彭柏麟,孔 光,舒海涛
(信息工程大学,河南 郑州 450001)
俄罗斯对网络战的研究起步很早。20世纪90年代初,俄罗斯就设有专门的信息安全委员会,其职责是负责国家的网络信息安全。2002年俄罗斯推出《俄罗斯联邦信息安全学说》,首次把信息安全提升到国家战略层面,是网络战的第一份实质性文件。俄罗斯军事学术界对网络战的认识也日益丰富,以斯利普琴为代表的著名军事分析家认为,网络战主要打击以信息技术为基础的重要设施,一旦这些设施内部的信息发生错乱或被恶意篡改,将引起国家秩序的混乱。因此,这些基础设施将成为敌方打击的重点目标,“网络攻击实际上已成为一种变相的突击手段,起到了与火力突袭相同的效果。”在《俄罗斯—美国有关网络安全的双边协定》中,对“网络战”所下的定义为:“网络战是由国家行为体授权,与政府行为相结合的,对网络基础设施实施的网络攻击,是战争活动的一种形式”。俄格战争是俄军首次将网络战应用于实战之中,检验了俄军多年来网络战建设的成效,在战争中,网络战呈现出以下几个特点值得我们分析和关注。
为有效地开展情报窃取任务,俄罗斯很早就进行了相关技术储备。20世纪80年代,俄罗斯克格勃研究所受命研发SORM系统。SORM系统是俄联邦安全局对互联网信息进行监视的网络监视系统,要求互联网服务供应商必须强制安装,其目的主要是用于国内电话、网络电话、互联网通信等信息的全面监控,发展至今已有3种型号:SORM-1安装在模拟的电话线路上;SORM-2负责拦截互联网流量,包括网络语音(VOIP)业务;SORM-3可搜集来自所有传播媒介的信息。因此,俄联邦安全局可以利用SORM系统来获取互联网上的任何信息,若联邦安全局的技术手段无法达到这样的要求,内政部将来负责此项工作。
尽管格鲁吉亚境内的互联网数据不直接经过俄罗斯,但依靠互联网通联全球的13个连接中超出一半都贯穿俄罗斯领土,格鲁吉亚境内网站的大多数网站流量依靠土耳其及阿塞拜疆互联网服务供应商发送,其中许多互联网服务供应商又经由俄罗斯传输数据。由于格鲁吉亚的互联网基础设施缺少网络交换点的内部连接,格鲁吉亚用户访问网页及存储数据的请求,极有可能经过俄罗斯发送。俄罗斯政府可以运用网络技术优势来影响格鲁吉亚大比例的网页访问和使用格鲁吉亚的网络空间,亦可监控其信息流动。格鲁吉亚缺乏互联网外部或内部使用的基础设施控制权,导致既不能分散网络流量,也不能切断来自国外的互联网连接,一旦遭到网络攻击,其防御机制无法切断互联网接入的网络优势,也无法保证数据的安全性。
俄格战争发动前,俄联邦安全局与“网军”就对格鲁吉亚的网络系统展开了一系列“推演”活动。2008年7月初,格鲁吉亚政府网站被大量破坏,网页被篡改为“win+love+in+Russia”的短语,政府网站及其它互联网资产数据遭到破坏。7月中旬到8月,俄罗斯在俄格边境线附近组织军事演习,其中一项演习是构想格鲁吉亚对阿布哈兹和南奥塞梯发起攻击,俄军方为此进行反击以保护俄罗斯的利益。在演习中,俄军方还拟制了一份关于格鲁吉亚部队确切构成及其优势和劣势的报告。以俄罗斯获取的信息和行动来看,说明俄军已经掌握了相当一部分格鲁吉亚的网络和兵力情报,这是战争爆发前卓越的网络侦察和网络空间情报准备的结果。
俄罗斯组建以“联邦政府-黑客组织”为核心的“网军”,最具代表性的是政府所领导的3个“黑客”组织——APT28(“奇幻熊)、APT29(“舒适熊”)、TURLA(“蝰蛇”)。APT28归属俄联邦总参军事情报局(GRU)领导,APT29和TURLA归属俄联邦安全局(FSB)及国外情报局(SVR)双重领导。根据职责划分,俄罗斯联邦总参军事情报局(GRU)第6指挥部的主要职责是在全世界积极地进行网络侦察和接收信号情报工作,它拥有俄罗斯最先进的技术。俄联邦安全局(FSB)第16中心主要是信号和网络情报机构,第18中心主要负责国外事务。国外情报局(SVR)在技术上虽不及其他特种部门,但正在积极地发展网络能力。俄联邦保护局(FSO)负责监督国家政府和军事通信,监管网络犯罪,确保通过这些渠道运输的数据安全。俄罗斯 “黑客”组织架构如图1所示。
图1 俄罗斯“黑客”组织架构图[5]
FireEye公司(美国网络安全商)撰写了关于APT28的特别文章《APT 28:进入俄罗斯网络间谍活动的窗口?》(《APT28:a window into Russia’s cyber espionage operations?》)。文章认为APT28 组织主要目标方向分为三大块:一是高加索地区(特别是格鲁吉亚);二是东欧政府和军队;三是北大西洋公约组织和欧安组织。他们惯用的手段则是使用鱼叉式网络钓鱼电子邮件来诱使受害者受骗,通过破坏其账户为自己的目标和利益提供线索。APT28组织专门针对格鲁吉亚内政部和国防部发起了不同程度的破坏,试图从中获取军事及政治敏感信息。
为夺取网络空间优势,“黑客”采用分布式拒绝服务(DDOS)、SQL注入及跨站脚本(XSS)的手段侵入格鲁吉亚的政府网站、电视节目、新闻报刊、金融系统等以信息技术为基础的重要设施,甚至格鲁吉亚总统米哈伊尔·萨卡什维利的网站彻底瘫痪24 h,网页被恶意篡改,据统计共有54个新闻、政府和金融网站被污损或被拒绝,平均拒绝服务时间为2 h 15 min,持续时间最长为6 h。
分布式拒绝服务(DDOS)服务是利用全球受感染的计算机,通过切断新的合法访问者而有效关闭网络。攻击原理是一种基于DOS的特殊形式的拒绝服务攻击,是一种分布式、协同式的大规模攻击方式。单一的DOS攻击是采用一对一方式的,它利用网络协议和操作系统的一些缺陷,用欺骗和伪装的策略来实施网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统的资源,导致网络超负荷运行以至瘫痪。与DOS攻击由单台主机发起攻击相比,DDOS是凭借数百乃至数千台被入侵后安装了攻击软件的主机同时发起的集体行为。俄格战争中,DDOS不论在攻击范围和力度方面都很精确,从来没有超过11个目标,相同网站在战争中受到持续的攻击。大多数网络攻击都是根据格鲁吉亚的目标定制。据悉,在战争爆发前,俄罗斯至少花了2年以上的时间来准备破坏特定网站。如图2所示,俄罗斯利用全球62个国家受感染的计算机、3 237个IP地址作为其网络攻击的工具。
图2 受感染计算机地域分布图[7]
图2中,PR为波多黎各、IR为伊朗、KR为韩国、BY为白俄罗斯、ES为西班牙、TR为土耳其、AU为澳大利亚、FR为法国、IN为印度、MX为墨西哥、BR为巴西、PL为波兰、JP为日本、RU为俄罗斯、RS为塞尔维亚、CA为加拿大、PE为秘鲁、ID为印度尼西亚、GB为英国、DE为德国、RO为罗马尼亚、SE为瑞典、UA为乌克兰、US为美国、IL为以色列、DZ为阿尔及利亚、Others为其它(36个国家)。
“黑客”成功地实现了网络遮断,且在攻击目标的选择上具有鲜明的针对性,旨在逐一溃败格方网络体系。首先攻击的是格鲁吉亚政府及媒体网站,以此阻碍格鲁吉亚人及其官员正确判断实时情况和延缓所有的国际反应,达到传播混乱的目的。其次,随着事态的发展,受到攻击的是格鲁吉亚的教育以及研究机构,格鲁吉亚计算机应急响应小组临危受命,必须优先为教育网络协会范围内的高等教育机构提供网络安全防护,这极大分散了计算机应急响应小组有限的精力,牵制和压制了格鲁吉亚国内最好的网络防御力量,从而极大程度上降低了格方战场态势感知能力。再者格鲁吉亚的金融系统受到攻击,银行被迫关闭业务,导致资金无法正常流通,切断了战争保障能力。
尽管格鲁吉亚采取过网络防护,但受制于技术水平能力,并没有成功。诸如,格鲁吉亚试图通过根据互联网协议地址筛选出网络攻击,然而,俄罗斯前期的情报准备和本身的技术优势可以轻易破解这类战术,他们利用国外服务器发起攻击,以此掩盖自己真实的互联网协议地址,进而创造虚假地址来逃过格鲁吉亚的网络筛选。
网络空间是相互依存、相互连接的电子网络和电磁频谱,信息在空间内产生、存储、修改、交换和利用。目前,大部分研究更多关注的是网络间谍和其潜能,但将网络力量融入常规军事行动的还较少,这恰好也是至关重要的一部分。网络空间军事行动的目的应该与军事打击的目标是一致或者是配合的,以此达成网络空间优势,包括夺取制网权。在网络空间作战中,首要任务应是破坏敌人的网络攻击和监视能力,其次是压制对方的网络防御能力。网络攻击应集中在战术数据链上,这是网络空间信息的集结点,也是网络作战的重点领域。网络攻击将迫使敌人做出错误决策,从而为己方赢得优势。
战术数据链是数据通信技术在军事方面的应用,其链路包含一整套信息设施,包括使用的设备、信息及协议和信息标准等,以无线信道传达作战数据的链路就叫战术数据链。从俄罗斯网络攻击的方式方法、目标以及效能来看,这场战争中的网络攻击集结和预先准备都是配合军事行动展开,网络攻击在确定攻击目标方面也非常复杂,格鲁吉亚遭受的网络攻击数量、目标网站以及复杂程度在战前都有所增加,其目的都是在破坏传输数据的无线信道。尽管俄罗斯极力掩盖网络行动配合政府利益,但有种种迹象可指明这种协同。一是第一次网络攻击与俄军首次空中轰炸几乎同时发生,且在第一次发动空中轰炸前,格政府和新闻网站就被DDOS攻击瘫痪,这无疑将促使信息需求量增加。随着信息通信的需求剧增,加之网络信道混乱,使手机和固定电话的通信能力达到瓶颈,这种战术和作战援助与军方目的密切吻合,网络攻击的主要目的是伴随军队作战,为军队创造战役和战术层面的优势。二是“黑客”原行动方案是破坏格鲁吉亚首都第比利斯的电力及通信系统,但最终更改预先计划转而攻击新闻机构及高里的官方网站,究其原因,是因为这是俄军方的首个目标,其目的是破坏格鲁吉亚的指挥、控制、通信、计算机与情报监视与侦察(CISR)系统,这种对指控系统的破坏起到了关键作用,瘫痪了格鲁吉亚战术数据链的信息运载能力。三是从网络入侵的操作方式中也可以发现军事参与网络攻击的痕迹,网络攻击者不仅专门针对格鲁吉亚互联网的主要通信线路,还破坏了格鲁吉亚的黑客论坛,以防止报复,这种先发制人的战术行为与军事行动如出一撤,其重点是首先消除潜在威胁,阻碍格鲁吉亚更强的网络专家协调网络能力。四是在夺取了网络优势后,俄军的进攻紧随其后,体现了“闪电战”的军事概念,以势如破竹之势迅速瓦解格军防御,快速出兵的目的是为了能及时反击所有威胁,并夺取战场控制权。俄罗斯网络攻击始终伴随军事行动,具体情况如表1所示。
表1 军事行动与网络攻击简图[9]
俄格战争的另一特点是,俄军成功地把网络攻击作为信息心理战的承载工具,而要明白信息心理战,就首先要弄清楚“信息战”和“心理战”的概念。
俄罗斯国防部网站《军事百科词典》对“信息战”的定义:信息战是国家间公开而尖锐的冲突,对抗形式主要包括采取手段对信息环境施加有害影响,摧毁或破坏信息和电视传播系统的正常运转、信息资源的完好性,擅自获取信息入口,以及对军队人员和平民施加大规模信息心理影响。
《军事百科词典》对“心理战”下的定义:心理战存在于和平和战争时期,是双方在信息心理方面的行为。心理战包括一整套完整的措施和方法,用于影响个人和特定人群在某些问题上的行为和主观态度,使对方决策朝着利于己方利益发展。在武装部队中,心理战是使用这些措施破坏敌军的心理防御,保护己方部队人员免受心理影响。
从上述定义可以看出,俄军认为通过对信息环境施加有害影响,可以达成对军队人员和平民施加大规模心理影响。从这个角度出发,俄格战争中网络攻击产生了大量有害信息传播,网络战是达成心理影响的载体,亦是实施心理战的手段之一,可以从下面几个方面进行分析。
一是篡改境内网页。俄军篡改了格总统网站首页信息,取而代之的是经过精心挑选后,格总统萨卡什维利和希特勒肖像拼接图,暗指格总统发动战争是一种残暴、种族主义的行为,使格政府在出兵上处于道义被动,从一定程度上增加了国内人民反战情绪以及对格政府的不满。
二是斩断沟通渠道。网络攻击使格鲁吉亚政府脱离了最有效的战略沟通手段,在此过程中政府无法与本国群众和外部世界进行沟通,人民无法通过网络及时获取信息,网络的中断从心理上造成了国内群众的恐慌,破坏了人民士气和对政府的信心。
三是操纵媒体报道。媒体信息是社会政治体系的组成部分,表达了社会各阶层和个人的利益,社会就是媒体系统。媒体不仅进行新闻报道,而且通过报道还宣传某些思想、观点、教义、政治纲领,从而参与社会管理。俄军正是利用自身媒体效应在互联网上和报道中大肆渲染俄军出兵的正当性与合理性,诸如俄罗斯许多媒体文章将格鲁吉亚政府,特别是萨卡什维利描述成一个好战、非理性以及侵略性强的人,把俄罗斯塑造成分离主义地区人民的保护者和人道主义的支持者,俄罗斯的行动被认为是“人道主义干预”,目的是制止平民的流血和死亡。通过这种方式不仅向俄罗斯人民传递一种“正义”的信息,力求赢得民心,更是让全球其他国家形成一种俄出兵合情合理的认知,使事件走向朝着符合俄罗斯利益的方向发展。
四是散播谣言。作战中,俄空军轰炸了格军第4步兵旅的第42轻步兵营,并打击格军纵队,爆炸造成格军20多名士兵丧生和数十人受伤,该营人员在经历袭击后被迫放弃装备和死者,并极速撤走兵力。俄政府此时攻心夺气乘胜追击,利用网络迅速散播有关“第42营之死”的恐慌谣言,导致格军士气急剧下降。
俄格战争网络战表明,当下的网络力量是胜利的关键,但是它不能独自赢得战争。因此,深入分析如何更好地使用网络力量是当下之急,未来战争想要赢得网络战就必须获取足够的网络优势。
任何战争的首要任务都是筛选攻击目标,网络攻击自然也不例外。不同的是常规战争所筛选的目标一般是军事基地、武器库、兵力集结地等,网络空间作战所筛选的目标是敌人的一些看不见摸不着的“软实力”。在军事行动发起前,敌人的网络入侵、侦察能力、防护能力都应成为己方侦察和摧毁的首要目标,一旦战争爆发,敌人这些系统应处于压制或摧毁状态。其次,攻击敌人必要的基础设施(必须挽救的设施),如格鲁吉亚的教育和研究机构、银行、媒体等,这种网络攻击是具有价值的,它可以分散敌人有限的防护能力。再者,攻击敌人网络毁损修复所需的必需数据,以有效避免遭到报复。总之,所有的军事行动都应该致力于压制、转移并破坏敌人的网络力量,以获取持续的网络优势。
战术数据链是所有数据的整合中心,也是网络攻击的重要目标。数据链上的每个节点(飞机、舰船、地面防空系统)都具有一定程度的数据融合能力,攻击战术数据链将会破坏敌人的武器系统,也可以对每个战术单位的能力造成严重的影响,降低战场态势感知能力。因此,采取网络攻击来瘫痪敌人的战术数据链是必要的手段,掐断这些链路将会延长敌人的决策周期,己方将会获得更多的战术优势,将有更多的时间做到“早发现、早锁定、早摧毁”。
第二次车臣战争中,俄军首次运用了心理战,收到了较好的战场效果。俄格战争上,俄军汲取以往实战经验,充分利用网络攻击来达成心理影响,给格鲁吉亚政局、士兵和人民造成了心理压力。从俄军运用心理战的情况,关注到以下几点:一是巩固网络攻防能力。尖端的网络技术是达成网络攻防的必要条件,除研发新型的网络“武器”外,也应研发更加有效的网络阻断机制,才可在遭受网络攻击时,立即切断互联网接口,以此来保护人民心理。二是加强舆论宣传。世界舆论走向超过80%都是被西方媒体所控制,如何“去伪存真,去粗取精”是必须思考的问题,在宣传内容上,应重点宣传我国思想和民族精神,拓展文化延伸,力争在舆论导向上占有一席之地。三是创建心理战部队。心理战作为信息战重要的一环,组建专门的部队是非常有必要的,心理战相对于传统作战样式具有花费代价小、渗透能力强、震慑威力大等优点,合理利用心理战,可以达到事半功倍的效果。
俄格战争中,俄军综合利用各种手段夺取网络优势,最终目的都是为军事行动扫清障碍,其战绩是导致格鲁吉亚信息系统乱作一团。这场网络战表明,未来战争早已不是单纯地使用枪支弹药作战,战争形态与方式日新月异。通过对俄军网络战实战所呈现出的特点进行分析,有助于更好地管窥俄军军事行动的全貌,并提示我们,作为常规军事力量的倍增器,网络战是未来战场上的必然趋势。