网络洞察2023|地缘政治效应

地缘政治效应——地缘政治描述了地理对政治的影响，通常指国家之间的政治关系。这种关系总是反映在网络中。始于 2022 年初的俄罗斯/乌克兰战争已经反映出网络的重大干扰——这种干扰将持续到 2023 年。

肢体冲突迫使世界上大部分地区站队。美国、北约、欧盟及其盟友正在向乌克兰提供主要支持——除了军队。中国、伊朗和朝鲜都支持俄罗斯。网络冲突与美国、欧盟及其盟友的网络冲突类似，在很大程度上符合乔治·W·布什的“邪恶轴心”（伊朗、伊拉克和朝鲜，此外还有俄罗斯和中国）。

在这里，我们将讨论 2023 年全球地缘政治的现状如何在网络中发挥作用。

背景

AllegisCyber 医学博士兼创始人 Bob Ackerman 评论说：“俄罗斯在应对乌克兰的实地挫折时，很可能会采取更多的网络进攻行动。” 这被认为可能会持续到 2022 年，但随着俄罗斯军事挫折在 2022 年底增加，因此俄罗斯网络活动越来越激进的可能性将会增加。这种进攻行动将不仅仅针对乌克兰——它们将针对所有被视为支持乌克兰的国家。

Sophos 威胁研究高级经理 Christopher Budd 说：“虽然我们还没有看到那些令人恐惧的攻击成为现实，但现在说这些风险已经过去还为时过早。到 2023 年，只要战争的不确定性存在，每个人都应该为意外的大规模网络攻击的真正可能性做好准备。”

事实上，动态世界和网络世界之间的镜像表明，这在 2023 年是不可避免的。Venafi 安全战略和威胁情报副总裁 Kevin Bocek 预计俄罗斯的网络活动将变得更加“野蛮”。“我们越来越多地看到它的动能战争策略变得更加野蛮，用导弹袭击瞄准能源和水利基础设施，”他说。“我们希望同样适用于网络战。”

他担心俄罗斯更加野蛮的活动有可能蔓延到其他国家，“随着俄罗斯变得更加大胆，试图以任何方式赢得战争，俄罗斯可能会利用这场冲突分散注意力，因为它瞄准了其他国家受到网络攻击的国家。”

Malwarebytes 认为，大规模攻击将首先出现在乌克兰，但同时也会对欧洲盟友发起攻击。“最近几周 [2022 年 10 月/11 月]，俄罗斯一直在发射一连串导弹，以削弱乌克兰的电力基础设施。我们可以预计，在某个时候，此类武器的可用性将很低，而克里姆林宫将希望增加网络方面的努力。正如我们之前看到的BlackEnergy恶意软件造成的停电一样，我们可能会看到来自 Sandworm 组织的恶意软件攻击进一步成功，”Malwarebytes 威胁情报高级主管 Jerome Segura 评论道。

虽然用于破坏或擦除系统的恶意软件可能会被用来对付乌克兰，”他补充道，“但更多隐蔽的恶意软件（例如后门程序）可能会袭击欧洲盟友，因为它们试图危及关键领导人、收集情报并可能通过‘kompromat’暴露或勒索’”

从某种意义上说，俄罗斯/乌克兰冲突已经揭开了存在多年的低级别网络战的手套。你可以说 2023 年很可能会证明是赤手空拳网络战的新时代。“民族国家网络战将变得更加公开普遍，”Deepwatch 安全战略副总裁 Chris Gray 表示。“俄罗斯/乌克兰冲突消除了该地区的大部分‘隐身和匕首’，同时也扩大了可用目标的范围。由于服务中断而导致的财务影响和增加混乱的能力将越来越多地超过以前的水平。”

虽然我们将注意力集中在俄罗斯作为当前攻击性网络攻击的主要主角，但我们不应忘记俄罗斯的“盟友”会利用这种情况。“中国可能会全面扩展其针对经济、政治和军事目标的网络计划，”阿克曼继续说道。“全球舞台上的小演员很可能会利用大国冲突和相关的全球干扰来发动有针对性的区域网络攻击，”他补充说。比如伊朗针对以色列。

归因困难仍将存在

民族国家网络活动的增加将变得更加明显，但不一定具有法律可归因性。主要大国仍将寻求避免可能升级为更多动能战争的直接报复。Coalfire 副总裁安德鲁·巴拉特 (Andrew Barratt) 警告说：“民族国家攻击的现实情况是，在另一个国家的情报机构主动识别之前，您可能永远不会知道自己遭到攻击。” “将攻击归因于特定方是一个极具争议的领域，存在很大的错误和否认空间。我们真正需要的是来自友好军事情报合作伙伴的交叉，以支持一个合理的结论。”

SecurityWeek多年前被 Luis Corrons 告知，他现在是 Gen 的安全布道者和 AMTSO 的董事会联席主席，“唯一真正知道发生了什么的是情报机构，他们从信号情报和秘密特工那里获得了密切的知识” 从历史上看，情报机构一直不愿公开指责归属过多，因为担心这可能会暴露他们的消息来源。

到 2023 年，来自拥有成熟情报机构的国家的直接归因可能会增加——肇事者的尖锐否认也会增加——但这仍然很困难。Darktrace Federal 首席执行官 Marcus Fowler 解释说：“非国家附属网络参与者的迅速扩张，包括业余爱好者、黑客行动主义者、罪犯、私掠者、代理人、义务警员或网络响应预备队，这在传统战争中是前所未有的。” “针对网络犯罪的‘私刑’方法激增，将在 2023 年继续改变现代战争的进程，为民族国家带来前所未有的对手和盟友。”

零日库存

基本上不为人知的是不受约束的网络战的潜在能力——所有主要国家多年来一直在储备零日漏洞。“我不敢谈论民族国家可用的未使用动能，”Vectra AI 美洲首席技术官 Brian NeuHaus 评论道，“但我会离题到我认为只被部分使用的动能。网络战仍然是一个真正的威胁，来自更广泛地使用已知的 TTP、工具战术程序，以及等待正确的战略时刻部署对付敌人的未知零日攻击。”

零日漏洞不会轻易使用，尤其是民族国家。一旦使用，它们会立即失去价值。问题是我们不了解对手的零日储备，也不了解他们对关键基础设施发动广泛破坏的能力。它们的使用很可能是一种绝望——一种网络版本的核武器，有可能升级为公开的动能冲突。

我们必须希望这一天永远不会到来，因为值得记住普京关于使用核武器的警告：“对于地球来说，这将是一场灾难。但作为俄罗斯联邦公民和俄罗斯国家元首，我必须问自己这个问题。没有俄罗斯的世界有什么意义？”

Wiperware 和其他破坏性攻击

因此，我们必须希望，没有哪个民族国家会感到被逼入绝境，以至于它会释放储存的零日漏洞的全部力量来攻击对手的关键基础设施。这并不意味着我们可以放松——来自我们或许可以描述为传统网络武器的威胁仍然真实存在，并且可能会在 2023 年之前增加。Wiperware 可能位居榜首。

“俄罗斯今年对乌克兰的入侵揭示了现代数字战场。最值得注意的是，我们目睹了 wiperware 的使用增加，这是一种针对乌克兰组织和关键基础设施的破坏性恶意软件，”Barracuda 首席技术官 Fleming Shi 评论道。“随着我们看到WhisperGate、CaddyWiper、HermeticWiper 和其他自战争爆发以来出现在新闻中的消息，频率急剧增加。”

与勒索软件的经济动机和解密潜力不同，wiperware 通常由国家行为者部署，其唯一目的是破坏和摧毁对手的系统，使其无法恢复。“此外，”他补充说，到 2023 年，随着地缘政治紧张局势的持续，来自俄罗斯的擦除软件可能会蔓延到其他国家。

Wiperware 可以很容易地伪装成具有无效解密功能的犯罪勒索软件，从而增加对破坏性民族国家攻击的抵赖能力。有人怀疑WannaCry是它的一个版本。卡巴斯基 GReAT 高级安全研究员 Ivan Kwiatkowski 表示：“鉴于当前的政治气候，卡巴斯基专家预计破坏性和破坏性网络攻击数量将创下历史新高，影响政府部门和关键行业。”

“其中一部分可能不容易追溯到网络攻击，看起来像是随机事故。其余的将采取伪勒索软件攻击或黑客行动的形式，为真正的作者提供似是而非的否认，”他补充道。“针对民用基础设施（如能源网或公共广播）的高调网络攻击也可能成为攻击目标，水下电缆和光纤分配中心也可能成为攻击目标，这些都难以防御。”

此类攻击的一个特定目标区域可能是“双重用途”技术；也就是说，那些服务于军事和商业目的。“卫星技术和其他先进的通信平台受到了更高层次的关注。知识产权盗窃和向世界各地政府和军队的数据传输中断都成为一个更重要的焦点，”卡巴斯基首席安全研究员库尔特鲍姆加特纳说。

值得注意的是，就在俄罗斯入侵乌克兰之前，俄罗斯对Viasat发起的旨在破坏乌克兰军事通信的网络攻击波及该地区，影响了约 9,000 名欧洲用户。俄罗斯这次似乎“侥幸逃脱”，但它实际上仍然是针对战区以外平民的民族国家网络攻击。我们不知道西方有任何秘密反应，但必须怀疑如果溢出直接影响美国用户，反应是否会有所不同。

SANS Institute 新兴安全趋势主管 John Pescatore 赞同 Baumgartner 的观点。“乌克兰战争将对商业部门产生更广泛的影响，因为双方的特工都在攻击军民两用技术（即军民双方使用的服务）以摧毁通信和关键基础设施系统。” 他预计 2023 年会出现更多攻击，这些攻击将影响企业互联网连接、通信和物流系统。

他补充说：“对蜂窝塔、GPS 和商业卫星（如 Star Link）等关键双重用途技术的攻击越来越多，这将损害依赖这些技术的私营部门公司的连通性和业务运营，即使它们不是直接针对自己。”

超越俄罗斯

虽然网络的眼睛一直盯着俄罗斯，但我们应该记住，它并不是西方唯一的网络对手。在欧洲战争的掩护下，中国、伊朗和朝鲜都将在 2023 年之前增加他们的活动。中国可能会继续专注于间谍活动而不是破坏——尽管如果台湾的单独地缘政治紧张局势升级为动能活动，这种情况可能会改变。

Secureworks 情报总监 Mike McLellan 警告说：“中国在经济和社会发展方面有着高度优先的目标，由于新冠病毒的持续爆发和对新冠病毒的零容忍态度，这些目标变得更加紧迫。” “中国的情报收集将保持广泛和深入，因为中国共产党不会接受任何关键重点领域的失败。”

这一重点将放在升级其制造基地、食品稳定性、住房、能源供应和自然资源上。“在任何这些领域运营或提供服务的组织，尤其是高科技行业，”他继续说道，“是中国网络间谍活动的潜在目标。”

但他补充说，“随着台湾和南中国海的紧张局势继续升温，以及中国继续推进‘一带一路’倡议，中国的大部分网络间谍活动将以区域为重点，针对政府和关键基础设施项目，以及持不同政见者和其他反对中国政府的个人。”

伊朗和朝鲜不太关心与美国和欧盟维持任何表面上的外交关系。伊朗可能会发动更具破坏性的网络攻击，主要是在中东，但也可能在其他地方。“伊朗将利用国家支持的活动与网络犯罪的混淆，既针对地区对手，也针对更广泛的范围，”麦克莱伦说。

该国将打着黑客行动主义和网络犯罪角色的幌子，利用进攻性网络行动来骚扰和恐吓地区对手，尤其是以色列。随着伊朗合并国家和犯罪活动，这可能会扩展到中东以外。McLellan 引用 IRGC 附属的 Cobalt Mirage 威胁组织警告说，“伊朗将利用这种出于经济动机的活动作为国家间谍活动或破坏行动的合理掩护，这可以作为‘网络犯罪问题’的一部分而被驳回。”

Venafi 的 Bocek 补充说：“我们还看到朝鲜通过在边界上空飞行远程武器来炫耀其实力。” 如果动能和网络活动之间的镜像成立，我们可以预期朝鲜将在 2023 年在网络上变得更加激进。Bocek 补充说，这种网络活动“将被朝鲜复制，因为它希望推进其经济和政治目标。 ”

概括

2023 年及以后的一个特别担忧是，外交印章现在可能会被永久破坏。俄罗斯/乌克兰战争最终将结束——但两国及其盟友之间的紧张关系将继续存在。激进的国际网络活动可能永远不会回到战前水平。Tanium 欧洲、中东和非洲地区首席安全顾问 Zac Warren 评论道：“在世界舞台上不断争夺权力和地位的过程中，民族国家将继续相互造成数字问题。”

“各国将来到谈判桌前讨论规范；中国、俄罗斯和其他国家将阻碍进步，”Critical Insight 的创始人兼首席信息安全官 Mike Hamilton 警告说。他对 2023 年有两个具体的预测，这可能会使网络关系超出不归路。首先，他建议，“俄罗斯将破坏其基础设施，以表明其严肃性。” 其次，他补充说，“运营技术将被中断/消除，很可能是在美国水务部门。”

如果这些事件中的任何一个发生并且可以可靠地归因于外国，他们将不会轻易被原谅。

正如它在动态世界中一样，它在数字世界中也是如此。“对于现实世界中的一切，互联网上都有影子，”Cybereason 的 CSO Sam Curry 说。“越来越多的，我们将把互联网视为地缘政治活动的主要论坛。从 2022 年开始，经典的外交、信息、军事和经济（或“DIME”）选项将看到信息选项的兴起和军事选项的复苏。进入 2023 年，人们希望外交和经济脱颖而出，但为此，世界需要看到一项对所有各方都适用的俄乌战争解决方案，或者至少朝着这个方向提出有意义的停火；缓和南中国海，尽管它是一个次要区域，但它是超级大国日益关注和冲突的另一个潜在区域。”