不要忽略了印巴衝突中的網絡戰

　　今年5月，印度與巴基斯坦突發衝突，媒體與社會大多關心令人炫目的空戰場面。然而，無硝煙的網絡戰場其實不比空戰來得次要，甚至可以說，這比有硝煙的傳統地面與空中戰場更具挑戰性、更具風險性。

 

　　先說採取網絡作戰行動的組織。根據網絡安全監控網頁cyberknow顯示 ，至少有71個網絡攻擊組織高度參與兩國的網絡間諜或攻擊行動，其中大概有18個組織被認為屬於或者傾向支持印度，例如Bitter、Patchwork、SideWinder等APT組織（Advanced Persistent Threat，縮寫：APT，是指官方或民間的黑客所採取的隱匿而持久的電腦入侵過程），另外有53個組織支持巴基斯坦，例如APT36、SideCopy等APT組織。除了國家支持的APT力量之外，雙方還有大量背景模糊的非國家組織或個人活躍於網絡空間，包括本國的愛國黑客、網絡僱傭軍和國際黑客組織等。這些群體或個人既可能是出於自發而行動，也可能是在國家默許或外判的支持下，對敵方網絡展開攻擊。

 

這次印度與巴基斯坦的衝突，還牽涉網絡上的黑客大戰。(Shutterstock)

 

　　再說網絡作戰行動的目標和方式。綜合第三方網路監控信息平台和外方媒體的報道，大致來說，網絡戰的目的和方式、技術可以分為以下三大類：

 

　　一是運用網絡攻擊技術，阻斷和癱瘓敵方重要的網絡基礎設施，削弱對手戰時行動能力和通訊。同時阻礙敵方政府、軍方和民間重要機構企業的信息傳播，造成政府決策失效和混亂，並對民眾造成一定程度的恐慌。

 

針對印度方面的例子：

 

　　5月7日至8日，疑似親巴基斯坦的黑客組織Vulture和GARUDA ERROR SYSTEM，宣布對印度最重要的政府網站發動「分散式阻斷服務攻擊」（也就是所謂的DDoS）。這些黑客組織聲稱攻擊目標包括總理辦公室、總統辦公室、內政部、國防部、外交部、衛生部和幾個執法單位的網站。不過，經過第三方的網絡驗證評估，受攻擊的網站運行基本正常，即使出現斷網down機，大約不超過5分鐘。

 

針對巴基斯坦方面的例子：

 

　　4月25日9時18分，巴基斯坦政府商務部網站(www.commerce.gov.pk)遭受疑似親印度的黑客以DDoS攻擊，攻擊使用DNS反射放大技術（利用UPN網絡協議或者屬性的弱點，以發起和放大DDoS網路阻斷攻擊的技術），持續1小時3分25秒。

 

　　4月26日10時26分，巴基斯坦緊急服務部網(www.rescue.gov.pk)突遭DDoS攻擊，攻擊者採用NTP反射放大技術（原理大致同上），攻擊持續48分19秒。該網站服務範圍覆蓋巴基斯坦幾乎所有地區，承擔災害救援、醫療急救等關鍵職能。此次攻擊一旦導致服務中斷，將嚴重影響民眾緊急求助、災害預警發布及救援力量調度，肯定造成民眾恐慌。

 

 DDoS攻擊能癱瘓對方網站運作 (Shutterstock)

 

　　二是通過網絡科技手段，從敵方網絡上進行對軍事、政治、科技等核心情報的收集工作，為實施軍事行動提供重要的情報信息支持。甚至採取更先進的網絡科技，對敵人的武器裝備採取遠程干擾和控制。

 

　　先說竊取核心情報。這些網絡情報蒐集行動通常以假的貌似重要文檔作為誘餌，發送電郵給敵方軍政機構的工作人員，誘使他們打開文檔，觸發藏在文檔裏面的惡意軟件，例如大名鼎鼎的木馬程式便是，從而竊取存檔在這些軍政機構關鍵部門電腦系統裏面的保密信息情報。在網絡戰背景下，此類竊密行為具有極高戰略價值，通過獲取核心情報，攻擊方能夠藉此及時掌握對手的作戰意圖、兵力部署和調度，達到知彼知己。

 

　　舉個已經確鑿識別為真確的例子：一個名為TransparentTribe（又叫APT36）的APT組織，立場是親巴基斯坦的，在印巴衝突期間，它通過網絡電郵，向印度政府和軍方單位發放一款名為Preventive Measures in View of Operation Sindoor and Emerging Security Scenario.ppam的加載巨集文件，當接收者打開這份作為誘餌的巨集文件之後，藏於其中的CrimsonRAT遠程木馬惡意程式會自動執行安裝，繼而對作為目標主機的各個印度政府部門及軍方單位電腦設施進行遠程控制，最後成功竊取各類敏感數據和機密情報。

 

　　讀者可能覺得奇怪，為甚麼接收方印度的軍政人員會這麼輕易就打開一個電郵附件檔案？其中一個重要原因，就是這些附件檔案往往對症下藥地命名，讓目標接收者誤以為是來自己方的重要文件。例如在這個巨集文件的檔案名稱中，有「Operation Sindoor（辛多爾行動）」一詞，這是印度為報復武裝分子在克什米爾襲擊印度人的反擊行動代號。

 

　　再說干擾敵方的設備。5⽉7⽇，印度空軍、陸軍和海軍部署的超過1000個監控攝像頭，被巴基斯坦網絡部隊侵入並控制。監控攝像頭作為軍事安全防護體系的關鍵基礎設施，被攻破後會造成嚴重的安全威脅。軍事基地的實時影像和動態暴露在敵方視野中，破壞了部署在該地的印度軍隊隱蔽性，增加巴方攻擊的精準度。另外，筆者認為（不是這個例子中的真實情況），如果加上Deepfake技術，把監控攝像頭所拍攝的影像視頻置換成假的fake內容，則可進一步誤導甚至誘導敵方作出不利的錯誤決策。

 

黑客透過木馬程式，能遠程控制對方的系統。(Shutterstock)

 

　　三是通過網絡科技和網上社交平台，發起針對對手的網絡輿論戰，大量發布和傳播對於己方有利的戰時消息，甚至通過虛假信息來擊潰對方軍隊的士氣。這方面的網絡（輿論）戰媒體報道很多，筆者不再贅言。

 

　　雖然網絡戰似乎能帶來相當大的軍事效能，但同時具有傳統作戰所沒有的兩大風險：

 

　　第一，難以統一指揮的風險。戰爭，從古到今都是國家行為，必須由國家領導的軍事指揮部門統一指揮，才能保證所有軍事行動能依照指揮部的指令來進行。不是說前線官兵不能相機行事，不是說上級不能授權下級行動，而是這些授權和隨機應變最終都必須服從於最高統帥部的作戰目標和戰略意圖。最高層說戰，就戰；說停，就必須停，所有軍事單位必須服從最高統帥的命令，用內地說法：「指哪打哪」（意思是，最高統帥命令打哪裏，執行的軍事單位就必須往哪裏打）。但是，網絡戰卻不是由國家軍事指揮部門統一指揮的行動，而是同時由屬於國家軍事部門的網軍，再加上民間黑客組織共同構成。甚至就算是民間黑客組織，也不一定是自己國家的國民，肯定存在大量的國際黑客組織。換言之，網絡戰注定有一批參戰者是游離於統一指揮之外，那麼國家軍方對於網絡戰的效果和影像範圍則既不能完全掌握，甚至不能準確辨識。國家和軍方想停止作戰行動，但民間黑客們未必願意配合服從，可能繼續進行他們自以為「正當」的網絡戰，繼續攻擊敵方政府機構、軍事單位和民間重要設施。這就讓戰爭的發展存在很大的變數和失控風險。

 

　　第二，難以區分戰場和後方。自從朝鮮戰爭以來，國際上的軍事衝突，打底確立了「局部戰爭 / 有先戰爭」的模式，即是在大國之間，尤其核大國之間，避免把戰爭擴大成為「全面戰爭」——全面針對對方整個國土和人民的戰爭，這就無分前後方了，反正打到其中一方國破家亡為止。但「局部戰爭 / 有先戰爭」則雙方存在默契，把交戰區域局限在某個範圍之內，在這個範圍之外就避免戰爭行為和作戰行動。因此，戰區和後方還是涇渭分明的，戰爭對後方的破壞是非常有限的。但存在欠缺統一指揮的網絡戰就不同了，雙方網絡參戰者（網絡部隊、APT或者黑客組織）既攻擊對方的軍事網絡，也攻擊政府網絡和民間重要基礎設施，那麼就無所分前方後方了。假設一種情況，巴基斯坦的政府救援網站被親印度的黑客攻破了（見上文），恰好巴國發生大地震，因為救援網站被癱瘓了，巴國政府軍方和救援單位根本無法組織救援行動，災區出現大量傷亡，民怨自然沸騰，由此帶來的政治後果就一發不可收拾了。

 

 網絡戰必定有參戰者不受統一指揮，令戰爭發展存在很大變數和失控風險。(Shutterstock)

 

　　這次印巴衝突雖然時間很短，但雙方交戰行動所包含的內容異常豐富，既有常規作戰的空戰，也有高新科技的網絡戰，非常值得總結學習。全球和台海局勢波譎雲詭，天知道未來會否爆發衝突。如果真的爆發，能夠為將來網絡戰提供實戰個案經驗的，就是這次衝突了。

 

 《經濟通》所刊的署名及／或不署名文章，相關內容屬作者個人意見，並不代表《經濟通》立場，《經濟通》所扮演的角色是提供一個自由言論平台。

• 

送禮活動浪接浪！想緊貼著數活動消息？即Like etnet Facebook專頁！► 立即讚好