2022年6月22日,微软发布了一份名为《保卫乌克兰:网络战争的早期教训》的研究报告,该报告来自微软威胁情报团队和数据科学团队进行的研究成果,旨在加深人们对俄乌网络战争中威胁形势的理解。报告提供了从收集和分析的数据中得出的一系列经验教训和结论。值得注意的是,该报告揭露了有关俄罗斯尝试进行网络攻击的相关信息,包括针对乌克兰境外盟国政府,非营利组织和其他组织的网络渗透和间谍活动。这份报告还揭示了俄罗斯利用复杂而广泛的国家影响力行动来破坏西方团结的相关细节。微软在报告中揭露了这些网络影响力行动与全方位的网络破坏性和网络间谍活动。最后,该报告呼吁制定一项协调和全面的战略来加强集体防御——这项任务需要私营企业部门、公共部门、非营利组织和民间组织团结起来。这份新报告的前言由微软总裁兼副主席布拉德·史密斯撰写。
报告共分为5个章节,奇安信威胁情报中心下面将对这5个章节以及微软团队总结的经验教训和结论分别进行介绍。
01
战时数字化作战分布
微软在报告第一章提到,由于政府依赖数字通信和大数据,维持乌克兰政府稳定运行的关键之⼀是将这些数据操作分散到公有云和国外。
战前,乌克兰有⼀项⻓期存在的数据保护法,禁止政府当局在公有云中处理和存储数据。这意味着该国的公共部门数字基础设施在该国境内的服务器上本地运行。在俄罗斯入侵前⼀周,乌克兰政府的信息系统完全运行在位于政府⼤楼内的服务器上。
2⽉17⽇,俄罗斯军队入侵前几天,乌克兰议会紧急采取行动修改其数据保护法,以允许政府数据从现有的本地服务器转移到公共云中。这实际上使其能够将关键的政府数据“转移”到国外并入欧洲的数据中心。
战争初期,俄罗斯导弹袭击的目标是乌克兰政府数据中心。并且俄罗斯军方已经针对乌克兰政府的本地计算机网络进行了破坏性的网络“擦除”攻击。微软团队认为这些军事攻击和网络攻击对运营影响有限的一个原因是,数字运营和数据已被分配到公有云中。
这凸显了在战时而非和平时期保护公共部门数据的关键区别。近年来,世界各地的⼀些政府采取了相关举措,将政府数字业务集中在所谓的国家主权范围内的数据中心,位于相应国家的边境内。
虽然从国家安全的⻆度来看,在和平时期有⼀些因素使其具有吸引力,但乌克兰过去几个月的情况说明了战争期间普遍存在的非常不同的防御需求。⼀个国家在战时的数字弹性的关键是能够快速将数据转移到国外,同时仍然连接并依赖它来保证政府的稳定运行。
因此,微软团队得出的第一个结论是:“防御军事入侵现在要求大多数国家有能力将数字业务和数据资产跨境分配和分发到其他国家。”
02
进攻性网络攻击和防御性网络安全行动的演变
在乌克兰战争中,肉眼看不到的网络攻击与网络安全运营相抗衡。虽然一些网络攻击已经成功地实施并摧毁了他们的目标。但到目前为止,从更广泛的层面上看,这些攻击在战略上未能削弱乌克兰的防御能力。部分原因在于前面提到的乌克兰将信息系统转移到公有云中,但另一个原因是网络防御成功挫败了这些攻击。
微软指出俄罗斯军方在乌克兰部署的破坏性网络战术包括三个方面。第一个方面是有针对性的网络钓鱼和类似的入侵乌克兰计算机网络的攻击尝试,这在勒索软件和国家网络间谍活动中也很常见。第二个是旨在“擦除”计算机硬盘并破坏其所有数据的“擦除”恶意软件。第三个涉及恶意软件传播,旨在将这种恶意软件复制或传播到跨网络域的其他计算机,例如整个政府部门的网络。
随着战争的发展,俄罗斯军队根据不断变化的战争需求调整了其破坏性网络攻击。俄罗斯军方曾多次将其网络攻击与针对同一目标的常规军事行动结合起来。乌克兰战争见证了俄罗斯先使用网络攻击来破坏目标的计算机网络,然后试图用地面军事部队或导弹攻击来摧毁目标。
与2017年的NotPetya攻击不同,俄罗斯还没有使⽤破坏性的“可蠕⾍化”恶意软件,相反攻击者将恶意软件设计为长期驻留在乌克兰的计算机系统内。自乌克兰战争开始以来,部分分析者对俄罗斯没有发动大规模破坏性网络攻击表示惊讶。在某种程度上,这是基于与NotPetya造成的大范围破坏攻击后果进行的比较,如今俄罗斯在避免重复这种破坏性结果。
但网络攻击造成的影响有限也可以归因于其他因素。例如网络攻击是肉眼看不见的,因此只有在攻击成功且计算机网络停止运行时,它们才会被公众感知,并被记者报道。而且,⾄少到⽬前为止,乌克兰经受住网络攻击的次数远远多于失败次数。
微软在报告里提到,网络防御与运营的能力一方面来自于网络安全威胁情报的加持。MSTIC(微软威胁情报中心)这样的组织现在受益于微软每天从全球生态系统中的设备和云服务接收的数亿个信号节点采集的数据信息。这个庞⼤的全球数据集是⼀种非凡的资源,可以更快地检测到新的异常或者识别已知的相同攻击。基于人工智能的网络安全技术也在进⼀步增强这种保护能力。
另一方面的进步也同样重要,涉及互联网连接的端点保护,可以通过防病毒软件利用恶意代码特征来识别和阻止破坏性恶意软件。从某种意义上说,这有点像1940年雷达所扮演的角色,检测恶意软件攻击并指挥防御力量阻止它们。MSTIC 多次在短短几个小时内提取出新的恶意软件特征并将其分发回乌克兰乃⾄全球的终端安全设备。这在阻止破坏性恶意软件的扩散等方面发挥了关键作用,否则这些恶意软件可能会在更广泛的网络域中大量传播。
此外,乌克兰政府正在进行的战时措施和创新进⼀步加强了这种保护。就微软直接参与的行动而言,其中两项措施最为重要。⾸先是使用从RiskIQ获得的技术来梳理和识别可能受的攻击⾯,包括针对存在已知漏洞但未打补丁的设备。此外,乌克兰政府通过特殊的法律措施授权微软能够主动采取远程行动,在乌克兰整个政府和全国的Windows操作系统上打开 Microsoft Defender 中被称为受控⽂件夹访问的功能,从而有效缓解俄罗斯恶意软件的攻击。
因此,微软得出的第二个结论是:“网络威胁情报和端点保护的快速响应帮助乌克兰抵御了俄罗斯高频率的破坏性网络攻击。”
03
俄罗斯网络渗透和在乌克兰境外的网络间谍活动
破坏性网络攻击是俄罗斯政府攻击者的另一大目标,旨在将破坏性网络攻击用于支持和协助军事战争。随着多个国家联合保卫乌克兰,俄罗斯情报机构加强了针对乌克兰以外政府的网络渗透和间谍活动。自战争开始以来,MSTIC已检测到俄罗斯对境外42个国家/地区的128个⽬标的网络入侵活动,其中49%是政府机构。另外12%是非政府组织,其中最典型的是为相关外交政策提供建议的智囊机构,或者是参与向乌克兰平民提供援助或⽀持难民的人道主义团体。其余的攻击活动针对相关IT公司,然后是能源和其他涉及关键国防或经济的公司。
虽然这些⽬标分布在全球各地,但微软所观察到的活动中有63%涉及北约成员国。根据MSTIC的观察,俄罗斯的网络间谍活动比其他任何国家都更关注美国的目标,美国的⽬标占据除乌克兰以外全球总数的12%。紧随美国其后的是地理上接近乌克兰的北约成员国,在这个列表的顶部是波兰,占网络入侵的8%。俄罗斯的网络活动还积极针对丹⻨、挪威、芬兰和瑞典,这些加起来占全球所有观察到的俄罗斯攻击目标的近16%。
自乌克兰战争开始以来,MSTIC监测发现俄罗斯网络攻击的成功率为29%。并且MSTIC发现在取得成功的入侵活动之中,有四分之一均导致被攻击组织数据泄露。
虽然⾃SolarWinds事件发生以来,防御性保护取得了重大进展,尤其是在云服务和云安全技术方面,但这些进展的实施仍然不平衡,特别是在欧洲政府之间,仍然存在严重的集体防御弱点。
微软团队在乌克兰网络战中得到的第三个结论是“随着各国联盟齐心协力保卫乌克兰,俄罗斯情报机构加强了针对乌克兰境外盟国政府的网络渗透和间谍活动。”
04
俄罗斯的网络影响力行动
微软称乌克兰战争使俄罗斯的复杂网络攻击行动的影响更加突出。除了破坏性网络攻击和网络间谍活动外,俄罗斯相关机构正在部署支持其战争目标的网络影响力行动,使用数字技术和互联网来创建和传播虚假事物。战争持续的时间越长,这些行动可能会变得越明显和重要,特别是如果它们可以成功地用来破坏西方的团结和支持。
在发起网络攻击活动的同时,俄罗斯相关机构正在开展全球网络影响力行动,以支持他们的战争。这些活动将克格勃几十年来的策略与新的数字技术和互联网相结合,为对外影响力行动提供更广阔的地理范围、更大的数量、更精确的目标以及更快的速度和敏捷性。尤其是在参与者极具耐心和坚持不懈的情况下,这些网络影响力行动几乎完美地利用了民主社会长期以来的开放和当今时代特征的公众两极分化特点。
随着俄乌战争冲突的持续,俄罗斯机构将其网络影响力行动的重点放在四个不同的受众上。一是他们以俄罗斯民众为目标,目的是维持对战争的支持。二是他们以乌克兰人为目标,目的是削弱对该国抵御俄罗斯袭击的意愿和能力的信心。三是他们以美国和欧洲人民为目标,目的是破坏西方团结并转移对俄罗斯军事战争罪行的批评。四是他们开始以不结盟国家的人民为目标,这可能是为了维持他们在联合国和其他机构所获得的支持力。
俄罗斯的网络影响力行动与其他网络活动制定的策略相关联。与俄罗斯情报机构内部的APT团队一样,与俄罗斯政府机构相关的Advance Persistent Manipulator (APM)团队也通过社交媒体和数字平台开展行动。他们以类似于恶意软件和其他软件代码的方式预先放置虚假信息。然后在政府管理和有影响力的网站上,对这些信息展开广泛而同步的“报道”,并通过旨在利用社交媒体服务的技术工具来传播他们的言论。最近的例子包括关于乌克兰生物实验室的报道,以及掩盖对乌克兰平民目标的军事袭击等多项事实。
作为微软一项新计划的一部分,微软正在使用人工智能、新的分析工具、更广泛的数据集以及不断增长的专家团队来跟踪和预测这种网络威胁。利用这些新能力,微软分析俄罗斯的网络影响力行动成功地在战争开始后让俄罗斯的宣传传播在乌克兰增加了216%,在美国增加了82%。
使用互联网数据和这些技术,还可以识别用于鼓励和引导流量到这些言论的社交媒体、搜索引擎和其他网站。如下图所示,可以识别出在特定地区和时间段内达到最高阅读水平的特定报告等。
这些正在进行的俄罗斯网络影响力行动建立在最近多个西方国家传播虚假新冠疫情信息的基础上。其中包括国家赞助的2021年网络影响力行动,旨在通过英语互联网报道劝阻疫苗使用,同时鼓励通过俄语网站使用疫苗。在过去六个月中,类似的俄罗斯网络影响力行动试图煽动新西兰和加拿大公众反对新冠政策。
微软担心目前俄罗斯的许多网络影响力行动持续数月都没有相关的分析或公开报告。这对公共和私营部门等广泛重要机构的影响越来越大。战争在乌克兰持续的时间越长,这些行动对乌克兰本身就越重要。这是因为更长时间的战争将需要持续的公众支持,以应对不可避免的更大的挑战。这就增加了西方抵御外国网络影响力攻击的紧迫性。
微软团队得出的第四个结论是:“俄罗斯机构正在开展全球网络影响力行动,并与其他网络活动配合,以支持其军事战争。”
05
对俄罗斯全方位网络威胁的战略应对
最后微软团队认为,“乌克兰的经验教训证明了采取协调和全面的战略,以加强对全方位网络破坏、间谍活动和网络影响力行动防御的必要性。”
微软报告中提到,正如俄乌战争所表明的那样,虽然这些威胁之间存在差异,但俄罗斯政府并未将它们分开策划,我们也不应对它们进行孤立的分析。此外,防御战略必须考虑这些网络行动与军事行动的关系,正如乌克兰所见证的那样。
微软称需要新的策略来阻止这些网络威胁,它们将取决于四个共同原则和(至少在高层次上)一个共同战略。
第一个防御原则是应该认识到俄罗斯的网络威胁是由俄罗斯政府推动的,并依赖于类似的数字策略。例如,相同的机构在网络破坏、间谍活动和影响力行动中扮演着重叠的角色。虽然可以从俄罗斯的一些失误或网络攻击防御的早期胜利中获得鼓励,但最容易也是最大的错误就是过早宣布胜利。战争的胜利需要时间,挫折可以逆转,俄罗斯政府机构长期以来一直致力于复杂的网络战术和技术。因此,需要数字技术、人工智能和数据方面的协同来进行应对。
第二个原则是应该认识到,与过去的传统威胁不同,网络威胁响应必须依赖更广泛的公共和私人合作。面对不断变化的威胁形势,需要采取全社会行动。私营企业,尤其是科技公司,处于网络和信息攻击的最前线。同样,民间社会组织也是发挥关键作用的一部分,有时也会参与到网络攻击数据分析中,并且往往其本身就是这些网络攻击活动的目标。
第三个原则是应该加强政府之间密切的多边合作,以保护开放和民主的社会。尽管俄罗斯的破坏性网络攻击仅限于乌克兰境内,但这场网络战争带来的实际影响范围要大得多。正如这份报告所显示的那样,乌克兰的成功防御至关重要地依赖于其将数据转移到境外的能力。
第四个也是最后一个防御原则是应该在民主社会中维护言论自由,即使需要采取新措施来应对包括网络影响力行动在内的所有网络威胁。
有效的应对措施必须以这四个方面作为基础战略的原则。这些原则应当可以提高网络威胁的整体防范能力,以更好地Detect(检测)、Defend(防御)、Disrupt(破坏)和Deter(阻止)这些网络威胁。
这些方法已经应用在解决破坏性网络攻击和网络间谍活动的许多攻击案例中。它们也是缓解勒索软件攻击所需要的关键能力。我们现在需要一种类似的、全面的方法和防御能力,以应对类似的日益增长的网络攻击和网络影响力行动带来的威胁。