欧洲政策分析中心发布俄罗斯网络战能力分析报告
近日,乌克兰的关键基础设施,尤其是发电厂遭受了俄军火力的多次打击,从哈尔科夫到顿涅斯克的广阔大地的夜晚一度陷入黑暗。战争的炮火和硝烟,似乎已经完全掩盖了网络战争的声音。曾经让乌克兰遭遇史上最严重停电事故的俄罗斯黑客组织和网络部队在这场持久惨烈的军事冲突中似乎已经被边缘化了。
欧洲政策分析中心(CEPA)最近发表了一份38页的研究报告,题为“俄罗斯网络战:揭示克里姆林宫的能力”,作者是两位著名的研究人员Irina Borogan和Andrei Soldatov。该报告试图揭示和分析为什么俄罗斯没有在俄乌冲突中表现出应有的网络战能力。报告还留下疑问:俄罗斯人是否尝试过网络战攻击?他们的努力被乌克兰网络防御挫败了?还是因为领导层的干预打乱了专业网络安全人士的执行策略?目前这些问题还没有确切答案。
但显而易见的是,俄乌冲突中俄罗斯的网络战技术能力受到了广泛质疑,并表明政治因素对网络战的影响可能比人们之前想象得要大。
俄罗斯网络行动的历史
报告作者带领读者回顾了俄罗斯网络行动的历史,概述了“俄罗斯关键网络战参与者”所扮演的角色,其中包括俄联邦安全局(FSB)、FSB情报中心16所通信情报中心(FAPSI)、外国情报局(SVR)、军事情报局(GRU)、总统行政/安全委员会和俄罗斯网络安全公司。
报告认为俄罗斯各机构在进攻性网络行动中的协作和协调是“虽然非正式但非常流畅”的最佳方式。但报告指出各机构普遍存在的四个基本问题:
- 通过以总统行政部门和安全理事会为中心的一系列政治进程进行协调,而不是传统的军事式指挥结构
- 以任务和能力的重大重叠为特征,经常导致资源竞争,有时会导致协调和冲突问题
- 由于不同的行为者通过不同的渠道和不同程度的问责制向总统行政部门和安全理事会报告,受到很大程度的非正式和政治操纵的影响
- 在培训、招聘和技术方面严重依赖私营部门,导致基层的非正式机构间高度整合
对于那些对俄罗斯网络行动历史缺乏了解的读者,该报告还简要回顾了1991年至2016年的重大网络行动,包括所谓俄罗斯试图影响西方选举的行动。俄罗斯网络行动的演练从2017年持续到2022年,包括在俄罗斯境内创建国家计算机应急响应小组(CERT)。
报告列举了2017-2022年俄罗斯颇具影响力的网络空间重大行动,包括2017年的NotPetya恶意软件攻击和法国总统大选数据泄露;2020年的SolarWinds供应链攻击;2021年的殖民地输油管道攻击以及2022年俄乌冲突前对乌克兰金融和政府网站的DDoS攻击等。
俄罗斯网络安全人才流失
特别值得注意的是,考虑到目前俄罗斯的网络人才外流,那些用脚投票以应对俄乌冲突和西方制裁的人,俄罗斯对此有足够的经验。
与西方一样,有限数量的人才可以填补越来越多的网络安全或网络运营角色(空缺)。该报告表明,人员短缺在俄罗斯(至少在俄乌冲突之前)不是问题。
2015年,俄罗斯国防部成立了ARSIB(首席信息安全官协会),在俄罗斯网络安全领域掀起人才培养热潮。ARSIB在大学举办CTF比赛,并举办多日黑客马拉松。历史上,俄罗斯的理工学院获得了大量培养人才的资源,并且在白帽网络社区、黑帽网络社区以及学术领域积极招揽人才。报告作者认为,今天,克里姆林宫在获取人才的方式上很像苏联时代,通过建立教育渠道,“确保为俄罗斯在全球范围内的网络行动提供足够的人才和资源。”
俄罗斯的实力来自于高效的人才培养管道,但是(俄乌冲突后)训练有素的人才大量流向西方依然导致了人才短缺。
最后,报告得出四个结论:
- 俄罗斯没有真正的网络战指挥部。没有明确的业务责任划分,没有统一的报告和问责制度。
- 俄罗斯各军事和安全机构在常规领域的组织、战略和文化差异不会延续到网络战行动中。
- 缺乏真正的网络战指挥系统意味着机构倾向于将传统(军事)方法应用于网络战,而不是开发适合网络战领域的指挥和控制方法。
- 俄罗斯的国家黑客部队、准官方黑客部队和非官方网络战人员都植根于苏联和后苏联早期的SIGINT和网络空间经验,这一点始终影响着俄罗斯的网络战能力建设。
报告链接:
https://cepa.org/wp-content/uploads/2022/09/Unpacking-Russian-Cyber-Operations-9.2.22.pdf