俄乌冲突中的网络对抗分析

1　背　景

1.1　俄罗斯积极实施极具自身特色的“混合战争”

1.2　俄乌网络冲突宿怨由来已久

1.3　国家力量与黑客军团高度结合

2　俄乌网络对抗回顾

2.1　战前，俄罗斯主导持续性网络间谍活动

2.2　战时，俄乌双方以破坏性攻击手段展开互搏

3　网络对抗特点

3.1　作战目标上，瞄准军事、关键基础设施

3.2　作战力量上，国家力量、黑客组织主导冲突

3.3　攻击手段上，运用多种手段制造打击

3.4　作战方式上，辅以心理战和舆论战

4　几点认识

4.1　网络战成为混合战争时代的首选和前战

4.2　关键基础设施成为网络战的主战场

2022 年 2 月 24 日，俄罗斯以“闪电战”对乌克兰东部顿巴斯地区开展特别军事行动，迅速瓦解了乌克兰武装抵抗力量，将俄方陆海空天网“五维一体”的作战能力优势演绎得淋漓尽致。但在现实热战外，俄乌之间的网络战其实早已拉开序幕，两国乃至更大范围内的网络对抗也随之成为此次冲突中的一大焦点。

1.1　俄罗斯积极实施极具自身特色的“混合战争”

“混合战争”概念认为，未来战争形式将混合常规军事力量与非常规军事力量，除高强度正面冲突外，还应包括网络攻击、舆论攻击、封锁制裁等非常规、非对称作战。自 2013 年乌克兰危机后，俄罗斯即借鉴西方“混合战争”概念，采取多种威慑战略措施，将网络战、信息战、代理人战、特种战等多种新型战争形式与传统常规战争结合，把乌克兰作为“混合战争”概念试验的主战场。俄式“混合战争”关注强者对弱者的征服，利用乌克兰东部地区居民对当地政府的不满情绪，采取了隐蔽模糊的行动控制冲突烈度，支持东部势力武装独立斗争，利用非国家行为体实现乌克兰东部地区的政权更迭 。

1.2　俄乌网络冲突宿怨由来已久

俄乌两国从 2014 年首次军事冲突以来，双方就大打网络战。但由于双方网络战实力上的差距，乌克兰成为俄罗斯网络战的试验场。2014 年以来，高度组织化的俄罗斯黑客军团对乌克兰多次发起网络攻击，部分行动盘点如表 1所示，目标瞄准政治、军事、经济、交通、媒体、能源等领域，实施数据窃取、破坏信息系统、瘫痪关键基础设施等行动。

表 1　2014 年以来俄罗斯针对乌克兰的网络行动盘点（部分）

1.3　国家力量与黑客军团高度结合

近年来，据西方政府、科技企业及媒体的公开报道，国家级网络攻击频次不断增加，具有国家背景的黑客活动呈明显上升趋势，黑客组织发起的攻击活动由最初的利益驱动转向综合政治、经济、军事等多个因素的复杂性网络攻击。同时，国家级网络攻击正与私营企业技术融合发展，网络攻击私有化趋势带动了网络雇佣军行业的快速扩张，网络攻击威胁性进一步增大。2021 年 11月，乌克兰国家安全局曾公开警告俄罗斯 APT 组织 Gamaredon，表示俄罗斯联邦安全局是对其政府机构长期进行网络攻击的幕后黑手。

俄乌冲突中，网络攻击始终贯穿军事热战主线，甚至成为冲突的先行战场。双方在网络对抗中构建了大批前沿阵地，组合运用 DDoS 攻击、数据擦除软件等多种工具及攻击手段，将火力覆盖至敌方基础设施领域，2022 年部分俄乌网络对抗事件如表 2 所示。乌克兰国家特殊通信和信息保护局宣称，双方开展的网络战是第一次全面的网络世界大战。

表 2　俄乌网络对抗一览表（部分）

2.1　战前，俄罗斯主导持续性网络间谍活动

据微软公司报道，战前，俄罗斯黑客组织持续针对乌克兰军政系统、国有企业等目标开展网络间谍活动，为后续军事行动预先准备。该阶段以搜集军事情报、窃取关键信息系统数据为主要目的，破坏性网络攻击行动相对较少。

从 2021 年 4 月起，俄方黑客组织便针对乌克兰及其同盟国开展网络间谍活动，窃取外交政策数据、搜集国防情报。微软公司报告指出，俄方 APT 组织于冲突爆发前就获取了乌克兰多领域重要信息系统的访问权限，建立了持续化攻击渠道，并开展针对性网络行动超 237 次，其中包含破坏性网络攻击近 40 次。网络行动的攻击目标中，超过 40% 针对媒体、通信、能源等公共服务基础设施，约 32% 直接针对乌克兰政府及军事机构。

2.2　战时，俄乌双方以破坏性攻击手段展开互搏

战时，俄乌双方网络对抗均以破坏性攻击活动为主，瞄准对方关键基础设施信息系统及供应链进行破坏、控制、摧毁等恶意网络活动，从而实现心理战、信息战、认知战的多战效果融合，将网络攻击的效果最大化映射至社会治理与军事作战。

冲突爆发后，俄罗斯积极利用网络行动协同常规攻击，支持军事目标实现。冲突爆发前几个小时，俄罗斯部署、运作了大量破坏性恶意软件，摧毁了乌克兰政府、军事、能源、金融等 300 余个关键基础设施信息系统；冲突爆发后，俄罗斯 APT 组织持续利用网络工具库针对政府、媒体、通信、金融等领域开展 DDoS 攻击、数据擦除攻击等行动，旨在降效、破坏或诋毁敌方政府社会职能，并进一步削弱乌克兰的军事防御能力 。

作为回应，乌克兰公开招募民间黑客力量，组建 IT 志愿军以攻为守开展反击渗透，同时联合大量黑客组织、个人等非国家行为体对俄数百个关键基础设施目标开展持续化网络攻击，进攻态势及效果明显。同时，乌方积极引入欧美国家援助，搭建通信线路，加强网络防御，关键数据上云，以期保障社会及民众生活的平稳运行。

3.1　作战目标上，瞄准军事、关键基础设施

俄乌冲突中，俄乌双方的政府机构、军事设施、能源、媒体、电信提供商等关键基础设施均成为网络攻击的主要目标，目的是扰乱、致瘫敌方基于信息系统的社会治理，从而配合传统军事打击手段有效影响战争进程。

乌克兰方面，多个政府部门、军事设施、金融机构、政府承包商于战前多次遭受大规模网络攻击，导致网站瘫痪、面临数据擦除危险；开战后，乌克兰多个电信基础设施因网络攻击出现经常性中断服务，使得乌政府临时切 断 互 联 网， 寻 求 美 国“ 星 链” 卫 星 互 联 网帮助。

俄罗斯方面，多个乌克兰黑客组织对俄 100多个目标进行攻击，涉及政府、媒体、金融、能源及交通运输等行业，大规模 DDoS 攻击已经使俄包括克里姆林宫、国防部在内的多个核心政府门户关闭。同时，美国全国广播公司新闻频道爆料，拜登政府收到一份针对俄罗斯实施大规模网络攻击的选项，包括中断互联网连接、关闭电网、干扰铁路控制系统等 。

值得注意的是，俄乌战争相关全球卫星导航欺骗或干扰事件的数量有所增加。2022 年 2月 24 日冲突爆发当日，覆盖乌克兰地区的美国卫星运营商 Viasat 遭遇网络攻击，导致数千名本地用户、数万名欧洲其他地区用户断网。安全公司 SentinelLabs 研究显示，此次攻击源于名为“酸雨”（AcidRain）的恶意擦除软件，该软件可远程擦除易受攻击的调制解调器和路由器，是专为针对乌克兰行动所研发。

3.2　作战力量上，国家力量、黑客组织主导冲突

从目前的报道看，俄乌冲突的网络作战主力是国家级网络力量、黑客组织及民间力量。从民间网络黑客到国际黑客组织，多方势力纷纷表态行动，为此次冲突增加了更多复杂性。

乌克兰方面，主要由 IT 志愿军、黑客军团进行网络行动，美国部分网络安全企业、欧美网络专家支持网络防御。乌克兰多次发布招募令，呼吁民间黑客抵御、反击俄方攻击，并已成功组建 IT 志愿军对俄实施行动；推特账号 CyberKnow 显示，已有 46 家黑客组织明确支持乌方，包括全球最大的黑客组织“匿名者”（Anonymous）；美国多家网络安全企业、专家及非营利组织为乌方积极提供安全产品及服务，帮助其进行网络防御，如美国 Clearview AI 公司向乌方提供打击虚假信息的人脸识别技术。

俄罗斯方面，由国家支持的黑客军团主导了网络行动。Conti 勒索软件团伙声称将利用所有资源对针对俄罗斯实施网络攻击的敌方关键基础设施进行反击；白俄罗斯 UNC1151 黑客组织已经开始入侵乌克兰军事人员的电子邮件账户；“红土匪”（The Red Bandits）黑客组织声称考虑升级对乌网络攻击。

3.3　攻击手段上，运用多种手段制造打击

从战前准备到发动战争，俄罗斯经历了攻击侦察、伪装诱骗、远程入侵、木马植入、隐蔽潜伏、横向扩散、数据窃取、远程操控等阶段，最终形成多层次的攻击杀伤链，为发动军事行动提供支撑。作为回应，乌克兰利用黑客军团对俄关键基础设施发动多领域、高频次、高复杂度的网络攻击。

乌克兰方面，乌方政府为黑客军团提供了攻击目标清单、攻击工具及基础设施，极大地推动了行动主体的多样化，显著提升攻击效果。乌方为 IT 志愿军提供了包括俄罗斯政府机构、银行、能源供应商在内的 31 个攻击目标名单，通过 Telegram 频道和聊天室进行任务分发和信息交换；同时，乌方提供多种 DDoS 攻击工具及教学文档，分发的攻击工具包括在线、短信、机器人和命令执行等多种执行方式，供初学者快速上手；乌方还窃取了部分俄罗斯境内的弱口令设备作为攻击基础设施，供攻击者从俄罗斯本土发动攻击 。

俄罗斯方面，其黑客使用 DDoS 攻击、钓鱼欺诈、漏洞利用、供应链攻击、恶意数据擦除攻击等组合式攻击手段，扩大了网络攻击的杀伤面。例如，针对乌克兰政府网站的 Octobercms建站软件和 Apache 网站系统，利用 CMS 漏洞、Log4j 代码执行漏洞制造入侵；针对乌克兰黑客构建了虚假网站，获取账号、密码后向重要机构投放钓鱼攻击邮件、恶意软件，实施大范围渗透入侵；针对政府机构及关键基础设施的关键计算机系统数据，通过控制内网域和不同网络服务的漏洞植入 HermeticWiper、IssacWiper、CaddyWiper 等多款数据擦除软件，达到深度致瘫效果；针对乌克兰政府机构、银行网站服务器资源发动 DDoS 攻击，使用多种 DDoS 即服务平台及 Mirai、Meris 等多个僵尸网络，导致请求数量超出常规处理能力的三倍，造成服务器运行缓慢或者宕机 。

3.4　作战方式上，辅以心理战和舆论战

俄乌双方在发动网络战的同时，综合运用心理战、舆论战，制造心理威慑、引导舆论走向，以达到全面压制、舆论胜利的效果 。

俄乌冲突战场首先在全球社交媒体上展开，综合运用攻心宣传、离间瓦解等心理战手段，以期实现内部瓦解敌军、辅助传统实战。2022年 2 月 18 日，俄罗斯将要入侵乌克兰的消息在全球社交媒体上迅速传播，给俄方施加了压力，也给乌克兰制造了战前恐慌；2 月 24 日，乌克兰军人投降视频在 YouTube 上传播；2 月 26 日，乌克兰国防部在 Twitter 开通“从乌克兰活着回来”的俄罗斯军人亲属热线电话，均达到鼓舞己方士气、削弱敌方信心的效果。

俄乌双方也通过社交媒体进行舆论对抗，争取国际舆论支持。自 2022 年 2 月 22 日起，俄乌两国驻外社交媒体均开展公共外交，争取当地政府和民众的支持；乌克兰总统在 Twitter、YouTube 等平台上接连发声，呼吁国际社会制裁俄罗斯，并取得了较大成果和关注；3 月 1 日，俄方境内已被限制使用 Twitter、Facebook 等多款媒体平台，信息舆论对抗受挫。

4.1　网络战成为混合战争时代的首选和前战

本次俄罗斯发动的军事打击使用“混合战争”概念，以高频的网络攻击作为军事行动前奏，并将网络行动贯彻所有正面行动，破坏敌对国关键信息系统窃取情报，甚至瘫痪交通、能源、金融等关键基础设施。“混合战争”常态化使现代战争形态进一步向战场外拓展，网络战具备的成本低、效果大、难溯源等特点，成为“混合战争”的首选和前战。本次俄乌冲突再次印证，网络攻击伴随现代军事行动必将是信息时代战争形态的大势所趋。在当今国际形势日益复杂的环境下，大国战略竞争加剧进一步增加了网络战争先行的可能，时刻保持警惕与防御态势，才能在未来可能发生的世界级网络战中占得先机。

4.2　关键基础设施成为网络战的主战场

当前，国与国之间的网络对抗正越来越多地转向电力、水利、电信等关键基础设施，并成为网络战的首选攻击对象。俄乌开战以来，乌克兰军事、政府、金融等目标对象已遭受不少于 3 次大规模网络攻击。此举不仅可以影响军事作战、社会稳定、经济发展，同时其网络痕迹可供俄方做出一定侦查效果，起到协同传统作战力量的效果。因此，关键基础设施的安全问题已经打破网络与物理世界的壁垒，构成了严重的现实威胁。

4.3　网络战延伸至太空领域

随着联合全域作战概念的深入演进，太空力量已逐步融入现代作战。此次俄乌冲突中，Viasat 卫星攻击事件成为人类战争历史上首次成功实施的广域卫星通信对抗战例，卫星网络系统等天基资产网络安全走向公众视野。自战争爆发以来，美欧网络安全机构同时警告卫星通信遭受网络攻击威胁，欧盟航空安全局警示飞机使用的卫星导航系统面临安全风险。同样的，俄罗斯航天局局长表示将把针对俄罗斯卫星基础设施的任何网络攻击视为战争行为。鉴于当前卫星通信系统的脆弱性，攻击方式的多样性，未来卫星通信系统的网络安全必须提上议事日程。

4.4　军民融合助力网络战进一步升级

当前，俄乌之间网络对抗已经不再是两个国家之间的较量，全球多个国家和地区、黑客组织、民间力量也参与其中，甚至部分美国政客推波助澜，持续向俄方施压、制裁。其中，网络作战主要力量集中于俄乌两国的国家级网络力量、黑客组织及民间力量，例如，乌克兰国家安全委员会将乌方于 2022 年 1 月、2 月遭受的两次大规模 DDoS 攻击分别归咎于白俄罗斯情报机构 UNC1151 和俄罗斯总参谋部情报总局；2 月 24 日，欧盟组建网络快速响应小组，帮助乌克兰抵御网络攻击；2 月 25 日，国际性黑客组织“匿名者”向俄方宣战，先后攻击俄政府机构、主流媒体及军事机构 。多方势力的入局共同将此次俄乌冲突中的网络对抗推向顶峰。

俄乌冲突以军事打击为目标，摧毁敌方关键基础设施的背后无不透露出新型网络战的实体攻击能力。在国际关系日趋紧张的局势下，我国亟需加强网络安全体系建设，深入开展网络攻防演习，健全网络安全情报分析机制，完善网络安全综合应急预案，以随时应对可能到来的网络冲突。