今天给大家推送马尔金研究公司的研究报告《俄罗斯网络行动对美国国家安全的威胁》。

马尔金研究公司（Margin Research） 是一家位于纽约市的精品网络安全公司，专注于软件程序分析、逆向工程、漏洞研究和攻击性威胁情报。本报告中描述的研究是由国防高级研究计划局（DARPA）根据合同号HR00112190088赞助的。

大多数通信和信息业务是在与因特网基础设施相连的系统上进行的。依靠这种基础设施，用户很容易受到犯罪企业、外国情报和军事组织的敌对攻击。俄罗斯是最重要的威胁之一，在情报收集、间谍和网络战方面大大扩展了其网络能力，因为它持续从事这些活动。

俄罗斯对网络的看法不同于西方的对手。俄罗斯领导层认为自己正在包括信息空间在内的各个领域进行着持续的生存斗争。莫斯科认为，互联网是对政权安全的威胁，是对付俄罗斯敌人的武器，除提及西方概念外，不使用“网络”或“网络战”一词，宁愿在更广泛的信息安全和信息战框架内看到网络行动。这个整体概念包括计算机网络操作、电子战、心理操作和信息操作。与苏联打击来自国外和国内的持续威胁的观念相一致，俄罗斯现政权认为，围绕“信息空间”的斗争是无休止的。

进攻性网络行动在俄罗斯的军事行动和俄罗斯的战略威慑框架中发挥着越来越大的作用。尽管由于结构和理论的原因，俄罗斯军队和情报部门对网络行动反应迟缓，但政府现在计划加强武装部队和其他安全机构的网络攻击和防御能力。随着俄罗斯网络行动的速度和规模远远超出了广泛报道的范围，利用开源信息和数据了解这些行动的性质及其构成的威胁有很大的机会。

国防高级研究计划局（DARPA）社会网络项目的一个中心目标是，利用一个全面的方法来理解恶意代码和开源软件（OSS）软件开发过程的文化和人类学。俄罗斯的网络威胁和业务组件一直抵制传统情报方法的识别：源数据不是常规收集制度的一部分，人工智能（AI）分析工具，例如用于这项研究的工具，依赖于国防高级研究计划局（DARPA）计划的主要软件开发工作。本分析探讨了恶意代码的分布；人工智能(AI)工具搜索开源材料，提取和分析所获得的数据。

对俄罗斯网络行动、黑客群体和开源代码的研究得出了一些重要结论：

•俄罗斯政府认为，互联网既是对政权安全的威胁，也是用来对付敌人的武器。它通常不在其理论、政策文件和辩论中使用“网络”，除非提及西方概念。相反，莫斯科的大部分思想都围绕“信息安全”（informationsonnaya bezopastinosf）这一概念展开，这是一个范围更广的概念，包括加密等技术要素，但也包括国家控制和塑造整个信息空间的能力。因此，俄罗斯行为者往往同时开展网络和信息行动。

• 俄罗斯的网络行动属于“积极措施”（aktivnye meropriyatiya）的范畴。一个多世纪以来，俄罗斯在暗杀、政变赞助和其他秘密活动的同时，利用伪造、虚假信息和虚假传播来投射影响力和破坏俄罗斯所感知的敌人。虽然互联网和其他技术进步带来了深刻的变化，但俄罗斯的网络和信息业务仍然强调可否认性，模糊了公共外交与宣传之间的界限——几十年来积极措施的主要特征。

• 俄罗斯的军事理论越来越强调网络行动来投射力量，反过来，也强调外国网络和信息行动对俄罗斯的威胁。2008 年的俄罗斯-格鲁吉亚战争促使俄罗斯建立了一个正式的进攻和防御性网络作战单位；其 2010 年军事理论指出，“信息战”在军事冲突中发挥着更大的作用。自1999年12月普京上台以来，莫斯科一直在发动武装军事冲突之前进行网络行动，以增加混乱，助长“战争迷雾”，并主张对信息环境的控制。

• 俄罗斯政府利用行为体网络来支持其能力发展、人才培养和网络运营。该网络包括政府网络单位，主要在联邦安全局（FSB）、外国情报局（SVR）和军事情报局（GRU）。它还包括网络犯罪分子和政府招募的个别开发商、接近国家的“企业家”黑客和政府创建的幌子公司。政府还利用黑手党式的家庭关系黑客进入安全部门，鼓励爱国黑客，将私营军事公司武器化，并利用私营部门会议和集会招募人才。理解俄罗斯的网络力量需要理解这个复杂生态系统中的众多参与者，包括非国家行为者。

• 积极技术、安全代码、卡巴斯基、Infotecs和Sberbank Technology等公司在俄罗斯的网络安全生态系统中发挥着核心作用。积极技术由于支持俄罗斯的网络运营，以及主办FSB和GRU用来招募黑客的事件而受到美国政府制裁。Infotecs已经列入美国实体名单，用于支持俄罗斯网络参与者的恶意活动。他们对国家的支持可能是防御性的，也可能是进攻性的；他们也可能只是作为培养俄罗斯网络人才和发展俄罗斯代码的工具。

• 俄罗斯“人才外流”仍然是一个长期存在的问题。这很可能会削弱俄罗斯保持最新、创新的技术部门和网络人才库的能力，至少在近期内是如此。尽管如此，俄罗斯的大学仍在继续启动网络安全项目，俄罗斯军队目前已经有几个，政府仍然打算开发俄罗斯的国内技术，影响全球软件基础。

• 俄罗斯展示了广泛的网络能力。这些攻击包括网络钓鱼、分布式拒绝服务（DDoS）攻击、密码强制算法、勒索软件和恶意软件以关闭电网监控和数据采集（SCADA）系统。这使俄罗斯能够对金融部门造成巨大损害，并为监视目的侵入国外的系统，从格鲁吉亚国防部的黑客攻击到大规模针对美国的“太阳风”(SolarWinds)间谍活动。莫斯科内部建立了许多这种能力，并已求助于公司的程序员和网络犯罪分子来发展能力。

• 俄罗斯已扩大对开源软件的关注，以取代西方技术，并扩大其全球技术足迹——增加了美国软件的安全风险。阿斯特拉 Linux 操作系统是俄罗斯国内技术发展的关键，自 2022 年 2 月以来，莫斯科加快了清除西方软件和硬件的努力，用俄罗斯技术取代了它。最近，俄罗斯公司一直在讨论通过软件产品进行海外扩张的问题；俄罗斯开发商正在致力于围绕 Astra Linux 构建一个完整的俄罗斯技术栈；俄罗斯政府一直在采购中国计算机，要求在这些系统上安装 Astra Linux。

• 边缘研究小组开发了一套人工智能（AI）工具，以帮助分析俄罗斯的网络行动。这包括在俄罗斯、中国、朝鲜和伊朗从事开源开发的个人以及支持他们的机构和机构。这种对开源软件贡献者的广泛数据收集和分析使Linux内核及其背后的代码贡献成为可能。它还能够分析Linux之外的其他俄罗斯代码，比如Pushwoosh制造的软件开发工具包（SDK），一家俄罗斯组织错误地以美国的身份展示。

对开源软件、社交媒体以及创建它的人进行分析，是识别可疑网络活动和恶意网络行动的有效途径，Margin Research开发的新型人工智能技术(AI)支持俄罗斯网络行动和参与者的分析管道。虽然以前的分析缺乏发现这种行为所必需的工具，但它们也无法获得目前工作中收集的大量数据。展望未来，必须继续对俄罗斯网络生态系统这一对美国国家安全日益重要的领域进行至关重要的研究。

2018年莫斯科夺旗比赛的俄罗斯大学生由莫斯科通信与信息技术大学主办。

照片发布于2022年的积极黑客日

长按识别下面的二维码可加入星球


里面已有6000多篇资料可供下载

越早加入越便宜

续费五折优惠