俄罗斯对乌克兰战争中的网络行动

迄今为止的用途、局限性和经验教训

俄罗斯入侵乌克兰一年后，有关战时网络行动效用的某些假设现在可以接受考验。俄罗斯的网络齐射拉开了这场战争的序幕，但面对坚韧的网络防御者，他们未能实现目标。由于其不确定的影响、潜在的溢出效应、恶意软件的开发周期以及不同的作战节奏，网络/常规联合作战仍然难以实施。针对乌克兰的网络行动尚未在削弱乌克兰的抵抗能力方面取得重大战略效果。此外，俄罗斯针对乌克兰和西方受众的信息行动却被置若罔闻。因此，网络行动的最大价值似乎仍然在于其情报和侦察功能。

自 20 世纪 90 年代初以来，网络战一直被其支持者誉为军事革命或完美的战争武器。这些讨论大多数都是理论上的，通常关注网络能力的应用如何达到或超过武装攻击的门槛，从而导致常规战争的问题。然而，很少有实证研究考察网络能力在战争期间的军事作战效用。在过去一年的乌克兰战争中，网络能力已在常规战争中得到运用，这使我们能够对网络能力用作战争工具时潜在的改变游戏规则的性质得出初步结论。

西方三大思想流派

网络能力和战时战略

有关“网络战”的文献通常关注将网络能力应用于政治战略甚至犯罪目的，而不是军事行动目的。20 世纪 90 年代的战略网络战叙事将网络战视为威胁现代社会的下一代战线。指导性参考框架之一是“网络珍珠港”的比喻：通过数字斩首攻击，电网可以关闭，关键基础设施被摧毁，整个经济陷入停顿，而这一切都不需要实体军事力量。在这种叙述中，网络作战被视为一种战略反价值能力其目标是社会，旨在影响和平时期的国家行为。简而言之，网络行动有望改变国际体系的力量平衡，因为人们认为网络行动优于常规力量。

然而，随着该领域的成熟，人们的期望逐渐降低。马丁·C·利比茨基等学者指出，就战争目标而言，网络战争无法解除敌人的武装，“更不用说摧毁”敌人。此外，在没有实体战斗和暴力的情况下，网络战无法取得领土收益，但这仍然可以被认为是大多数现代战争的首要目标之一。此外，仅仅依靠数字手段很难让对手屈服于自己的意志——著名的克劳塞维茨式的战争目的。研究还表明，针对平民的战略攻击很少有助于实现赢得战争的目标，其次，很难针对控制现代社会关键功能的数千个不同系统进行精心策划。与常规武器不同，许多网络行动都是依赖于目标的，这意味着它们不能不加区别地针对任何系统使用，这使作战规划变得复杂。此外，对于如此复杂的攻击链，总是存在失败和意外级联效应的风险，这实际上可能会给攻击者带来适得其反的效果。

战场上的网络能力

自 2000 年代中期以来，网络战不再被视为一种独立的能力，可以产生独立于动态冲突的影响，而是作为对常规能力的补充。换句话说，当以联合和组合的方式使用时，网络作战可以成为常规能力的力量推动者/倍增器。 在这里，战争中的网络行动不一定以其战略效果来衡量，而是被视为一种可以针对敌方军队的反力量能力。一个例子是 X-Agent 恶意软件，它渗透到引导火炮的目标设备中火力，然后将炮兵阵地的地理位置泄露给敌军，然后敌军指挥反炮兵火力。在这种网络能力的概念中，网络手段的应用与机动战和通过外科手术或针刺式打击瘫痪敌人的理想非常吻合。

尽管研究表明，军事硬件存在大量理论上可以被网络行动利用的漏洞，但在实践中，这很难实施。一项研究Nadiya Kostyuk 和 Yuri M. Zhukov 撰写的关于在叙利亚（2013 年）和乌克兰东部（2014 年）使用分布式拒绝服务攻击和动能军事行动的研究表明，联合行动中的时机往往是错误的。常规攻击和破坏性网络行动的策划时间和行动节奏不同，很难取得联合效应。例如，恶意软件具有生命周期：它必须首先被开发、测试，然后部署到对手的 IT 上以产生影响，直到被发现并得到缓解。这需要时间，通常是几周或几个月。原则上，防御者的一次软件更新或配置更改就有可能消除恶意软件的影响。恶意软件比子弹更具针对性。最后，为了使其效果与地面操作同步，恶意软件可能需要与外界的实时命令和控制连接，这在采用主动电子战干扰的战斗环境中可能不可行。因此，网络行动可能有助于战争的早期阶段是一种第一次打击，但敌对行动持续的时间越长，保持功能性恶意软件的可操作库存和维持对敌方系统的后门访问就越困难。

此外，协调常规部队和网络部队之间的机动也很困难。首先，相互冲突的目标是一个问题：以情报为导向的行为者倾向于对系统进行隐藏的长期访问（网络间谍活动或基于存在的操作），而不是对系统进行短期破坏（所谓的网络效应操作），这将导致可能会导致发现所使用的后门，从而烧毁该功能。其次，数字战场和传统战场的地理位置很少一致。美国通过“发光交响曲行动”学到了这一点因为它针对的是 ISIS 的数字基础设施。伊斯兰国依赖数十个国家的数字服务，通过网络行动摧毁/接管这些资产需要与盟友和第三方国家协调。此外，事实证明，ISIS 具有网络弹性；它迅速重建了瘫痪的基础设施。“发光交响曲行动”表明，持续的网络交战不是临时性的，而是持续的网络交战更为有效，网络作战在战争中的效用不在于其破坏性或破坏性效果，而更多地在于其情报收集和心理能力。如果对手担心他们的网络受到损害并且有人正在监听他们的声音，他们就会改用其他通信方式，从而减慢他们的行动计划并使之复杂化。Erica D. Borghard 和 Shawn W. Lonergan得出的结论是，战争中网络行动的另一个效用可能是其针对后勤系统的能力，因为这些系统通常是民用系统，安全性低于军事系统。尽管如此，许多人得出的结论是，网络能力最适合情报和侦察功能，并且不能取代常规武器。在许多情况下，通过空袭或炮火压制目标比通过网络效应行动更快、更简单、成本更低，也更有效。

和平与战争之间的网络能力

自 2014 年左右以来，网络能力的混合或灰色地带 性质受到了极大的重视。在这种理解下，网络活动不被视为战争的破坏性力量，而是情报竞赛或战略竞争其中的主要目标不是削弱军队，而是颠覆、利用和塑造网络和信息环境。更重要的是，网络行动的主要用途是出于政治、经济甚至犯罪目的窃取或操纵信息。这些行动对这种叙事中的权力平衡的影响是双重的：首先，它们可以用来影响政治话语和进程，例如，在和平时期削弱西方民主国家；其次，它们可以让攻击者以长期网络间谍活动的形式获得战略收益，正如中国或朝鲜的网络治国模式所见。

对网络行动的这种解读很大程度上受到两个趋势的启发：首先，根据国际法，大多数网络行动不被视为符合使用武力或武装攻击的法律标准，因此不能被用来证明自卫的正当性。《联合国宪章》第五十一条规定的条款。在许多情况下，网络行动被有意设计为低于战争门槛，不冒武装或暴力报复升级的风险，更不用说真正的战争了。同样，防御者也可能不想升级对此类活动的反应。其次，自 2014 年吞并克里米亚以来，一直到俄罗斯试图干预 2016 年美国总统选举，俄罗斯对此类能力的应用塑造了围绕网络活动的规范性叙述。

俄乌战争前的期望

在俄罗斯实际入侵乌克兰之前，许多情报机构预计会发生某种数字化的首次打击。2008 年入侵格鲁吉亚时，俄罗斯军队越过边境时，使用大规模分布式拒绝服务攻击暂时超载并扰乱了格鲁吉亚政府和媒体网站。这一做法的目标之一是阻碍格鲁吉亚与更广阔世界的沟通，从而将局势笼罩在众所周知的战争迷雾中。多年来，俄罗斯树立了“非凡”网络强国的形象，并大幅增强了其游戏实力。俄罗斯高级持续威胁 (APT) 攻击者似乎渗透到各处网络从政府机构和选举进程到关键基础设施，后者导致乌克兰两次停电（通过 Blackenergy 和 Industroyer 恶意软件）。在这种背景下，情报界的许多人预计网络行动将为俄罗斯的常规入侵奠定基础，例如瘫痪电网、通信系统或政府部门。事实上，正如戴维·桑格 (David Sanger) 2022 年 2 月在《纽约时报》上所写的那样，“所有这些系统在过去六年中都成为俄罗斯的目标”，他的评估基于一项秘密情报评估。突然，网络珍珠港隐喻又回到了桌面上。大规模禁用这些重要系统具有军事意义，因为这会妨碍乌克兰协调防御的能力。一些人还担心不分青红皂白的恶意软件会产生无意的溢出效应（正如几年前的 Not-Petya 事件一样），这可能会意外地将其他各方卷入冲突。尽管如此，CrowdStrike 的迪米特里·阿尔佩罗维奇还是降低了预期，他认为，“俄罗斯可能会在网络空间开展三种类型的活动来支持其军事目标：情报收集行动、旨在扰乱或欺骗乌克兰军队的行动以及针对乌克兰军队的心理行动”。

俄罗斯2022年对乌克兰使用网络和信息战能力

俄乌战争期间的行动总数可能不得而知，但 2022 年 8 月，乌克兰计算机紧急响应小组 (CERT-UA) 报告称，战争前半段发生了超过 1,123 起网络攻击。 这意味着网络活动比战前时期增加了三倍。2023 年 1 月，CERT-UA报告称，它响应了超过 2,194 起攻击。尽管如此，未报告或未发表病例的估计数量仍不清楚。在欧洲网络事件存储库项目的框架内，我们还跟踪了许多事件。我们可以从俄罗斯使用网络和信息手段的方式以及乌克兰成功避免或控制攻击的方式中吸取教训。

网络行动需要准备

正如研究人员所预期的那样，情报收集似乎是网络行动在战争中的主要用途。俄罗斯情报部门早在 2022 年 2 月攻势开始之前就开始了战场准备工作。提前收集常规或数字打击的情报，可能有助于俄罗斯联邦军事情报机构和武装部队识别目标。2021 年底，俄罗斯网络侦察的质量和数量都有所增加。自 2021 年 5 月以来，与俄罗斯对外情报局 (SVR) 有联系的 APT 组织 Nobelium 被认为是这方面相当活跃的参与者。此外，在此期间，俄罗斯国家行为者以及相关的威胁行为者不断尝试进行妥协乌克兰通讯、交通、能源、国防、行政和外交系统和服务。此外，俄罗斯联邦安全局（FSB）团体还参与了针对乌克兰的网络攻击和情报活动。

预埋和开源情报

敌对行动爆发前，俄罗斯曾多次试图编造宣战借口。这包括俄罗斯在Telegram 和 Twitter上的多次信息行动，试图将乌克兰描绘成攻击者，而俄罗斯只是试图自卫。在传统媒体和社交媒体上，乌克兰和美国都被指控在秘密实验室制造生物武器，这是一个 2008 年俄罗斯入侵格鲁吉亚时重复出现的 20 世纪 80 年代的故事。此外，视频显示乌克兰涉嫌破坏俄罗斯目标和乌克兰的军事行动。就在俄罗斯入侵前几天，网上出现了所谓的幼儿园炮击事件。尽管如此，这些塑造公众认知的尝试很快就被政府揭穿了。开源情报社区对材料进行了取证分析。美国情报界还致力于“预先揭穿”俄罗斯的说法，提前予以反驳。

网络开放齐射

2022 年 2 月 23 日，即入侵前一天，俄罗斯军事情报机构 (GRU) 对乌克兰政府以及其他 IT、能源和金融组织发起了数次破坏性数据擦除网络攻击。这些攻击是为了支持即将到来的陆地和空中打击。通过删除政府系统的数据，俄罗斯可能试图减缓乌克兰国防军和政府服务的协调。人们预计网络能力可以在战争前夕以这种方式使用，但这种在多次迭代中使用高度破坏性的擦除恶意软件具有新的品质。擦除器恶意软件的功能还显示了自 2008 年格鲁吉亚战争以来网络魔兽已经发展了多远。

即使黑客成功，结果也不确定

此外，俄罗斯 2022 年 2 月 24 日对Viasat卫星通信的攻击提供了一些有趣的教训。这次网络行动关闭了乌克兰和欧洲的卫星通信，通过停用德国风力涡轮机的卫星调制解调器产生了意想不到的溢出效应。尽管网络行动在技术上取得了成功，但并没有妨碍乌克兰的指挥控制和情报行动。乌克兰官员随后声称它实际上对作战的影响可以忽略不计，因为卫星通信从来都不是乌克兰军队的主要通信手段，而是一种冗余选择。尽管乌克兰在贬低这次攻击的影响方面有既得利益，但 Viasat 的例子仍然让我们得出这样的结论：

联合机动/网络作战很困难

该分析的另一个发现涉及网络和常规行动的联合使用以实现共同目标。对于一些人来说，俄罗斯在战争初期的做法似乎很混乱。俄罗斯的常规军事攻击不分青红皂白地针对对正在进行的战术或作战演习没有直接意义的平民和社会目标。此外，2022 年 4 月的Microsoft报告指出，俄罗斯国家 APT 行为者在发动动态军事行动的同时进行了网络入侵，但不同类型的攻击似乎并没有很好地协调一致。事实上，俄罗斯网络攻击的目标与常规军事火力、导弹、火箭和炸弹所针对的组织和服务相同，因此，当政府数据被导弹击中时，政府本地计算机网络也成为破坏性数据擦除网络攻击的目标。尽管微软注意到俄罗斯网络攻击成功扰乱了技术服务并创造了“混乱的信息环境”，但它声称无法评估俄罗斯网络和信息行动的更广泛战略影响，例如那些推动公众信心受到侵蚀的行动以及乌克兰军事能力的恶化防御。

尽管如此，这种对事件的解读仍受到许多观察家的质疑，例如安全专家詹姆斯·A·刘易斯(James A. Lewis)，他直言不讳地评论道，“所有这些黑客活动[...]似乎与俄罗斯在乌克兰的军事行动协调不力。” 加文·王尔德指出，最先进的军事网络部队仍在努力解决如何有效地将网络能力整合到常规军事行动中的问题，并指出“俄罗斯迄今为止似乎还没有这样做”。乔恩·贝特曼还得出结论，“俄罗斯似乎不愿意或无法以最适合网络行动的精确、情报驱动的方式来计划和发动战争。”

造成这种情况的原因有多种，例如战略不善、情报准备不足以及负担过重的保密和不信任，导致机构间规划变得困难。就像地面部队不知道自己要发动攻击一样，俄罗斯网络部队和常规部队似乎也缺乏同样的联合准备。我们要吸取的教训是，网络行动和传统行动很难协调，但并非不可能。

通过网络手段实现物理效果是困难的

2022 年 4 月，研究人员发现了Industroyer2，一种旨在影响乌克兰能源网内的工业控制系统的恶意软件。它代表了 2016 年曾使基辅电网瘫痪数小时的同一恶意软件的演变。到目前为止，这是唯一公开提及的可能被设计为对乌克兰造成实际影响的恶意软件（观察者应该记住，由于保密，许多潜在影响的网络事件仍然未知）。事件响应人员能够在 Industroyer2 恶意软件的编程计时器启动之前将其停用。这种恶意软件显示了网络操作造成物理损害的潜力，但也显示了其局限性。在它发挥作用之前，这种影响就被减轻了，从而消除了可能多年的恶意软件开发。相反，常规轰炸能够导致超过乌克兰40%的电网。研究结果很明确：在战争中，常规手段通常比网络行动更快、更便宜、更精确，其结果更确定，而且通常更具破坏性。

网络作战没有产生战略效果

无论攻击类型如何，俄罗斯网络攻击的主要目的似乎是在战略层面上削弱乌克兰国家和社会。俄罗斯网络行动不是摧毁或抑制乌克兰军队或武器系统，而是针对乌克兰人民的整体意愿及其自卫能力。尽管如此，几乎没有证据表明这些行动产生了战略影响，例如削弱了乌克兰人的抵抗意愿。相反，研究表明，对民用基础设施的战略攻击不会降低敌人的抵抗意愿，反而会引发围绕旗帜效应的集会，从而为防御国的领导层提供强有力的支持。这对乌克兰来说也是如此：俄罗斯早期对乌克兰发动网络和常规攻击战争初期的宽带互联网接入可能是为了在大规模军事进攻的时刻孤立乌克兰政府。虽然2008年在格鲁吉亚取得了成功，但俄罗斯这次却失败了。

俄罗斯网络行动缺乏战略和军事行动意义，这令许多观察家感到惊讶。詹姆斯·A·刘易斯表示，俄罗斯一直无法扰乱“金融、能源、交通和政府服务，从而压制捍卫者的决策并制造社会动荡”。在观察了四个月的战争之后，他甚至宣称“网络攻击被高估了。虽然它们对于间谍活动和犯罪活动非常有价值，但在武装冲突中远非决定性的。” 造成这种情况的可能原因之一是乌克兰学习并适应了俄罗斯之前的网络行动。它建立了能力和网络劳动力队伍，简化了机构间协调，包括紧急减少官僚障碍，并进行网络靶场演习以收集俄罗斯活动的信息。与所有战争领域一样，不断学习、适应和创新是关键。

信息化运营赢得人心

2 月 25 日，俄罗斯总统弗拉基米尔·泽伦斯基 (Volodymyr Zelensky) 发布了“我们都在这里”的视频信息，该视频信息是在俄罗斯首次试图瓦解乌克兰领导层的网络和常规打击期间发布的，成为历史上最具影响力的信息行动之一。在这37秒里，全世界都意识到俄罗斯人没有成功，战斗才刚刚开始。从那时起，乌克兰政府巧妙地驾驭信息环境，追求多个目标，无论是（成功）争取国际军事和人道主义援助，还是在网上嘲笑俄罗斯的无能。可以说，至少在西方信息圈，乌克兰赢得了民心之战– 任何重大战争中的主要心理目标之一。这也导致了国际黑客活动社区的大力支持，他们迅速加入了乌克兰 IT 大军的行列，侵入了俄罗斯各种政府和商业基础设施。结果，关于这个臭名昭著的神秘国家的泄露材料数量达到了前所未有的程度。

尽管如此，俄罗斯政府压制性的信息安全做法成功地将国内信息领域与西方的影响隔离开来。此外，尽管受到联合国大会某些决议的谴责，但俄罗斯的外交、反西方信息和军事存在都阻止了许多发展中国家表达对俄罗斯入侵的抵制，更不用说向乌克兰提供积极支持了。

网络弹性是关键

乌克兰的网络防御者在对抗俄罗斯网络行动方面表现出了技巧和灵活性。据报道，一些政府网络在被擦除恶意软件删除后仅几个小时就恢复了运行。这基本上抵消了擦拭行动的一些战略影响。乌克兰战时网络工作中观察到的一些关键要点包括：

得到教训

俄罗斯网络活动主要集中在情报收集、数据破坏和对关键基础设施的拒绝服务攻击。令人惊讶的是，由于乌克兰积极主动的网络防御和社会复原力，这种网络战并没有给俄罗斯带来重大的战略、战役或战术利益，至少据我们公开了解。

不过，仅仅因为俄罗斯这次未能协调其数字和模拟演习，并不意味着其他国家不能从这次失败中吸取教训，并在下一次重大战争中这样做。尽管如此，仅靠更好的算法并不能平衡进攻性网络行动的固有弱点：它们需要过多的时间，依赖于目标，并且可能根本无法对抗敏捷、主动的防御者。尽管不完美，但网络防御并非徒劳，即使针对多产的攻击者也是如此。为了取得成功，它需要灵活性、速度、前瞻性思维、有用的威胁情报、简化的部际流程以减少信息孤岛，以及演习和培训。网络领域的防御规划需要政府和行业的整体方法。当谈到进攻性战时网络行动时，战争的不确定性使得显着的网络效应难以实现。一种可能的行动方针可能是更好地将网络作战与电子战、信息作战、情报作战以及对敌方关键通信、指挥和控制以及后勤节点的物理破坏结合起来。本课程需要大量的联合练习。政策和联合作战规划者在规划时也应该保持谦虚：网络作战对于情报收集、颠覆很有用并塑造信息领域，但它们并不能替代决定性的军事力量。由于网络行动的影响取决于目标，军事规划者最好制定应急计划，以防失败。规划者还应避免过于复杂的攻击链，其中下游常规操作严重依赖上游网络操作。对于北约来说，这意味着更多的联合训练，并有可能将网络靶场纳入作战规划。

最后，战后我们才能了解全貌，届时我们可以根据俄罗斯和乌克兰的依赖、意图和优先事项以及常规和秘密演习和反演习来评估俄罗斯信息战的重要性。。

Matthias Schulze 博士是 SWP 安全研究部副主任。Mika Kerttunen 博士是 SWP 的客座研究员。本文基于欧洲网络事件存储库 (EuRepoC) 项目进行的研究，两位作者都是该项目的成员。
作者感谢 James Lewis、Martin Libicki、Martin Müller、Tuomo Rusila 和 Max Smeets 以及 SWP 安全与欧亚研究部门的研究人员提出的宝贵意见。