文︱鄧飛

今年5月，印度與巴基斯坦突發(fā)沖突，媒體與社會(huì)大多關(guān)心令人炫目的空戰(zhàn)場(chǎng)面。然而，無(wú)硝煙的網(wǎng)絡(luò)戰(zhàn)場(chǎng)其實(shí)不比空戰(zhàn)來(lái)得次要，甚至可以說(shuō)，這比有硝煙的傳統(tǒng)地面與空中戰(zhàn)場(chǎng)更具挑戰(zhàn)性、更具風(fēng)險(xiǎn)性。

先說(shuō)采取網(wǎng)絡(luò)作戰(zhàn)行動(dòng)的組織。根據(jù)網(wǎng)絡(luò)安全監(jiān)控網(wǎng)頁(yè)cyberknow顯示，至少有71個(gè)網(wǎng)絡(luò)攻擊組織高度參與兩國(guó)的網(wǎng)絡(luò)間諜或攻擊行動(dòng)，其中大概有18個(gè)組織被認(rèn)為屬于或者傾向支持印度，例如Bitter、Patchwork、SideWinder等APT組織（Advanced Persistent Threat，縮寫(xiě)：APT，是指官方或民間的黑客所采取的隱匿而持久的電腦入侵過(guò)程），另外有53個(gè)組織支持巴基斯坦，例如APT36、SideCopy等APT組織。除了國(guó)家支持的APT力量之外，雙方還有大量背景模糊的非國(guó)家組織或個(gè)人活躍于網(wǎng)絡(luò)空間，包括本國(guó)的愛(ài)國(guó)黑客、網(wǎng)絡(luò)雇傭軍和國(guó)際黑客組織等。這些群體或個(gè)人既可能是出于自發(fā)而行動(dòng)，也可能是在國(guó)家默許或外判的支持下，對(duì)敵方網(wǎng)絡(luò)展開(kāi)攻擊。

再說(shuō)網(wǎng)絡(luò)作戰(zhàn)行動(dòng)的目標(biāo)和方式。綜合第三方網(wǎng)絡(luò)監(jiān)控信息平臺(tái)和外方媒體的報(bào)道，大致來(lái)說(shuō)，網(wǎng)絡(luò)戰(zhàn)的目的和方式、技術(shù)可以分為以下三大類：

一是運(yùn)用網(wǎng)絡(luò)攻擊技術(shù)，阻斷和癱瘓敵方重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，削弱對(duì)手戰(zhàn)時(shí)行動(dòng)能力和通訊。同時(shí)阻礙敵方政府、軍方和民間重要機(jī)構(gòu)企業(yè)的信息傳播，造成政府決策失效和混亂，并對(duì)民眾造成一定程度的恐慌。

針對(duì)印度方面的例子：

5月7日至8日，疑似親巴基斯坦的黑客組織Vulture和GARUDA ERROR SYSTEM，宣布對(duì)印度最重要的政府網(wǎng)站發(fā)動(dòng)“分散式阻斷服務(wù)攻擊”（也就是所謂的DDoS）。這些黑客組織聲稱攻擊目標(biāo)包括總理辦公室、總統(tǒng)辦公室、內(nèi)政部、國(guó)防部、外交部、衛(wèi)生部和幾個(gè)執(zhí)法單位的網(wǎng)站。不過(guò)，經(jīng)過(guò)第三方的網(wǎng)絡(luò)驗(yàn)證評(píng)估，受攻擊的網(wǎng)站運(yùn)行基本正常，即使出現(xiàn)斷網(wǎng)down機(jī)，大約不超過(guò)5分鐘。

針對(duì)巴基斯坦方面的例子：

4月25日9時(shí)18分，巴基斯坦政府商務(wù)部網(wǎng)站(www.commerce.gov.pk)遭受疑似親印度的黑客以DDoS攻擊，攻擊使用DNS反射放大技術(shù)（利用UPN網(wǎng)絡(luò)協(xié)議或者屬性的弱點(diǎn)，以發(fā)起和放大DDoS網(wǎng)絡(luò)阻斷攻擊的技術(shù)），持續(xù)1小時(shí)3分25秒。

4月26日10時(shí)26分，巴基斯坦緊急服務(wù)部網(wǎng)(www.rescue.gov.pk)突遭DDoS攻擊，攻擊者采用NTP反射放大技術(shù)（原理大致同上），攻擊持續(xù)48分19秒。該網(wǎng)站服務(wù)范圍覆蓋巴基斯坦幾乎所有地區(qū)，承擔(dān)災(zāi)害救援、醫(yī)療急救等關(guān)鍵職能。此次攻擊一旦導(dǎo)致服務(wù)中斷，將嚴(yán)重影響民眾緊急求助、災(zāi)害預(yù)警發(fā)布及救援力量調(diào)度，肯定造成民眾恐慌。

二是通過(guò)網(wǎng)絡(luò)科技手段，從敵方網(wǎng)絡(luò)上進(jìn)行對(duì)軍事、政治、科技等核心情報(bào)的收集工作，為實(shí)施軍事行動(dòng)提供重要的情報(bào)信息支持。甚至采取更先進(jìn)的網(wǎng)絡(luò)科技，對(duì)敵人的武器裝備采取遠(yuǎn)程干擾和控制。

先說(shuō)竊取核心情報(bào)。這些網(wǎng)絡(luò)情報(bào)搜集行動(dòng)通常以假的貌似重要文檔作為誘餌，發(fā)送電郵給敵方軍政機(jī)構(gòu)的工作人員，誘使他們打開(kāi)文檔，觸發(fā)藏在文檔里面的惡意軟件，例如大名鼎鼎的木馬程式便是，從而竊取存檔在這些軍政機(jī)構(gòu)關(guān)鍵部門(mén)電腦系統(tǒng)里面的保密信息情報(bào)。在網(wǎng)絡(luò)戰(zhàn)背景下，此類竊密行為具有極高戰(zhàn)略價(jià)值，通過(guò)獲取核心情報(bào)，攻擊方能夠借此及時(shí)掌握對(duì)手的作戰(zhàn)意圖、兵力部署和調(diào)度，達(dá)到知彼知己。

舉個(gè)已經(jīng)確鑿識(shí)別為真確的例子：一個(gè)名為T(mén)ransparentTribe（又叫APT36）的APT組織，立場(chǎng)是親巴基斯坦的，在印巴沖突期間，它通過(guò)網(wǎng)絡(luò)電郵，向印度政府和軍方單位發(fā)放一款名為Preventive Measures in View of Operation Sindoor and Emerging Security Scenario.ppam的加載巨集文件，當(dāng)接收者打開(kāi)這份作為誘餌的巨集文件之后，藏于其中的CrimsonRAT遠(yuǎn)程木馬惡意程式會(huì)自動(dòng)執(zhí)行安裝，繼而對(duì)作為目標(biāo)主機(jī)的各個(gè)印度政府部門(mén)及軍方單位電腦設(shè)施進(jìn)行遠(yuǎn)程控制，最后成功竊取各類敏感數(shù)據(jù)和機(jī)密情報(bào)。

讀者可能覺(jué)得奇怪，為什么接收方印度的軍政人員會(huì)這么輕易就打開(kāi)一個(gè)電郵附件檔案？其中一個(gè)重要原因，就是這些附件檔案往往對(duì)癥下藥地命名，讓目標(biāo)接收者誤以為是來(lái)自己方的重要文件。例如在這個(gè)巨集文件的檔案名稱中，有“Operation Sindoor（辛多爾行動(dòng)）”一詞，這是印度為報(bào)復(fù)武裝分子在克什米爾襲擊印度人的反擊行動(dòng)代號(hào)。

再說(shuō)干擾敵方的設(shè)備。5?7?，印度空軍、陸軍和海軍部署的超過(guò)1000個(gè)監(jiān)控?cái)z像頭，被巴基斯坦網(wǎng)絡(luò)部隊(duì)侵入并控制。監(jiān)控?cái)z像頭作為軍事安全防護(hù)體系的關(guān)鍵基礎(chǔ)設(shè)施，被攻破后會(huì)造成嚴(yán)重的安全威脅。軍事基地的實(shí)時(shí)影像和動(dòng)態(tài)暴露在敵方視野中，破壞了部署在該地的印度軍隊(duì)隱蔽性，增加巴方攻擊的精準(zhǔn)度。另外，筆者認(rèn)為（不是這個(gè)例子中的真實(shí)情況），如果加上Deepfake技術(shù)，把監(jiān)控?cái)z像頭所拍攝的影像視頻置換成假的fake內(nèi)容，則可進(jìn)一步誤導(dǎo)甚至誘導(dǎo)敵方作出不利的錯(cuò)誤決策。

三是通過(guò)網(wǎng)絡(luò)科技和網(wǎng)上社交平臺(tái)，發(fā)起針對(duì)對(duì)手的網(wǎng)絡(luò)輿論戰(zhàn)，大量發(fā)布和傳播對(duì)于己方有利的戰(zhàn)時(shí)消息，甚至通過(guò)虛假信息來(lái)?yè)魸?duì)方軍隊(duì)的士氣。這方面的網(wǎng)絡(luò)（輿論）戰(zhàn)媒體報(bào)道很多，筆者不再贅言。

雖然網(wǎng)絡(luò)戰(zhàn)似乎能帶來(lái)相當(dāng)大的軍事效能，但同時(shí)具有傳統(tǒng)作戰(zhàn)所沒(méi)有的兩大風(fēng)險(xiǎn)：

第一，難以統(tǒng)一指揮的風(fēng)險(xiǎn)。戰(zhàn)爭(zhēng)，從古到今都是國(guó)家行為，必須由國(guó)家領(lǐng)導(dǎo)的軍事指揮部門(mén)統(tǒng)一指揮，才能保證所有軍事行動(dòng)能依照指揮部的指令來(lái)進(jìn)行。不是說(shuō)前線官兵不能相機(jī)行事，不是說(shuō)上級(jí)不能授權(quán)下級(jí)行動(dòng)，而是這些授權(quán)和隨機(jī)應(yīng)變最終都必須服從于最高統(tǒng)帥部的作戰(zhàn)目標(biāo)和戰(zhàn)略意圖。最高層說(shuō)戰(zhàn)，就戰(zhàn)；說(shuō)停，就必須停，所有軍事單位必須服從最高統(tǒng)帥的命令，用內(nèi)地說(shuō)法：“指哪打哪”（意思是，最高統(tǒng)帥命令打哪里，執(zhí)行的軍事單位就必須往哪里打）。但是，網(wǎng)絡(luò)戰(zhàn)卻不是由國(guó)家軍事指揮部門(mén)統(tǒng)一指揮的行動(dòng)，而是同時(shí)由屬于國(guó)家軍事部門(mén)的網(wǎng)軍，再加上民間黑客組織共同構(gòu)成。甚至就算是民間黑客組織，也不一定是自己國(guó)家的國(guó)民，肯定存在大量的國(guó)際黑客組織。換言之，網(wǎng)絡(luò)戰(zhàn)注定有一批參戰(zhàn)者是游離于統(tǒng)一指揮之外，那么國(guó)家軍方對(duì)于網(wǎng)絡(luò)戰(zhàn)的效果和影像范圍則既不能完全掌握，甚至不能準(zhǔn)確辨識(shí)。國(guó)家和軍方想停止作戰(zhàn)行動(dòng)，但民間黑客們未必愿意配合服從，可能繼續(xù)進(jìn)行他們自以為“正當(dāng)”的網(wǎng)絡(luò)戰(zhàn)，繼續(xù)攻擊敵方政府機(jī)構(gòu)、軍事單位和民間重要設(shè)施。這就讓?xiě)?zhàn)爭(zhēng)的發(fā)展存在很大的變數(shù)和失控風(fēng)險(xiǎn)。

第二，難以區(qū)分戰(zhàn)場(chǎng)和后方。自從朝鮮戰(zhàn)爭(zhēng)以來(lái)，國(guó)際上的軍事沖突，打底確立了“局部戰(zhàn)爭(zhēng)/有先戰(zhàn)爭(zhēng)”的模式，即是在大國(guó)之間，尤其核大國(guó)之間，避免把戰(zhàn)爭(zhēng)擴(kuò)大成為“全面戰(zhàn)爭(zhēng)”——全面針對(duì)對(duì)方整個(gè)國(guó)土和人民的戰(zhàn)爭(zhēng)，這就無(wú)分前后方了，反正打到其中一方國(guó)破家亡為止。但“局部戰(zhàn)爭(zhēng)/有先戰(zhàn)爭(zhēng)”則雙方存在默契，把交戰(zhàn)區(qū)域局限在某個(gè)范圍之內(nèi)，在這個(gè)范圍之外就避免戰(zhàn)爭(zhēng)行為和作戰(zhàn)行動(dòng)。

因此，戰(zhàn)區(qū)和后方還是涇渭分明的，戰(zhàn)爭(zhēng)對(duì)后方的破壞是非常有限的。但存在欠缺統(tǒng)一指揮的網(wǎng)絡(luò)戰(zhàn)就不同了，雙方網(wǎng)絡(luò)參戰(zhàn)者（網(wǎng)絡(luò)部隊(duì)、APT或者黑客組織）既攻擊對(duì)方的軍事網(wǎng)絡(luò)，也攻擊政府網(wǎng)絡(luò)和民間重要基礎(chǔ)設(shè)施，那么就無(wú)所分前方后方了。假設(shè)一種情況，巴基斯坦的政府救援網(wǎng)站被親印度的黑客攻破了（見(jiàn)上文），恰好巴國(guó)發(fā)生大地震，因?yàn)榫仍W(wǎng)站被癱瘓了，巴國(guó)政府軍方和救援單位根本無(wú)法組織救援行動(dòng)，災(zāi)區(qū)出現(xiàn)大量傷亡，民怨自然沸騰，由此帶來(lái)的政治后果就一發(fā)不可收拾了。

這次印巴沖突雖然時(shí)間很短，但雙方交戰(zhàn)行動(dòng)所包含的內(nèi)容異常豐富，既有常規(guī)作戰(zhàn)的空戰(zhàn)，也有高新科技的網(wǎng)絡(luò)戰(zhàn)，非常值得總結(jié)學(xué)習(xí)。全球和臺(tái)海局勢(shì)波譎云詭，天知道未來(lái)會(huì)否爆發(fā)沖突。如果真的爆發(fā)，能夠?yàn)閷?lái)網(wǎng)絡(luò)戰(zhàn)提供實(shí)戰(zhàn)個(gè)案經(jīng)驗(yàn)的，就是這次沖突了。