美国军方曾多次考虑实施网络攻击,但最终没有实施,这些情况多被研究人员忽视,却是深入了解美国网络空间战略的重要渠道。媒体公开报道的美国六个网络攻击行动,揭示了美国对网络空间的战略思维、立场和对相关限制的评估。
美国是全球领先的网络强国。因此,专家们一直在致力于分析和解构美国所发起的网络攻击活动,以增加对网络冲突性质的理解。其中,最引人关注的是奥运会行动(Operation Olympic Games)。它还有个更为人熟知名字——震网病毒攻击,这个行动最终摧毁了伊朗纳坦兹铀浓缩厂的1000台离心机,证明网络行动能够对关键基础设施造成破坏。
但这些网络攻击只是美国网络空间活动的一部分。
同样重要的是了解美国不进行网络攻击的历史,尤其是那些已经计划但未实施的攻击行动。美国军方曾多次考虑进行网络攻击,但最终却放弃了。在很大程度上,这些情况被忽视了,却是洞察美国网空战略思维的重要渠道。部分原因是相关的信息有限。(还有美国尝试却未成功的攻击行动,如路透社2015年曾报道,美国试图对朝鲜实施类似震网病毒的攻击,但因未能获得足够的访问权限而最终失败。)
六起公开的网络攻击行动大多来自调查记者的报道,揭示了美国军方对于网络空间的战略思维、立场和限度评估的信息。第七起事件——“硝基-宙斯”(Nitro Zeus)计划由《纽约时报》记者大卫·桑格披露。那些计划却未实施的网络行动,帮助我们了解计划网络行动面临与常规军事行动相同的困难,有助于审视美国的网络行动记录,有助于了解美国有关机构网络行动的背景,同时也显示,对附带损害不确定性的担忧导致放弃行动。
早期的担忧
2010年,当基思·亚历山大将军作为国家安全局主任和新成立的网络司令部司令,出席参议院军事委员会听证会时,有人问他,美国是否曾在网络空间“展示攻击能力”以“威慑对手”侵害美国利益时,他回答说:“没有进行过任何重大的攻击行动。我们的确进行了大量的网络攻防演练和网络战演习,并对网络空间的威胁、入侵甚至攻击做出回应。美国的执法和反间谍部门对网络侵入和内部威胁作出过回应。尽管行业和学术界都试图‘监管’互联网。没有人能对犯罪行为、恐怖分子、敌对情报实体,甚至国家行为的威慑效果进行过系统的测量”。
尽管公开记录中没有证据表明,美国军方在“奥运会行动”之前曾进行过任何网络攻击——该领域从业者更习惯称为“网络影响行动”。(网络影响行动是指试图破坏、阻止、阻止访问或摧毁对手资产的行动。)无论是被称为网络攻击或网络影响行动,我们知道至少在上世纪90年代和21世纪初期,五角大楼曾考虑发起这样的网络行动。
首先,1999年底《华盛顿邮报》报道,在科索沃战争后期,美国国防部曾考虑在对塞尔维亚的计算机网络进行黑客攻击,以“瓦解其军事行动和中断基本的民事服务”。根据高级国防官员的说法,五角大楼最终放弃了这个计划,原因是“新兴的网络战具有不确定性和局限性”。
《华盛顿邮报》报道:“…国防部的最高法律办公室发布了一份指南警告称,滥用网络攻击可能会使美国当局面临战争罪指控。它建议指挥官,将使用炸弹和导弹遵循的‘战争法’原则应用于网络攻击。这些原则要求只能攻击军事需要的目标,将附带损害最小化,并避免不加选择的攻击”。五角大楼后来的一份内部评估报告指出,在军事必要性原则的指导下,“…不得攻击股票交易所、银行系统、大学和类似的民用基础设施 [无论是用炸弹还是比特],仅仅是因为交战方都有能力这样做”。
对网络行动合法性的担忧并不是美国军方放弃网络攻击的唯一原因。另一个原是美国网络武器的不成熟状态,以及一些南斯拉夫信息系统的“初级或分散的性质”,这限制了计算机攻击行动的攻击面。
20世纪90年代末,“在沙漠风暴中取得成功的指挥和控制战争理论推动下”,美国军方才开始将其网络攻击制度化。1998年,美国国防部创建计算机网络防御联合特遣队,这一实体两年后演变为计算机网络行动联合特遣队,实质上成为五角大楼的网络攻击人员。
在科索沃战争期间,美军的确实施了两种可以被视为网络攻击的行动。一是美军利用从电子干扰飞机发射的电子对抗来干扰南斯拉夫的防空系统。二是实施了数次传统的信息战行动,如针对南斯拉夫的军队、警察部队和领导层的心理战和欺骗行动,主要是通过向米洛舍维奇及其同僚发送传真的方式。
其次,在1990年,美国首次准备与伊拉克开战时,美国特种作战司令部提出了一个夺取伊拉克南部雷达基地控制权的计划。根据理查德·克拉克和罗伯特·克纳克的说法,“他们计划带上一些来自美国空军的黑客,从基地内部连接到伊拉克网络,然后发送一个恶意程序,将导致伊拉克全境的所有计算机崩溃,无法重新启动。”联军指挥官的诺曼·施瓦茨科普夫将军认为这是一个“疯狂的想法”,认为这个计划冒险而且不可靠。“如果你想确保伊拉克的防空雷达和导弹无法运作,请先将炸毁它们。这样防空雷达和导弹就会失效。然后你就可以去轰炸目标”。
第三,在2003年伊拉克自由行动之前,五角大楼制定了一项机密计划,准备瘫痪伊拉克的金融基础设施,并中断萨达姆·侯赛因支付物资和军队的财务能力。
这次袭击未获得乔治·W·布什政府官员的批准,他们再次担心会引起附带损害的风险。另一位高级官员表示:“我们极为担忧某些类型的计算机网络行动的二、三阶效应,以及战争法要求攻击手段与威胁相当” 。有关这次行动的报道显示,美国网络武器的初级状态并没有构成障碍。当时一位在五角大楼工作的高级官员告诉《纽约时报》:“我们知道能够做到——我们有攻击的工具”。
2009年中期,国防部长罗伯特·盖茨指示美国战略司令部司令成立一个统一的网络司令部。网络司令部遵循“双帽”安排,即国家安全局(NSA)局长同时担任美国网络司令部的司令。历史学家迈克尔·沃纳写道:“美国网络司令部的建立标志着十多年制度变革的巅峰。现在国防部的网络攻防能力与国家的密码系统和主要信息保障实体——NSA牢固和紧密联系在一起。”
应对挑战
然而,美国网络司令部的建立并不意味着对网络行动的所有限制都被解除,美军实施网络攻击行动仍然有些三心二意。
2011年,五角大楼的高级官员考虑对利比亚的防空系统实施进攻性网络行动。此时再次出现对网络武器可靠性的担忧,因为不清楚利比亚政府是否能简单地恢复其防空系统。正如一位前美国政府官员所说:“网络攻击只能破坏或禁用一个组件。它不会炸毁铁轨上的东西”。话虽如此,来自《华盛顿邮报》记者艾伦·中岛(2011年)的报道显示,这一网络行动被放弃的主要原因是没有足够的攻击准备时间。一位前军方官员表示:“我们时间不够了,这次攻击计划最终被拖黄了。”
针对利比亚的行动说明了美国北方特种作战司令部法律顾问詹姆斯·麦吉所指出的更普遍观点:“使用进攻性网络行动通常是不切实际的,与其实施的速度相反,计划这些行动通常比传统杀伤性行动需要更多时间。尽管我们可能有一些现成的网络能力,但要使用它们开展行动,不仅是简单地加载和发送它们。必须首先让行动参与人员知道并了解目标网络、节点、路由器、服务器和交换机。然而,开展准备工作仍然需要首先告诉行动参与人员这样做。”
从2012年到2018年,网络效应行动(美国情报界称为“计算机网络攻击”)受总统政策指令的监管。这个由奥巴马签署的“第20号总统政策指令”被称为PPD-20,由美国前计算机情报顾问、前国家安全局分包商雇员爱德华·斯诺登泄露给媒体。因此,我们得以了解,PPD-20确立了“采取网络行动的原则和流程,以便将网络工具与国家安全工具相结合”——此后美国政府发布的非机密谈话要点证实了这一点。此外,该指令指出:“这一政策既使我们能够保持灵活,又能在处理面临威胁时保持克制。”
然而,哥伦比亚大学高级学者杰森·希尔(2019年)指出:“PPD-20似乎只允许军方享有在自己网络之外开展军事行动的有限灵活性,即使是为了自卫。”对于在“被保护的网络或网络空间部分”之外进行重大网络行动,需要由总统批准,并且必须经过不同部门间的漫长跨机构流程。
实施这一跨机构的流程是为了限制潜在的升级,确保文官对军方的控制,并确认军方足够确定其行动能够成功——这些问题在上述所有行动中都提出过。这一流程似乎错综复杂,甚至那些帮助制定规则的人也觉得,这是有效和负责任开展网络行动的巨大官僚主义障碍。
里程碑性行动
2016年,美国网络司令部成立了一个名为“联合特遣部队雅利斯”的新单位,其任务是打击伊斯兰国(ISIS),以及全球其他攻击组织。
根据美国网络司令部任务分析简报,“联合特遣部队雅利斯”旨在“通过多管齐下的方法剥夺ISIS利用网络空间的能力”并“在伊拉克和叙利亚解体ISIS的更广泛行动提供支持,并为随后的网络空间行动做好准备”。特遣队试图“利用网络空间力量,并通过整合、协同和消除冲突,投送对ISIS的行动效果”。
这是一个历史性的转折点:现在联合特遣部队围绕统一目标进行组织,在全球范围开展行动,制定了一系列网络行动目标,并实际实施其中一些行动。
联合特遣部队的一个关键行动是“发光交响曲行动”。通过国家安全档案馆根据《信息自由法》获得的解密文件显示了“发光交响曲行动”的目标和衡量进展和成功的方式的仔细编码。文件还表明,在使用火炮和空袭方面进行了仔细的协调。
美国网络司令部对伊斯兰国组织的行动远远算不上顺利——尽管公开宣称如此。2018年美国网络司令部研讨会,将对ISIS的网络战誉为一次成功:“如我们所说的那样,打击了每一个目标,并且没有发生附带损害。我们可以做到这一点”。根据时任美国网络司令部指挥官的迈克尔·罗杰斯海军上将的说法,“……网络空间行动在‘地区稳定并在中东建立和平’中发挥了重要作用。”现任美国网络司令部司令保罗·中曾根将军,当时负责领导这些行动,他还声称,批准流程使得美国在对ISIS的持续战斗“中取得了巨大成功”。
在2017年的一份报告中,美国前国防部长阿什顿·卡特对美国摧毁ISIS的网络行动表示失望。卡特指出:“对网络司令部对ISIS攻击的有效性,我感到失望。它从未真正制造出任何有效的网络武器或技术。当网络司令部制造出有用的东西时,情报界往往会推迟或试图阻止其使用,声称网络行动将妨碍情报收集。”卡特表示:“如果我们持续得到一系列可利用的情报,这是可以理解的,但我们没有得到。简而言之,所有的部门在网络战斗中都表现不佳。”卡特也提到了一些成功的地方:“一个例外是打击ISIS网络散播仇恨的努力,通过采取对抗信息,取得了广泛和重要影响”。
《华盛顿邮报》记者艾伦·中岛补充说,针对ISIS的网络战引发了是否需要通知包括美国盟友在内其他国家的“激烈辩论”,ISIS使用的计算机托管服务为这些国家所拥有。
2018年及以后:新的立场
2018年出现了两个重要的突破。
首先,美国网络司令部发布了“实现和保持网络优势”的新战略愿景,通过提供“一个路线图,使美国网络司令部能够指导、同步和协调网络规划和行动,在与国内外伙伴合作过程中捍卫和推进国家利益,实现和保持美国的网络空间优势”。
美国网络司令部的“持续交战(persistent engagement)的新战略愿景,以及美国国防部2018年网络战略,体现了战略思维的根本性重新定位。基于这样一个认识——即使对手的行为低于武装攻击的门槛,仍然在战略上具有意义,网络司令部现在寻求通过“持续性取得优势”——换句话说,网络司令部将不断与其对手进行作战,无论他们在何地以及以何种方式行动。
2018年8月15日,特朗普总统废除了PPD-20,并用一份名为国家安全总统备忘录13或NSPM-13的新文件进行取代。由于这份备忘录仍然是机密的,关于进攻性网络行动的确切授权流程仍然不太清楚。
作为对废除PPD-20的反应,《外交政策》杂志发表了一篇戏剧性的题为“特朗普政府刚刚扔掉了美国的网络武器规则”的观点文章。尽管这种描述有些夸张,但NSPM-13确实取消了一些审查,并将决策权从总统转移给指挥官——从总统手里拿走,交给指挥官。时任国家安全顾问约翰·博尔顿宣称:“我们的双手不再像在奥巴马政府时期那样受到束缚”,而以前的“限制”已经“事实上被废除”。自2018年以来,美国网络司令部开展网络行动所面临的其他重大立法障碍也已经清除。
美国网络战态度的变化表明,美国网络司令部希望在网络空间更加主动。三个攻击行动显示,美国正在认真将这一愿景付诸实践。据报道,2019年,美国网络司令部破坏了俄罗斯网络特工组织互联网研究机构,指责其为传播虚假信息的工厂;2019年,沙特油田遇袭后,美国对伊朗实施了网络攻击行动,部分瘫痪了伊朗导弹控制系统;2020年,美国瞄准了俄罗斯勒索软件组织Trickbot。美国网战司令部司令保罗·中曾根在受访时暗示,还计划和实施了其他数个网络行动,但还没有公开披露。
尽管如此,早期网络行动计划所揭示的许多限制,如附带损害的风险、定时攻击的难度以及有限的攻击选择,并没有随美国转向更积极的立场而消失。事实上,这些障碍不是由机构规划流程的设置导致的,而是源于网络空间本身的特性。这意味着,开展网络行动所面临的挑战依然存在,尤其是行动负责人试图将网络行动与传统军事行动进行整合之时。
关于作者
马克斯·斯梅茨:苏黎世联邦理工学院安全研究中心高级研究员、欧洲网络冲突研究计划的主任。曾任斯坦福大学 CISAC 博士后研究员和讲师,以及牛津大学基布尔学院学院讲师。