网安智库|两场局部冲突中黑客群落行为与动因研究
随着信息化的发展,互联网空间与社会空间深度交融,黑客攻击呈现出频次高、破坏强、覆盖广和链条长的趋势。在俄乌冲突、巴以冲突的两场混合战争中,黑客组织的结构与行为更加多元、复杂并在时间、空间维度出现了新模式、新特征。黑客群体的组织严密、协同行动、媒介传播和精神干预等特征,对互联网空间的安全保障、互联网空间的有序治理构成了全新的威胁与挑战。通过一系列分析互联网空间价值冲突场域中不同黑客群落现象和行为动因,形成黑客团体的特征画像,进而探讨黑客群落的分化、实践与变迁动力学机制,并在黑客分化“选边站队”的历史实践中,研提对黑客风险控制与引导治理的启示建议。
与传统领域相比,互联网空间这一新兴领域激发了丰富的产业、技术和资源活力,蕴藏着影响国家安全乃至改变战争规则的巨大能量。世界军事强国持续招募、集聚、培养并储备计算机奇才、黑客组织以及志愿军团,以加快互联网空间作战准备的步伐,试图在互联网空间竞争中取得先机。出于互联网空间的互联互通、共享开放的特性,作为非正规军的黑客团体得以在网络中萌芽并成长壮大,已逐步成为可与之抗衡的力量。
自 2022 年 2 月俄乌冲突爆发以来,双方战场蔓延至互联网空间,全球主要黑客组织和勒索软件团伙第一时间参战,陆续在社会化媒体上宣布各自立场并加入有组织、有目标的群体行为之中。两年以来,俄乌两国在物理空间和互联网空间的冲突不断持续,而互联网空间斗争的烈度和战火还在不断升级。
2023 年 10 月 7 日,巴勒斯坦抵抗运动(简称“哈马斯”)宣布对以色列采取代号为“阿克萨洪水”的军事行动,互联网空间的争夺与对抗随之同步展开 。相较俄乌冲突中双方在涉及民生领域的网络攻击方面相对克制,巴以对抗中双方针对关键基础设施的网络攻击数量激增,为达成战果而更加不择手段。
在这两场危机中,并无直接证据证明各国正式组建的网络战部队曾经参战,但黑客群体扮演了网络对抗的主要角色,“白帽”“灰帽”“黑产”、间谍和安全专家等力量持续“混战”,与物理空间冲突并行展开,影响了经济、金融、科技和信息等多个领域,起到了较为突出的战争辅助和战场支援作用。黑客各方力量在局部价值冲突场域中的组织归属、地理政治学、国家精神、安全文化和技术领域等都具备不同的特点,作为互联网空间的特殊群体,其干涉和扰乱性作用可见一斑。
为深入了解黑客现象及其发展内因,必须将黑客置于导致其产生的社会科技大背景中,细致分析黑客思想观念、价值取向、道德倾向与文化心理,还原其本来面目,揭示其行为的多样化动机。本文试图从互联网空间黑客画像与特征、黑客群落演化动力学角度进行剖析,在黑客分化“选边站队”的历史实践中,研提黑客力量治理能力提升的启示建议。
新空间规则和秩序的确立不仅以文化和认知的转变为特征,并且要造就一个或几个能够代表自己的、独特的社会群体和阶层,而黑客显然就是互联网空间时代最令人惊讶的产物之一。互联网空间黑客组织技术专业、经验比较丰富、工具多样、破坏力惊人,已成为互联网空间诡谲多变的对抗局势中一支不可忽视的力量。
黑客如今虽已被广泛讨论和知晓,但如何从经验层面进行精确定义仍是个难题,除了涉及彼此差异、相互矛盾的思想理念,早期黑客与当代黑客还可能因为社会环境的变化而在外在表现上大相径庭。20 世纪 50 年代,美国麻省理工学院的艺术家、计算机科学家与工程师们使用“黑客”一词来描述精通各类信息系统工作原理的工程师,代表了一种很“酷”的时代精神;20 世纪 90 年代,黑客开始与破坏性的入侵行为联系在一起;2010 年以后,黑客的文化外延再次拓展,开始强调黑客现象的审美与道德,认为黑客的活动融合了幽默、聪明、手艺与政治,为黑客的感性认知增加了新的向度。
不同研究者对黑客概念的理解,在时间维度、实践层面上存在比较大差别,这既与黑客实践本身的丰富内涵有关,也与不同情境中评判黑客现象的价值相关。“黑客”通常是信息系统的挑战者,“白帽”则是信息系统的维护者,能够代表网络攻防技术的至高水平,但是将技术用于造福信息社会还是损害大众利益,往往只是在一念之间。在互联网空间攻防博弈中,一部分黑客白帽化(“见光”),凭借自己高超的信息技能成为安全专家或创业者(甚至跻身顶级富豪);另一部分黑客灰色化,将个人的工作和活动嵌入非法价值链,游走在网络犯罪的边缘地带。
黑客能力可辨别高下,黑客组织也可划分层级。一是位于金字塔顶端的以美情报机构国家安全局(National Security Agency,NSA)等为代表的具有超高能力威胁的行为体,其拥有严密的规模建制,庞大的支撑工程体系,掌控体系化的攻击装备和攻击资源,能够直接进行最为隐蔽和致命的网络攻击;二是地区性、专业化的黑客组织,通常出于商业目的、政治目的和反社会动机而实施较复杂的攻击,具有分工细、技术强和手段多的特征;三是小规模组织或个人“孤狼”式黑客,通常出于个人兴趣、经济利益或其他意愿发起恶意攻击,具有能力较弱、力量散、分布广但是数量多的特征。未来,人工智能黑客行为体将能够依靠智能算法自主学习来寻找网络系统代码漏洞并发起精确攻击,将作为一股新势力进入互联网空间攻防主战场。
黑客群体随着信息化、网络安全技术的进步而持续不断的发展和演化,总体上具备以下特征:
(1)主体趋向平民化。互联网用户群体素质水平的整体上升使得实施网络攻击的技术门槛大幅度的降低。黑客学校、黑客培训班等大行其道,甚至普通网民利用互联网学习各类黑客技术及网络知识,就可以具备如收集网站流量、网站挂马、插件挂马和网站攻击等活动的实际操作能力。
(2)动机明确清晰。黑客的行动在表面上呈现随机攻击的特征,但在本质上与其意图、诉求和能力息息相关。黑客活动早已脱离了“散兵游勇”的范畴,每起重大网络安全事件的背后往往都潜藏着一个组织严密、分工有序的黑客组织。
(3)技术针对性强。尽管黑客达到入门水平相对容易,但想要精通某一攻防方向具备实战能力仍需要长期的技术积累和实践训练,高级黑客大多只能专精于网络攻防的若干领域,难以通达“全栈式能力”,这也是黑客需要组织化“抱团”求生的技术逻辑。
(4)行动手段多样。云计算、大数据和区块链等前沿技术的运用为黑客攻击者创造了更多的攻击面。可用于达到目标的黑客技术选项包括但不限于构建和启动恶意软件以破坏系统、窃取数据、劫持网络、提升初始访问权限、执行侦察和漏洞武器化等。
综上所述,黑客组织依靠过硬的技术方法和非对称的攻防优势,能够在任何看似“天衣无缝”的系统中寻找可乘之机,把互联网空间转变成一个“硝烟弥漫的战场”。
如果将互联网空间视为生态环境,那么黑客就是生态圈中的一类典型群落,它既是“猎手”,也是“猎物”。黑客为了在生存的前提下追逐其利益目标所开展的合作、竞争、协同、隐匿等活动,加之国家对持有特定价值立场黑客群体的“工具化”和“政治化”利用,逐渐形成了互联网空间攻防生态圈的独特景观。
尽管在普罗大众的认知中,黑客往往属于“十步杀一人,千里不留行”的独行侠,但实际上由于黑客技术领域的广泛性使得个人的精力难以完全掌握所有核心技能。因此,为了达到更佳的攻击组合、获取更强的攻击效率,同时实现更低的攻击成本,具有同质诉求、文化共识、互补技能和协同关系的黑客们以自组织或他组织的方式建构并结成群落,以提升其攻坚力、凝聚力和生存力。
黑客群落的建构方式包括意识形态建构、理念共识建构、技术领域建构、国家或民族建构、特定立场建构、年龄建构和工作层次建构等途径,依托暗网论坛、即时通信工具、交易网站和博客等阵地持续“招兵买马”。不同黑客群落间相互影响和制约,在结构上彰显出组织性与自发性共同演进的特点,最终受外因驱使走向不同的命运。
理念共识驱动的黑客群落建构中,在共同信念的指引下,黑客们跨越国界在网络上走到一起。例如,全球最大的黑客组织“匿名者”以《V 字仇杀队》主角 V 的盖伊·福克斯面具为标志,其核心理念是匿名、平等、自由,只要认同这个理念,就能成为匿名者的一员;“蜥蜴小组”由反对在线游戏公司“圈钱”行为的游戏爱好者组成等。依托同一理念聚集的黑客力量,在网络攻防行动中合理分工,有效聚合作战能力,以“强内聚”的特点干预互联网空间对抗与攻防博弈的发展。从整体上看,黑客群落的内聚突出表现为“三强”:
(1)强生长。在主体运作上,非组织性群体快速形成一支分布广泛且流动性强的作战力量,利用互联网动员国际黑客招募网络志愿者,以去中心化网络模式,快速组织、整合民间互联网空间作战力量。
(2)强组织。基于黑客首领的个人魅力与技术号召力进行意志传播与情绪动员,在社交平台中开设舆论宣传、任务发布、技术培养和训练、战果宣传和行动管理等内部频道。这些频道能够作为实时、广泛、安全和弹性的指挥通道,在互联网空间实战中发挥强有力的组织功效。
(3)强隐匿。黑客通过在加密性高、隐蔽性好的通信平台中使用私密通信、对等删除、阅后即焚、痕迹消除和监管躲避等安全功能,一方面能够保护身份信息防止暴露,使新成员放心加入;另一方面可为组织管理和行为提供较为可靠掩护。
基于互联网形成的黑客群落表现出成员的广泛性、结构的松散性、联系的跨空间性和演化的快速性等特征。全世界内黑客群落的生长、适应、重构和衰退等动力学现象足以左右互联网空间攻防势力格局。
(1)群落的生长。黑客组织通过吸纳更多成员、获取更多资源以增强自身实力。例如,乌克兰危机中的黑客组织 IT Army 动员了超过30 万名 IT 爱好者夜以继日地在网络战线上保卫乌克兰,同时不断地对俄罗斯发起攻击 [3];巴以冲突中长期受以色列挤压的世界迅速加入网络战局,将两个地区的冲突升级为两个世界的对抗 。
(2)群落的适应。一方面,黑客组织需要持续更新自身的技术战法和武器工具,实现对关注目标的入侵、渗透和利用;另一方面,黑客组织要掌握网络安全法规、威慑力量和防御手段,在确保收益的前提下最大限度地降低风险,以达到长期存活的目的。
(3)群落的重构。黑客组织在运行方针或主要成员出现重大调整时,需要对自身的组织、功能和行为进行重新构建。例如,我国国内众多黑客组织在 2001 年南海坠机事件后自发加入红客联盟,向美国政府网站发起攻击,顶级规模时该联盟成员曾多达 8 万人 。
(4)群落的衰退。黑客组织由于经营不善、理念分歧、成员离群和外界打压等问题造成能力降级、退化,甚至结构不复存在。例如,以索要赎金为生、盛极一时的 Revil 组织,在美国执法部门介入后,遭到无情打击,随后销声匿迹 。
从两场冲突来看,黑客的组织和集聚能力超越了国界、国籍和文化等因素的限制,在极短的时间内即可形成具有较强网络作战能力、持有明确倾向性观点的群落,其结构、成员均具有较强的随机性、突发性和不确定性。其主要组成部分除普通黑客外,相关力量还包括国家级高级持续性威胁(Advanced Persistent Threat,APT)组织和带有政府立场倾向的社会民众。在俄乌和巴以两场冲突中,据西方新闻媒体报道整理,黑客群落“选边站队”情况如表 1 所示。
在俄乌互联网空间中,黑客组织的阵营大部分被公开宣示,数十个组织或团体在互联网中表达了其立场,针对其目标发起网络攻击。在巴以冲突的互联网空间“第二战场”中,卷入巴以网络攻防大战的黑客组织也达到了数十个。在这两场局部冲突中,黑客“选边站队”包括以下突出特点:
一是延续情感倾向,憎恶分明。以美国为首的西方国家将俄乌分别塑造为入侵者和受害者形象,误导全世界对俄乌冲突的认知。在这种战略传播导向的影响下,大多数黑客组织倾向于同情乌克兰,一致将矛头对准俄罗斯;在巴以冲突中,黑客组织的分化则主要受宗教背景和领土观点所影响,具有鲜明的方向性特点。
二是合同作战行动,进退自如。在俄罗斯发动特别军事行动之前,由黑客发起的大规模互联网空间攻击活动已经提前发动,物理空间与互联网空间“双管齐下”的作战行动能够达到能力倍增的效果 ;网络安全产业高度发达的以色列在受到网络攻击后,立刻组织力量对网络攻击进行处置和反击,但由于哈马斯精心组织筹备,以色列还是被打得措手不及。
三是攻守能力并蓄,分工明确。担负进攻或防守任务的“志愿者”黑客组织各司其职,利用各自的优势资源和能力“各显神通”,使得俄罗斯、以色列在激烈的网络对抗中疲态尽显,一时处于被动局面。
四是力量动员高效,组织得当。在乌克兰组建的 IT Army 和黑客组成的临时黑客攻击团体中,Telegram 再次成为网络战的严密指挥平台,通过在任务中赋予不一样的等级黑客群组相应的行动权限,在机器人机制的导调控制下,各黑客群组内的组织行动更加协同。
五是对抗效应外溢,趁火打劫。鱼龙混杂的黑客战争,可能会引起网络武器泄露、附带伤害和连锁反应等一系列问题,甚至破坏第三方国家的网络秩序。偏离目标的网络武器在失控条件下能快速扩散,影响国家关键基础设施,造成更大范围的灾难。
俄乌、巴以冲突是全球互联网空间总体战、混合战的前奏和缩影。平时“人人喊打”的黑客组织在战争中被政府呼吁到前方出力,“摇身一变”成为支援常规作战的有生力量。未来,黑客组织这一可被争取的社会资源有望成为“秘密武器”,成为大国互联网空间冲突的“代理人”。互联网空间越分裂,各类黑客组织越容易找到生存空间,在国际局势动荡波折的宏观趋势下,政治化民间黑客组织将大量出现,黑客行为主义疯狂反扑,或将对我国捍卫国家互联网空间主权、安全,拓展互联网空间利益构成严峻挑战。结合上述分析给出如下建议:
一是加强社会力量运用的顶层设计,贯彻互联网空间发展的策略方针,汇聚互联网空间社会力量,统筹国家互联网空间资源,实现对黑客攻击的主动治理和积极引导,形成统一联合的攻防合力,共同塑造国家安全新态势。
二是建立联合指挥协调平台,采用暗网、区块链等技术实现匿名访问,具备任务分发、技术分享、教程制作和多级管控等功能,打造“红客—白客—黑客”共同参与的强内聚型任务组织。
三是利用赏金计划等激励模式,鼓舞黑客和专业方面技术人员临时受命,积极挖掘漏洞、分析情报和产出工具,支撑互联网空间战略意图的实现。
四是广纳英才塑造团队,发掘互联网空间安全领域的人才,出台特殊政策,打通资源对接渠道,为其提供用武之地。
五是提前布局掌握先机,建立全球网络社会力量监视引导体系,尽快摸清支持潜在对手的全球黑客组织的分布、规模和水平,先机筹措,形成对抗能力。
六是出台法律和法规,提供法律保障体系,充分运用机制手段规范和保护爱国网络行动,积极推动社会力量的健康有序发展,加大资产金额的投入力度,助力构建多元力量融合的现代网络对抗体系。
引用格式:伍淼 , 陈剑锋 . 两场局部冲突中黑客群落行为与动因研究 [J]. 信息安全与通信保密 ,2024(5):34-41.
选自《信息安全与通信保密》2024年第5期(为便于排版,已省去原文参考文献)
