微軟在6月22日發布網路戰爭報告,名為《捍衛烏克蘭:網路戰爭的早期教訓》(Defending Ukraine:Early Lessons from the Cyber War),這是微軟威脅情報與資料科學團隊所進行的研究,目的是釐清對這場持續性戰爭威脅形勢,並從蒐集與分析的數據,試圖理解在這過程發生的各種網路攻防行動。

過去我們已經看過許多烏克蘭戰爭的分析,微軟這份報告相當特別,不僅總結出俄羅斯發動戰爭時所採取的網路攻擊戰略,同時給出面臨現代網路戰爭數項不同的重要觀察。

攻擊並不只針對烏克蘭,也針對北約國家與烏盟國發動攻擊,還有全球網路輿論影響

在此報告中指出,這4個月以來,俄羅斯駭客的攻擊行動,不僅是針對烏克蘭的48個政府組織與企業,同時也企圖滲透全球,計有全球42個盟國的128個組織遭俄羅斯網路攻擊,而且,還會在網路上利用複雜而廣泛的影響外國行動(foreign influence operations),也就是一般稱之外宣、輿論操弄的攻擊策略,破壞歐美團結與壯大他們的戰爭力量。

而且,在這份報告的開場中,微軟公司總裁Brad Smith即指出,每場戰爭的歷史通常記載了第一聲槍響,以及誰目睹了這些槍響。這場烏克蘭戰爭,俄羅斯軍隊在今年2月24日湧入烏克蘭邊境,但事實上,第一槍是在23日先打響,俄羅斯針對烏克蘭電腦,使用了一種名為「Foxblade」狐狸之刃的網路武器。這也反應了當前的戰爭型態,已經結合了軍事攻擊與網路攻擊。

剖析俄軍有三大網路攻擊戰略,提出這場網路戰爭下5大經驗觀察與重點

細讀微軟這份研究報告,有兩大焦點值得關注,一是揭露俄羅斯的三大網路攻擊策略,另一是提出實體與網路戰爭的五大觀察與結論 。

由於現代軍事戰爭已經與網路戰爭相結合,不像過去長期以來可由疆界、海洋來提供保護,因此要對抗俄羅斯這個網路大國,烏克蘭的網路防禦,有很大程度是依賴於國家、企業與非政府組織的聯盟。

根據微軟這4個月來的觀察,俄羅斯在網路攻擊策略上,至少採取三大策略,分別是:(一)在烏克蘭境內發動破壞式的攻擊,(二)在烏克蘭境外展開網路滲透與間諜攻擊,(三)針對全球民眾發起網路輿論影響行動(cyber-influence operations)。

而在這場戰事之下,是否有更好應對這類的威脅的方法?微軟提出五大觀察。

一、要防禦軍事入侵,對大多數國家來說,現在需要有能力將數位業務與資產,跨境轉移到其他國家

戰爭發生至今,俄羅斯早期就針對烏克蘭政府資料中心,發動巡弋飛彈攻擊,並針對當地自建的電腦網路環境,發動資料刪除的毀滅式(Wiper)攻擊。而烏克蘭政府應變動作相當快速,將其數位基礎設施轉移到位於

歐洲的代管資料中心上,因此得以維持其民事與軍事行動。這就涉及了整個科技產業的緊急行動,微軟也包括在內。

二,有賴於先進的網路威脅情資與端點保護,讓烏克蘭得以高比例抵抗住俄羅斯的毀滅式攻擊

從針對48個烏克蘭組織的攻擊行動來看,俄羅斯駭客滲透特定網域環境後,先破壞數百臺電腦,再散播惡意程式,破壞其他數千臺電腦的軟體與資料。而在威脅情報進步與運用AI技術之下,加上連網端點保護機制的運作,讓烏克蘭得以快速辨識及封鎖惡意程式。

三、隨著各國聯合起來保衛烏克蘭,俄羅斯情報機構對與烏克蘭同盟國家的政府,逐步擴大進行網路滲透與間諜活動

微軟發現俄羅斯對烏克蘭以外的42國、128個組織,發起滲透行動,除了美國、北約成員國是頭號目標,提供軍事與人道主義援助後勤的波蘭也是目標,近兩個月來,鄰近戰場的丹麥、挪威、芬蘭、瑞典與土耳其面臨類似的網路攻擊活動也增加。

這些國家的政府機關、人道主義組織、IT公司,以及能源與其他關鍵基礎設施供應商,都成為俄羅斯的攻擊目標。根據微軟觀察,俄羅斯的攻擊成功比例為29%,而這可能還是一個低估的數據。

較特別的是,微軟認為各國政府仍將大部分心力放在自建的環境,而非雲端服務,美國可能已在SolarWinds攻擊事件中學到教訓,但歐洲政府的警覺性相對較低。因此,這代表仍存在著重大的集體防禦弱點。

四、透過其他網路活動的串連與指揮,俄羅斯機構對全球民眾展開影響網路輿論的行動,壯大戰爭力量

這些行動鎖定四種民眾。第一是俄羅斯人民,目的是宣揚攻擊的正當性;第二是烏克蘭人民,企圖削弱該國抵禦俄羅斯攻擊的意願與信心;第三是美國與歐洲人民,目的是破壞歐美團結,轉移對俄羅斯犯下戰爭罪的批評;第四是其他未與烏克蘭結盟國家的民眾,煽動他們在聯合國與其他地區表態支援俄方的立場。

根據微軟的估計,自戰爭開始後,俄羅斯在烏克蘭的影響力傳播增加了216%,在美國也增加了82%。

五、基於烏克蘭抵禦俄羅斯的經驗,應採取協調與全面進行的戰略,加強防禦以應對各種網路破壞攻擊、間諜活動,以及網路影響活動

除了需認知俄羅斯網路威脅是俄羅斯政府內外共同發動,微軟指出,全球應體認這與傳統威脅的差異,網路安全回應必須依賴更廣泛的公私合作,促成政府之間的多邊合作也更形重要,同時,還要在維護言論自由的前提之下,抵禦各種影響網路輿論的行動。

微軟呼籲,全球在面對網路攻擊時應該更加團結,並且必須擬定全面的策略,關鍵在於,防禦策略必須考量網路行動與軍事行動的協調,各國可藉由提高偵測、防禦、破壞及阻止威脅的能力,來作為主要防禦策略。

對於俄羅斯攻擊烏克蘭的行動,微軟指出俄羅斯採用網路攻擊與軍事攻擊交互攻擊的戰略,並從蒐集與分析的數據,提出從抗戰中面對網路攻擊所觀察到的5個結論。圖片來源/微軟

關於俄羅斯毀滅式攻擊使用的惡意程式家族,包括:●WhisperGate / WhisperKill ●SonicVote, aka HermeticRansom ●DesertBlade ●Lasainraw, aka IssacWiper ●FoxBlade, aka HermeticWiper ●CaddyWiper ●Industroyer2 ●FiberLake, aka DoubleZero(圖片來源/微軟)

在俄羅斯軍隊攻擊烏克蘭這四個月來,俄羅斯駭客的網路攻擊的目標,不只是攻擊烏克蘭40多個政府單位與企業,也針對北約國家與其他烏克蘭盟國,根據微軟統計,有42個國家128個組織也成攻擊目標,當中有接近半數是政府機關(49%),其次為IT企業(20%)、關鍵基礎設施(19%)、非營利事業組織(12%)。此外,微軟並估計俄國駭客的攻擊至少有29%以上的成功率。(圖片來源/微軟)

微軟指出俄羅斯政府的網路影響行動(Cyber influence operations),由俄羅斯總統辦公廳,以及俄羅斯外交部 (MFA)、俄羅斯情報局(GRU)、俄羅斯外國情報局(SVR)、俄羅斯聯邦安全局(FSB),以及俄羅斯國防部(MOD)主導。圖片來源/微軟

微軟認為,對於阻止俄羅斯網路威脅需抱持四大原則,認知俄羅斯網路威脅是俄羅斯政府內外共同發動,促成更廣泛的公私合作,以及政府之間的多邊合作,同時要在民主社會維護言論自由的前提之下,抵禦各種影響網路輿論的行動,即使需採取新的全面方法來因應這樣的威脅。圖片來源/微軟

熱門新聞

Advertisement