编者按
英国广播公司近日获得对美国网络司令部“前出狩猎”团队成员的独家访问权,对团队在俄乌战前协助乌克兰开展网络防御情况进行了采访。
2021年12月初,某美军少校率领一个小型军事团队抵达乌克兰执行侦察任务,以查明俄罗斯黑客是否已经渗透并隐藏在乌克兰系统中。美军在查看情况后决定继续留在乌克兰并强化人员部署,在两周内将团队人员增加至约40人。在执行“前出狩猎”任务时,美国网络司令部团队通常会携带数十箱“神秘的技术设备”抵达现场,与东道国合作伙伴迅速建立信任关系,然后将设备安装在东道国政府的计算机网络上以扫描威胁。美军网络团队每次执行任务都会面临不同情况,部分任务首日就能发现对手渗透痕迹,但通常需要一两个星期才能挖掘出更深入的高级黑客。
2022年1月,美军网络团队见证了俄罗斯在战前对乌克兰开展的网络攻击情况,协助乌克兰对攻击进行了分析,并将分析见解分享给美国合作伙伴国。在2月俄乌战争爆发前,美军网络团队撤离了乌克兰。美国网络国家任务部队指挥官威廉·哈特曼表示,俄罗斯网络行动在此次战争中无所作为的原因之一是“乌克兰人做了更好的准备”。乌克兰官员表示,这部分归功于盟国的帮助,包括美国网络司令部和私营部门,以及乌克兰自身的成长经验。
奇安网情局编译有关情况,供读者参考。
与许多分析人员预测情况不同,俄罗斯今年未能通过大规模网络攻击摧毁乌克兰的计算机系统。美国军方一个鲜为人知的部门在网上搜寻对手的工作可能是一个原因。英国广播公司(BBC)获得了对参与上述全球任务的网络操作人员的独家访问权。
2021年12月初,由一名年轻少校率领的美国小型军事团队抵达乌克兰进行侦察,准备进行更大规模的部署。但少校很快报告称她需要留下来。
团队一名成员回忆称,“在一周之内,我们的整个团队都准备好去开展搜查工作。”
他们来网上侦察俄罗斯人,他们的乌克兰合作伙伴明确表示他们需要立即开始工作。
美国网络国家任务部队(CNMF)指挥官威廉·哈特曼少将表示,“她查看了情况并告诉我团队不会离开。我们几乎立刻就得到了‘乌克兰现在不同了’的反馈。我们没有重新部署该团队,而是加强了该团队。”
自2014年以来,乌克兰发生一些世界上最严重的网络攻击,包括第一次在严冬时远程关闭了发电站。
到2021年底,西方情报官员正在关注俄罗斯的军事准备,并越来越担心随着入侵而出现新的网络攻击“暴风雪”,破坏通信、电力、银行和政府服务,从而为夺取政权铺平道路。
美国军方网络司令部想查明俄罗斯黑客是否已经渗透到乌克兰系统中,隐藏在内部深处。在两周内,他们的任务成为其最大的部署之一,约有40名来自美国武装部队的人员。
2022年1月份,当俄罗斯开始在网络空间为即将到来的军事行动铺平道路时,他们占据了前排座位,乌克兰的网络防御将受到前所未有的考验。
多年来,计算机网络的渗透主要涉及间谍活动(窃取机密),但最近变得越来越军事化,并与破坏或准备战争等更具破坏性的活动联系在一起。
这意味着美国军方将扮演一个新角色,其团队正在执行“前出狩猎”任务,搜索伙伴国的计算机网络以寻找渗透迹象。
负责针对俄罗斯的防御工作的操作人员解释称,“他们是猎人,他们知道他们的‘猎物’的行为。”
出于安全考虑,美国军方要求一些操作人员保持匿名,而其他操作人员只能通过其名字来识别。
自2018年以来,美军已部署到欧洲、中东和印太地区的20个国家,通常是亲密盟友国。这些国家不像英国、德国或法国这样的国家,后者拥有自身的专业知识,不太可能需要或想要外部帮助。
他们的大部分工作都是与来自朝鲜等国的国家黑客作斗争,但俄罗斯一直是他们最顽固的对手。美军已经多次在一些国家进行部署,包括乌克兰,网络攻击在乌克兰首次与全面战争相结合。
邀请美国军队进入国家可能是敏感的,甚至在国内引起争议,因此许多合作伙伴国要求美国保持秘密存在——这些团队很少穿制服。但是,越来越多的政府选择将任务公开。
2022年5月,立陶宛证实,为期三个月的部署刚刚完成其国防和外交事务网络的工作,此次部署因担心俄乌战争后的俄罗斯威胁而被提到前列。
克罗地亚主持了最近的一次部署。克罗地亚安全和情报机构负责人丹尼尔·马尔基奇表示,“此次搜寻活动彻底而成功,我们发现并阻止了对克罗地亚国家基础设施的恶意攻击。”他补充称,“我们能够为美国提供一个新的恶意行为者‘猎场’,并分享我们的经验和获得的知识。”
但热烈的公开声明掩盖了这些任务开始时常常不自在的现实。
即使是与美国结盟的国家也会对允许美国在敏感的政府网络内部扎根感到紧张。事实上,前美国情报人员爱德华·斯诺登10年前的爆料表明,美国对友国和敌国都进行了间谍活动。
这种怀疑意味着执行任务人员经常面临对其外交技巧的严峻考验。他们带着几十箱神秘的技术设备出现在机场,需要迅速建立信任以获得执行敏感任务的许可——将这些设备安装在东道国政府的计算机网络上以扫描威胁。
威廉·哈特曼解释称,“如果你是东道国,这是一个非常可怕的提议。你马上就会担心我们会去做一些邪恶的事情,或者这是某种超级秘密的后门操作。”
简而言之,美国人需要说服东道国他们到此是来帮助东道国的——而不是来监视东道国的。
在印度-太平洋地区领导两个团队的“马克”描述他的开场白称,“我对你的电子邮件不感兴趣。”如果表达顺利,他们可以开始工作。
当地合作伙伴有时会和美国团队一起围坐在会议室里,密切观察以确保不会发生任何不愉快的事情。拥有20年网络操作经验的资深人士“埃里克”称,“我们必须确保传达这种信任,让人们与我们并肩作战是发展这一点的一个重要因素。”
虽然怀疑永远无法完全消除,但一个共同的对手将他们联系在一起。
威廉·哈特曼将军回忆起其一名团队成员告诉他,“这些合作伙伴想要的一件事就是让俄罗斯人离开他们的网络。”
美国网络司令部提供了对俄罗斯人或其他人活动情况的见解,特别是因为它与美国最大的监视通信和网络空间的情报机构国家安全局密切合作。
在一种情况下,渗透证据是实时出现的。美国操作人员“克里斯”曾领导多个欧洲任务,他回忆说曾观察到有人可疑地在伙伴国计算机网络周围活动。
奇怪的是,那似乎是团队正在与之合作的本地网络管理员之一。那个人就站在“克里斯”的身后。会不会是某种内部威胁?
“克里斯”问道,“那是你吗?”
该管理员仿佛在看电影一样呆若木鸡,回答说“那是我的电脑,但我发誓那不是我。”有人窃取了他的在线身份。
“克里斯”回忆称,“在你的网络上找到某人并不是一个好时机,尤其是当他们使用你的凭证时。”那一刻传达了威胁的现实,反过来又帮助确保了更多的访问权限。
美国团队表示,他们分享了他们的发现,使得当地合作伙伴驱逐俄罗斯人(或其他国家黑客),而不是自己动手。他们还使用商业工具,以便当地合作伙伴可以在任务结束后继续工作。
良好的关系可以带来回报。在一次任务结束时,美国操作人员表示,当地合作伙伴给了他们一份临别礼物——一张包含恶意软件的计算机光盘,这些恶意软件来自该团队未进入的另一个网络。
曾在欧洲领导过两次任务的“香农”解释称,每个任务都是不同的,有些任务在寻找的第一天就发现了对手。但通常需要一两个星期才能挖掘出更深入的高级黑客。
俄罗斯情报机构的黑客经常玩“猫捉老鼠”的游戏,他们特别擅长改变策略。
2021年,俄罗斯人使用SolarWinds公司的软件渗透到购买软件客户(包括政府)的网络中。
美国操作人员开始寻找他们存在的痕迹。威廉·哈特曼表示,美国网络司令部的一位喜欢智力游戏的技术中士发现了俄罗斯人将他们的代码隐藏在一个欧洲国家的方式。他做出解码,从而确定俄罗斯人躲在一个网络上。8种归因于俄罗斯情报部门的不同恶意软件样本随后被公开,从而使得业界改进防御。
狩猎不是美军的无私行为。除了为其团队提供实践经验外,它还可以为本国提供帮助。在一次任务中,一名年轻的应征网络操作人员发现,他们在欧洲国家发现的相同恶意软件也出现在美国政府机构中。由于不同机构之间的责任重叠,即使美国将其操作人员派往国外,美国也经常难以识别和根除国内的漏洞,无论是行业还是政府。
“前出狩猎”任务被归类为“防御性”任务,但领导军方网络司令部和国家安全局的保罗·中曾根证实,在俄乌战争爆发后,也对俄罗斯执行了进攻性任务。但他和其他人拒绝提供更多细节。
2022年1月,在乌克兰的团队试图避免在结冰的人行道上滑倒,这时发生了一系列重大网络攻击。黑客在乌克兰外交部网站上发布的消息中写道,“害怕并期待最坏的情况。”
美国团队实时观察到一波所谓的数据擦除软件攻击了多个乌克兰政府网站,并导致计算机瘫痪。
威廉·哈特曼表示,“他们能够协助分析一些正在进行的攻击,并促进将这些信息分享给美国的合作伙伴。”
攻击的目的是在2月军事行动前破坏乌克兰的稳定。
当俄罗斯军队越过边境时,美国团队已经被撤出。对他们的乌克兰伙伴的现实风险的了解仍然沉重地压在他们身上。
在2月24日战争爆发开始前几个小时,一次网络攻击使一家支持乌克兰军队的美国卫星通信提供商瘫痪。许多人预测这将是一波攻击浪潮的开始,以摧毁铁路等关键区域。但那并没有发生。
威廉·哈特曼表示,“俄罗斯人可能没有如此成功的原因之一是乌克兰人做了更好的准备。”
作为乌克兰部署团队成员的高级技术分析师“Al”表示,“他们能够防守的方式让他们感到非常自豪。世界上很多人都认为他们会被碾轧而过。但他们没有,他们进行了反抗。”
乌克兰一直受到持续的网络攻击,如果攻击成功,基础设施可能会受到影响。但乌克兰继续保卫自己,比许多人预期的要好。乌克兰官员表示,这部分归功于盟国的帮助,包括美国网络司令部和私营部门,以及他们自己的成长经验。现在,美国和其他盟国正在向乌克兰人学习。
威廉·哈特曼表示,“我们继续与乌克兰人分享信息,他们继续与我们分享信息,这就是这种持久伙伴关系的全部想法。”
乌克兰和西方情报官员表示担心俄罗斯可能会通过升级其网络攻击来应对最近的军事挫折,这种伙伴关系可能仍面临进一步的考验。
网络国防知识库
产业发展前哨站
开源情报信息源
奇安网情局