保衛烏克蘭：從網路戰爭中獲得的早期教訓

毫不奇怪，俄羅斯在早期的巡航導彈襲擊中瞄準了烏克蘭的政府數據中心，其他實地內的伺服器也同樣容易受到常規武器的攻擊。俄羅斯還將其破壞性的「抹除器」攻擊瞄準了房地內的電腦網路。但烏克蘭政府通過迅速採取行動將其數位基礎結構部署到公用雲端中，成功地維持了其民事和軍事作業，該公用雲端已託管在歐洲各地的資料中心。

這需要包括 Microsoft 在內的整個科技行業採取緊急而特殊的措施。科技行業的工作固然重要，但考慮從這些努力中汲取的更持久的教訓也很重要。

由於網路活動不為肉眼所見，因此記者甚至許多軍事分析家都更難對其追蹤。Microsoft 已觀察到俄羅斯軍方對 48 個不同的烏克蘭機構和企業發動了多波破壞性網路攻擊。這些公司試圖通過先破壞數百台計算機，然後傳播旨在破壞數千台其他計算機的軟體和數據的惡意軟體來滲透網域。

俄羅斯在這場戰爭中部署的的網路戰術與 2017 年對烏克蘭的 NotPetya 攻擊中不同。該攻擊使用了「蠕蟲式」破壞性惡意軟體，可以從一個計算機域跳到另一個計算機域，從而跨境進入其他國家/地區。俄羅斯在 2022 年一直謹慎地將破壞性的「抹除器軟體」限制在烏克蘭境內的特定網路域。但是，最近和進行當中的破壞性攻擊本身比許多報告所承認的要複雜和廣泛得多。俄羅斯軍隊正在繼續使這些破壞性攻擊適應不斷變化的戰爭需求，包括將網路攻擊與常規武器的使用相結合。

迄今為止，這些破壞性攻擊的一個顯著特點是網絡防禦的強度和相對成功。雖然並不完美，而且一些破壞性攻擊已經成功，但事實證明，這些網絡防禦能力強於網絡進攻能力。這反映了兩個重要的近期趨勢。首先，威脅情報的進步，包括人工智慧的使用，有助於更有效地檢測這些攻擊。其次，連接互聯網的端點保護使得將保護軟體程式碼快速分發到雲端服務和其他連接的計算裝置成為可能，以識別和禁用這種惡意軟體。烏克蘭政府正在進行的戰時創新和措施進一步加強了這種保護。但可能需要繼續保持警惕和創新，以維持這種防禦優勢。

在 Microsoft，我們已經檢測到俄羅斯對烏克蘭以外 42 個國家/地區的 128 個組織的網路入侵。雖然美國一直是俄羅斯的頭號目標，但這項活動也重點考慮波蘭，因為大部分軍事和人道主義援助的後勤交付在波蘭協調進行。俄羅斯的活動也針對波羅的海國家，在過去兩個月中，針對丹麥、挪威、芬蘭、瑞典和土耳其的目標電腦網路輸入的類似活動有所增加。我們還看到針對其他北約國家外交部的類似活動有所增加。

俄羅斯的目標設定優先考慮政府，尤其是在北約成員國中。但目標清單還包括智庫、人道主義組織、IT 公司以及能源和其他關鍵基礎結構供應商。自這場戰爭開始以來，我們識別的俄羅斯目標設定有 29% 的成功率。這些成功的入侵事件中，有四分之一已確認導致一個組織的數據洩露，儘管正如報告中所解釋的那樣，這可能低估了俄羅斯的成功程度。

我們仍然最關心的是運行在本地而不是雲端中的政府計算機。這反映了進攻性網路間諜活動和防禦性網路保護的當前和全域狀況。正如 18 個月前的 SolarWinds 事件所表明的那樣，俄羅斯情報機構擁有極其複雜的能力，可以植入代碼並作為進階持續性威脅（APT）運行，該威脅可以持續從網路獲取和洩露敏感性資訊。自那時以來，防禦性保護取得了實質性進展，但與美國相比，歐洲各國政府在落實這些進展方面的情況仍然參差不齊。因此，集體防禦的重大弱點仍然存在。

這些策略將克格勃數十年來開發的戰術與新的數位技術和互聯網相結合，使外國影響力作業的地理範圍更廣泛、數量更大、目標更精確、速度更快以及更為敏捷。不幸的是，有了足夠的計劃和複雜性，這些網路影響作業就能處於有利地位，利用民主社會的長期開放性和當前時代特有的公眾兩極分化。

隨著烏克蘭戰爭的推進，俄羅斯機構正在將其網路影響力作業的重點放在四類不同的受眾身上。他們的目標是俄羅斯民眾，目的是維持對戰爭努力的支援。他們的目標是烏克蘭民眾，目的是破壞人們對該國抵禦俄羅斯襲擊的意願和能力的信心。他們以美國和歐洲民眾為目標，目的是破壞西方的團結，轉移對俄羅斯軍事戰爭罪行的批評。他們開始以不結盟國家的人民為目標，部分原因可能是為了維持在聯合國和其他場合對其的支持。

俄羅斯的網路影響作業建立在其他網路活動的基礎上，並與其他網路活動的戰術相連結。與在俄羅斯情報部門內工作的 APT 團隊一樣，與俄羅斯政府機構關聯的進階持續性操縱者 （APM） 團隊也通過社交媒體和數位平臺採取作業。他們以類似於惡意軟體和其他軟體程式碼的預先置放的方式預先定位虛假敘述。然後，他們從政府管理和受影響的網站發起對這些敘述的廣泛和同步「報導」，並通過旨在利用社交媒體服務的技術工具放大其敘述。最近的例子包括圍繞烏克蘭生物實驗室的敘述，以及多次混淆對烏克蘭平民目標的軍事襲擊的努力。

作為 Microsoft 一項新計劃的一部分，我們正在使用人工智慧、新的分析工具、更廣泛的數據集以及日益壯大的專家團隊來跟蹤和預測這類網路威脅。利用這些新功能，我們估計俄羅斯的網路影響作業成功地使開戰后俄羅斯宣傳的傳播在烏克蘭增加了 216%，在美國增加了 82%。

俄羅斯正在進行的這些行動建立在最近在多個西方國家傳播虛假 COVID-19 敘述的複雜努力之上。其中包括 2021 年國家支援的網路影響作業，該行動試圖通過英語互聯網報導阻止採用疫苗，同時通過俄語網站鼓勵使用疫苗。在過去的六個月里，類似的俄羅斯網路影響作業試圖激起紐西蘭和加拿大公眾對 COVID-19 政策的反對。

在未來幾周和數月內，我們將繼續擴大 Microsoft 在這一領域的工作。這包括內部增長，以及我們上周宣布收購 Miburo Solutions 的協定，Miburo Solutions 是一家領先的網路威脅分析和研究公司，專門從事外國網路影響作業的偵測和回應。

我們擔心的是，目前俄羅斯的許多網絡影響作業持續數月之久，卻沒有得到適當的偵測、分析或公開報告。這日益影響到公共和私營部門的廣泛重要機構。烏克蘭戰爭持續的時間越長，這些行動對烏克蘭本身來說就越重要。這是因為一場更長的戰爭將需要持續的公眾支援，不可避免地要面臨更大的疲勞挑戰。這應該會增加加強西方防禦這些類型的外國網路影響攻擊的重要性。

正如烏克蘭戰爭所表明的那樣，雖然這些威脅之間存在差異，但俄羅斯政府並沒有將它們作為單獨的工作來開展，我們也不應該將它們放在單獨的分析孤島中。此外，防禦戰略必須考慮這些網路作業與動能軍事行動的協調，正如在烏克蘭所看到的那樣。

需要取得新的進展來挫敗這些網路威脅，它們將取決於四個共同原則，並且至少在高層次上取決於一個共同的戰略。第一個防禦原則應該認識到，俄羅斯的網路威脅是由俄羅斯政府內外的一組共同執行者推進的，並依賴於類似的數位策略。因此，需要數位技術、人工智慧和數據的進步來應對它們。有鑒於此，第二個原則應該認識到，與過去的傳統威脅不同，網路回應必須依賴於更大的公私共同作業。第三項原則應包括各國政府之間需要開展密切和共同的多邊合作，以保護開放和民主的社會。第四個也是最後一個防禦性原則應該維護言論自由，避免民主社會的審查制度，即使需要採取新的措施來應對包括網路影響行動在內的各種網路威脅。

有效的應對措施必須以這些原則為基礎，並有四個戰略支柱。這些應該提高集體能力，以更好地（1）偵測，（2）防禦，（3）破壞和（4）威懾外國網路威脅。這種方法已經反映在許多應對破壞性網路攻擊和網路間諜活動的集體努力中。它們也適用於應對勒索軟體攻擊所需的關鍵和持續工作。我們現在需要一種類似且全面的方法，利用新的能力和防禦措施，打擊俄羅斯的網路影響作業。

正如本報告所討論的，烏克蘭戰爭不僅提供了教訓，而且呼籲了採取行動，採取對保護民主未來至關重要的有效措施。作為一家公司，我們認可支援這些努力，包括通過對技術、資料和夥伴關係的持續投資和新興投資，為政府、公司、非政府組織和大學提供支持。

如要了解更多資訊，請閱讀完整報告。