文︱鄧飛

今年5月，印度與巴基斯坦突發(fā)沖突，媒體與社會大多關(guān)心令人炫目的空戰(zhàn)場面。然而，無硝煙的網(wǎng)絡(luò)戰(zhàn)場其實不比空戰(zhàn)來得次要，甚至可以說，這比有硝煙的傳統(tǒng)地面與空中戰(zhàn)場更具挑戰(zhàn)性、更具風(fēng)險性。

先說采取網(wǎng)絡(luò)作戰(zhàn)行動的組織。根據(jù)網(wǎng)絡(luò)安全監(jiān)控網(wǎng)頁cyberknow顯示，至少有71個網(wǎng)絡(luò)攻擊組織高度參與兩國的網(wǎng)絡(luò)間諜或攻擊行動，其中大概有18個組織被認(rèn)為屬于或者傾向支持印度，例如Bitter、Patchwork、SideWinder等APT組織（Advanced Persistent Threat，縮寫：APT，是指官方或民間的黑客所采取的隱匿而持久的電腦入侵過程），另外有53個組織支持巴基斯坦，例如APT36、SideCopy等APT組織。除了國家支持的APT力量之外，雙方還有大量背景模糊的非國家組織或個人活躍于網(wǎng)絡(luò)空間，包括本國的愛國黑客、網(wǎng)絡(luò)雇傭軍和國際黑客組織等。這些群體或個人既可能是出于自發(fā)而行動，也可能是在國家默許或外判的支持下，對敵方網(wǎng)絡(luò)展開攻擊。

再說網(wǎng)絡(luò)作戰(zhàn)行動的目標(biāo)和方式。綜合第三方網(wǎng)絡(luò)監(jiān)控信息平臺和外方媒體的報道，大致來說，網(wǎng)絡(luò)戰(zhàn)的目的和方式、技術(shù)可以分為以下三大類：

一是運用網(wǎng)絡(luò)攻擊技術(shù)，阻斷和癱瘓敵方重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，削弱對手戰(zhàn)時行動能力和通訊。同時阻礙敵方政府、軍方和民間重要機構(gòu)企業(yè)的信息傳播，造成政府決策失效和混亂，并對民眾造成一定程度的恐慌。

針對印度方面的例子：

5月7日至8日，疑似親巴基斯坦的黑客組織Vulture和GARUDA ERROR SYSTEM，宣布對印度最重要的政府網(wǎng)站發(fā)動“分散式阻斷服務(wù)攻擊”（也就是所謂的DDoS）。這些黑客組織聲稱攻擊目標(biāo)包括總理辦公室、總統(tǒng)辦公室、內(nèi)政部、國防部、外交部、衛(wèi)生部和幾個執(zhí)法單位的網(wǎng)站。不過，經(jīng)過第三方的網(wǎng)絡(luò)驗證評估，受攻擊的網(wǎng)站運行基本正常，即使出現(xiàn)斷網(wǎng)down機，大約不超過5分鐘。

針對巴基斯坦方面的例子：

4月25日9時18分，巴基斯坦政府商務(wù)部網(wǎng)站(www.commerce.gov.pk)遭受疑似親印度的黑客以DDoS攻擊，攻擊使用DNS反射放大技術(shù)（利用UPN網(wǎng)絡(luò)協(xié)議或者屬性的弱點，以發(fā)起和放大DDoS網(wǎng)絡(luò)阻斷攻擊的技術(shù)），持續(xù)1小時3分25秒。

4月26日10時26分，巴基斯坦緊急服務(wù)部網(wǎng)(www.rescue.gov.pk)突遭DDoS攻擊，攻擊者采用NTP反射放大技術(shù)（原理大致同上），攻擊持續(xù)48分19秒。該網(wǎng)站服務(wù)范圍覆蓋巴基斯坦幾乎所有地區(qū)，承擔(dān)災(zāi)害救援、醫(yī)療急救等關(guān)鍵職能。此次攻擊一旦導(dǎo)致服務(wù)中斷，將嚴(yán)重影響民眾緊急求助、災(zāi)害預(yù)警發(fā)布及救援力量調(diào)度，肯定造成民眾恐慌。

二是通過網(wǎng)絡(luò)科技手段，從敵方網(wǎng)絡(luò)上進(jìn)行對軍事、政治、科技等核心情報的收集工作，為實施軍事行動提供重要的情報信息支持。甚至采取更先進(jìn)的網(wǎng)絡(luò)科技，對敵人的武器裝備采取遠(yuǎn)程干擾和控制。

先說竊取核心情報。這些網(wǎng)絡(luò)情報搜集行動通常以假的貌似重要文檔作為誘餌，發(fā)送電郵給敵方軍政機構(gòu)的工作人員，誘使他們打開文檔，觸發(fā)藏在文檔里面的惡意軟件，例如大名鼎鼎的木馬程式便是，從而竊取存檔在這些軍政機構(gòu)關(guān)鍵部門電腦系統(tǒng)里面的保密信息情報。在網(wǎng)絡(luò)戰(zhàn)背景下，此類竊密行為具有極高戰(zhàn)略價值，通過獲取核心情報，攻擊方能夠借此及時掌握對手的作戰(zhàn)意圖、兵力部署和調(diào)度，達(dá)到知彼知己。

舉個已經(jīng)確鑿識別為真確的例子：一個名為TransparentTribe（又叫APT36）的APT組織，立場是親巴基斯坦的，在印巴沖突期間，它通過網(wǎng)絡(luò)電郵，向印度政府和軍方單位發(fā)放一款名為Preventive Measures in View of Operation Sindoor and Emerging Security Scenario.ppam的加載巨集文件，當(dāng)接收者打開這份作為誘餌的巨集文件之后，藏于其中的CrimsonRAT遠(yuǎn)程木馬惡意程式會自動執(zhí)行安裝，繼而對作為目標(biāo)主機的各個印度政府部門及軍方單位電腦設(shè)施進(jìn)行遠(yuǎn)程控制，最后成功竊取各類敏感數(shù)據(jù)和機密情報。

讀者可能覺得奇怪，為什么接收方印度的軍政人員會這么輕易就打開一個電郵附件檔案？其中一個重要原因，就是這些附件檔案往往對癥下藥地命名，讓目標(biāo)接收者誤以為是來自己方的重要文件。例如在這個巨集文件的檔案名稱中，有“Operation Sindoor（辛多爾行動）”一詞，這是印度為報復(fù)武裝分子在克什米爾襲擊印度人的反擊行動代號。

再說干擾敵方的設(shè)備。5?7?，印度空軍、陸軍和海軍部署的超過1000個監(jiān)控攝像頭，被巴基斯坦網(wǎng)絡(luò)部隊侵入并控制。監(jiān)控攝像頭作為軍事安全防護(hù)體系的關(guān)鍵基礎(chǔ)設(shè)施，被攻破后會造成嚴(yán)重的安全威脅。軍事基地的實時影像和動態(tài)暴露在敵方視野中，破壞了部署在該地的印度軍隊隱蔽性，增加巴方攻擊的精準(zhǔn)度。另外，筆者認(rèn)為（不是這個例子中的真實情況），如果加上Deepfake技術(shù)，把監(jiān)控攝像頭所拍攝的影像視頻置換成假的fake內(nèi)容，則可進(jìn)一步誤導(dǎo)甚至誘導(dǎo)敵方作出不利的錯誤決策。

三是通過網(wǎng)絡(luò)科技和網(wǎng)上社交平臺，發(fā)起針對對手的網(wǎng)絡(luò)輿論戰(zhàn)，大量發(fā)布和傳播對于己方有利的戰(zhàn)時消息，甚至通過虛假信息來擊潰對方軍隊的士氣。這方面的網(wǎng)絡(luò)（輿論）戰(zhàn)媒體報道很多，筆者不再贅言。

雖然網(wǎng)絡(luò)戰(zhàn)似乎能帶來相當(dāng)大的軍事效能，但同時具有傳統(tǒng)作戰(zhàn)所沒有的兩大風(fēng)險：

第一，難以統(tǒng)一指揮的風(fēng)險。戰(zhàn)爭，從古到今都是國家行為，必須由國家領(lǐng)導(dǎo)的軍事指揮部門統(tǒng)一指揮，才能保證所有軍事行動能依照指揮部的指令來進(jìn)行。不是說前線官兵不能相機行事，不是說上級不能授權(quán)下級行動，而是這些授權(quán)和隨機應(yīng)變最終都必須服從于最高統(tǒng)帥部的作戰(zhàn)目標(biāo)和戰(zhàn)略意圖。最高層說戰(zhàn)，就戰(zhàn)；說停，就必須停，所有軍事單位必須服從最高統(tǒng)帥的命令，用內(nèi)地說法：“指哪打哪”（意思是，最高統(tǒng)帥命令打哪里，執(zhí)行的軍事單位就必須往哪里打）。但是，網(wǎng)絡(luò)戰(zhàn)卻不是由國家軍事指揮部門統(tǒng)一指揮的行動，而是同時由屬于國家軍事部門的網(wǎng)軍，再加上民間黑客組織共同構(gòu)成。甚至就算是民間黑客組織，也不一定是自己國家的國民，肯定存在大量的國際黑客組織。換言之，網(wǎng)絡(luò)戰(zhàn)注定有一批參戰(zhàn)者是游離于統(tǒng)一指揮之外，那么國家軍方對于網(wǎng)絡(luò)戰(zhàn)的效果和影像范圍則既不能完全掌握，甚至不能準(zhǔn)確辨識。國家和軍方想停止作戰(zhàn)行動，但民間黑客們未必愿意配合服從，可能繼續(xù)進(jìn)行他們自以為“正當(dāng)”的網(wǎng)絡(luò)戰(zhàn)，繼續(xù)攻擊敵方政府機構(gòu)、軍事單位和民間重要設(shè)施。這就讓戰(zhàn)爭的發(fā)展存在很大的變數(shù)和失控風(fēng)險。

第二，難以區(qū)分戰(zhàn)場和后方。自從朝鮮戰(zhàn)爭以來，國際上的軍事沖突，打底確立了“局部戰(zhàn)爭/有先戰(zhàn)爭”的模式，即是在大國之間，尤其核大國之間，避免把戰(zhàn)爭擴(kuò)大成為“全面戰(zhàn)爭”——全面針對對方整個國土和人民的戰(zhàn)爭，這就無分前后方了，反正打到其中一方國破家亡為止。但“局部戰(zhàn)爭/有先戰(zhàn)爭”則雙方存在默契，把交戰(zhàn)區(qū)域局限在某個范圍之內(nèi)，在這個范圍之外就避免戰(zhàn)爭行為和作戰(zhàn)行動。

因此，戰(zhàn)區(qū)和后方還是涇渭分明的，戰(zhàn)爭對后方的破壞是非常有限的。但存在欠缺統(tǒng)一指揮的網(wǎng)絡(luò)戰(zhàn)就不同了，雙方網(wǎng)絡(luò)參戰(zhàn)者（網(wǎng)絡(luò)部隊、APT或者黑客組織）既攻擊對方的軍事網(wǎng)絡(luò)，也攻擊政府網(wǎng)絡(luò)和民間重要基礎(chǔ)設(shè)施，那么就無所分前方后方了。假設(shè)一種情況，巴基斯坦的政府救援網(wǎng)站被親印度的黑客攻破了（見上文），恰好巴國發(fā)生大地震，因為救援網(wǎng)站被癱瘓了，巴國政府軍方和救援單位根本無法組織救援行動，災(zāi)區(qū)出現(xiàn)大量傷亡，民怨自然沸騰，由此帶來的政治后果就一發(fā)不可收拾了。

這次印巴沖突雖然時間很短，但雙方交戰(zhàn)行動所包含的內(nèi)容異常豐富，既有常規(guī)作戰(zhàn)的空戰(zhàn)，也有高新科技的網(wǎng)絡(luò)戰(zhàn)，非常值得總結(jié)學(xué)習(xí)。全球和臺海局勢波譎云詭，天知道未來會否爆發(fā)沖突。如果真的爆發(fā)，能夠為將來網(wǎng)絡(luò)戰(zhàn)提供實戰(zhàn)個案經(jīng)驗的，就是這次沖突了。