译文｜俄乌战争中的网络行动——到目前为止的效果、限制和经验教训

在俄罗斯与乌克兰发生军事冲突一年后，有关战时网络行动效果的预测现在可以进行分析和探讨。俄罗斯的网络行动拉开了这场战争的序幕，但面对一个有弹性的网络防御者，他们未能实现自己的目标。由于不确定影响、潜在溢出、恶意软件开发周期和不同的操作速度，联合网络 /传统战争仍然很难实现。截至目前，针对乌克兰的网络行动尚未在降低乌克兰抵抗能力方面取得重大战略效果。此外，俄罗斯针对乌克兰和西方受众的信息行动充耳不闻。因此，网络行动的最大价值似乎仍然在于其情报和侦察功能。

自 20 世纪 90 年代以来，网络战一直被其支持者视为军事领域的一场革命，或是一种完美的战争武器。这些讨论大多是理论性的，他们关注的问题通常是网络能力的应用如何达到或超过武装攻击的门槛，从而导致常规战争的爆发。然而，很少有实证研究论证战争期间网络能力的军事作战效果。在过去一年的俄乌冲突中，网络能力在常规战争中得到了应用，我们能够初步得出结论，当网络能力被用作战争工具时，它可能会改变游戏规则。

1.1 网络能力和战时战略

关于“网络战”的文献通常关注将网络能力应用于政治战略甚至犯罪目的，而不是军事行动目的。20 世纪 90 年代的网络战战略描述将网络战视为威胁现代社会的下一代网络行动。“网络珍珠港”可以作为指导性的参考框架：通过数字斩首袭击，电网可以关闭，关键基础设施被摧毁，整个经济陷入停顿，而不需要实际的军事力量。在这种描述中，网络行动被视为一种战略反价值能力，以社会为目标，旨在影响和平时期的国家行为。简而言之，网络作战被认为优于常规武力，因此预计将改变国际体系中的力量平衡。

然而，随着该领域的成熟，人们的期望值逐渐降低。Martin C. Libicki 等学者指出，就战争目标而言，网络战无法解除敌人的武装，更不用说摧毁敌人。此外，在没有实际战斗和暴力的情况下，网络战不能带来领土收益，这仍然可以被认为是大多数现代战争的主要目标之一。此外，仅仅依靠数字手段很难使对手屈服于自己的意志——这是克劳塞维茨（Clausewitz）战争的目的。研究表明，一方面，针对平民的战略攻击很少有助于实现赢得战争的目标；另一方面，很难对控制现代社会关键功能的数千个不同系统进行协调。与常规武器不同，许多网络作战依赖于目标，这意味着它们不能对任何系统不加区分地进行使用，这将导致作战计划变得复杂。此外，对于这种复杂的攻击链，总是存在失败的风险和意外的级联效应，这实际上可能会对攻击者产生事与愿违的影响。

1.2 战场上的网络能力

自 2000 年以来，网络战并未被视为一种独立于动态冲突之外产生影响的能力，而是被视为对常规能力的补充。换句话说，当以联合和组合的方式使用时，网络作战可以作为常规能力的力量推动者 / 倍增器。在这里，战争中的网络行动不一定是通过其战略效果来衡量，而是被视为一种可以直接针对敌军的反力量能力。例如 X-Agent 恶意软件，它可以渗透到引导炮兵射击的瞄准设备中，然后将炮兵阵地的地理位置泄露给敌军，敌军随后指挥反炮兵火力。

虽然军事硬件在理论上存在大量漏洞，可以被网络作战利用，但在实践中，这很难付诸实 施。Nadiya Kostyuk 和 Yuri M. Zhukovon 在 叙利亚（2013 年）和乌克兰东部（2014 年）使用分布式拒绝服务攻击和动态军事行动的研究表明，联合行动的时机往往是错误的。传统攻击和破坏性网络行动的计划时间和行动节奏不同，难以实现协同效应。例如，恶意软件有生命周期：它必须被开发、测试，然后部署到对手 IT 部门以产生影响，直到它被发现和消除。这通常需要几周或几个月的时间。原则上，防御者的单个软件更新或配置更改就有可能消除恶意软件的影响。恶意软件比子弹更有针对性。最后，为了使其效果与地面行动同步，恶意软件可能需要与外部世界的实时指挥和控制连接，这在使用主动电子战干扰的作战环境中可能不可行。因此，在战争的早期阶段，网络行动作为一种先发制人的打击可能是有用的，但敌对行动持续的时间越长，保持功能性恶意软件的在线操作和维护对对手系统的后门访问就越困难。

此外，传统和网络之间很难协调演习部队。首先，相互冲突的目标是一个问题：以情报为导向的行为者倾向于隐藏长期访问系统（网络间谍），而不是短期破坏系统（所谓的网络效应行动），这可能会导致发现使用的后门，从而消除攻击能力。其次，数字战场和传统战场的地理位置很少一致。美国从针对 ISIS 数字基础设施的“发光交响曲”行动中学到这一点。ISIS 依赖于数十个国家的数字服务，通过网络行动来摧毁 / 接管这些基础设施需要与盟友和第三方国家协调。此外，事实证明 ISIS 具有网络抵御能力，可以迅速重建受损的基础设施。“发光交响曲”行动表明，持续的网络交战比临时的网络交战更有效，网络行动在战争中的效用不在于其破坏性或破坏性效果，而更多的在于其情报收集和心理战能力。如果对手担心自身网络遭到破坏，有人在监听，他们就会切换到其他通信方式，从而减慢和复杂化他们的行动计划。Erica D. Borghard 和 Shawn W. Lonergan 得出结论，网络作战在战争中的另一个用途可能是它们针对后勤系统的能力，因为这些系统通常是民用的，比军事系统更不安全。尽管如此，许多人认为，网络能力最适合情报和侦察功能，不会取代传统武器。在许多情况下，用空袭或炮火消灭目标比通过网络效应行动更快、更简单，成本更低，也更有效。

1.3 和平与战争之间的网络能力

自 2014 年以来，人们把重点放在网络能力的混合或灰色地带上。在这种理念的影响下，网络活动未被视为战争的破坏性力量，而是一种情报竞赛或战略竞争，其主要目标不是削弱敌人，而是颠覆、利用和塑造网络和信息环境。更重要的是，网络行动的主要用途是为政治、经济甚至犯罪目的而窃取或操纵信息。这些行动对权力平衡产生了双重影响：首先，它们可以用来影响政治话语和推动进程，例如削弱和平时期的西方民主；其次，如朝鲜的网络治国模式所看到的那样，它们可以让攻击者以长期网络间谍的形式获得战略利益。

这种对网络行动的解读在很大程度上受到两个趋势的启发：第一，根据国际法，大多数网络行动都不符合使用武力或武装攻击的法律标准，因此不能用来为《联合国宪章》第 51 条下的自卫条款辩护。在很多情况下，网络行动旨在降低战争的门槛，不冒升级武装或暴力的风险，更不用说战争本身。同样，防御方可能也有兴趣不升级对此类活动的反应。第二，自2014 年吞并克里米亚以来，俄罗斯一直在运用这种能力，甚至试图干预 2016 年美国总统选举，全面塑造了围绕网络活动的正式攻击。

在俄罗斯与乌克兰发生冲突之前，许多情报机构预计会出现某种形式的数字先发制人的攻击。在 2008 年入侵格鲁吉亚时，俄罗斯利用大规模分布式拒绝服务攻击，在俄罗斯军队越过边境时暂时使格鲁吉亚政府和媒体网站过载并中断。这种做法的一个目标是阻碍格鲁吉亚同更广大的世界联系，从而使局势笼罩在众所周知的战争迷雾之中。多年来，俄罗斯塑造了自己“超乎寻常”的网络大国形象，极大增强了自己的实力。从政府机构和选举过程到关键基础设施，俄罗斯高级持续性威胁（Advanced Persistent Threat，APT）行动者似乎渗透了所有地方的网络，后者导致了乌克兰的两次停电（通过 Blackenergy 和 Industroyer 恶意软件）。在这种情况下，许多情报界人士希望网络行动为俄罗斯的常规入侵奠定基础，例如通过破坏电网、通信系统或政府部门。事实上，正如大卫·桑格（David Sanger）在2022 年 2 月的《纽约时报》（New York Times）上一项秘密情报评估写道：“过去6 年里，所有这些系统都是俄罗斯的目标。”突然之间，“网络珍珠港”的比喻又回到了桌面上。大规模禁用这些重要系统在军事上是合理的，因为这将妨碍乌克兰协调其防御能力。一些人还担心恶意软件的无意溢出效应——就像几年前的 Not-Petya 一样——可能会意外地将其他各方卷入这场骗局冲突。不过，CrowdStrike 的迪米特里·阿尔佩罗维奇（Dimitri Alperovitch）降低了预期，他认为，“俄罗斯可能会在网络空间开展 3 种类型的活动，以支持其军事目标：情报收集行动、旨在扰乱或欺骗乌克兰军队的行动，以及针对乌克兰公众的心理行动。”

俄乌战争中的行动总数可能不为人知，但在 2022 年 8 月，乌克兰计算机应急响应小组（CERT-UA）报告称，在战争的前半段期间，有超过 1 123 次网络攻击。这意味着网络活动比战前增加了 3 倍。2023 年 1 月，CERT-UA 报告称，它对超过 2 194 次攻击做出了回应。然而，未报告或未公布数量仍不清楚。俄罗斯利用网络和信息手段的方式，以及乌克兰设法避免或遏制攻击的方式，值得我们学习和借鉴。

3.1 网络行动需要准备

正如研究人员所预期的那样，情报收集似乎是网络行动在战争中的主要用途。俄罗斯情报部门早在 2022 年 2 月的攻势开始前就开始了战场准备工作。无论是常规打击还是数字打击，情报都是提前收集，这可能有助于俄罗斯联邦军事情报机构和武装部队识别目标。俄罗斯网络侦察的质量和数量在 2021 年底有所提高。APT组织 Nobelium 与俄罗斯联邦对外情报局（SVR）有联系，自 2021 年 5 月以来一直是这方面相当活跃的参与者。此外，在此期间，俄罗斯国家行为者和附属威胁行为者不断试图破坏乌克兰的通信、运输、能源、国防、行政和外交系统以及服务。此外，俄罗斯联邦安全局（FSB）也参与了针对乌克兰的网络攻击和情报活动。

3.2 预防和开源情报

在战争爆发之前，俄罗斯曾多次试图编造战争原因。这包括俄罗斯在 Telegram 和 Twitter上的多个信息行动，试图将乌克兰描绘为攻击者，而俄罗斯只是试图自卫。在传统媒体和社交媒体上，乌克兰和美国都被指控在秘密实验室制造生物武器，这一故事从 20 世纪 80 年代开始反复流传，2008 年俄罗斯入侵格鲁吉亚时也再次被提起。此外，就在战争发生的前几天，网上出现了据称是乌克兰破坏俄罗斯目标和乌克兰炮轰一所幼儿园的视频。尽管如此，这些塑造公众认知的尝试很快被开源情报社区揭穿，因为他们对材料进行了剖析。美国情报界对俄罗斯攻击行动还进行了“预防”，提前对其进行反击。

3.3 一场网络攻击

2022 年 2 月 23 日，在入侵的前一天，俄罗斯军事情报机构（GRU）对乌克兰政府和其他IT、能源和金融组织发起了几次破坏性的数据清除网络攻击。这些袭击是为了支持即将到来的陆地和空中打击。通过删除政府系统上的数据，俄罗斯可能试图减缓乌克兰国防部队和政府服务的协调能力。人们预计，在战争前夕，网络能力可以以这种方式使用，但在多次迭代中使用高度破坏性的“雨刷”恶意软件具有新的特性。“雨刷”恶意软件的能力也表明了自 2008 年格鲁吉亚战争以来网络战的发展程度。

3.4 即使黑客攻击成功，结果也不确定

此外，俄罗斯于 2022 年 2 月 24 日对 Viasat卫星通信的攻击提供了一些有意义的经验。这次网络行动关闭了乌克兰和欧洲上空的卫星通信，导致德国风力涡轮机的卫星调制解调器失灵，从而产生了意想不到的溢出效应。虽然网络行动在技术上是成功的，但它并没有妨碍乌克兰的指挥和控制情报行动。乌克兰官员后来声称，它实际上对作战的影响可以忽略不计，因为卫星通信从来都不是乌克兰军方的主要通信手段，而是一种冗余选择。尽管乌克兰在贬低这次攻击的影响上有既得利益，但通过 Viasat的例子可以让我们得出以下结论：

（1）当有第三方参与时，很难在不产生意外溢出风险的情况下遏制针对广泛使用的系统网络行动。

（2）即使是技术上成功的网络行动也可能无法实现其目标，为在联合行动中依赖这些影响的军事计划制定者带来重大的不确定性。

（3）在网络战中，防御者可以很好地实践冗余，并拥有一个类似的后备选项，而网络行动无法访问。

3.5 联合演习 / 网络行动很困难

该分析的另一项发现涉及联合使用网络和常规作战来实现共同目标。在一些人看来，俄罗斯在战争初期的做法似乎很混乱。俄罗斯的常规军事攻击不分青红皂白地针对平民和社会目标，这些目标对正在进行的战术或作战演习没有直接意义。此外，微软 2022 年 4 月的一份报告指出，俄罗斯国家 APT 参与者将网络入侵与动态军事行动结合在一起，但不同类型的攻击似乎并没有很好地协同工作。事实上，俄罗斯网络攻击的目标与常规军事火力、导弹、火箭和炸弹攻击的目标相同。因此，当政府数据被导弹击中时，政府内部的计算机网络也成了破坏性数据清除网络攻击的目标。尽管微软注意到，俄罗斯的网络攻击成功地破坏了技术服务，并创造了一个“混乱的信息环境”，但该公司声称，无法评估俄罗斯网络和信息行动更广泛的战略影响，例如那些动摇公众信心和加速乌克兰军事防御能力的行动。尽管如此，这种解读还是受到了许多质疑，比如安全专家 James A. Lewis，他直言不讳地评论说：“所有这些黑客行为……似乎与俄罗斯在乌克兰的军事行动没有协调好。”Gavin Wilde 指出，最先进的军事网络力量仍在努力解决如何将网络能力有效地整合到常规军事行动中，并指出“俄罗斯到目前为止似乎还没有这样做”。乔恩·贝特曼（Jon Bateman）也得出结论说，“俄罗斯似乎不愿或无法以精确、智能驱动的方式计划和发动战争，而这种方式最适合网络行动”。造成这种情况的原因有很多，比如战略不完善、情报准备不足，以及过于繁重的保密和不信任，使得机构间的规划变得困难。就像不知道自己要发起攻击的地面部队一样，俄罗斯的网络和常规部队似乎缺乏同样的联合准备。我们要吸取教训，网络行动和常规行动很难（但并非不可能）协调。

3.6 通过网络手段实现物理效果十分困难

2022 年 4 月，研究人员发现了影响乌克兰能源网工业控制系统的恶意软件 industryer2。它是 2016 年让基辅电网瘫痪数小时的同一款恶意软件的演变。截至目前，这是唯一一个公开的、可能被设计用来对乌克兰造成实际影响的恶意软件（由于保密，许多潜在影响的网络事件仍然未知）。事故响应人员能够在 industryer2 的编程计时器启动之前停用该恶意软件。这种恶意软件显示了网络行动造成物破坏的潜力，但也显示了其局限性。在它有所行动之前，这种影响已经缓解，可能多年来的恶意软件开发也因此付诸东流。相反，常规轰炸能够关闭乌克兰超过 40% 的电网。研究结果表明：在战争中，传统手段通常比网络行动更快、更便宜、更精确，其结果更确定，而且通常更具破坏性。

3.7 网络行动没有产生战略效果

无论是哪种攻击类型，俄罗斯网络攻击的主要目的似乎是在战略层面上削弱乌克兰。但是俄罗斯的网络行动并没有摧毁或抑制乌克兰的军事力量或武器系统，而是针对乌克兰人民的整体意志和自卫能力展开攻击。尽管如此，几乎没有证据表明这些行动产生了战略效果，比如乌克兰人的抵抗意愿减弱。相反，研究表明，对民用基础设施的战略攻击不会降低敌人的抵抗意愿，反而会引发一场围绕“旗帜”效应的集会，从而为防御国的领导层提供强有力的支持。乌克兰的情况也是如此：在战争的最初几天，俄罗斯对宽带互联网接入发起的网络和常规攻击，很可能是为了在重大军事进攻的关键时刻孤立乌克兰政府。虽然 2008 年在格鲁吉亚取得了成功，但这次俄罗斯失败了。

俄罗斯网络行动缺乏战略和军事行动意义，这令许多人感到意外。根据 James A. Lewis 的说法，俄罗斯一直无法扰乱“金融、能源、交通和政府服务”，以压倒防御者的决策造成社会动荡。在历经四个月战争后，他甚至宣称“网络攻击被高估了”。虽然它们对间谍活动和犯罪活动很有价值，但在武装冲突中并不能起到决定性作用。其中一个可能的原因是，乌克兰从俄罗斯以前的网络行动中吸取了教训，并适应了这些行动。乌克兰建立了网络战能力和网络工作队伍，简化了机构间的协调，包括紧急减少官僚主义障碍，并进行了网络靶场演习，以收集俄罗斯的活动。在战争的所有领域，不断学习、适应和创新是关键。

3.8 信息作战赢得人心

2022 年 2 月 25 日，俄罗斯总统发表的“我们都在这里”（We are All Here）视频信息成为历史上最具影响力的信息行动之一，当时俄罗斯正在进行首次网络和常规打击，试图让乌克兰领导层中立。在这 37 秒的视频里，世界意识到俄罗斯没有成功，战斗才刚刚开始。从那以后，乌克兰政府巧妙地驾驭了信息环境，追求多重目标，无论是争取国际军事和人道主义援助，还是在网上嘲笑俄罗斯的无能。可以说，至少在西方信息领域，乌克兰赢得了人心之战——这是任何重大战争中最主要的心理目标之一。这也导致了国际黑客活动社区的大力支持，他们很快加入了乌克兰的 IT 大军，入侵了俄罗斯政府和商业基础设施的所有领域，其结果导致数量空前的材料泄露。毕竟，俄罗斯政府一直以来以“行事隐秘”著称。

尽管如此，俄罗斯政府压制性的信息安全措施已经成功使国内信息领域免受西方的影响。此外，尽管受到联合国大会某些决议的谴责，但俄罗斯外交、反西方信息和军事行动都阻止了许多发展中国家对俄罗斯入侵的抵抗，更不用说向乌克兰提供积极支持了。

3.9 网络弹性是关键

乌克兰网络防御者在对抗俄罗斯的网络行动中表现出了网络技能和灵活性。据报道，一些政府网络在被“雨刷”恶意软件删除几个小时后就恢复了运行。这基本上抵消了雨刷行动的一些战略影响。在乌克兰的战时网络行动中得到以下 3 个关键结论，包括：

（1）将政府数据移动到异地云存储中，创造弹性并提高了威胁检测速度。

（2）西方威胁情报共享和威胁搜索活动可能在许多行动爆发之前就发现了它们——乌克兰一直在快速行动，先发制人地采取这些措施来防御即将到来的攻击。

（3）网络行动似乎在发生意外时效果最好，但当防御者灵活并主动预测即将到来的行动时，攻击者就会变得更加困难。

俄罗斯的网络活动主要集中在情报收集、数据破坏和对关键基础设施的拒绝服务攻击上。令人惊讶的是，由于乌克兰积极主动的网络防御和社会复原力，这种网络战并没有为俄罗斯带来重大的战略、作战或战术利益，至少就我们公开所知的情况而言是这样。

尽管如此，仅仅因为俄罗斯这次无法将其数字和模拟演习结合起来，并不意味着其他国家不能从这次失败中吸取教训，并在下一次重大战争中做出改变。我们看到，仅靠更好的算法并不能平衡进攻性网络行动的固有弱点：它们需要过多的时间，依赖于目标，并且可能在敏捷、主动的防御者面前失败。尽管不完美，即使是面对强大的攻击者，网络防御并非徒劳。要想取得成功，它需要灵活性、速度、前瞻性思维、有用的威胁情报以及精简流程，以减少信息孤岛以及演习和培训。网络领域的防御规划需要政府和工业界共同参与。当涉及进攻性的战时网络作战时，战争的不确定性使得显著的网络效应难以实现。一种可能的行动路线更好地将网络作战与电子战、信息作战、情报作战以及对敌方通信、指挥控制和后勤关键节点的物理破坏相结合，并辅以大量的联合演习。政策和联合行动的规划者在规划时也应该谨慎：网络行动对情报收集、颠覆和塑造信息领域有用，但它们不能取代决定性的军事力量。由于网络行动的影响取决于目标，军事规划者最好建立应急计划以防失败。规划人员还应避免过于复杂的攻击链，因为下游的常规操作严重依赖于上游的网络操作。对于北约来说，这意味着更多的联合训练，并可能将网络范围整合到作战计划中。