网络攻击行为与俄罗斯政治诉求之间的内在逻辑关系,最后得出结论——俄罗斯军方利用其情报组织在全球范围内发动网络攻击,以支撑外交战略、维护政治利益,俄罗斯军事情报组织的网络行动与其军事安全策略不谋而合。

1.1 俄罗斯军事学说及军事风险威胁概述

俄罗斯联邦军事学说(简称“军事学说”)是俄罗斯定期发布的重要战略规划文件,现行的军事学说是普京总统2014年12月签署通过的第四版文件。2014版的军事学说包含两个重要章节,分别明确了俄军必须应对的内外部环境和现代化军队的行动方式,同时概括了俄军可能进行网络作战的情况及系列作战特点。报告认为,充分理解军事学说对于评估GRU的网络行动至关重要,以军事学说为框架模型,可以将过去或正在发生的GRU网络攻击与政治环境联系起来,并预测GRU未来的网络攻击行为。

1.1.1 军事学说明确23类外部军事风险和内部军事威胁

军事风险是指为武装冲突创造条件的行为或情况。军事学说列举了18种军事风险,包括外部14种和内部4种。具体来看,外部军事风险包括:北约组织扩张、全球或区域不稳定、部署毗邻俄罗斯或其盟国的军事力量、破坏俄罗斯战略威慑力量、侵犯俄罗斯及其盟国领土或主权、大规模杀伤性武器或导弹技术、违背国际条约、近俄罗斯武装冲突、近俄罗斯外国军队、恐怖主义增长、种族宗教或文化分歧、对俄罗斯发动信息作战、建立毗邻俄罗斯的敌对国家、对俄罗斯发动政治颠覆活动。内部军事风险包括:俄罗斯政治冲突的挑衅、分裂主义和宗教恐怖主义、破坏俄罗斯历史精神和爱国传统、与俄罗斯文化冲突。

军事威胁是指可能直接导致武装冲突的行为或情况。军事学说列举了5种外部军事威胁,这些威胁是由故意敌视俄罗斯利益的外交或军事行动构成的,俄军应采取军事响应措施消除或应对这些威胁,以防止冲突发生。军事威胁包括:国家间关系急剧恶化、破坏俄罗斯关键军事领域或关键部门、支持对俄罗斯武装叛乱、毗邻俄罗斯军演、战备状态升级。

1.1.2 网络作战在军事响应中表现为识别和应对风险威胁

俄罗斯授权军队可参与确定和应对潜在的军事风险和威胁。一是识别和评估潜在的风险和威胁。列举了1个军事交战特点,网络作战在此阶段的重要性主要表现在利用信息技术开展间谍活动,对全球政治、外交和军事环境进行持续评估。二是应对具体的风险和威胁。列举了9大军事交战特点,如非对称战争、操纵社会或政治环境、高精度破坏性攻击等,网络作战在此阶段的重要性主要表现在:利用网络颠覆性技术使得在更少的兵力和物资条件下致胜、通过故意的数据泄漏和虚假信息散布损害政治目标声誉、以精确瞄准造成针对性的破坏等。

1.1.3 信息对抗成为混合战争的新范式之一

报告认为,俄罗斯军事条例和其他支持文件提供了一个作战概念,其特征是混合战争,通常将政治、经济或信息等非动能手段结合起来,以重新塑造对手的社会和政治环境。俄罗斯当前频繁采用的“信息对抗”是此军事战略的新范式之一。GRU网络作战以两类任务为中心:一是信息心理效应,通常由分支机构APT28执行;二是信息技术效应,通常由分支机构沙虫(Sandworm)执行。尽管这两个分支机构的基础设施和工具集通常是分开且不同的,但其偶尔的作战重叠却证明了它们之间具有联系。

1.2 GRU网络攻击行为案例研究

报告认为GRU的网络行动反映了该机构的核心目标,即对军事学说中所描述的23种安全风险和威胁进行网络监控、抵消和响应。报告列举了GRU涉及的33个网络攻击行为案例,分析了俄罗斯可能会把这些初始风险或威胁作为军事安全考量的原因。本文选取3个典型案例以简要分析GRU网络行动如何演绎出与俄罗斯军事策略的“如影随形”。

案例一:“打击敌人”——网络干预对手国家选举。

俄罗斯长期以来坚决反对北约向东欧和中亚扩张。2016年黑山共和国举行议会选举,旨在加速进入北约组织的进程。为扰乱这场关键选举,GRU对黑山发起网络攻击行动。在选举前三天,GRU对黑山媒体网站、该国最大的电信公司、监控选举进程的非政府组织以及黑山民主社会党等均发起了分布式拒绝服务攻击,试图利用网络手段操纵黑山的政治和社会环境。即便在2017年黑山加入北约组织后,GRU仍针对黑山继续实施网络钓鱼攻击活动。此外,GRU也采用了其他混合战争的手段,如斥巨额资金助长反对派政治团体发动叛乱,被黑山执法部门阻止的物理世界打击活动,如试图袭击议会、暗杀总理、煽动内乱等。由此可见,GRU网络干预对手国家选举与俄罗斯军事学说中抵御北约组织扩张的第一军事准则“不谋而合”。

案例二:“团结盟友”——多种网络手段力挺叙政府军。

俄罗斯军事学说把保持盟国稳定政治关系并阻止外国势力扰乱周边列为第二原则。2014年9月,美国开始对伊拉克和大叙利亚伊斯兰国(ISIL)在叙利亚的部队发动空袭。俄罗斯认为美军这一行动对俄罗斯维持全球和区域稳定构成了威胁,于是在2014年12月至2015年2月期间多次恐吓美国军事机构。首先,GRU以叙境内ISIL黑客组织身份针对美国军方和执法机构实施骚扰和恐吓,制造出ISIL会对与反恐行动有着直接或间接关联的美方组织机构进行报复的假象;接着,GRU入侵了马里兰州、新墨西哥州等的媒体网站和社交媒体账户,并利用亲ISIL的图像来丑化这些网站;此外,GRU通过美国中央司令部被黑的社交媒体账户对外泄露了诸多关键信息。GRU采取多种网络手段力挺叙政府军,彰显了军事学说中“保持盟国稳定政治关系”的第二原则。

案例三:“持续遏制”——网络攻击抵制反俄罗斯政治势力崛起。

为了应对与西方关系的恶化,GRU开展了无数行动来消除或响应这一军事威胁。与乌克兰不同,俄罗斯对其他西方选举的干预完全集中在利用网络信息制造舆论效应。GRU已采取措施来获得这方面的能力,这可能会导致操纵、破坏选举本身或破坏选举基础设施,如托管统计票数的网站、投票机软件公司以及选民登记数据库等。如2016年美国大选、2017年法国总统选举等案例中,为抵制强烈反对俄罗斯利益的西方政治家的崛起,GRU网络攻击主要起到两大作用:一是利用社交媒体引导舆论走向,加剧政治不稳定态势,如窃取并泄露希拉里、马克龙等政治候选人的电子邮件;二是通过先发制人的行动为最大限度地扩大影响创造机会,窃取选举电子邮件内容的行动在邮件被泄露前几个月就开始了,这使得GRU能通过适时发布邮件内容来最大限度地扩大影响。GRU通过网络攻击遏制反俄政治家,与军事学说中坚决打击反俄势力崛起“高度契合”。

1.3 未来预测及防护建议

报告从俄罗斯军事学说视角预判了促使俄罗斯发动军事响应的几个国际政治形势:一是北约继续扩张,GRU可能利用网络行动干扰乌克兰、格鲁吉亚等国的民主进程;二是对中亚利益的竞争导致中俄关系紧张,GRU可能会利用网络间谍监视中亚的政治家、外交官等;三是对东亚地区的重视,GRU可能会监控美在亚太地区的军事演习、外交事务;四是对北极地区的竞争,GRU可能会对试图与北约建立紧密军事关系的非北约北极国家进行破坏性袭击。鉴于此,报告得出结论:GRU是兼具网络安全技术实力与国际政治战略眼光的情报组织,以瞄准数据和系统的方式推进国家长期军事安全目标。

最后,报告从两方面提出了防范网络风险威胁的相关建议:一是应从威胁态势评估、高价值资产识别和威胁建模等方面加强网络风险管理;二是应从持续风险管理、威胁情报和信息共享等方面加强网络防御。

 

几点认识

特朗普政府时期,美俄两国在制裁与反制裁、北约扩张、核威慑、战略平衡等国际热点问题上反复博弈,同时双方在网络空间领域的博弈也持续升温。2019年12月23日,俄罗斯成功举行国家级“断网”演习,其国家基础设施脱离全球网络仍能无间断运行。2020年7月11日,特朗普在接受《华盛顿邮报》的采访中首次公开承认曾于2018年批准了对俄罗斯互联网研究机构(IRA)的网络攻击,此举阻止了IRA的互联网访问,并使IRA在中期选举的几天内基本处于断网状态。从美俄两国在网络空间的系列举措可以见得,网络空间已发展成为政治博弈的新战场,网络战已从幕后走向台前,成为大国博弈青睐的首选范式。报告对GRU组织网络作战行动的深度剖析,无疑是再次敲响了网络战的警钟;反之,俄罗斯网络军事力量建设与运用也加深了我们对其网络战的理解与认识,简要归纳为以下几点。

2.1 俄罗斯网络作战能力不断提升

2014年第四版军事学说中,俄罗斯首次将“利用信息和通信技术进行破坏主权、国家领土完整等反国际法活动,干涉俄罗斯联邦邻国的政治制度及实施威胁俄罗斯利益的政策”等非传统安全列入其面临的主要外部威胁,这表明俄罗斯对当前面临的军事威胁有了新的认识和判断,并且高度重视网络空间安全,将其作为俄罗斯军事政策的重要内容。在国际网络空间博弈不断加剧的背景下,GRU以及俄罗斯其他军事机构不断强化网络空间作战能力,并在近15年的作战行动中适度调整和实战化运用,从西方国家和机构披露的俄罗斯两次网络攻击乌克兰电力系统、多次网络干预西方国家的政治选举等案例可见一斑。2019年11月,俄罗斯总统普京签署的“主权网络法”正式生效,该法律要求所有俄罗斯互联网服务提供商都通过由俄罗斯监管机构的特殊服务器来进行流量监管。俄罗斯不断从顶层战略、法规体系、技术支撑等方面来建立和完善全面的网络空间安全保障体系,未来在政府和军队的顶层规划指导下,俄罗斯网络作战能力将不断跃升。

2.2 GRU成为维护俄罗斯国家利益的“先锋军”

报告披露的多起GRU网络攻击案例,使我们联想到美国信息安全巨头赛门铁克(Symantec)2018年发布的有关网络间谍组织APT28的调查结果,其主要意见与该报告提出的结论相呼应。当俄罗斯通过多种途径判断国家面临军事学说明确的23类安全风险或威胁时,富有网络空间作战经验的情报机构、防务承包商等都可以按命令参与军事响应。毫无疑问,在网络空间历经百战的GRU会率先充当起“先锋军”的重要角色,以国家级网络攻击手段优先发起攻击,为俄罗斯消除或平衡军事风险和威胁抢占先机。换言之,GRU的网络攻击亦是俄罗斯应对不断变化的国际政治环境所采取的第一道防御机制。

2.3 认知域对抗成为俄罗斯网络作战的首选途径

在国际社会高度关注“现代政治战”的大背景下,俄罗斯已意识到瞄准认知域对抗的“非直接干预”已成为国家间冲突的典型模式,因此在军事学说中提出了“广泛利用国民的抗议力量”作为军事风险和威胁的响应手段之一。GRU在2016年美国大选、2016年黑山议会选举、2017年法国总统选举等政治事件中,通过挑衅式的数据泄露或虚假信息来抹黑目标政治候选人的声誉,试图引导选民的政治意向;2015年针对英国广播公司的网络攻击中,GRU在一定程度上煽动了社会分裂的反穆斯林情绪骤然上升。综合来看,在33个案例中,以“操纵社会和政治环境”为目的的网络攻击高达17次,说明俄罗斯把舆论引导、心理干扰等认知域对抗手段作为网络作战的首选途径。

2.4 俄罗斯利用“混合战”实现对军事目标的软硬杀伤

俄罗斯军事学说和其他军事文件提供了“混合战”的作战概念,强调利用军事、舆论、媒体、政治和情报等策略多管齐下的“混合战”战术,以最少的成本动摇对手的根基。在报告的案例中,GRU多次以窃取隐私数据、制造虚假信息等网络行动为铺垫,利用各种信息手段展开大规模的心理战和舆论战,赢得政治主动和军事胜利的先机之利;接着瞄准对方的电力系统、选举系统等关键基础设施或武器系统,适时发动精确破坏性的网络攻击,造成系统瘫痪或服务中断。这样一来,通过对意识形态的干扰配合对物理世界的适时打击,俄罗斯实现了对敌方军事和非军事目标的软硬杀伤,其作战效能显著提升。此外,2018年俄军还设立“军事政治管理总局”,旨在提升俄军信息战、舆论战、心理战等能力,从体制机制层面不断提升其混合作战能力。

 

结语

随着网络信息技术发展、国际政治局势变革等因素,网络空间博弈已从黑客攻防、政治诉求发展成为大国政治博弈的重要手段。现代社会对网络空间的高度依赖性导致网络空间存在广泛脆弱性,一方面,网络钓鱼邮件、拒绝服务攻击等网络恶意行为的多样性、复杂度及频次都大幅增加;另一方面,网络空间已渗入人类社会生活乃至意识形态的方方面面,成为意识形态斗争的新战场和主阵地,对国家政治安全也产生严重威胁。博思艾伦对GRU组织的揭露,不仅揭开了俄罗斯网络作战的神秘面纱,反之也敲响了大国网络空间博弈的警钟,亟需从顶层规划、人才培养、技术创新等各个方面加强网络安全能力建设。

作者简介

罗 仙(1991—),女,硕士,工程师,主要研究方向为网络安全战略研究;
胡春卉(1980—),女,硕士,高级工程师,主要研究方向为网络安全战略研究;
霍家佳(1978—),女, 硕士,研究员,主要研究方向为信息安全。
选自《信息安全与通信保密》2020年第9期(为便于排版,已省去原文参考文献)

(完)