网安企业俄乌网络战研究

2022 年 2 月 24 日正式爆发的俄乌冲突至今已持续了一年的时间，双方在正面战场激烈交锋的同时，在网络上也展开了大规模、高强度的对抗。双方通过攻击政府网站、通信设施、银行、媒体机构和发电厂等关键基础设施辅助军事意图与政治目标的达成。一年以来，虽然俄使用各种网络和非网络的手段方式试图瘫痪乌克兰的政府运作、通信接续、电力供应和交通运输，但受首脑控制战争规模、保存网络武器实力、网络行动预案不完整、与火力领域的作战行动结合不周等因素影响，始终未能较为完全、充分地达成作战目标。反观乌克兰方面持续受益于弹性数字生态系统、多年的网络安全投资以及世界上能力最强的互联网公司和政府对其提供的网络安全支持，使得其经由网络空间遭受的关键性损伤相比物理武器造成的大规模死亡和破坏而言微不足道。

在双方于物理空间和网络空间酣战厮杀之际，国际社会也掀起了一股“助战”热潮，美西方对俄制裁不断“加码”，手段层出不穷，令人眼花缭乱。金融领域，如使出“SWIFT 出局”这 一“ 战 略 核 武 器”；科 技 领 域， 如 AMD、Intel、台积电等公司对俄断供芯片；民生领域，如苹果、谷歌和 Paypal 在俄限制支付功能；贸易领域，如取消俄最惠国待遇、切断能源出口交易等；资源领域，如壳牌、埃克森美孚退出俄国市场等，可谓金融战、科技战、舆论战、信息战、网络战、电子战、经济战、贸易战、资源控制战伴随着武器热战全面开花。

网络空间“军民一体”“平战结合”的特点，让参与俄乌冲突网络战的主体不仅局限在军事力量上，组织、个人、企业等也“裹入”其中，在战争进程中跟踪研究并发布了多份调查、分析、研判报告。微软公司于 2022 年 4 月和 6 月分别发布《俄罗斯在乌克兰网络攻击活动总览》 和《保卫乌克兰：网络战争的早期教训》，同年 12 月，卡巴斯基发布《重新评估网络战：2022 年的经验教训》，2023 年 2 月，谷歌公司发布了《战争迷雾：乌克兰冲突如何改变网络威胁格局》。3 家公司的 4 份报告均对俄乌冲突“网络战”的时间脉络进行了梳理，对典型对抗事件进行了分析描述，对防御措施进行了建议。由于微软和谷歌代表乌克兰及其背后的美西方盟友，卡巴斯基则为俄罗斯站台，因此报告中对俄乌冲突中“网络战”的所站视角、所述内容、所提观点等都有显著的差异和分歧。通过对相关报告内容的研读和对主要观点的提炼与研判，有助于让网络战这一新兴冲突模式从概念走向真实的背景，加深对网络空间对抗原理、现状、力量与趋势的理解与把握。

接下来，本文首先针对 3 家公司发布的 4份分析报告的主要内容进行简要阐述；其次立足报告核心观点，对俄乌冲突中网络战的基调判断、行为评估、威胁组织定性、恶意活动归因和经验反思等多方面碰撞的观点进行对比分析；最后在网络空间威胁新趋势、新挑战的错综复杂局面中，为相应风险的应对给出了启示与建议。

1.1　微软报告《俄罗斯在乌克兰网络攻击活动总览》

2022 年 4 月 27 日，微软公司发布特别报告《俄罗斯在乌克兰网络攻击活动总览》，详细介绍了俄罗斯在战前及战争爆发后，针对乌克兰开展的网络攻击活动的详细时间表，分析了俄罗斯针对乌克兰使用网络攻击的范围、规模和方法。报告指出，2021 年 3 月以来，俄罗斯就开始为冲突做准备，并加强了对乌克兰及其盟国的攻击活动。针对乌克兰的破坏性网络攻击接近 40 次，目标涉及数百个系统，其中 32%的攻击直接针对乌克兰国家、地区和城市层面的政府机构，超过 40% 的攻击针对关键基础设施机构等。报告认为，俄罗斯网络攻击与动能军事行动密切相关，有时甚至直接与其同步；俄罗斯网络攻击活动与俄乌局势及政治外交活动存在关联，战前已预先对乌克兰和北约成员国开展网络渗透活动，从而为后续活动做准备。最后，报告提出最大限度地减少凭证盗窃和账户滥用，面向互联网的系统应定期评估漏洞并及时更新补丁以确保达到最安全的水平，充分采用和利用反恶意软件、端点检测以及身份保护解决方案等安全建议。

1.2　微软报告《保卫乌克兰：网络战争的早期教训》

2022 年 6 月 22 日，微软发布报告《保卫乌克兰：网络战争的早期教训》，揭示了有关俄罗斯网络活动的新动态，提供了从所收集和分析数据中得出的一系列经验教训和结论，并呼吁采取协调和全面的战略加强集体防御。该报告得出 5 个方面的经验教训：一是国家需具备将数字业务和数据资产跨境转移到其他国家的能力，从而能够在战争中维持民事和军事行动；二是网络威胁情报和端点保护的最新进展帮助乌克兰抵御了高比例的破坏性俄罗斯网络攻击，体现出网络防御的相对优势；三是俄罗斯情报机构加强了针对乌克兰以外盟国的网络渗透和间谍活动，具体涉及政府、智库、人道主义组织、IT 公司以及能源和其他关键基础设施供应商等目标；四是俄罗斯机构正在开展全球网络影响行动以支持其战争活动，上述行动具有范围广泛、数量众多、目标精确、敏捷快速的特点，并重点针对俄罗斯、乌克兰、美国和欧洲、不结盟国家 4 类受众开展了各具特定目标的定向宣传；五是俄乌战争体现出需要采取协调和全面的多边和多方利益攸关方战略，以加强对全方位网络破坏、间谍和影响行动的防御，应在“数字策略、公私合作、多边主义、言论自由”4 项原则的基础上提高集体应对能力，更好地检测、防御、破坏和阻止外国网络威胁。

1.3　卡巴斯基报告《重新评估网络战：2022 年的经验教训》

2022 年 12 月 14 日，卡巴斯基发布报告《重新评估网络战：2022 年的经验教训》，全面回顾关于俄乌战争的网络空间活动，评析相关活动在当前冲突背景下的意义。报告认为，当前任何形式的军事行动都需要现场情报支持，包括涉及网络空间的信号情报和电子情报；重大军事行动往往伴随着旨在瘫痪敌方通信网络的强大网络攻击等行动。报告特别对 Viasat 卫星网络攻击事件进行了分析，认为此攻击事件是与乌克兰冲突有关的最复杂的袭击之一，也表明网络攻击是现代武装冲突的基本组成部分，可能直接支持军事行动中的重大事件等。报告提出，俄乌冲突为包括网络犯罪分子和黑客活动分子在内的各方新网络活动创造了“温床”，各黑客团体开始选边站队；预期黑客组织将卷入未来所有重大地缘政治冲突；网络战活动正在蔓延到邻国并影响大量实体，包括政府机构和私营公司等。最后报告提出，乌克兰的冲突将对网络安全行业和整个格局产生持久影响。特别当涉及大国时，这场冲突将永远改变每个人对战时网络活动的预期。

1.4　谷歌报告《战争迷雾：乌克兰冲突如何改变网络威胁格局》

2023 年 2 月 16 日，谷歌发布报告《战争迷雾：乌克兰冲突如何改变网络威胁格局》。该报告由谷歌与威胁情报公司Mandiant合作完成。报告包括 3 项主要发现：一是俄罗斯政府支持的攻击者开展了咄咄逼人、多管齐下的活动，以在网络空间获得决定性的战时优势，通常具有多种混合结果；二是俄罗斯利用开展全方位的信息行动塑造公众对战争的看法，试图削弱乌克兰政府的权威，断绝对乌克兰的国际支持并保持俄罗斯国内对战争的支持；三是战争引发了东欧网络犯罪生态系统的显著转变，这将对犯罪集团间的协调和全球网络犯罪的规模产生长期影响。报告针对未来网络威胁格局给出 3个展望：一是俄罗斯政府支持的攻击者将继续对乌克兰和北约伙伴开展网络攻击，以进一步实现俄罗斯的战略目标；二是俄罗斯将增加对乌克兰以及北约伙伴的中断性和破坏性攻击，以应对战场形势发展，从根本上使天平向乌克兰倾斜；三是俄罗斯将继续加快信息行动的步伐并扩大范围以实现其目标，尤其是在国际资助、军事援助、国内公投等关键时刻。

2.1　基调认定存在分歧

各方报告对俄乌冲突网络战基调的认定不同，微软认为俄乌冲突网络战是“混合战”行为的代表，卡巴斯基强调其是“网络犯罪”，谷歌则称之为“全方位信息作战”，从而引发了“网络犯罪规模增长”。微软报告《俄罗斯在乌克兰网络攻击活动总览》认为，俄乌冲突是俄罗斯针对乌克兰的“混合战争”，并分析了在这场“混合战争”中俄罗斯使用网络能力的范围、规模和方法等。同时，认为俄罗斯网络攻击与动能军事行动密切相关，有时甚至直接与其同步；网络攻击活动与俄乌局势及政治外交活动存在关联。与微软不同，卡巴斯基在《重新评估网络战：2022 年的经验教训》中认为，这场冲突揭示了网络力量和动能力量之间缺乏协调，并在许多方面将网络攻击降级为从属角色。谷歌在《战争迷雾：乌克兰冲突如何改变网络威胁格局》中提出，俄乌冲突首次彰显了网络行动在世界冲突中发挥了如此突出的作用。一方面，俄罗斯利用全方位信息作战，攻击者不仅针对乌克兰政府和军事实体，同时还在关键基础设施、公用事业和公共服务以及媒体和信息空间进行破坏活动；另一方面，俄乌冲突网络行动导致勒索软件生态系统的专业化趋势，该生态系统混合了不同参与者的策略，使得确定归因变得更加困难。

2.2　行为脉络部分一致

各方报告对战前及战争爆发后网络攻击事件、威胁组织和恶意软件等行为脉络“共识度”较高。微软在《俄罗斯在乌克兰网络攻击活动总览》、谷歌在《战争迷雾：乌克兰冲突如何改变网络威胁格局》，以及卡巴斯基在《重新评估网络战：2022 年的经验教训》中均对战前及战争爆发后的攻击事件、威胁组织和恶意软件进行了分析表述，内容重合度较高，如 Gamaredon、Turla、Sandworm 等高级持续性威胁（APT，Advanced Persistent Threat）组织和WhisperGate、HermeticWiper、IsaacWiper 等恶意软件。同时，各方报告对网络战行为脉络的描述也各有侧重。

2.2.1　威胁组织方面

卡巴斯基报告分析了 2013 年底和 2014 年1 月，APT 组织 Turla 在乌克兰的活动频率高于正常水平，APT 组织 BlackEnergy 攻击事件数量激 增；2022 年 2 月 初，APT 组 织 Gamaredon 的攻击活动频率达到了前所未有的水平。微软报告突出“APT”这一关键词，从攻击时间、攻击手段、攻击频率、行为特征等方面对 APT28、Sandworm、Gamaredon、EnergeticBear、Turla 等威胁组织进行了分析，并认为这些组织从 2021年 3 月开始就为冲突做好了准备，着力加强对乌克兰及其盟国的攻击。

2.2.2　攻击事件方面

卡巴斯基在报告中特别针对 Viasat 卫星网络攻击事件进行了分析，认为此次攻击是与乌克兰冲突有关的最复杂的破坏行动之一。这一事件也表明网络攻击是现代武装冲突的基本组成部分，可能具备直接支持军事行动的重大潜力。

2.2.3　恶意软件方面

微软报告分析认为，至少有 FiberLake（又名 DoubleZero）、WhisperGate/WhisperKill、FoxBlade（又名 HermeticWiper）、SonicVote（ 又名 HermeticRansom）、CaddyWiper、DesertBlade、Industroyer2 和 Lasainraw（又名 IsaacWiper）8 个破坏性恶意软件系列被部署在乌克兰网络上。卡巴斯基报告分析，在冲突首日大量伪勒索软件和恶意数据擦除软件，如勒索软件（IsaacRansom）、虚假勒索软件（WhisperGate）、恶意数据擦除软件（HermeticWiper、CaddyWiper、DoubleZero、IsaacWiper）不加选择地袭击了乌克兰多个网络空间实体目标。

2.2.4　冲突进程方面

与另外两家公司不同的是，谷歌结合事件分析将 2022 年的俄乌冲突划分为 5 个阶段，分别是：从 2019 年到 2022 年初的第一阶段，主要是网络间谍和预先定位；2022 年 1 月中旬到4 月的第二阶段，主要是最初的破坏性网络行动和军事入侵；5 月到 7 月的第三阶段，主要是持续瞄准和攻击；8 月至 9 月的第四阶段，攻击活动相对停滞，保持战略优势；10 月至年底的第五阶段，重新发起破坏性攻击。

2.3　攻击归因难以达成共识

出 于 政 治 立 场 与 利 益 诉 求， 各 方 报 告 对威胁组织和恶意软件的归因“分歧”较大，微软和谷歌均归因于俄罗斯武装力量，卡巴斯基则倾向归因于网络犯罪活动。虽然四份报告对俄乌冲突网络攻击中的威胁组织和恶意软件行为分析上保持了较高的一致性，但是对这些组织和软件“背后”的归因方却有着截然不同的表述。

微软报告将前文所提及的 APT 组织均归因于俄罗斯武装力量总参谋部情报总局、联邦对外情报局和联邦安全局等部门。将 FoxBlade、CaddyWiper 和 Industroyer2 归因于黑客组织Sandworm，该组织成员被认为是俄罗斯武装力量总参谋部情报总局特殊技术主要中心（GRU’s Main Center for Special Technologies，GTsST）74455 部队。

谷歌报告直接列举了俄罗斯武装力量总参谋部情报总局赞助的网络空间威胁行为体，指责他们使用破坏性恶意软件破坏和削弱了乌克兰的政府和军事能力。

卡巴斯基报告分析了由于勒索软件组织和黑客组织的“选边站队”行为导致了冲突的无序，举例说明了黑客组织对俄罗斯地铁运行的干扰等行为。报告认为，从软件工程的角度来看，其中许多工具都非常粗糙，而且似乎是仓促开发的。这些破坏性攻击都是随机且不协调的。报告指出，这种能力在理论上可以针对武装冲突背景之外的任何国家，并且都能够以传统的网络犯罪活动作为借口。

2.4　反思建议维度各异

各家报告对俄乌冲突网络战反思和建议的维度有所差异，充分体现了西方的“联盟优势”和俄罗斯的“被孤立”。以网络防御威胁情报共享能力为例，微软在《保卫乌克兰：网络战争的早期教训》报告中总结认为，“成功”经验之一是乌克兰在网络威胁情报和端点保护最新技术进展的帮助下，以较高成功率抵御了俄罗斯发起的破坏性网络攻击，体现出网络防御的相对性优势；谷歌在《战争迷雾：乌克兰冲突如何改变网络威胁格局》中提出，公司在网络防御援助合作组织下向乌克兰政府和关键基础设施实体提供直接援助，包括妥协评估、事件响应服务、共享网络威胁情报和安全转型服务，帮助乌克兰及时有效地检测、缓解和防御网络攻击。而卡巴斯基在《重新评估网络战：2022 年的经验教训》中提出，“不幸”之处是冲突爆发后，许多西方公司退出俄罗斯市场，让其用户在接收安全更新或支持方面陷入困境；网络威胁情报质量下降：政治压力以及利用政府的政治言论赚取额外利润的企图导致毫无根据的网络威胁归因、夸大的威胁、较低的声明有效性标准。

2.5　报告分析结论差异化的原因浅析

多份报告的基调、内容、观点等尽管有一致之处，但在更多的地方呈现出不同的特点，经分析研判，认为与企业归属、地缘政治、国家精神、安全文化和冲突特点等要素密切相关，特别是微软和谷歌等西方企业公开加入对俄的制裁和对乌的支援中，表现出“正义之师”的态度。卡巴斯基一直以来被西方视为俄罗斯“网络军工”中重要的私营企业，在西方国家联合对俄罗斯进行封杀和制裁的背景下，卡巴斯基在战争开始后逐渐受到西方的疏远和孤立。这些国际互联网信息化与网络安全巨头在持续“观战”、间接“参战”的同时，始终对俄乌冲突中网络空间对抗的形态变化、推进策略、战法特征、重大事件、经验教训等要素保持密切关注，立足自身业务、企业责任与能力推广宣传的需要。

从网络空间安全技术，特别是从网络空间安全防御角度来审视，企业侧角度发表的网络战报告有许多值得思考、学习与借鉴的地方。

3.1　网络空间攻防依然体现着“攻易守难”的局面

虽然从国际法的角度来看，现阶段网络战争的定义和共识还未形成，但俄乌冲突中网络攻防对抗作为“新战争形态”已是不争的事实。它是融合在物理空间和网络空间中，以国际互联网乃至物联网为战场，以国家或利益集团甚至个人作为参战方，以高科技手段为武器，在政治、经济、军事、科技、文化等领域进行的攻防较量。由于网络空间中的计算机软硬件、工程实施、组织管理等都不可避免地存在着未知漏洞，网络攻击的武器制造条件相对简单且造价低廉，攻击可以点状实施，攻击者常常匿名且拥有主动退出战争的自由等因素，导致网络攻击在一定程度上具备高度的“廉价性”和“性价比”，这一点在俄乌冲突中表现得尤为突出 。微软、谷歌和卡巴斯基的报告中都提及了相关案例和分析。

正是当前这种“人人可攻，处处可击”的状态，给防御方带来了很大的压力。体系化布局的网络防御措施不仅要面对已知的风险，还要警惕未知的漏洞，无论在技术要求还是人员能力的提升方面，都需要较大和长期的投入。当前，这种“攻易守难”的局面给我国网络空间防御体系能力提升带来了重大挑战和考验。

3.2　数字时代“平台为王”的效应在网络空间对抗中再次印证

数字时代，产业经济经过离散化结构和全息化重组，已经发生了结构性变革。特别是互联网平台，已经成为最典型、应用最广泛的形态。由于这些平台型组织在产业链中占据核心地位、在经济规模上占据优势地位、在用户市场上占据垄断地位，它们对数字经济的渗透率和影响力极大。例如微软在全球的操作系统市场占有率高达近 75%，有超过 10 亿台设备使用其软件；谷歌搜索是全球用户量最大的搜索平台之一，占有全球 81.5％的市场份额。在俄乌冲突网络对抗中，这些在数字经济中占据霸主地位的“平台公司”将其拥有的这些“特权”和“霸权”发挥得淋漓尽致，可谓前所未有，也对对抗的走向产生了重大影响。

例如，在俄乌冲突开始半个月后的 2022 年3 月 5 日，微软宣布停止在俄罗斯所有产品和服务的新销售活动。与世界多数国家一样，俄罗斯大多数用户依赖微软的 Windows、Office、Azure 等单机和网络服务。微软一方面停止对俄罗斯用户的安全更新，加大了俄用户的安全风险；另一方面又为乌克兰提供了安全情报和系统加固服务等，可谓“一手掀掉对手的盾，一手又给对手一刀”。而谷歌则在网络空间“舆论对抗”场上发挥了重要的“推波助澜”作用，一方面无限期暂停Google Play在俄罗斯的使用，另一方面利用其在搜索平台上的地位对俄罗斯有关内容进行控制和过滤。据《战争迷雾：乌克兰冲突如何改变网络威胁格局》报告中描述，谷歌中断了俄罗斯在其平台上超过 1 950 起信息内容攻击，为了应对俄罗斯发起的信息内容威胁，谷歌从 3 月份起在全球范围内阻止了俄罗斯官方媒体在其平台上的推荐。

从我国的情况来看，微软和谷歌等西方公司，特别是微软在我国操作系统市场依然占有绝对份额，俄罗斯面临的“停服”类似问题也是不能忽视的风险，需要提前布局应对手段。

3.3　威胁情报始终是构建网络防御体系能力的有效手段之一

美国早在 20 世纪 90 年代后期就已认识到信息共享在网络安全防御保障中的重要作用，同时也是最早顶层开展威胁情报设计和建设的国家。美国依靠其在网信领域的霸主地位和全球结盟战略，建立了比较完善的网络空间安全威胁情报共享体系，特别是全球网络空间安全情报威胁能力助力了乌克兰的网络防御效能发挥，让预埋的 APT 组织在冲突爆发几个月内频繁曝光，这也成为微软公司“引以为傲”的资本。与之相比，俄罗斯卡巴斯基公司虽然是全球优秀的网络安全企业之一，在全球拥有数亿的客户且具有广泛的全球威胁情报共享能力，但 2022 年 3 月 25 日美国联邦通信委员会以“国家安全”为由宣布将其列入“对美国国家安全构成威胁的通信设备和服务”清单。之后卡巴斯基的威胁情报来源以及对外共享出现了障碍，正如其在报告里所说的“碎片化”已经导致了整体防御能力的下降。

我国基于知识产权、产业竞争、职能边界等的顾虑和限制，当前在威胁情报共享方面依然存在“单体多、联合少，独立性强、交织性弱”的问题，特别是国外网络安全情报来源严重缺乏，对我国网络空间防御体系能力的构建带来较大挑战。

3.4　做好端点防护是守住网络空间攻击的“最后一公里”屏障

无数网络攻击“得手”的案例展示出来发现，在网络中只要有一个端点出现问题，威胁就可能会像多米诺骨牌似的渗透到整个网络。然而，端点安全因规模体量、环境复杂度、可用性等给防御方带来了巨大挑战。微软的端点安全能力可谓有目共睹，基于其在操作系统方面的垄断地位，一方面，加大相关网络安全技术研究和产品的嵌入，特别是 Win10 发布以后，很多终端用户已经不再单独安装防护软件，而是直接沿用微软内置的安全软件 Windows Defender；另一方面，由英特尔和微软共同设计的高级端点安全机制，端点可以使用基于芯片的遥测帮助识别不断变化的威胁，并将安全工作负载迁移到英特尔集成的 GPU 上，大幅提升防护效率。与微软不同，卡巴斯基凭借领先的技术优势，多次获得国际奖项。在俄乌冲突中，双方对攻击行为的分析高度统一，侧面印证了两家公司在端点安全领域的技术共识。

总的来看，国外终端安全技术和市场已经趋于成熟稳定，反观我国国内，终端安全技术和市场还处于发展阶段。在高级威胁攻击风险持续加剧的态势中，应结合我国终端的不同种类、分布和安全防护需求，加强虚拟化安全、大数据分析、安全云服务和自动化编排响应等技术和产品的研究，守住自己的“最后一公里”屏障。

网络空间是继陆海空天之后的第五维空间，也是世界强国争相发展、建设和争夺的利益空间。在俄乌冲突的特定背景下，网络战的形态机制、结构特征和行为模式等部分曝光在全球视野下，各国政府和网络安全相关企业都将其作为战时网络对抗的重要案例进行研究。出于立场、背景、关注点和诉求的差异，微软、谷歌和卡巴斯基在各自分析报告论述的内容、观点上存在共识和差异，在时间、空间和主题上的比较研究能够较好地从网络战相互联系和差异的要素中观察事物、认识本质、探索规律，并从中得到有利于预测态势、指导行动的启示。