北京香山论坛｜网络犯罪和网络战交叉凸显，存在冲突升级风险

近年来，越来越多的案件凸显出网络犯罪和网络战的交叉：具有明确网络战意图的行动中，已经融入了通常与网络犯罪相关的策略手法。在当前的俄乌冲突的背景下，俄美和中美间持续的紧张关系受到高度关注，这些关系也反映出了网络空间的一些趋势。越来越多的案例使用诱骗勒索软件和分布式拒绝服务（DDoS）攻击，为开展网络战传播破坏性的数据擦除恶意程序和远程访问特洛伊木马（RAT）。

随着国家和非国家行为者越来越广泛地使用这种形式的恶意软件，网络犯罪和网络战行动越来越纠缠不清。这种交叉的深入使网络空间的治理变得复杂，而打击网络犯罪历来是为数不多的国际共识之一。为揭露上述趋势的更多细节，本文考察了具体的网络攻击事件，定位网络犯罪手法和网络战目标意图的结合点，从而判定冲突升级的风险。

网络攻击事件层出不穷

一、“第65网络营”攻击事件

2022年3月，一个据报道与国际黑客组织“匿名者”（Anonymous）相关联的非国家行为者“第65网络营”（NB65），声称他们窃取了俄罗斯联邦航天局（Roscosmos）的数据，并表示俄罗斯总统弗拉基米尔·普京“已无法控制间谍卫星”。NB65还分享了一条推文，其中包含了据称是来自俄罗斯联邦航天局WS02车辆监控系统服务器的信息。一些网络专家报告称，此次攻击的源代码中有66%“与Conti相同”（Conti据称是一款俄罗斯勒索软件），表明NB65很可能从一家提供“勒索软件即服务”（RaaS）的供应商那里购买了Conti勒索软件。虽然NB65似乎的确泄露了文件与管理材料，但目前的证据并不能表明他们获得了对俄罗斯联邦航天局操作系统和卫星的控制权。

二、“二次约会”与“喝茶”

2022年6月，中国国家计算机病毒应急处理中心与中国网络安全公司奇虎360安全技术有限公司合作，分析了中国西北工业大学（NPU）遭受的网络攻击，据称该次攻击来源于美国国家安全局（NSA）定制访问操作办公室。分析报告表明，本次网络攻击利用了17个国家的服务器，目标是攻击该国防类大学的零日漏洞。《环球时报》报道了此次事件，并援引匿名消息来源称，NSA采用的工具包括“二次约会”和“喝茶”软件，分别用于中间人攻击和远程访问特洛伊木马。奇虎360的取证报告还提供了41个“网络攻击”工具的更多细节，其中包括据称被NSA使用的工具。

此外，中国外交部发言人发表声明谴责“美国国家安全局对中国的网络攻击和数据窃取活动”，称此次事件有13名美方人员参与，涉及“与美国电信运营商相关联的60多份合同和170多份数字文件，用于构建网络攻击环境”，美方对西北工业大学开展了1000多次网络攻击，以窃取“核心技术数据”。

三、FoxBlade

2022年2月，俄乌冲突爆发的几个小时之前，乌克兰民用数字基础设施遭到攻击性和破坏性网络攻击。其中值得注意的是FoxBlade恶意软件，或称HermeticWiper，据称与俄罗斯军事情报部门有联系。FoxBlade是一款诱饵勒索软件，它破坏了乌克兰政府、信息通信技术（ICT）、能源、农业和金融部门超过12个机构的系统和信息，还曾攻击过拉脱维亚和立陶宛等国。人们认为铱星集团——据称与俄罗斯武装部队总参谋部的沙虫黑客部队（也称为74455部队）有关联——不仅与乌克兰的FoxBlade有关，还与CaddyWiper和Industroyer2等恶意软件有关。

四、“酸雨”

2022年2月，乌克兰遭受网络攻击的同一天，美国卫星通信服务提供商 Viasat运营的KA-SAT卫星宽带网络也遭到攻击。当时检测到大量恶意流量集中占网发起DDoS攻击，这些流量由位于乌克兰境内的几个调制解调器和其他用户设备发出，这些调制解调器和设备是KA-SAT面向消费者的一个网络分区的服务对象。虽然这次网络攻击很可能只是针对乌克兰军方的卫星通信，但它也影响了“乌克兰境内的数千名用户和欧洲各地的数万名固定宽带用户”。它干扰了法国的紧急服务，中断了德国5800座风力涡轮机的远程监控。美国网络安全公司“哨兵实验室”（Sentinel Lab）坚持认为，这次网络攻击在供应链攻击中利用了KA-SAT管理机制，推送具有破坏性的“酸雨”数据擦除程序，从而使调制解调器无法工作。“哨兵实验室”的调查结果还指出，这次网络攻击可能来自俄罗斯，欧盟、英国和美国发布的声明也进一步指出了这一点。

冲突升级的风险

1、非国家行为者

在Foxblade和其他网络攻击发生后，乌克兰副总理兼数字转型部长呼吁成立国际黑客众包组织“乌克兰信息技术军队”（IT Army）。这种国家和非国家行为者间的交叉，让本已充满争议的联合国规范建设工作变得更加复杂，特别是针对民用关键基础设施的网络攻击的规范工作。根据乌克兰数字转型部的数据，到2022年2月底，信息技术军队已对俄罗斯和白俄罗斯的国家服务机构（可能包括铁路和电网）开展了进攻性网络行动。其中的一些行动，无论是针对乌克兰、俄罗斯还是白俄罗斯，“如果有理由预计这些行动会造成损伤后果，或者有可能违反‘始终注意保护平民和民用物体’的义务，就可能构成对民用物体的非法攻击”。此外，乌克兰高级官员支持针对民用关键基础设施的非国家网络攻击，表明网络治理面临更长期的挑战。

2、诱饵行动

恶意诱饵软件的使用越来越多，加上先进的技术，使得网络事件的归属复杂化，导致错误归因和事态升级的可能。这在使用勒索软件推送破坏性恶意软件的情形下尤为明显，比如FoxBlade和NB65事件。即便有相对强大的网络取证力量，网络事件也可能因潜在的地缘政治紧张局势而变得复杂。中国和俄罗斯的发言人分别表达了各自对公民权被剥夺的担忧，称国际上对于二国关键基础设施遭受网络攻击的关注有限，例如涉及西北工业大学和俄罗斯联邦航天局的事件，此外还谈到了错误归因的问题。

尽管中国政府的声明和奇虎360发布的取证报告可能会成为这些网络攻击事件受关注度提高的转折点，但西方对此类事件的报道仍然存在较大差异。这种由外和由内造成的不透明性两相结合，促使中国和俄罗斯开始联手制定一些独立于美国和欧盟主导之外的进程，并开始规范国际论坛参与条件，以推进各自追求的战略目标，比如俄罗斯发起的并行性质的开放成员工作组（OEWG），以及中国和俄罗斯共同反对非政府组织（NGO）与工业界参与国际治理论坛。

3、附带损害

对关键基础设施的网络攻击，无论是针对电力还是核电设施、交通网络、通信卫星还是医院，仍然有可能在未来导致生命损失。对Viasat KA-SAT卫星发起的“酸雨”数据擦除攻击虽然并未造成人员死亡，然而，其目的据称是破坏乌克兰的军事通信系统，但其溢出效应却扰乱了欧洲的民用服务。此外，此次事件还j揭露出监管方面面临的障碍，因为空间系统通常是军民两用的，并且其用户所在国可能并未卷入冲突当中。空间系统特别是卫星服务的这种军民两用性质，在国际人道主义法（IHL）的背景下变得十分复杂，因为国际人道主义法规定，攻击不得针对民用目标，但如果某些两用物体的性质、位置、目的或用途符合军事目标特征的话，该法不禁止针对此类物体的攻击。

2022年9月，在以减少空间威胁为主题的开放成员工作组第二次会议上，俄罗斯代表团副团长发言表达了这一观点，他声称，“准民用基础设施可能成为报复性攻击的合法目标”。此外，私营部门参与得越多——比如FoxBlade攻击事件之后，微软与乌克兰政府、欧盟、欧洲国家、美国政府、北约和联合国展开合作；“酸雨”事件后，Viasat与美国空军研究实验室合作开发一种包括商用以及政府所有卫星的“混合网络”概念——民用和军用之间的界限就越模糊，私营部门也将成为更大的目标。

4、动能攻击升级风险

网络攻击不仅会导致系统无法运行，还会产生动能攻击的潜在后果。针对诸如Viasat卫星系统等军民两用性质资产的网络攻击尤其具有争议性。俄罗斯官员已经发出威胁，称具有军事用途的民用资产在未来可能会成为被攻击目标，这也许暗示着其他通信平台也可能受到动能或网络攻击。甚至RAT的运用——例如针对中国西北工业大学的网络攻击——也有可能导致动能武器的使用，这取决于被泄露的数据是什么。NB65对俄罗斯联邦航天局的网络攻击，以及最近的2023年2月，俄媒因遭网络攻击而播报虚假导弹警报，显示了黑客活动带来的干扰效果。如果这种网络行动被误判为物理攻击，比如NB65声称“关闭”了俄罗斯联邦航天局卫星的控制主机或者俄罗斯的虚假导弹威胁等事件，它们也可能引发动能武器的反击。俄罗斯官员已经声明，造成任何国家的卫星离线实际上都是一个开战理由。此外，如果网络攻击方成功获得对卫星的实际控制权或使军事设施触发虚假导弹警报，将不仅导致冲突升级，还会引起反击报复。

结论

乌克兰的持续冲突突显出网络威胁日益严峻，迫切需要采取强有力的网络安全措施。必须仔细考察可能导致冲突升级的四个关键因素：一是诱饵行动的运用，其中传统网络犯罪手段掩盖了网络战的目的；二是黑客活动的增长，私营部门作为非国家战斗人员的作用越来越突出；三是网络攻击事件对军民两用和非相关基础设施的溢出效应；四是网络攻击导致的动能攻击后果与动能武器反击的可能性。通过精细化关注特定恶意软件发展趋势及其升级风险，不仅有助于解决网络犯罪等各民族国家共同关心的问题，还可以解决网络战等更具争议性的话题。（作者系斯德哥尔摩国际和平研究所（SIPRI）高级研究员，本文翻译：郭楚薇，澎湃新闻获授权刊发）