网络战威胁笼罩未来:新型冲突可以超越国界,让远离前线数千英里的平民陷入瞬间混乱。不久前,网络战场景出现了可怕的假设:如果一支国家黑客大军发动大规模攻击摧毁了整个城市的电网怎么办?全国各地的银行都关门了,自动取款机也变砖了?货运公司、炼油厂、工厂关闭?机场和医院瘫痪?今天,这些情景已不再是假设和推测:上述每一件事都真实发生过。安全事件和灾难性事件接踵而至,网络战已经跳出畅销科幻小说的书页,跳出五角大楼的推演沙盘,包围在我们身边。今天,比以往任何时候都更加清楚的是,黑客的威胁已经超越了简单的破坏行为、犯罪获利甚至间谍活动,包括了曾经只有通过军事打击和恐怖袭击才有可能造成的现实世界破坏。迄今为止,还没有直接造成人员伤亡的网络战攻击的明确记录。但造成100亿美元经济损失的网络战攻击确实发生过。网络战被用来恐吓公司并暂时瘫痪整个政府。短时间切断居民用电、取暖等基本服务,长期剥夺交通和货币供应能力,也在网络战的“效果”之列。最令人担忧的是,随着伊朗、朝鲜和俄罗斯等国家继续开发新的破坏性网络攻击技术,网络战似乎正在演变。美国等英语系五眼联盟国家也拥有世界上最先进的网络战能力,但近年来相比其他网络战参与国略显克制。所有这一切都意味着网络战的威胁越来越大:一种可以超越国界的新型冲突,将混乱传送到距离前线数千英里的平民。网络战的历史和意义要了解网络战对人类文明构成的独特威胁,有必要了解这个词是如何创造出来的。毕竟,网络战这个词已经演变了几十年。托马斯·里德(ThomasRid)的《万物在线史》《机器崛起》(机器的兴起)详细记录了它的演变过程。但长期的变化和发展也混淆了它的含义:网络战一词最早出现在1987年美国老牌科普/科幻杂志《Omni》发表的一篇文章中,描述了使用巨型机器人、自主飞行器和用于武器系统操作的自主未来战争场景。但到了1990年代,随着计算机和互联网日益改变人类的生活,这种终结者式的机器人网络战意象让位于更侧重于这两种技术的网络战概念:一位分析师在1993年发表了一篇文章,《网络战来了!》,指出军事黑客很快不仅会对敌方系统进行侦察和监视,还会攻击和摧毁敌方用于指挥和控制的计算机。然而,几年后,兰德公司的分析师将开始意识到,军事黑客的破坏性攻击不必仅限于军用计算机。他们还可以轻松攻击敌人关键基础设施的计算机化和自动化部分,对平民造成潜在的灾难性后果:在一个日益依赖计算机的世界中,此类攻击可能意味着破坏铁路、证券交易所、航空系统,甚至是支撑许多国家的电网这些关键系统。黑客攻击不必局限于战争边缘的战术:网络攻击本身可以成为战争武器。美国前总统比尔克林顿在2001年的一次演讲中警告说:今天,我们的关键系统,从电网到空中交通管制,都由计算机连接和运行。也有人可以坐在电脑前,黑进电脑系统,搞垮一个公司、一座城市,或者一个政府。他在此次演讲时心中所想的网络战定义,很可能是以网络攻击为武器的战争。此后,网络战的定义逐渐趋于一致,直到2010年出版的《网络战》一书明确阐述。该书由老布什、克林顿和小布什三位美国总统的国家安全顾问理查德克拉克和后来担任奥巴马总统网络安全顾问的罗伯特克纳克合着。克拉克和科内克将网络战定义为“一个民族国家渗透另一个国家的计算机或网络以造成破坏的行为”。简单来说,这个定义广义上包括了业界普遍理解的“战争行为”,但它是通过数字化手段进行的战争行为。但随着时间的推移,克拉克和科内克的定义已经无法跟上世界进步的步伐,数字攻击有可能超越计算机的范围,在现实世界中产生实际后果。早期网络战第一个真正符合克拉克和科纳克对网络战定义的历史性事件发生在十多年前,也被一些人称为第一次网络战争。攻击的目标是爱沙尼亚,它是世界上网络化程度最高的国家之一世界。2007年春天,前所未有的拒绝服务攻击(DDoS)浪潮席卷了爱沙尼亚100多个网站,导致该国网上银行、数字新闻媒体、政府网站等几乎全部瘫痪。具有Web界面的服务已被禁用。使用。袭击发生之前,爱沙尼亚政府决定拆除位于首都塔林市中心的苏联时代雕像,此举激怒了该国讲俄语的少数民族,并引发了塔林各地的街头游行和网上抗议活动。然而,在网络攻击发生数周后,越来越明显的是,这不仅仅是一场在线骚乱:这次攻击来自一个被恶意软件劫持的PC僵尸网络,很可能是由有组织的俄罗斯网络犯罪分子运行的。一些攻击源甚至与早期带有明显政治意图的DDoS攻击重叠,包括针对俄罗斯国际象棋冠军和反对派政治领袖加里卡斯帕罗夫的攻击。今天,安全分析人士普遍认为,俄罗斯政府可能纵容了这些攻击,即使没有活跃的组织。到次年,俄罗斯政府与出于政治动机的网络攻击的联系变得显而易见。另一个非常相似的DDoS攻击袭击了另一个俄罗斯邻国-格鲁吉亚。这一次,数字攻击伴随着物理入侵:坦克开进格鲁吉亚首都,舰队封锁格鲁吉亚黑海海岸线,以“保护”格鲁吉亚境内的亲俄分裂分子。在某些情况下,数字攻击将被用作军事打击的前兆,预先攻击与军队将进入的特定城市相关的网站,展示两者之间的协同作用。2008年的格鲁吉亚战争可能是第一场真正的混合战争,将常规军事力量和黑客力量结合在一起。但考虑到格鲁吉亚的互联网普及率较低(当时只有约7%的格鲁吉亚人使用互联网),以及俄罗斯相对简单粗暴的网络攻击(只是破坏和丑化网站),这场战役更像是一个历史预兆网络战而非真正意义上的网络战。网络战不是...网络间谍活动:网络战不仅仅是信息窃取,不是各国监视对方政府的盛大活动,也不是美国长期陷害中国的更具争议性的私营企业经济间谍活动。网络犯罪:网络战不是为了金钱利益而进行的黑客攻击、银行欺诈或勒索软件攻击,例如类似黑客攻击的网络犯罪,无论其影响有时看起来多么残酷和代价高昂,都可以轻松地从受害者身上榨取数百万美元。信息战:尽管可能存在争议,但网络战不是旨在传播虚假信息和政治宣传,或泄露对手的负面信息以试图伤害对手的“影响行动”。是的,“影响行动”,包括2016年俄罗斯政府黑客可能针对民主党目标的一系列违规和泄密事件,最终归结为政治腐败和黑话,而不是真正的网络战的直接、有力、瘫痪的破坏.第一枪2010年,人类社会对网络战有了新的认识。认知颠覆的序幕是由白俄罗斯安全公司VirusBlokAda拉开的。该公司首先发现了一种神秘的恶意软件,该恶意软件会使运行其自己的防病毒软件的计算机崩溃。到2010年9月,安全研究社区得出了一个令人震惊的结论,即名为Stuxnet的恶意软件样本实际上是有史以来为网络攻击设计的最复杂的代码。将近两年后,Stuxnet才被证实是由美国国家安全局和以色列情报部门创建的,目的是阻止伊朗制造原子弹的企图。2009年至2010年间,Stuxnet摧毁了安装在伊朗纳坦兹地下核浓缩厂的一千多台两米高的铝制离心机,使该设施陷入混乱和迷失方向。“震网”可以说是历史上第一次直接破坏物理设备的网络攻击,也是迄今从未被超越过的具有破坏性的网络战行为。也可以说,“震网”打响了全球网络军备竞赛的第一枪,拉开了网络军备竞赛的序幕。伊朗迅速效仿,从网络战的受害者变成了攻击者。2012年8月,全球最大的石油生产商沙特阿拉伯的沙特阿美公司(SaudiAramco)遭到Shamoon恶意软件的攻击。约占公司电脑总数3/4的3.5万台电脑被清理干净,采油作业基本瘫痪。在受感染计算机的屏幕上,恶意软件留下了美国国旗被点燃的图像。一个自称为“正义之剑”的激进组织后来声称对这起事件负责,但网络安全分析人士很快怀疑伊朗是幕后黑手,利用沙特阿拉伯作为报复“震网”的代理目标。在接下来的一个月里,自称“Ababil行动”的伊朗黑客袭击了美国主要银行,用一波又一波的DDoS攻击使它们的网站瘫痪。这些攻击可以说是俄罗斯在爱沙尼亚和格鲁吉亚使用的针对性攻击的升级版。同样,虽然在“黑客活动家”的幌子下,网络安全分析师在攻击的复杂性中发现了伊朗政府,也许伊朗黑客活动国家队发出了更直接的信息——它将反击/报复任何未来的美国网络攻击。到2014年,伊朗不再是唯一一个利用网络攻击跨越国界并对世界各地的平民目标造成伤害的流氓国家。朝鲜也开始展示其网络战实力。在对他们的宿敌韩国持续发动DDoS攻击多年后,朝鲜黑客发起了更大胆的举动:2014年12月,黑客声称已经深入渗透了关于朝鲜领导人金正恩的低俗喜剧电影《刺杀金正恩》的发行正恩的暗杀阴谋。方索尼影业网。自称为“和平卫士”的黑客窃取并泄露了索尼影业的大量内部电子邮件和几部未发行的电影。他们摧毁了数以千计的计算机,成功地完成了突袭。(虽然数据泄露可能是纯粹的影响操作,但破坏性的数据删除将事件推向了网络战领域。)不仅要钱,还要求取消《刺杀金正恩》的上映。在网络犯罪的幌子下,联邦调查局公开将此次攻击归因于朝鲜政府,这是基于黑客的疏忽,留下了已知被朝鲜黑客使用的中国IP地址。加入网络战的国际大国名单越来越长。焦土即使朝鲜和伊朗黑客在金沙赌场和索尼影业的攻击中造成严重破坏,2014年左右的网络战也仅限于孤立事件和阶段性破坏。但大约与此同时,乌克兰正在经历一场颜色革命,可能会招致俄罗斯的入侵和部署[世界上第一次真正全面的网络战。2015年秋天,随着俄罗斯军队吞并乌克兰的克里米亚半岛,越过乌克兰东部边界,并支持顿巴斯地区的亲俄分离主义运动,俄罗斯情报机构的黑客开始了一系列全面的恶意软件攻击。他们以乌克兰媒体和基础设施为目标,包括其国有铁路和首都基辅的机场,损害了受害者网络上的数百台计算机。然后,在平安夜,同样的黑客实施了前所未见的更加恶劣的破坏行为:他们攻击了乌克兰的三个区域能源设施,使大约225,000户家庭蒙在鼓里,并且有史以来第一次由网络控制.攻击造成的大停电。停电仅持续了六个小时,但它清楚地向乌克兰人民传达了其易受远程攻击的脆弱性,并向世界展示了俄罗斯黑客的老练。随着乌克兰战争的继续,俄罗斯黑客在2016年底又发动了一系列攻击,规模和破坏力都超过了前一年。他们突袭了该国的养老基金、财政部、港口城市政府和基础设施、国防部和财政部,删除了数TB的数据,包括明年的预算。乌克兰的铁路公司也受到了打击,其在线预订系统在假期旅游旺季离线了数天。然后,在圣诞节前一周,黑客又引发了一次停电,这次是在乌克兰首都基辅。这次攻击导致该市部分地区的电力中断仅一个小时,但与一年前攻击配电变电站不同,这次黑客攻击的目标是输电变电站,并可能导致更大规模的停电。第二次停电攻击还使用了一种新型的预感工具,安全研究人员将其称为Industroyer或CrasOverride。俄罗斯恶意软件是自Stuxnet以来第一个针对物理设备的代码样本。该工具展示了一种模块化结构,可以很容易地适应西欧或美国的网格目标,表明俄罗斯黑客不仅希望对乌克兰造成更大的破坏和恐怖,而且还在验证可以轻松使用的破坏性技术别处。事实上,所有这些攻击都只是一场网络战争大戏的序幕。2017年6月下旬,俄罗斯黑客利用乌克兰会计师事务所LindosGroup的被黑服务器推送恶意代码,安全研究人员后来将其命名为NotPetya。NotPetya是一种自动化蠕虫,它结合了泄露的NSA黑客程序EternalBlue和密码窃取工具Mimikatz。(该恶意软件乍一看像是网络犯罪分子使用的旧版Petya勒索软件,但事实并非如此,这就是它被命名为NotPetya的原因。)NotPetya关闭了乌克兰的银行、ATM和销售点系统,几乎瘫痪他们扰乱了乌克兰各地的政府机构,扰乱了机场和铁路等基础设施,扰乱了医院对放射性水平的监测,扰乱了该国的邮政服务,甚至还扰乱了切尔诺贝利核电站的废墟。此外,NotPetya的致病性不受国界限制。全球最大航运公司马士基航运公司、美国制药公司默克公司、联邦快递欧洲子公司TNT快递、法国建筑公司圣戈班、食品制造商亿滋国际、国内国际巨头李洁洁化学品时代,是NotPetya的受害者。在上述妥协中,NotPetya渗透了网络,使数千台计算机变砖并导致数亿美元的业务损失和清理成本。NotPetya甚至回到了俄罗斯,对俄罗斯国家石油公司Rosneft、钢铁生产商Evraz、医疗技术公司Invitro和Sberbank等受害者造成了更深远的附带损害。白宫后来估计NotPetya造成的总损失至少为100亿美元,但其损失的全部程度永远无法确定。不要怀疑网络战的未来,网络战只会愈演愈烈。没有网络安全分析师会打赌NotPetya是一次性的灾难。毕竟,就在一个月前,朝鲜黑客发布了他们自己版本的WannaCry勒索软件,其破坏力几乎与NotPetya一样。WannaCry的瘫痪网络延伸到中国的大学、印度的警察局,甚至英国的国家医疗服务体系(NHS),导致英国数千名医生的预约被取消,最终造成40亿至80亿美元的损失。(虽然WannaCry揭示了其他民族国家发动这种大规模蠕虫攻击的可能性,但它本身并不一定算作明确的网络战,因为WannaCry似乎确实想要从受害者那里索取赎金。在全球网络强国中,朝鲜政府是独一无二的因为他们将网络犯罪利润视为政治攻击,并且他们追求政治和经济利益。)已经有迹象表明,未来的网络攻击可能会造成更多伤害,甚至是物理损坏。2017年8月,名为Triton或Trisis的恶意软件关闭了沙特阿拉伯PetroRabigh拥有的一家炼油厂。经过数月的逆向工程,安全研究人员确定恶意代码并非旨在导致停机,而是旨在悄悄地禁用工厂所谓的安全仪表系统——抵御高温或压力等不安全条件的最后一道防线.秘密禁用这些系统可能会导致致命事故,例如爆炸或煤气泄漏。目前还不清楚哪些黑客是这种极其危险的恶意软件的幕后黑手,或者他们为哪个国家服务。鉴于伊朗和沙特阿拉伯之间的紧张局势和代理人战争,虽然伊朗是安全行业猜测的主要目标,但安全公司FireEye在2018年底发现,有迹象表明与俄罗斯中央化学力学科学研究所有关。对此有两种解释,要么是俄罗斯的直接攻击,要么就是代表伊朗或其他国家黑客工作的俄罗斯恶意软件开发人员。与此同时,伊朗一直在修改过去三年用来攻击沙特阿美的Shamoon数据擦除恶意软件,针对沙特阿拉伯、卡塔尔和阿拉伯联合酋长国的目标分阶段发起数据破坏浪潮。除了对安全系统攻击的预期和另一种类似NotPetya的蠕虫的可能性的云之外,还有许多其他噩梦般的假设让网络战专家彻夜难眠。他们担心对供水系统、金融系统、石油和天然气管道、医院的网络攻击,可能伴随着造成大量人员伤亡的物理攻击。在乌克兰两次圣诞节停电之后,网络战专家警告说,对电网的更严重攻击也是可能的。长期以来,专注于电网网络安全的分析师一直担心网络攻击不仅会导致电网设备瘫痪,还会对其组件造成物理损坏。他们警告说,这种策略,尤其是在同时针对多个目标部署时,可能会引发比乌克兰黑客仅拉动开关仅几个小时(持续数天或数周)更大规模的停电。虽然美国基本上没有受到直接的网络战攻击——除了NotPetya的附带损害——但美国情报机构警告说,俄罗斯等国家已经渗透了美国的基础设施,并正在为未来的网络冲突“准备战场”。今年早些时候,美国国家情报总监办公室的一份报告指出,中国有能力对美国关键基础设施发动网络攻击,造成暂时性的区域中断,例如天然气管道中断数天至数周。莫斯科正在规划美国的关键基础设施,其长期目标是能够造成重大破坏。这些报道中没有说的是,美国自己的黑客几乎肯定会在外国网络中植入同样的逻辑炸弹。网络空间?网络战的破坏性扩散似乎是不可避免的。人类将如何面对无休止、混乱的大规模网络冲突未来?最明显的答案自然是网络安全:政府和私营企业中关键基础设施的所有者无疑可以在网络空间中发挥作用。加大保护投入,尽可能将关键系统与互联网隔离。但在网络战中,就像在更广泛的网络安全中一样,攻击者具有明显的优势:不要指望任何安全技术能够阻止所有未来的网络攻击。也许最重要的是,关键基础设施运营商、政府机构和企业需要专注于构建弹性系统——具有备份和冗余的系统,可以从网络攻击中快速恢复。但网络战专家也指出,老式威慑仍需发挥作用。有可接受和不可接受的黑客行为的国际公约,也有一些不能触及的红线。如果你发起突破这些红线的网络攻击,你将不得不面对一系列严重的后果。奥巴马政府和特朗普政府已经采取措施实施此类威慑政策:奥巴马政府对攻击美国银行的七名伊朗黑客提出指控。奥巴马本人在讲话中指出,朝鲜应对索尼影业网络攻击事件负责,并对朝鲜实施新一轮制裁。尽管有传言称特朗普政府对待俄罗斯黑客,但最终确实对俄罗斯情报官员实施了额外制裁,以应对渗透到美国电网的NotPetya混乱和攻击。但这些行动还不够,因为他们寻求实施的红线仍在建设中。近十年来,网络政策鸽派一直呼吁达成某种形式的全球协议或公约来建立网络战规范,但他们的努力大多没有结果。在他们2010年的书《网络战》中,Clark和Konak提出了《网络战限制条约》,旨在禁止首先使用网络攻击他国的关键基础设施。近日,微软总裁布拉德·史密斯呼吁签署《数字日内瓦公约》,停止对非军事目标的网络攻击。美国智库大西洋理事会网络治理倡议组织前主席乔希·科尔曼建议达成更具限制性的协议,在医院周围建立“网络禁飞区”——实际上,通过放置任意致命攻击来定义作为战争罪,并有效地启动限制网络战的进程。但随着网络战军备竞赛的不断升级,所有这些网络空间倡议几乎都被忽视了。批评人士指出,网络攻击的动机很难界定——网络间谍或网络侦察入侵通常看起来像是正在进行的网络战攻击,而识别黑客则更加困难。所谓的归属问题并没有阻止美国政府明确指出某些政府对过去十年影响西方目标的重大袭击负责。美国情报机构可以利用人类情报来源和他们自己非常强大的黑客能力来识别(或捏造)网络攻击背后的策划者,即使在安全社区不确定的情况下也是如此。更重要的是,政府一直不愿签署网络战限制,因为他们不想限制他们对敌人发动网络攻击的自由。美国可能无法免受敌人的重大网络攻击,但美国领导人仍然无意阻碍美国自己的国家安全局和网络司令部,这是世界上最有才华、资源最丰富的黑客组织。特朗普政府不断放松网络司令部的束缚,提升其权威,彻底释放网络司令部对敌方基础设施发动先发制人攻击的自由。就在今年,网络司令部据称利用这些新特权关闭了俄罗斯互联网研究机构的服务器,对伊朗的网络间谍活动进行了破坏性攻击,并在俄罗斯电网深处植入了具有潜在破坏性的恶意软件。换句话说,美国和其他大国仍然没有意识到,向对方发起焦土网络攻击不会有任何回报。除非他们改变认知,否则网络战机器将继续前行,一步步碾压现代文明的基础设施。网络战攻击爱沙尼亚简史,2007年:爱沙尼亚政府2007年4月决定拆除首都塔林市中心的苏联士兵雕像,激怒了该国讲俄语的少数民族,并引发了大规模抗议。骚乱伴随着一波分布式拒绝服务攻击,导致数百个爱沙尼亚网站离线。这次袭击可能得到了俄罗斯政府的支持。格鲁吉亚,2008年:次年,俄格战争中重复发生了非常相似的网络攻击,在俄罗斯坦克驶向格鲁吉亚首都、军舰封锁其海岸线时,该国网站遭到一系列拒绝服务攻击。虽然这些在线攻击看起来比较粗糙,但它们可能是第一次伴随物理入侵的大规模数字攻击。Stuxnet,2009年:从2009年开始,一种名为Stuxnet的别出心裁的恶意软件开始渗入伊朗纳坦兹核浓缩设施的网络,严重破坏了伊朗的核野心。直到2010年该蠕虫意外传播到世界其他地方时才揭露了这一行动,两年后才揭露这是美国国家安全局(NSA)和以色列情报机构所为。沙特阿美公司,2012年:在Stuxnet被确认是美国和以色列主导的攻击后仅仅两个月,Shamoon恶意软件袭击了石油巨头沙特阿美公司,摧毁了35,000台计算机。这次攻击是当时同类攻击中规模最大的一次,很快就被确定为伊朗黑客所为,并被认为是为报复美国Stuxnet漏洞而发起的代理攻击。索尼,2014年:2014年底,一群自称为“和平卫士”的黑客破坏了索尼影业的网络,窃取和泄露了包括未发行电影在内的大量数据,并危害了数千台计算机,要求索尼取消发行它的喜剧电影《刺杀金正恩》。虽然黑客最初看起来像是索要赎金的网络犯罪分子,但FBI很快宣布他们实际上是朝鲜国家黑客团队。乌克兰,2015年:2015年圣诞节前两天,俄罗斯黑客引发了有史以来第一次由网络攻击引起的大停电,切断了数万乌克兰家庭的电力供应。这次袭击发生在一个俄罗斯实体入侵该国东部和克里米亚半岛的中途,随后发生了一系列严重的数据擦除袭击,最终导致2016年底乌克兰首都基辅发生另一次大停电。NotPetya,2017年6月:俄罗斯针对乌克兰的网络战在2016年6月达到顶峰,当时俄罗斯释放了NotPetya恶意软件,该恶意软件劫持了乌克兰会计软件M.E.Doc的软件更新,并在数千台计算机中植入了破坏数据的蠕虫病毒。但NotPetya不仅摧毁了乌克兰的网络,还波及马士基航运、默克、联邦快递等跨国公司,造成创纪录的100亿美元损失。Triton/Trisis,2017年8月:在NotPetya发生几个月后,沙特阿拉伯炼油厂PetroRabigh被称为Triton或Trisis的高级恶意软件关闭。这还不是最糟糕的:分析人员发现,揭示其存在于俄罗斯科学院的神秘恶意软件本应关闭该工厂的安全系统——可能造成人员伤亡。作者:安迪·格林伯格,《连线》杂志的安全撰稿人以及《沙虫:网络战新时代》和《追捕克里姆林最危险黑客》的作者。《网络战来了》原文:https://www.rand.org/pubs/reprints/RP223.html国家情报总监办公室报告地址:https://www.dni.gov/files/ODNI/documents/2019-ATA-SFR---SSCI.pdf《数字日内瓦公约》:https://www.microsoft.com/en-us/cybersecurity/content-hub/a-digital-geneva-convention-to-protect-cyberspace【本文为专栏作者“李少鹏”原创文章,转载请通过平安牛(微信公众号id:gooann-sectv)获得授权】点此查看该作者更多好文
