【情报评估】俄罗斯的网络间谍和信息战
点击下方小卡片关注情报分析师
俄罗斯网络间谍和信息战的历史
在俄罗斯的军事能力和作战资源方面可能落后于世界其他国家的地方,俄罗斯持续的网络间谍和信息战运动已经发展起来,以平衡与世界其他地区的力量。这场技术战通常是远程进行的,间谍永远不会离开他们的祖国已经成为战争的未来。
俄罗斯的网络间谍和信息战是苏联统治时期的一种持久的思维方式,因为苏联领导人了解信息的价值和影响力(Cunningham,2020)。苏联解体后,俄罗斯网络间谍和信息战背后的方法论从实现政治目标的方法演变为一种现代方式,以播下怀疑和不信任,困惑,分心,两极分化和士气低落的种子。
除了苏联的思维方式外,俄罗斯还出于必要性开发了强大的网络间谍和信息战方法:作为一种保护方式。由于边界广阔,南部和西部边界缺乏自然地理屏障,这些战术被开发为地理防御,以取代物理屏障。
虽然俄罗斯的网络间谍和信息战历史开始得相对较晚,但它们的影响并没有被美国和世界其他地区忽视。俄罗斯对美国的攻击始于1996年的月光迷宫袭击事件。这被归类为第一个民族国家赞助的网络间谍活动,这项工作涉及窃取来自能源部,美国宇航局,国防部,国防承包商和私营部门实体的机密信息。这次最初的攻击严重损害了美国的国家安全能力,战略和利益。
2008年,美国再次受到俄罗斯网络间谍和信息战能力的攻击,这是一个名为Turla的组织的攻击。该组织使用deception, back doors, rootkits, 和感染政府网站来攻击美国军事系统。
五年多后,美国公众最容易识别的攻击之一发生在2015年,因为一个名为Cozy Bear的组织入侵了许多美国政府机构。其中包括白宫,五角大楼和民主党全国委员会的电子邮件系统。
从2014年到2020年,这些袭击构成了有关俄罗斯人干涉2016年和2020年美国总统大选的报道的基础。对美国政府的干涉缺乏回应,为俄罗斯被允许逃脱什么,以及他们能逃脱多少,开创了一个危险的先例。如果俄罗斯能够直接干预一场重大的联邦选举而没有产生严重后果,那么是什么阻止他们干涉美国的所有选举,从而在体制内产生深远的影响。
这些攻击在俄罗斯持续不断,美国对俄罗斯实体和克里姆林宫没有任何直接影响,我会考虑开发新保护的投票机免受网络攻击的威胁,并将指示科技和新闻公司在选举前与政府协调,以识别和阻止俄罗斯政府的任何错误信息活动,以影响我们的选举并从内部威胁我们的民主。
俄罗斯网络攻击的类型
俄罗斯政府已授权三个组织协调其全球黑客行动;其中每个都与最着名的俄罗斯黑客组织有关,因为网络间谍活动已成为获取其他国家秘密信息的最有效方法之一。这三个组织包括联邦安全局、SVR和GRU。
FSB负责俄罗斯的反间谍,监视和监督。SVR负责人类智能,网络能力有限。最后,GRU是最活跃的组织,可以访问大量资源来成功执行网络间谍和信息战。
在这三个组织中,高级持续性威胁是执行黑客活动的黑客组织。FSB组织中包含的APT是APT29(也称为舒适熊),图拉,棕榈融合和伽马雷登集团。APT29 / Cozy Bear自2008年以来一直活跃,是俄罗斯最先进的高级持续性威胁之一。
他们的活动更难识别,因为他们在操作中更加谨慎,并且他们通常使用鱼叉式网络钓鱼来破坏网络。Turla自2004年以来一直很活跃,他们在行动中非常谨慎和耐心,因为他们的目标大多与政府和国防有关。
FSB组织中包含的第三和第四个小组是Palmetto Fusion,它自2015年以来一直活跃,针对能源相关行业,以及Gamaredon集团,其目标是乌克兰的政府实体。
虽然SVR组织主要进行与FSB黑客组织协调的人类情报,但GRU黑客组织中包含的高级持续性威胁包括APT 28(也称为花式熊)和沙虫团队。APT28 / Fancy Bear是俄罗斯最着名的高级持续性威胁,因为他们是2016年破坏白宫,五角大楼和民主党全国委员会网络的团体。
俄罗斯对选举过程的干预使网络间谍活动在政府圈子中获得更大的吸引力(Terry 2018)。APT28 / Fancy Bear使用鱼叉式网络钓鱼和注册假域的组合来破坏敌人的系统。
最后,APT28 / Fancy Bear的主要举措是收集有关与俄罗斯利益相关的地缘政治和国防问题的情报。GRU的最后一组是沙虫队。沙虫团队在乌克兰最活跃,并使用一种称为BlackEnergy的恶意软件来瞄准与能源相关的基础设施。
一个主要的高级持续性威胁,未被归类为三个主要组织中的任何一个,是Seaborgium。海宝利用社交媒体平台来定位个人。在与目标个人建立联系后,Seaborgium提供了一个恶意链接来窃取该目标个人的凭据。
俄罗斯国家赞助的黑客组织包括许多攻击方法,俄罗斯在强大的黑客计划,成功的数据窃取以及有关如何在全世界传播影响力的有效措施方面处于领先地位。为了防止社交媒体上的这些威胁,以筛选俄罗斯的机器人和新闻活动,将更多的人放在公司内部的秘密位置,以识别潜在的漏洞。
俄罗斯使用网络间谍活动的动机
俄罗斯越来越多地使用网络并不是一个孤立的威胁。俄罗斯的网络间谍和信息战计划由于其规模,质量和复杂性而影响着世界的每个地区。
自1990年代末以来,在实施网络攻击,网络间谍活动并继续使用信息战之后,俄罗斯的行动影响了民主国家,促进了极端主义,支持反民主领导人,并动摇了西方的影响力。俄罗斯继续使用网络间谍和信息战的三个目标:
重建统一的俄罗斯欧亚大陆。
对自由民主和西方主导地位的战争,包括北约和美国。
通过使用迅速而严重的网络攻击
上述三个俄罗斯目标令人不安的部分是,它们已经随着最近乌克兰的冲突而付诸实践。通过乌克兰的军事和网络战争,俄罗斯正试图统一他们的国家,与北约和西方作战。
俄罗斯总统通过对乌克兰的基础设施,政府和金融体系迅速而短的时间内发动网络间谍和信息战来做到这一点。随着战争的延长,美国应该继续高度关注俄罗斯展示有关网络活动的强大工具。
一个持续关注的领域应该是我们的能源,因为由于俄罗斯在战争期间对我们的能源网络的影响,石油和天然气价格上涨。这种消极因素可能会给我们带来一个积极的机会,考虑大幅增加对我们自己的资源的使用,作为俄罗斯继续攻击我们能源的替代方案。
美国政府确定了许多不同的动机,为什么俄罗斯以这种方式进行网络间谍和信息战。更具体地说,网络安全与基础设施安全局评估说,俄罗斯政府“从事恶意网络活动,以实现广泛的网络间谍活动,压制某些社会和政治活动,窃取知识产权,并伤害区域和国际对手。
俄罗斯网络间谍和信息战的现状
美国政府将俄罗斯黑客行动归类为针对美国组织和行业,包括:COVID-19研究,政府,选举组织,医疗保健,制药,国防,能源,视频游戏,核,商业设施,水,航空和关键制造业。
随着美国的能源价格处于或接近历史高位,以及不久的将来将举行重大选举,俄罗斯的网络间谍和信息战组织可能会在未来几个月和几年内进行严重的网络行动,从而造成严重的网络破坏,并削弱美国能源网、经济和公众对机构和选举的信任。
俄罗斯网络游戏中最大的牌是乌克兰。美国网络安全与基础设施安全局解释说:“2022年4月20日,美国,澳大利亚,加拿大,新西兰和英国的网络安全当局发布了一份联合网络安全咨询,警告组织俄罗斯的特别军事行动可能会使该地区内外的组织面临更多的恶意网络活动”。
随着乌克兰战争的继续,如果俄罗斯继续努力接管乌克兰,预计俄罗斯将增加网络间谍和信息战攻击,对能源部门和政府行动采取攻势。自2013年以来,乌克兰一直承担着俄罗斯网络行动的负担,北约联盟内和世界其他地区的国家令人担忧的是,乌克兰一直被用作俄罗斯计划在世界各地使用的网络攻击的训练场。
俄罗斯未来的目标、攻击和能力
除了乌克兰是俄罗斯的主要目标之外,还有许多其他国家在俄罗斯的目标名单上。这些国家包括瑞典、法国、墨西哥和菲律宾。
俄罗斯已经能够通过利用对移民的恐惧来利用瑞典的网络间谍和信息战,通过赋予反西方和民族主义政策来削弱该国。法国已成为欧洲和欧盟最强大的国家之一,其经济地位使其成为俄罗斯行动的容易目标。
俄罗斯之所以瞄准墨西哥,更是因为它北方的邻国美国。俄罗斯一直试图渗透到美国的势力范围,墨西哥可能是一个容易受到俄罗斯袭击的国家,因为它的中央政府软弱无力。最后,菲律宾允许俄罗斯扩展到全球不同地区,并在世界新地区发挥影响力。
如果不发展未来的攻击和能力并准备执行,这种影响力的施加是不可能的。据专家介绍,专家最害怕的三种黑客攻击:黑色能源,NotPeyta和殖民地管道的例子。
BlackEnergy是一种有针对性的关键基础设施攻击,能够削弱一个国家的经济电网。2015年,乌克兰的电网被BlackEnergy黑客入侵,导致80,000名客户停电。
NotPeyta是一种无法控制的破坏的网络攻击,并且像大多数网络攻击一样在乌克兰进行了测试。NotPeyta是历史上最昂贵的网络攻击,并嵌入在该国流行的会计软件中,由于攻击在全球范围内传播,摧毁了数千家公司的计算机系统,因此损失了约100亿美元。分析人士一致认为,像这样的大规模攻击“造成了大规模混乱,经济不稳定甚至生命损失的最大机会”。
殖民地管道的例子是对特定实体组织的攻击,该攻击发生在2021年5月的美国,当时俄罗斯黑客导致重要的石油管道关闭了一段时间,这次攻击导致了美国各地的恐慌,由于这次黑客攻击引起了恐慌,该公司向黑客支付了440万美元的比特币赎金,以使系统再次启动并运行。这次袭击被证明是非常有效的,如果发生得更大规模,将对美国的经济或能源网造成毁灭性的打击。
结论
很难想象俄罗斯的网络间谍和信息战行动会很快放缓,因为它们已被证明是他们挑战对手的有效方式,而无需在世界各地移动作战人员。因此,美国承认俄罗斯的能力,并解释说“俄罗斯继续瞄准关键基础设施并可以证明其在危机期间破坏基础设施的能力。
俄罗斯当然认为网络攻击是威慑对手,控制升级和起诉冲突的可接受选择。任何国家如何应对俄罗斯增加的袭击?有几个选项。首先,如果一个北约国家首当其冲地受到俄罗斯军队的猛烈攻击,第5条可能会被触发,尽管由于潜在的战争可能性,这极不可能。
Jody Westby(2020)提出了如何限制和潜在阻止来自俄罗斯的网络攻击和冲突的四种可能性:
对关键基础设施的过度保护,以防止不必要的破坏。
使用第三方网络部队应该是非法的。
各国必须尊重其他国家的中立性,不通过其关键基础设施传播任何攻击。
各国在调查网络犯罪活动方面必须相互协助。
因此,防止俄罗斯的网络侵略,过度保护关键基础设施以防止不必要的破坏,伤害和痛苦以确保一切保持你的社会,能源网,政府和经济运行。因此,对这些关键社会基准的过度保护将减少潜在的俄罗斯网络间谍或信息战行动的影响。
识别下方二维码加入情报学院知识星球社群,内有3000+情报专业资料可供下载,成就您的专属情报资料库。
往期推荐