2017-2018年度,俄罗斯网络空间安全领域,继续遵循2016年12月颁布的新版《俄罗斯联邦信息安全学说》思路有序推进,致力于维护俄罗斯网络空间权益,保障公民信息权利和自由及关键信息基础设施安全,继续发展信息技术和信息安全产业,捍卫国家网络空间的舆论话语权,推动建立国际信息安全体系,维护信息安全国家主权。本文主要从俄罗斯联邦面临的网络安全威胁、网络安全措施、网络战力量发展及争取国际合作倡议等方面,宏观描述其网络安全态势。

一、俄罗斯联邦面临的网络安全威胁

俄罗斯处于大国霸权冲突、地缘政治冲突、宗教冲突的多重矛盾交织的焦点。近年来,因东乌克兰动乱、克里米亚问题、叙利亚冲突,特别是今年以来俄罗斯涉嫌操纵美国总统大选以及在英国毒害前谍报人员等问题,几件事使得美俄关系恶化到冷战结束后的最低点,俄罗斯联邦面临西方世界全面制裁,政治上日渐孤立,经济进入衰退。俄罗斯在网络空间面临的威胁,与现实社会一样盘根错节、错综复杂,突出表现在大国控制与反控制斗争、攻击与反攻击的博弈以及全球黑客的技术挑战等三方面。

(一)俄罗斯面临西方世界网络强国的信息控制挑战

作为对俄罗斯制裁行动的一部分,美国对俄罗斯网络采取了全面抑制和监视策略,网络强国既有网络空间国际战略和行动战略,也有网络空间司令部和网络战部队,它们毫无疑问是网络霸权主义的代表。从“棱镜门”事件就可以看出,以美国为代表的西方世界,拥有领先的信息技术优势和互联网控制权,美国是互联网的缔造者和网络战的始作俑者,在技术上领先优势明显,作为世界上唯一的超级大国,霸权思维惯性也决定其对所有现实和潜在的竞争对手均采取抑制策略,俄罗斯绝不能置身事外。另外,网络空间是新兴的人类活动领域,法理的空白为大国网络威慑策略实施提供了自由空间。美国对俄罗斯的网络控制突出表现在以下方面:一是对俄罗斯联邦的全面信息监控。据现仍在俄罗斯政治避难的前美国国家安全局(NSA)前雇员爱德华•斯诺登透漏,美国国家安全局的“棱镜”(PRISM)监听项目,监控全球数百万用户的通话记录;美国联邦调查局(FBI)通过微软、谷歌、苹果、雅虎等九大互联网公司的服务器,监控全球电子邮件和通话记录等私人信息;而俄罗斯联邦及其政治、军事、经济信息,正是其监控重点之一。自2013年6月7日美国总统奥巴马首次承认“棱镜”监听项目的存在以来,没有任何信息表明这种监控全球信息的项目终止或者减少。相反地,随着网络的发展,进一步促成了美国情报机构与硅谷高科技企业在数据挖掘层面的深度合作,美方利用其先进的信息处理和数据挖掘技术,加强了对重点国家网海量数据的分析处理,进一步强化了其互联网监控能力。二是限制俄罗斯信息产业的发展。美国国家安全官员以怀疑卡巴斯基与俄罗斯政府有关联为由,自2017年5月以来,6名美国情报与执法机构负责人在公开的参议院听证会上一致表示不允许在机构网络中使用卡巴斯基的软件。尽管卡巴斯基的创始人尤金卡巴斯基在Reddit上予以回应,称卡巴斯基实验室与克里姆林宫存在关联的说法是“毫无根据的阴谋论”,“完全是胡扯”,美国政府也未披露任何证据,卡巴斯基也已经应俄罗斯联邦安全局(FSB)的要求开发了安全技术,并合作开展联合项目。2017年7月,特朗普政府已将总部位于莫斯科的卡巴斯基实验室(Kaspersky Lab),从两份政府机构技术装备采购供应商目录中移除。原因是担心这家网络安全公司的产品,可能会被俄罗斯方面用于侵入美国网络。三是打击与俄罗斯信息技术企业。2018年6月12日,据路透社报道,美国财政部又宣布对三名俄罗斯人和五家公司实施制裁,称他们曾与莫斯科的军事和情报部门合作,对美国及其盟友进行网络攻击。美国财政部部长姆努钦在一份声明中表示:“美国正在不断努力打击在俄罗斯联邦及其军事和情报部门的指导下工作的恶意行为者,这些旨在增加俄罗斯的攻击性网络能力。”努钦表示:“今天列出的实体通过与俄罗斯联邦安全局(FSB)的合作,直接为提升俄罗斯的网络能力作出了贡献,因此危害了美国和盟国的安全和保障。”美国政府表示,这些个人和公司在美国境内的资产将被冻结,此外将禁止美国公民与他们进行交易。

(二)俄罗斯面临多国网络攻击指控的压力

俄罗斯网络活动受到西方发达国家的严密监控,网络话语权的缺失,同时也由于俄罗斯对网络管理方面的不足,俄罗斯因其黑客众多广受诟病,今年以来,俄政府面临多国网络攻击指控的压力。

美国情报机构以“抱有高度信心”的态度认定普京曾下令通过多方面“影响力运动”破坏美国民主、诋毁民主党总统候选人希拉里·克林顿,以及帮助唐纳德·特朗普在最新一轮美国总统大选中胜出。2017年9月,美国社交媒体巨头Facebook表示,去年美国总统大选期间,Facebook上价值约10万美元(约合人民币65万)的广告费来自与俄罗斯有关的“非真实账户”。10月17日,美国社交网络巨头推特公司公布一批俄罗斯、伊朗账户数据,称这些账号曾参与干预美国2016年大选相关活动。全部数据涉及3841个与俄罗斯互联网研究机构(Internet Research Agency)相关账户的数据,770个与伊朗相关账户的数据。数据分析显示,这批账号中最早创建于2009年,主要以2013、2014年创建为主;以英语、俄语、西班牙语为主要活动语言,也少量账户以法语、中文、土耳其语等作为工作语言;粉丝与关注数量表明相关账号活跃,存在人类活动迹象。2018年2月,美国调查“通俄门”的特别检察官罗伯特·穆勒以干涉美国政治体系为名起诉了13名俄罗斯人和3家俄罗斯公司,其中有“俄罗斯互联网研究机构”。穆勒认定,“互联网研究机构”目的就是在美国政治体系中散播煽动不和谐的声音,包括总统选举。推特此次公布数据,为“俄罗斯干预美国2016年大选”再添证据,揭露了通过社交网络实施政治干预是一种新型复杂情报行动,涉及虚拟账号操控与运用等内容。

美多家网络技术公司也指控俄罗斯黑客发动多起网络攻击。2017年9月,美国网络安全公司Forkbombus Labs指控俄罗斯黑客过去几个月一直利用新型恶意软件“RouteX”感染美国网件(Netgear)路由器,RouteX将被感染设备变成SOCKS代理,并实施“凭证填充攻击”(Credential Stuffing Attack,俗称撞库)。11月,美国网络安全公司McAfee的安全研究人员发现一起鱼叉式网络钓鱼电子邮件活动,利用10.31纽约曼哈顿恐袭事件,通过DDE技术攻击目标;McAfee表示,这起行动似乎是臭名昭著的俄罗斯黑客组织APT28所为。

英国方面,2017年7月10日,时任英国情报机构政府通信总部(简称GCHQ)总长罗伯特·汉尼根称,俄罗斯已经在网络空间造成“规模可观的混乱”,旨在威胁西方世界的民主进程。汉尼根于2018年3月卸任之前,还曾在接受采访时解释称:各国纷纷表示对俄罗斯黑客活动表示不满,终有一天可能需要采取某种形式的“网络报复”行动以阻止俄罗斯的此类作法。11月16日,英国IBTimes报道,英国网络安全中心主管Ciaran Marti警示,俄罗斯政府疑似针对英国媒体、能源以及电信行业发动电网攻击,致使国家网络及关键基础设施面临断电危险。Marti 表示,目前俄罗斯已成功利用拒绝服务(DoS)攻击大量英国网站并企图破坏国际体系。有来自英国爱丁堡大学的研究人员称,至少有419个由俄罗斯互联网研究机构(IRA)运营的账号被发现曾试图影响英国脱欧公投。特别是其中一个账号发布的一条煽动伊斯兰情绪的推文。

美英政府还将2017年爆发的大规模勒索攻击事件归咎于俄罗斯军方。2017年6月份,爆发于乌克兰的NotPetya勒索软件随后蔓延至全球各地,造成港口、工厂、企业、政府办公室的业务中断。本次网络攻击导致马士基(Maersk)损失高达3亿美元。美国总统特朗普发表声明称本次勒索软件是“历史上最具破坏性和后果最严重的网络攻击”,并指出在欧洲、美国、亚洲造成了数十亿美元的损失。英国外交部副部长阿玛德(Tariq Ahmad)在声明中表示:“英国政府判定,俄罗斯政府更准确的说是俄罗斯军方,必须要为2017年6月毁灭性的NotPetya网络攻击负责。英国政府决定公开归咎责任,凸显出我们同盟国对恶意网络行为的零容忍。” 英美也将2018冬奥会开幕式遭遇高调的恶意网络攻击,以及2018年6月11、12日,美国总统唐纳德·特朗普与朝鲜最高领导人金正恩举行会晤期间,对新加坡的网络攻击指向俄罗斯。

欧洲方面,法国总统埃马纽埃尔·马克龙与德国总理安格拉·默克尔已经对俄罗斯的网络活动以及近来关于“通过各大型有组织的网络犯罪集团对主要分布于俄罗斯本土的各民主机构进行攻击”的行为表示公开质疑。马克龙还在与俄罗斯总统弗拉基米尔·普京共同出席会议期间,抨击了俄罗斯通过国家支持方式扶植新闻媒体作为“影响力代理人”以及企图破坏马克龙本人竞选宣传活动的行为。德国国内情报机构德国联邦宪法保卫局(简称BfV)负责人也表示,其已经假定俄罗斯方面会对德国2017年9月的新一轮大选进行破坏。2018年1月11日,网络安全公司ESET近期发布长达29页的报告指出,疑似俄网络间谍组织Turla正利用“蚊子”后门攻击东欧国家大使馆和领事馆的员工,诱骗目标受害者安装恶意软件以窃取数据。

不过,克里姆林宫方面继续强硬否认上述关于其干涉他国内政的指控,亦反对一切关于其参与任何针对选举、他国政党以及机构之黑客攻击活动的说法。

(三)俄罗斯面临全球和国内黑客组织的技术挑战

虽然世界主要西方国家纷纷指责俄罗斯发动网络攻击,但与此同时,俄罗斯本身也遭受恐怖组织和国内异见分子黑客的大量恶意攻击。俄罗斯早在30年前就开始重视计算机教育,在全球来说全民计算机教育程度相当领先甚至超前,这样一个盛产顶级黑客,而其他各种程度的黑客数量也不计其数。然而,就是这样一个国家,反而同样存在“被间谍,被泄露”的危险。克里姆林宫发言人德米特里·佩斯科夫也曾表示,总统的网站每天都在遭遇黑客攻击,这些网络攻击来自包括美国在内的多个国家,俄罗斯媒体、银行和克里姆林宫网站都曾多次遭到黑客入侵。

2017年8月10日,Trend Micro(趋势科技)发文称,一起针对俄罗斯企业的恶意电子邮件攻击活动活跃至少两个月,恶意分子利用基于Windows的新后门发起攻击。这起攻击依赖各种漏洞利用和Windows组件运行恶意脚本,以加重检测和防御难度。2017年8月底,俄罗斯最大互联网提供商Rostelecom遭遇强大的DDoS攻击企图。但Rostelecom公司专家8分钟之内检测并成功防御了攻击。一旦这起攻击得手,17万用户将受到影响,此外,Rostelekom基洛夫地区(Kirov)的工作也会中断,该公司很可能因此遭受重大的经济和名誉损失。

2018年2月16日,俄罗斯央行披露,该国银行的SWIFT系统去年也被黑,未知黑客在去年对俄罗斯SWIFT国际支付信息系统的一次袭击中成功窃取了3.395亿卢布(约600万美元)。

2018年6月,俄罗斯多家为各种电子产品提供维护和技术支持的服务中心遭黑客攻击。俄网络安全技术小组FortiGuard指出,这些攻击活动利用钓鱼电子邮件来传播恶意Office文档,而文档则会利用一个之前被报道隐藏了17年之久的Office远程代码执行漏洞(CVE-2017-11882)来下载一个商业化的远程访问木马(RAT)。

2017年7月6日,俄罗斯莫斯科市法院进行的一次秘密听证会上,黑客集团“沙尔泰·波泰”(Shaltai Boltai,又名Humpty Dumpty)首脑弗拉基米尔·阿尼克耶夫因六项涉及“非法篡改”政府官员个人信息的罪名而被判处两年有期徒刑。弗拉基米尔·阿尼克耶夫在此次审判中被指控曾入侵俄罗斯总理德米特里·梅德韦杰夫、国家新闻电视节目主持人兼媒体政治顾问德米特里·克什里耶夫以及弗拉基米尔·普京及其他多位克里姆林宫高层人物助理的电子邮件帐户。“沙尔泰·波泰”黑客集团此前曾公布过大量克里姆林宫官员及商界人士的内部电子邮件,并借此成功获得高度关注。该黑客集团于2015年开始崭露头角,并曾经通过敲诈及勒索等方式大量获取资金。

二、俄罗斯的网络安全举措

为应对俄罗斯网络空间日益严峻的安全挑战,保护国家与军事领域的网络安全,俄罗斯将网络安全提升至国家战略高度,强化顶层设计、完善法规体系、构建保障系统、谋求技术支撑,打造网络安全有效防护机制。2017年至2018年度,俄在网络自主可控技术研发、建立自主网络、完善网络安全法规和促进网络安全国际合作方面,取得了长足进步。

(一)致力于发展自主可控的网络安全技术

为确保本国公民的个人信息安全,摆脱类似美国“棱镜”计划的监控,多年以来,俄罗斯网络安全保障确立了自主研发的发展思路,并将其贯穿于各项技术发展规划,致力于研发独立的网络安全系统硬件、操作系统,建设具有自主知识产权的公共电子邮件服务系统。俄罗斯一直加大军事IT软件和硬件投入,制造微芯片、智能手机、笔记本电脑,这些努力得到了俄罗斯政府和国防部的协助,以摆脱对高科技进口产品的依赖。

俄罗斯最大的网络优势之一是其丰富的人力资本。俄罗斯的教育水平很高,加上苏联强调数学和科学教育的遗产,创造了大量受过良好教育的技术专家。尽管俄罗斯在计算机硬件研发生产方面相对落后,但其软件产业却蓬勃发展并正在向国际市场扩张。

近年来克里姆林宫一直在减少从外国进口商品,俄罗斯官员此前表示,俄罗斯需要加强自身网络安全,以避免遭到外国情报机构发动的网络攻击。2017年9月,俄罗斯总统弗拉基米尔·普京(Vladimir Putin)在会见俄罗斯科技公司代表时表示:“在安全方面,有些事情对国家至关重要,对维持某些行业和地区的运营至关重要”;“如果你们从国外大量购入硬件和软件,那么在某些领域,政府势必会对你们说:‘大家知道,我们不能购买这种东西,因为有人在某个地方按了一下按钮,那么一切都会停止运转。’所以,你们要牢牢记住这一点”;在某些领域,政府机构不得与使用外国软件的公司合作,因为这有可能会给国家网络安全带来威胁。俄罗斯科技公司也应该使用俄自主开发的软件,如若不然,他们将失去政府订单。

2017年9月25日,《消息报》报道了俄罗斯安全公司InfoWatch发布新型的反间谍智能手机 TaigaPhone。该手机面向企业用户,主要功能是防止企业和组织信息泄露。研发人员在Android系统基础上研发了自己特有的固件,该固件与数据泄露防护系统(DLP)完全兼容。InfoWatch公司认为,俄罗斯的数据丢失问题有一半是发生在移动设备上,他们希望能通过 TaigaPhone 来解决这个问题。TaigaPhone可以保护用户机密,防止用户的信息泄露。

2018年2月28日,非赢利自主组织和 МегаФон公司新闻机构报道,俄罗斯“数字化经济”非赢利自主组织信息基础设施工作组同意建立5G网络的投资计划。在五年内,俄罗斯运营商将斥资3000亿卢布(约合人民币340亿元)发展5G通信。3月,俄罗斯通信与大众传播部将对制定的这项计划进行协商,然后再由俄罗斯国家数字经济委员会分会决议协商。该项计划中的国家支持总额将达到871~1811亿卢布。5G网络的投资计划文件规定,为了延期支付国家的投入,会提高运营商使用费用。得益于此项规定,2019-2024 年运营商可能节约67亿~95亿卢布。运营商提议将运营商的支付金额存入专项资金,只用于国家机构的缓冲传输费用。一旦自主建设的5G通信系统投入运营,将大大改善俄移动互联网的安全。

2018年3月31 日,俄罗斯政府网站发布公告称,总理梅德韦杰夫日前签署一项命令,要求从政府储备基金中拨款约 30 亿卢布(约合 5200 万美元)用于发展本国数字经济。公告称,梅德韦杰夫要求从政府储备基金向“俄罗斯联邦数字经济”这一国家优先发展计划拨款 30.4 亿卢布。这笔资金将主要用于该项目框架下的信息基础设施建设,加强科研能力、技术储备和信息安全等。“俄罗斯联邦数字经济”计划于 2017 年 7 月签署,整合了政府原有和最新的数字经济发展方案,力争在数字经济监管标准、人才培养、科研能力建设、信息安全和信息基础设施建设等方面实现长足发展。目前,该项目中的部分计划已开始实施。

(二)探讨建设独立安全的互联网

俄罗斯还将建设独立于西方世界之外的安全互联网,作为摆脱信息霸权国家控制,提高信息安全的可能措施。俄方认为,西方国家在信息空间的进攻作战能力越来越强,它们逐渐做好准备以便随时使用这些能力,这给俄罗斯安全带来重大威胁。

2017年10月,俄罗斯联邦安全委员会成员指出,可创建独立备份DNS系统解决该问题,并将该系统提供给“金砖五国”(BRICS):俄罗斯、中国、巴西、印度和南非使用。12月1日,俄罗斯联邦安全委员会要求该国政府为“金砖五国(BRICS)”建立独立的互联网基础设施,这样的基础设施可在全球互联网出现故障的情况发挥作用。普京亲自为这项任务设定了最后期限:2018年8月1日,届时俄罗斯可解决过度依赖西方国家控制的DNS问题。事实上,早在2014年,俄罗斯通信部就进行了一次大型演习,模拟“关闭”全球互联网服务的场景,并使用俄罗斯备份系统成功支持俄罗斯国内的网络运营;2016年效仿美国推出隔离军事互联网“封闭数据传输段”(Closed Data Transfer Segment)用于实现绝密通信。

2017年11月,俄罗斯TransTeleCom股份公司(简称TTK) 与中国电信集团公司共同完成了中国至欧洲首条带宽为100Gbit/s的地面高速电信线路建设项目,可以将亚洲客户的数据以最小的延迟传送到位于德国法兰克福的流量交换中心。实际上,两家公司只是接通了中方满洲里市之间与俄罗斯外贝加尔斯克市的通讯线路,再利用两国境内各自已有的光纤通信线路实现了上述高速电信线路,但这条信息高速通道有着巨大的潜在经济效益。美国非政府机构国家亚洲研究局的高级研究员罗兰(Nadège Rolland)称,中国和俄罗斯在欧亚大陆上大规模兴建的光纤通信线路很明显地在规避美国情报机构对全球通讯系统的大规模监控。通过海底和陆地光缆直接连接五个金砖国家的“金砖国家光缆”计划也是出于同样的考虑。

2018年3月16日,俄罗斯总统普京的高级 IT 顾问赫尔曼·克里姆科表示,俄罗斯强大的内部网络将会在战时确保军方和政府正常运转。俄罗斯两年前推出的“封闭数据传输段”允许俄罗斯军方在战时完全依靠内部网络,此举如今已经发展成为支持数字化的孤立政府和民间团体的举措,从技术上讲,俄罗斯已做好应对准备。如果战争爆发俄罗斯可能会切断全球互联网。

(三)不断完善现有网络安全法律,加强互联网管控

俄罗斯将不断完善网络安全相关法律,加强互联网管控视为对抗信息霸权国家的有效措施,多年来,相继出台了《俄罗斯网络立法构想》、《俄罗斯联邦信息和信息化领域立法发展构想》、《信息安全学说》等一系列文件,修订了《俄罗斯联邦因特网发展和利用国家政策法》、《信息权法》等20余部法律,通过政令明确,制度牵引,俄罗斯网络空间的法律法规条款逐步趋于完善,为确保网络安全提供了法规依据与制度基础。

2017年7月,俄罗斯议会上院通过了一揽子政府法案,以保护关键信息基础设施免遭网络攻击,法案最终成为法律,明确关键基础设施包括政府数字系统和电信网络、国防行业技术流程自动化控制系统、医疗保健、交通、通信、金融、能源、核、航空航天等行业。法律同时规定,创建恶意软件,并对关键基础设施造成严重损害者可能会被判处长达10年的监禁。这项法律将于2018年1月正式实施。9月,俄罗斯发布一份草案文件,指出,俄罗斯联邦安全局(简称FSB)可能会负责国家的网络攻击检测与管理系统,该文件明确了俄罗斯联邦安全局的相关管理职责及责任。10月,俄罗斯国防部起草了一份新法律法规,禁止军人在社交网站上发布照片、视频等内容,并称这是出于安全考虑;俄罗斯国防部称,之所以作出这样的规定,主要是因为担心泄密。俄下议院(国家杜马)通过了一项草案,拟让司法部长无需通过法院就可以把“不受欢迎的机构”列入网络黑名单,将VPN运营商——能让互联网用户访问被禁网站的代理——纳入俄罗斯政府监视名单,赋予克里姆林宫更大的网络控制权,以保障明年三月俄总统大选;ExpressVPN International副主席Harold Li表示,虽然未全面禁止VPN,但是这项新法律也与其公司的主要目的有冲突,特别是法律规定VPN运营商要贯彻俄罗斯的审查制度。根据2017年通过的俄反恐法律,从2018年开始,在俄罗斯电信运营商Roskomnadzor注册的公司必须将所有俄国内用户的数据上传。此法饱受反对派和互联网公司的诟病。

2018年1月1日,俄罗斯《关键信息基础设施安全保障法案》生效。该法案确立了关键信息基础设施安全保障的基本原则,当信息和电信网络、运输管理自动化系统、通信、能源、银行、燃料和能源综合体、核电、国防、火箭与太空、冶金等领域计算机遭遇网络攻击时,能更好起到法律保护作用。

俄罗斯不仅加强网络安全相关立法,在网络执法方面也日渐严厉。

2017年9月26日,俄罗斯网络监督机构警告Facebook,若不遵守储存本地用户资料的法律,将会于2018年遭到禁用。俄罗斯于2014年通过一项引发争议的法律,该法律要求外国即时通讯服务、搜索引擎和社交媒体网站等,在俄罗斯境内储存俄使用者个人资料。这项法律明显要向脸书、推特等网站施压,要求交出用户资料,引起电信业者强烈反对。俄罗斯国际文传电讯社(Interfax)引述俄联邦电信、信息技术和大众传媒监管局(Roskomnadzor)负责人扎罗夫(Alexander Zharov)表示,所有业者都必须遵守此法律。

10月16日,莫斯科法庭宣判对Telegram处以80万俄罗斯卢布的罚款,因为主打隐私安全和干净纯粹的通信Telegram公司,拒绝为俄罗斯联邦安全局(FSB)解密用户信息,2018年03月21日,俄最高法院要求Telegram必须向FSB提交所有加密密匙以便后者展开通信监管。种种迹象表明,俄罗斯当局最终或会封杀Telegram以及其它不愿意合作的应用提供商。

(四)努力维护俄罗斯网络空间的话语权

俄罗斯发布长期科技发展战略,聚焦提升其在网络空间等新领域话语权,换言之,争取网络话语权也就是对美国在网络空间中的主导地位的发起挑战。

2017年9月4日,俄罗斯联邦颁布了《俄罗斯联邦长期科技发展战略》,确立了科技创新中长期发展目标,部署了科技发展优先方向和重点工作,用以指导未来一段时期俄罗斯联邦的科技发展。俄罗斯联邦确定的科技发展优先方向集中在十个方面,其中重要的内容包括抵御网络空间威胁,建立智能化运输和远程通信系统,在网络空间和国际体系中获取相对独立的话语权。

2015年5月俄罗斯和中国签署了关于在保障国际信息安全领域合作协定以来,俄罗斯与中国在网络空间安全方面的合作越来越默契,达成许多网络协议和共识,这些协议关键特征包括:相互保证网络空间的非侵略性和倡导网络主权的语言。中俄网络安全合作与其整体关系具有相似的模式十分相似,网络空间合作协议都是“非侵略”性协议——中国和俄罗斯均明确支持“网络主权”概念,并对彼此的网络主权诉求相互呼应。

俄罗斯还非常重视网络舆情力量的建设,西方国家维护俄主权、为俄政府发声的网络舆情力量称为“俄罗斯巨魔”,也被称为互联网研究机构,是一个由国家资助的组织,代表克里姆林宫发表博客和推文,“巨魔”通常会发布亲克里姆林宫的内容,并在新闻文章的评论部分进行热烈的讨论,其目标是对抗负面媒体和西方影响。2018年4月16日,在法国和英国的支持下,特朗普政府对叙利亚的设施发动了一系列导弹袭击,据称这些设施用于生产或部署化学武器。但该行动受到网络舆情的一致谴责,五角大楼发言人达纳怀特称遭到“俄罗斯巨魔”的攻击,他对记者说,“俄罗斯的假消息运动已经开始了。在过去的 24小时里,俄罗斯巨魔的数量增加了 2000%。”,美国国防情报局分析指出:“信息的武器化是俄罗斯战略的一个关键部分,他们直接引用了媒体对“俄罗斯巨魔”的报道,该机构被称为“互联网研究机构”,该机构用低力度的宣传来淹没评论区和社交媒体:俄罗斯雇佣了一群有报酬的在线评论员,他们操纵或试图改变对某一特定故事的叙述,以拥护俄罗斯的利益。

三、俄罗斯的网络战力量

2017年,俄罗斯国防部长首次承认俄存在信息战部队。据俄《生意人报》称,俄信息战部队的规模在1000人左右,每年约获得3亿美元的经费支持。俄军总参谋长称,在俄武装力量“高加索—2016”大规模演习框架内首次演练了与假想敌的“信息对抗”,总参作战总局、军区“信息对抗中心”、信息战部队、无线电电子战部队和保护国家秘密勤务分队等参与遂行任务。据此分析,俄军已完成总参——军区——部队各层级信息战力量的组建工作,其任务包括:保护俄联邦军事和民用基础设施(指挥和通信系统、计算机网络等)免遭网络攻击和网络窃密;保护俄联邦军人和平民免遭信息——心理战影响;对敌人的军事和民用基础设施实施网络攻击;网络窃密及实施信息——心理战。经过近年的持续发展,俄罗斯网络攻击能力愈发强大。

(一)持续发展网络战力量

和平时期,俄罗斯网络战力量从未公开向任何对手宣战,但英美等西方国家认为俄罗斯在不断加强自身网络攻防能力。2018年2月,英美两国均发布相关报告,将矛头直指俄罗斯,称其应对一系列网络攻击事件负责。“火眼”研究团队的负责人约翰·霍特奎斯特也表达了对俄罗斯不断精进的网络攻击能力的担忧,他表示“部分国家的网络能力在不断进步,而且越来越具有攻击性”。

格鲁乌(GRU俄罗斯武装力量总参谋部情报总局),是俄情报机构中最机密的一个部门。据传,APT28组织是俄罗斯军事情报机构格鲁乌(GRU)的下属单位,该组织已活跃了十多年之久,因被指干涉美国2016年大选而迅速“窜红网络”,其还可能参与2016年入侵世界反兴奋剂机构(WADA) 曝光兴奋剂丑闻事件。有消息称,该组织2017年也未消停。安全研究人员认为2017年中一系列黑客行动与APT28有关,包括Sednit Exploit Kit、DealersChoice恶意文件生成器,以及对欧洲选举相关的政治目标发起网络钓鱼等攻击。

2018年1月18日,《华盛顿邮报》报道,美国中央情报局(CIA)非常确信俄罗斯情报机构格鲁乌(GRU,俄罗斯武装力量总参谋部情报总局)是NotPetya勒索软件的幕后黑手。尽管大多数遭遇NotPetya攻击的设备位于乌克兰,黑客瞄准提供税务及会计软件程序更新的乌克兰网站,但这款恶意软件也传播到了其它国家,包括丹麦、印度和美国。“乌克兰一直是GRU网络攻击的重要目标,这一点在俄罗斯吞并克里米亚时就有体现。”黑客选择在乌克兰的宪法日发动NotPetya网络攻击,这些攻击反映出,俄罗斯将网络空间的进攻行动作为“混合战争”战略的一部分。俄罗斯将网络攻击与传统军事相结合意味着,俄罗斯通过网络攻击实现区域控制目标。英国政府通讯总部(GCHQ)的前负责人罗伯特·汉尼根表示,这是一种更大胆、更具侵略性的行动模式。

2018年2月,在美国国会的关于俄罗斯黑客干预美国大选的调查持续一年多后,负责美国通俄门调查的特别检察官罗伯特·穆勒以干涉美国政治体系(例如2016年的美国总统大选)为名,起诉了13名俄罗斯人和3家俄罗斯公司。美国司法部副部长罗森斯坦随后表示,上述被告对美国实行“信息战”,意图使美国人对竞选人和美国政治体系失去信任。根据穆勒的起诉书,位于俄罗斯圣彼得堡的一家亲俄罗斯政府的煽动性网站“互联网研究机构”(Internet Research Agency)被指控自称美国人,制造虚假的美国身份,并经营社交媒体网页和团体吸引观众。穆勒表示,“互联网研究机构”等俄罗斯机构有一个”战略目标”,即在美国政治体系中散播煽动不和谐的声音,包括总统选举。俄罗斯人发布了关于一些候选人的负面信息,2016年中期他们支持特朗普并污蔑民主党候选人希拉里。他们购买了广告,并与特朗普竞选团队中”不知情的”人联系在一起协调政治活动。上述行动与俄罗斯总统普京发起针对西方的网络战思路不谋而合。

(二)不断改进的网络攻击战术

虽然目前尚无任何机构拿出俄实施网络攻击的证据,但俄罗斯“黑客”技术,一直是网络安全业内神一样的存在,不少安全机构纷纷指责俄在不断发展网络攻击技术,对网络空间安全构成了重大威胁。

2017年12月,美英两国指称勒索软件 WannaCry 与俄罗斯和朝鲜有关。黑客盗取美国中情局(CIA)及国土安全局(NSA)的“网络武器库”并将其用于网络攻击活动,这一点需要引起重视。勒索病毒“WannaCry”正是窃取的美国土安全局“永恒之蓝”漏洞工具升级而来。WannaCry 利用Windows 操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。WannaCry 勒索病毒2017年在全球大爆发,在几天之内就让至少150个国家、30万名用户中招,造成损失达80亿美元,并影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。英国遭受的损失最为严重,WannaCry 勒索病毒爆发导致英国国民医疗服务体系(NHS)受到严重影响,近三分之一的英国国民医疗服务机构遭受攻击。

意在破坏乌克兰金融系统的NotPetya攻击事件中,俄罗斯GRU使用了“水坑式”攻击,感染目标可能会访问的网站。网络安全公司Rendition Infosec的创始人杰克·威廉姆斯表示,这也是俄罗斯攻击工业控制系统网络的策略。俄罗斯黑客发起NotPetya攻击的目标是破坏乌克兰金融系统。当时攻击者使用看似是勒索软件的恶意软件加密受害者的数据,索要赎金,制造是由犯罪黑客或黑客组织所为的假象,以达到混淆视听的效果。网络安全公司Comae Technologies的创始人马特·苏伊切表示,NotPetya将自己伪装成勒索软件,但却可以永久删除数据,它可以将硬盘整个加密和锁死,从内存或者本地文件系统里提取密码,直至清楚感染硬盘的所有数据。

2018年3月,安全公司Palo Alto Networks 威胁情报小组Unit 42表示,他们在3月12日和3月14日观察到俄罗斯黑客组织“奇幻熊”(Fancy Bear,又被称为Sofacy、Sednit、STRONTIUM或APT28)对欧洲政府机构进行了攻击。与之前的攻击活动一样,该组织仍采用了Flash漏洞利用框架DealersChoice,但这次使用了一个更新版本。早在2016年10月,Unit 42就对奇幻熊”所使用Flash漏洞利用框架DealersChoice进行了初步分析。在当时的攻击活动中,Unit 42发现了包含嵌入式OLE Word文档的Rich Text File(RTF)文件,其中还包含嵌入式Adobe Flash(.SWF)文件。这说明该组织的目的在于利用Flash漏洞,而非Microsoft Word漏洞。Unit 42表示,此次发现的新版DealersChoice使用了类似技术手段——从C2服务器上获取恶意Flash对象,但Flash对象的内部机制与最初分析的原始样本相比存在显着差异。其中一个差异是一个特别聪明的逃避技巧,并且是之前从未看到过的。对于之前版本的DealersChoice来说,一旦受害者打开了诱饵文档,其嵌入的Flash对象会立即加载并开始恶意任务。但在最近的活动中,只有当受害者滚动到Flash对象所嵌入的文档特定页数时,Flash对象才会被加载。此外,新版DealersChoice需要与C2服务器进行多次交互才能成功利用终端系统。与之前活动不同的是,新版DealersChoice已经开始了使用DOCX作为诱饵文档,并添加了需要受害者滚动到文档特定页数才能触发恶意Flash对象的机制以及需要用户交互的反沙盒技术。这是“奇幻熊”之前没有过的表现,也说明该组织虽然仍依赖于已经成熟的攻击技术,但同时也在为提高其攻击成功率做出改变。

2018年4月,Palo Alto Networks公司的 Unit 42威胁研究团队透露,俄罗斯恶意软件SquirtDange可窃取多种浏览器密码和加密货币,网络犯罪分子正在利用这种新的恶意软件在全球范围内实施网络攻击。Unit 42表示,SquirtDanger是采用C#(C Sharp,由微软公司发布的一种面向对象的、运行于.NET Framework之上的高级程序设计语言)编写的,允许攻击者实现多种恶意目的,如屏幕截图和窃取存储在浏览器中密码,甚至是窃取加密货币。

对于窃取浏览器密码来说,SquirtDanger支持多种浏览器,包括Chrome、Firefox、Yandex Browser、Kometa、Amigo、Torch和Opera。对于加密货币来说,SquirtDanger支持多种币种,包括莱特币(Litecoin)、比特币(Bitcoin)、百特币(Bytecoin)、达世币(Dash)、比特币轻量钱包Electrum、以太坊(Ethereum)和门罗币(Monero)。SquirtDanger窃取加密货币所采用的策略与另一种被命名为“ComboJack”的恶意软件所采用的策略相似,均通过检测目标受害者何时将加密货币钱包地址复制到了Windows剪贴板,并将这个地址替换为由攻击者所持有钱包的地址来窃取资金。

(三)不断完善全球网络监控能力

同所有信息技术发达大国一样,俄罗斯也致力于获取全球网络监控能力和用户识别能力,以提高己方在网络空间的博弈实力。

2017年8月5日,美国调查新闻网站援引加拿大通讯安全局的机密文档显示,至少自2013年以来,俄罗斯情报机构已具备劫持卫星信号发起隐秘网络攻击的能力。俄罗斯可劫持卫星发起网络攻击。由于这种创新型黑客技术被认为仅限于少量运营商,但泄露文档表明,俄罗斯长期以来一直致力于发展与其它世界强国相当的高度复杂性网络间谍能力。

俄罗斯还在不断改进其网络识别技术,仅在莫斯科就拥有14万台视频监控摄像机,其中10万座位于建筑物入口处。莫斯科将推出面部识别实验的第二阶段,该实验将用于使用街头摄影机进行面部识别。莫斯科市政府信息技术部门负责人Artyom Yermolayev表示,2017年莫斯科当局将开始第二阶段测试,使用城市视频监控摄像机的面部识别系统;如果莫斯科当局在整个城市推出这个解决方案,视频监控费用将增加十倍,这项技术将耗资数十亿卢布该部门希望降低多次识别面孔的成本。Yermolayev表示,目前莫斯科城市视频监控摄像机是动态,它们向左移动,放大和缩小,在这样的条件下,识别率达到60-70%都是非常困难的,目前的识别率在30%左右。莫斯科当局正在研究如何改变摄像机的参数,可以使其更加稳定。

面部识别系统可用于识别街头的犯罪分子和失踪人员。莫斯科拥有14万台视频监控摄像机,其中10万座位于建筑物入口处。只有执法人员和城市官员才能访问视频档案。城市居民如果是偷车,抢劫或袭击等犯罪行为的受害者,可以要求官方提供视频副本。

四、俄罗斯积极推进网络国际合作应对安全挑战

俄罗斯一直认为,网络空间的安全问题是全球问题,需要世界所有爱好和平的国家密切合作,共同应对网络安全挑战。早在2007年8月,在中国和俄罗斯的共同倡议下,上海合作组织元首理事会就在比什凯克签署了《上合组织成员国保障国际信息安全行动计划》,倡导上海合作组织所有国家共同应对网络安全威胁,加强网络安全科学技术合作,共享网络安全信息,协调网络安全防护行动。2015年5月,俄罗斯和中国又签署了关于在保障国际信息安全领域合作协定,共同维护两国的网络空间安全。

2017年5月,WannaCry勒索病毒感染了100多个国家数千台电脑, 6月底一系列大规模网络攻击来袭,影响了包括俄罗斯在内的多个国家,随着网络威胁的不断增加,俄罗斯认为采用一套综合的网络安全法规非常有必要。俄罗斯互联网发展总统顾问基曼克利门科向俄罗斯Isvestiya媒体透露,主要问题是网络安全领域缺乏国际条例和合作协议,合作必须建立在信任基础之上。克利门科表示,各国应同意在网络空间以和平为宗旨,联合打击黑客。

2017年8月31日,俄罗斯信息安全国际合作总统代表安德烈·克鲁茨基赫向当地媒体Isvestiya表示,俄罗斯计划在联合国大会、以及金砖峰会等地区会议上推动网络安全准则。俄罗斯将继续致力于网络空间的国际行为准则和规则,集体安全条约组织、上海合作组织和金砖五国最终会联合制定相关准则和规则。没有人会拒绝这个网络安全准则,俄罗斯将继续推动准则的实施。外媒援引克鲁茨基赫的话称,联合国大会必定会讨论网络安全问题,但首先金砖峰会将会做出非常重要的决定,并会公布相关提议。

必须正视的现实是,以美国为首的网络空间强权国家,对网络安全国际合作并不热心,俄罗斯的国际安全合作倡议要取得进展,尚需为之付出更多的努力。(宋远骏

声明:本文来自国信安全研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。