美俄两国网络作战力量

（图片来源于C4ISRnet网站，如有侵权请联系删除）

美国的网络力量由多个领域机构支撑，包括军事机构、非军事政府机构以及私营机构。本文只涉及军事层面相关的美国国家网络机构力量。根据美国《2023年网络战略》，美国国防部开展多项网络行动，包括进攻性网络行动、防御性网络行动，以及保护国防部信息网络（DODIN）的行动。当获得美国网络司令部司令、美国国防部部长或美国总统授权时，美国国防部的国防任务与网络行动的优先级高于其他部门或机构的日常任务。

1.美国网络司令部

美国的大部分进攻性网络作战能力由美国国防部下属的美国网络司令部（USCYBERCOM）执行。美国网络司令部的核心任务领域包括：保障与防御国防部信息网络、保护国家免受网络攻击、为作战司令部提供网络支援。

2018年，美国网络司令部被提升为统一作战司令部；同时，特朗普颁布了《第13号国家安全总统备忘录》（NSPM-13），明确授予美国国防部长在网络空间开展攻击性网络行动的权力，使美军可以更自由地部署和使用进攻性网络武器。

网络任务部队（CMF）负责执行美国国防部的网络作战任务。截至2023年，网络任务部队由133支队伍组成，共有6000名现役军人和200名非军职人员（包括在役的国民警卫队和预备役人员）。预计到2027年，网络任务部队将增加到147支。现有这133支队伍被编为四类部队，各自负责专门的任务领域。如果美国遭遇网络攻击，这四类部队将共同负责协调网络反应行动。此外，这四类部队响应各自所属的网络司令部下级指挥部和作战司令部，并接受其指挥。这四类部队分别是：

1. 网络国家任务部队（CNMF）：共13支队伍，主要任务是开展网络作战，以保护国防部信息网络和国家免受恶意网络威胁。

2. 网络作战任务部队（CCMF）：共27支队伍，主要任务是开展军事网络作战，并支援各作战司令部（如美国非洲司令部、印太司令部和战略司令部）所制定的任务、计划和优先事项。

3. 网络保护部队（CPF）：共68支队伍，主要任务是保护国防信息网络并协助网络作战部队做好战斗准备；这一任务通过内部网络作战来完成，即保护国防信息网络或其他蓝军网络空间。网络保护部队包括隶属于联合部队司令部的国家级力量、隶属于各作战司令部的队伍，以及隶属于各军种网络司令部的队伍。

4. 网络支援部队（CSF）：共25支队伍，主要任务是为网络国家任务部队和网络作战任务部队提供分析和规划支持。

图1. 美国网络任务部队划分情况（图源于CSIS报告，如有侵权请联系删除）

2.美军各军种的网络作战

美军各军种都设有网络作战部门，其任务包括进攻性网络作战和防御性网络作战。这些军种网络司令部在执行网络任务时，为其所属的作战司令部提供关键支持，并按指示执行进攻性网络作战。在防御方面，军种网络司令部通过“防御性网络作战—内部防御措施”（DCO-IDM）以及对国防部信息网络的日常运营，防护其各自负责的国防部信息网络部分。

值得注意的是，每个军种在网络领域的行动方式和视角各不相同，因此美国国防部整体网络任务在协调性方面有所欠缺。美国网络司令部（USCYBERCOM）的设立就是为了解决这一问题。

图2. 美军网络指控基本结构（图源于LinkedIn，如有侵权请联系删除）

各军种网络作战队伍承担着复杂的职责。其所属军种司令部对其进行作战指挥。但各军种网络作战单位的指挥员同时承担两个角色：一是作为美国网络司令部在该军种的代表，二是作为“联合部队司令部—网络”（JFHQ-C）的指挥官。

此外，这些军种网络单位还支援其他作战司令部：

• 美国陆军网络司令部（ARCYBER）支援美军中央司令部、非洲司令部和北方司令部；

• 美国海军第十舰队支援美军印太司令部、南方司令部和太空司令部；

• 美国空军第16航空队支援美军欧洲司令部、运输司令部和战略司令部；

• 海军陆战队网络司令部（MARFORCYBER）支援美军特种作战司令部。

这些军种网络司令部通过网络任务部队为美国网络司令部提供人员、训练和装备。虽然这种安排使得规模相对较小的专业单位可以支援多种任务，但复杂的网络作战结构可能会带来指挥协调方面的混乱。

美国海岸警卫队在这个结构中是一个例外。根据美国国防部与国土安全部签署的协议备忘录，海岸警卫队司令对其网络部队和资源拥有完全的指挥权。不过，美国网络司令部与美国海岸警卫队网络司令部经常合作并开展联合行动。

3.美国国家安全局

美国国家安全局（NSA）是世界顶尖的计算机网络作战机构之一。此外，美国国家安全局局长（DIRNSA）同时兼任美国网络司令部司令。该局行动方式高度保密，但媒体披露的行动显示其具备先进的能力，并执行具有高度针对性的行动。

2019年，美国国家安全局宣布成立新的网络安全局（Cybersecurity Directorate），其目的是“更好地将从信号情报中获得的信息提供给各机构和私营部门，以保护国家关键基础设施”。此外，根据国家安全局发言人介绍，该网络安全局计划将国家安全局的“对外情报任务和网络防御任务”结合起来，并消除“对国家安全系统和国防工业基础的威胁”。据报告，该网络安全局还设立了网络安全协作中心，旨在“作为政府与私营部门网络安全专家的集合点，以便实时交流来自对手的黑客威胁信息”。该网络安全局的网站还将作为公开可访问的网络安全漏洞资料库。

美国国家安全局组织结构的其他细节高度保密。在前承包商雇员爱德华·斯诺登（Edward·Snowden）泄露大量该局行动信息之后，国家安全局在2016至2017年期间进行了重大重组。该次重组代号为NSA 21，将信息保障局与信号情报收集局合并后创建了新的行动局（Directorate of Operations）。据报道，这次合并的理由是为了改善国家安全局黑客能力与漏洞修补能力之间的协调性，从而“降低成本和缩减人员规模”。

图3. 国家安全局东园区的新建综合网络中心及其他新建筑（图源于electrospaces网站，如有侵权请联系删除）

4.美国国防信息系统局

美国国防信息系统局（DISA）作为作战支援机构，主要目标是保护美国国防部网络，并在军事行动中为国防部、国家领导人及盟国提供指挥、控制和信息共享能力。国防信息系统局的任务还包括应对并消除其负责的国防部信息网络面临的关键威胁（主要通过防御性网络作战—内部防御措施实现），以及管理其他网络基础设施问题。例如，国防信息系统局为国防部网络创建了名为“雷霆穹顶”（Thunderdome）的零信任架构，并鼓励国防部员工保持良好的网络安全习惯。

国防信息系统局的领导层向美国国防部首席信息官（CIO）汇报工作。该局2024财年的预算接近120亿美元，约占整个美国情报界预算的八分之一。其中，34亿美元来自美国国会拨款，85亿美元来自国防周转资金（DWCF）。该预算支持整个国防部，包括参谋长联席会议、联合参谋部、各战区司令部，以及对白宫的支持。由于其任务广泛、预算庞大，国防信息系统局的7000名员工在保护国防部资源方面具有极高影响力。

国防信息系统局的局长同时也担任“联合部队司令部—国防部信息网络”（JFHQ-DODIN）的司令，并负责为整个国防部信息网络提供保护。该局长需同时向国防部首席信息官和美军网络司令部司令汇报工作。

俄罗斯在网络领域既依靠国家情报/安全机构开展工作，也动用一些民间网络力量。在政府体系中，没有任何一个专门的俄罗斯安全或情报机构对网络作战负有完全责任。观察人士指出，俄罗斯各网络单位之间的协调很弱。这种体制“导致各机构在资源、人员和影响力上相互竞争”，也有时导致其在毫不知情的情况下各自开展类似行动。俄罗斯总参情报总局（GRU）、联邦安全局（FSB）和联邦对外情报局（SVR）内部都设有实力强劲的进攻型网络单位，通常是高级持续性威胁（APT）组织，只是其作战手法和技术水平有所差异。下文将对这三大俄罗斯网络相关机构进行介绍。在下文中，所谓以“熊”命名的高级持续性威胁组织，系指CrowdStrike公司所采用的系列代号；这些组织在业界还存在其他别名。

图4. 俄罗斯进攻性网络机构（图源于CSIS报告，如有侵权请联系删除）

1.总参情报总局

总参情报总局是俄罗斯的军事情报机构，曾策划过一些知名的网络攻击行动。该局负责网络攻击的下属机构包括：“奇幻熊”（Fancy Bear，对应该局第85主要特勤中心26165单位）、“巫毒熊”（Voodoo Bear，对应该局特种技术中心74455单位）和“灰烬熊”（Ember Bear，具体番号未公开）。另外，总参情报总局的54777单位（第72特勤中心对外信息与通信局）负责心理战行动，包括虚假信息宣传和信息战。

①“奇幻熊”

“奇幻熊”通常以北约国家为主要目标，重点攻击外国政府、国防与航空航天领域、科研与金融机构，以及全球媒体机构。其最著名的手法是使用鱼叉式网络钓鱼获取个人信息，以及注册与合法组织类似的域名，搭建钓鱼网站以窃取用户凭证。该组织投入了大量精力研发和更新恶意软件，包括DownRange、Foozer、WinIDS、XAgent和X-Tunnel，并且擅长利用零日漏洞。 

图5. 2016年世界反兴奋剂机构遭黑客攻击后，“奇幻熊”的网站界面（图源于CSIS报告，如有侵权请联系删除）

② “巫毒熊”

“巫毒熊”至少从2009年起就已经开始活跃，主要攻击关键基础设施，包括能源、金融和交通等领域。“巫毒熊”还成功实施了首个攻击电网并导致停电的网络行动。

③“灰烬熊”

“灰烬熊”是一个相对较新的高级持续性威胁（APT）组织，至少自2020年起开始活跃。“灰烬熊”主要攻击乌克兰，并曾对欧洲、拉丁美洲、中亚以及向乌克兰提供军事援助的北约成员国目标发动攻击。该组织的攻击对象包括：政府服务、执法机构、非政府组织、应急服务机构，以及信息技术服务供应商。据微软评估，“灰烬熊”的行动在规模和范围上“相对逊色于”已经成熟的威胁组织，如“奇幻熊”或“巫毒熊”。“灰烬熊”在渗透网络后（通常是利用网站、Confulence协作平台和Exchange邮件服务器的漏洞），会先收集数据，然后再开展破坏性行动。

2.俄罗斯联邦安全局

俄罗斯联邦安全局（FSB）是俄罗斯的主要国内安全机构，负责反恐、内部和边境安全，以及信息安全。该局还从事对外情报收集和进攻性网络行动。联邦安全局的任务还包括保护俄罗斯的网络空间和监控国内的犯罪黑客/民间黑客，这一职责则与俄罗斯内务部共同承担。据悉，联邦安全局与俄罗斯民间黑客关系密切。

在联邦安全局内部，有两个主要中心负责信息安全和网络作战。其一是第16中心，下属机构包括“狂暴熊”（Berserk Bear）和“毒熊”（Venomous Bear），掌控联邦安全局大部分信号情报能力。其二是信息安全中心，或称第18中心，下属机构包括“轻纱熊”（Gossamer Bear）和“原始熊”（Primitive Bear），主要负责俄罗斯所辖领土的行动与安全，但有时也会开展对外行动。

①“狂暴熊”

“狂暴熊”至少从2010年以来开始活跃。据美英两国政府评估，几乎可以肯定“狂暴熊”隶属于俄罗斯联邦安全局第16中心，也就是71330单位。“狂暴熊”的活动大体可以分为两个不同阶段。该组织最初被称为“精力熊”（Energetic Bear），其第一阶段活动持续到2014年。在此期间，其主要攻击对象涵盖北美和欧洲的制造业、石油天然气行业和电力行业，最初采用的入侵手段包括传统的钓鱼攻击、水坑攻击和供应链攻击。这些行动通常会部署定制的恶意软件（主要是Sysmain和Havex），并结合常见的渗透测试和工具。

在2014年“狂暴熊”的能力被公开披露后，该组织改变了作战方式，并停止使用之前的工具手段。在短暂的休整后，“狂暴熊”发起新一轮攻击行动，其行为特征发生了变化。与针对关键基础设施的其他俄罗斯高级持续性威胁组织（如“巫毒熊”）相比，“狂暴熊”攻击的不同之处在于，目前没有证据证明其攻击具有破坏性。该组织入侵对手系统并窃取数据，“尽管有充分机会，仍从未实际利用敏感系统尝试制造停电、植入破坏数据的恶意软件，或部署其他任何类型的网络攻击载荷。”

②“毒熊”

“毒熊”自2004年以来一直处于活跃状态，其攻击对象主要是外国政府、军队以及外交机构，例如外交部和大使馆。尽管该组织至少攻击过45个国家的机构，但似乎主要集中在前东方集团（former Easter Bloc）国家。近年来，该组织的攻击目标扩展到了多个领域，包括教育机构和制药公司。该组织主要开展水坑攻击和鱼叉式钓鱼攻击、伪造软件更新文件，以及利用卫星通信劫持进行指挥与控制。已知“毒熊”使用多种复杂且定制化的恶意软件，包括Snake、Agent.BTZ/ComRAT和LightNeuron。

③“轻纱熊”

“轻纱熊”至少从2017年开始一直活跃。2023年12月，美国政府正式将“轻纱熊”归于俄罗斯联邦安全局信息安全中心，即第18中心，军事单位编号64829。“轻纱熊”的已知攻击目标是北约国家，尤其是美国和英国；其偶尔也攻击波罗的海、北欧和东欧地区的国家。在这些国家中，“轻纱熊”主要针对智库、高等教育机构、防务与情报咨询公司以及非政府组织。此外，该组织还针对个人，例如前情报官员、俄罗斯事务专家以及旅居海外的俄罗斯公民。

④“原始熊”

“原始熊”至少从2013年以来一直活跃。2021年11月，乌克兰公开将该组织与俄罗斯联邦安全局的第18中心联系起来。根据乌克兰安全局的说法，该组织可能在克里米亚地区开展活动，主要攻击乌克兰政府与国防部门。该组织以运用社会工程学手段而闻名，尤其是假冒国家机关、国际组织和个人，向潜在受害者发送带有恶意微软办公文档附件的钓鱼邮件。此外，其还擅长利用零日漏洞。

3.俄罗斯联邦对外情报局

俄罗斯联邦对外情报局是俄罗斯的非军事对外情报机构，旨在保护个人、社会和国家免受外部威胁。该局通过人员情报、信号情报、电子情报以及网络情报等方式收集海外情报。与总参情报总局和联邦安全局不同的是，联邦对外情报局更注重隐蔽行动。其大多数行动主要以收集情报为目的，具备高水平技术专长和专业性。“舒适熊”（Cozy Bear）是唯一一个被归于联邦对外情报局的高级持续性威胁组织。

①“舒适熊”

“舒适熊”至少从2008年以来一直活跃，其目标是美国、英国和其他北约成员国的政府、外交和安全相关机构，以及原苏联加盟共和国。“舒适熊”使用过多种入侵手段，包括伪装成大量垃圾邮件的群发邮件，以及针对性的鱼叉式钓鱼邮件。在某些情况下，“舒适熊”使用被攻陷的第三方网络发起攻击，包括发送看似来自美国国务院和哈佛大学文理学院的钓鱼邮件。根据芬兰网络安全公司F-Secure的报告，该组织使用“砸抢式手法”（smash-and-grab），即快速但高调的入侵，随后尽可能快速收集并导出大量数据。如果该组织判断目标特别有价值，则会更换工具集，并采用更隐蔽的策略，专注于长期渗透和情报收集。