俄军网络行动为何没能在俄乌战场产生更大的战略效果

知远战略与防务研究所 五月雪/编译

自：美国卡内基国际和平研究院2022年12月

【知远导读】本文编译自美国卡内基国际和平研究院网站2022年12月16日发布报告：《俄罗斯在乌克兰的战时网络行动：军事效果、影响力和启示》。作者乔恩·贝特曼是该研究院技术和国际事务项目的高级研究员。在俄乌战争网络冲突的背景下，本文研究了俄罗斯在乌克兰的战时网络行动的军事效力，具体分析了俄在乌网络火力与动能火力之间的协调程度以及情报收集的效用；俄罗斯的网络行动在乌克兰并未产生更大战略效果的原因，文章按照重要性程度列举了25个因素；最后，文章对适用于其他国家和地区（重点关注美国和台湾地区）军事网络活动的经验教训提出了见解和建议。

报告全文约4.5万字，推送部分为节选。需要阅读完整版本的读者可直接访问知远外军防务开源情报数据库（http://www./）或与客服联系。

大多数西方观察家都认同，此次俄乌战争中，俄罗斯的网络行动在乌克兰战场并未产生太大的战略效果，但对其原因却并无太多共识。一些人举例称俄罗斯缺乏网络能力或有所保留，而另一些人则指出乌克兰及其盟友所做的防御性努力。无论是关注这场特定战争的环境，还是网络空间通常在战争中所起的作用，分析师的看法也各不相同。美国负责网络和新兴技术的副国家安全顾问安妮·纽伯格（Anne Neuberger）在7月承认：“对于我们所看到的情况，以及那些没有看到的，有很多理论。”比方说，俄罗斯黑客为何没能对乌克兰的通信和电力系统造成更大的破坏？她表示，在情报和网络政策领域，这是美国正在密切关注的。¹

以下是乌克兰和西方官员、机构和评论员做出的对25个不同相关因素的研讨（篇幅所限，公众号内容仅推送其中12项），其中包括出自于本文分析的一些因素。每个拟议因素的重要性暂定为高、中、低（总结见表1）。这反映了对证据的一种合理解释。

单独来看，这些评估值得商榷。总的来说，他们揭示了许多因素可能在同时起作用。尽管一些分析师认为，一两个特定因素发挥了决定性作用，但这似乎值得怀疑。更有可能的是，若干因素的逆转——即使是一两个具有高度重要性的因素——也不足以显著提高俄罗斯网络行动的总体军事效用。换言之，俄罗斯在乌克兰的网络作战效果不明显似乎是多因素综合决定的。

表1. 阻碍俄罗斯在乌克兰网络成效的因素

俄罗斯的计划、组织和学说

因素1：俄罗斯具有意识形态的国家安全机构使得网络情报收集在军事决策中不那么有用。

中等重要性。如果莫斯科在战争之前有一个能胜任的和坦诚的战略决策过程，那么关于乌克兰军政局势的网络情报可能对俄罗斯制定最初的战争计划（包括普京关于是否开战的关键决定）很有价值。我们不知道俄罗斯的网络行为体在战前获得了何种情报。可以说，人力和公开消息来源将提供更多有关乌克兰战略局势的信息，尽管网络情报可以用来帮助确认这些信息。无论如何，我们确实知道俄罗斯严重低估了乌克兰的军事和政治后劲。这表明，相关的网络情报（如果确实存在的话）被莫斯科的情报分析师和决策者忽视或低估。

因素2：俄罗斯划分了其入侵计划，导致网络操作员无法做好准备。

以及

因素3：俄罗斯预计将会在不需要大规模网络行动的情况下迅速取得军事胜利。

低级重要性。俄罗斯网络火力的数/质量实际上在入侵前后的几天即刻达到了顶峰，当时莫斯科发动了Viasat黑客攻击事件和大量的破坏性攻击。随后，俄罗斯网络火力的数量、新颖程度和效果都有所下降。如果预先规划（advanced planning）是俄罗斯的关键限制因素，那么人们会期望相反的模式，因为俄罗斯的网络操作员将逐渐适应战时条件，并开始认真地计划和执行行动。事实上，迄今为止，乌克兰高级网络官员维克托·兹霍拉在其4月份的预测中证明了他的先见之明，即俄罗斯的进攻性网络行动“很可能已达到了其全部潜力”，不会再进一步“扩大”。²在战争发起9个月后，几乎没有理由认为俄罗斯仍需要更多时间来加强其网络行动。虽然更好的初始计划可能会使俄罗斯早期的网络火力比过去更有效，但这些行动的总体性质——试图在大范围内中断政府和民用通信和系统——在很大程度上是人们基于俄罗斯的学说和一般军事原则所期望的。   

因素4：俄罗斯在诸兵种合成作战中处于全面劣势。

中等重要性。俄军一直在竭力以许多不同的方式同步其活动——跨作战领域、军种、地理区域和职能领域——这些劣势严重阻碍了莫斯科的总体战争努力。当一支军队存在如此多严重失效的协调时，包括在共存了几十年的军事角色之间，引入像网络这样新近推出的、不太成熟的能力，不可避免地会带来巨大的协调挑战。与动能部队更好的协调可能会增强俄罗斯战时网络作战的军事效用。然而，这种效应的规模尚不清楚。

一方面，当莫斯科的网络行动与动能行动最紧密结合时，其似乎具有最大的战略效果。在战争的最初几天，两者的成绩都达到了顶峰。当时，莫斯科实施了已知最具军事意义的网络行动（Viasat黑客事件），以及其最大规模的破坏性网络行动，以配合地面和空中行动。另一方面，俄罗斯早期的网络成功不仅取决于网络-动能协调，还取决于其最初的大量预先计划的网络火力储备。在接下来的几周里，莫斯科的网络火力急剧下降，因为俄罗斯黑客被证明无法保持如此高的作战节奏。一旦俄罗斯的网络火力减缓到涓涓细流（相对于战争规模而言），与动能行动协调的好处也将会随之下降。对于俄罗斯战区指挥官来说，改善网络－动能协调看起来可能不是一个明智的优先事项。

因素5：俄罗斯的网络力量在组织上孤立于作战部队。

以及

因素6：俄罗斯的网络学说强调情报、颠覆和心理战，而不是作战一体化。

中等重要性。在乌克兰战争中，GRU一直是俄罗斯网络火力的主要提供者。³微软在（2022年）12月表示，所有“为支持俄罗斯战争努力而对乌克兰目标进行破坏性攻击的责任”都应由GRU相关行为体来承担。⁴虽然是军队的一部分，但GRU是一个专门从事情报和颠覆的国家级部门；它不是为在大规模战斗条件下与正规军紧密结合而设计的。这可能有助于解释为什么GRU成功地执行了一次战略性网络军事行动（Viasat和早期的擦除事件），以配合最初的战事，但随后未能表现出与俄罗斯地面部队的战术协调。然而，俄罗斯的网络情报收集行动——大概是GRU的强项——似乎并不比它的网络火力更有影响力。特别是，公开证据表明，网络行动对影响力活动提供了令人惊讶的微弱支持，后者是GRU反复爱讲的话题。所有这些都表明，学说并不是故事的全部。

俄罗斯的网络能力和容量

因素7：俄罗斯网络力量规模太小，无法为全面战争做出有意义的贡献。

高度重要性。为了在莫斯科的战争努力中发挥重大作用，俄罗斯的网络行动将需要扩大规模，以适应战争本身的规模。充其量，这只在战争的最初几周内实现。然而，总体而言，俄罗斯的网络行动几乎没有显示出莫斯科在乌克兰的军事野心和高强度作战行动的庞大规模。

回顾一下，莫斯科派出了超过15万军队来征服整个乌克兰——这个拥有4400万人口的国家是欧洲最大的陆地地区之一。俄罗斯在多条轴线上同时发动攻势，并对乌克兰所有地区的目标发起了防区外打击——最终有数千个目标。最终，莫斯科缩减了其军事任务，以便将重点放在乌克兰东部。即便如此，这场战争的规模仍然很大，网络行动需要非常频繁或非常有效（或者两者兼而有之），才能产生显著的影响。然而，俄罗斯已知的重大网络火力仅涉及几十次数据删除操作和两次失败的工业控制系统中断。在这些事件中，Viasat黑客攻击是唯一一个有公开证据表明产生更加可信的军事效果的案例。总而言之，根据和平时期和灰色地带的标准，莫斯科的网络攻击是前所未有的，但与乌克兰的战争相比规模较小。

目前尚不清楚莫斯科是否在入侵之前或之后采取了措施来壮大其网络力量。俄罗斯庞大而强大的网络生态系统并没有像许多人预期的那样明显地参与这场战争。长期以来，俄罗斯政府一直容忍并拉拢网络黑客，这导致分析师预计，他们将在危机或战争期间作为辅助力量被激活。尽管一些所谓的俄罗斯犯罪组织和黑客团体以乌克兰为目标，特别是XakNet进行了几次值得注意的行动，但大部分黑客都是低级别的拒绝服务。⁵俄罗斯主要勒索软件团伙的公开活动主要集中在非乌克兰目标上。⁶然而，俄罗斯黑客可能以难以察觉的方式提供援助。

因素8：俄罗斯在恢复曾经使用过的网络能力方面进展缓慢。

高度重要性。如果俄罗斯网络力量以某种方式设法保持战争开始时的重大行动的历史节奏，那么随着时间的推移，它们很可能会产生战略效果。但在战争的前几周，俄罗斯遭遇了网络火力数/质量急剧下降的情况。新型wipers擦除软件的减少，以及俄罗斯黑客的相关战术转变，表明技术资源的储备有限。

因素9：俄罗斯选择不将其全部网络能力集中于乌克兰。

中等重要性。从战争开始到10月（当时GRU对物流和运输公司——乌克兰的两家和波兰的一家——进行了勒索软件攻击），俄罗斯政府一直避免对乌克兰的西方盟友进行重大的破坏性或干扰性网络攻击。⁷即便如此，莫斯科继续在全球范围内进行大规模网络间谍活动和其他网络渗透。从西方政府和网络安全公司的大量报告判断，自战争开始以来，俄罗斯针对西方目标的网络行动要么保持稳定，要么有所加强。虽然GRU在俄罗斯的乌克兰网络行动中发挥了领导作用，但莫斯科其他具有网络能力的机构（如对外情报局【Foreign Intelligence Service，简称SVR】）主要聚焦于其他地方。⁸

微软发布的统计数据显示，俄罗斯人的注意力存在分歧。该公司报告称，“在2月下旬至6月期间，俄罗斯针对已知目标的威胁活动中，64%是指向乌克兰组织运营的网络。”⁹诚然，这种集中程度明显反映了俄罗斯新的战时优先事项；维克托·兹霍拉表示，莫斯科对乌克兰的网络行动比战前基线增加了两倍。¹⁰但微软的数字也意味着，俄罗斯超过1/3的此类网络活动仍集中在乌克兰境外。该公司单独统计了俄罗斯试图在微软运营的在线服务（如Office 365）上入侵客户账户的企图。令人惊讶的是，只有2%的活动针对乌克兰。尽管乌克兰人在这些服务的用户基数中占了很小的一部分，但人们可能仍然认为俄罗斯网络行为体会以更大的强度针对这些乌克兰人。¹¹

从俄罗斯的角度来看，这种网络资源分配的智慧值得商榷。一方面，普京认为乌克兰战争事关存亡，暗示这场战争应该掌管所有可用资源。另一方面，在乌克兰境外，这场战争给莫斯科带来了许多新的国家安全挑战。除了支持作战行动外，俄罗斯网络行为体还必须监测和压制国内的异见，收集基辅西方盟友的情报，设法阻止他们进一步的干预，并试图获得现在通过出口管制和制裁拒绝向俄罗斯提供的技术。¹²无论其理由或价值如何，俄罗斯维持甚至扩大其全球网络目标清单的决定，降低了在乌克兰可用的网络容量。

也就是说，不同的资源分配可能不会导致截然不同的结果。例如，即使俄罗斯将现有针对乌克兰的网络行动增加一倍或两倍，它可能仍不足以对战争产生实质性影响。

因素10：俄罗斯因需要保护自己的网络免受外国网络攻击而分心。

低级重要性。有少量证据表明，俄罗斯进攻性网络行为体已将其部分注意力转移到对抗针对俄罗斯的网络威胁上，例如，试图攻击正在入侵俄罗斯网络的乌克兰“IT军团”。¹³然而，总的来说，俄罗斯用于进攻和防御目的的人员、部队和能力之间的重叠可能是有限的。

俄罗斯的克制

因素11：俄罗斯军队保留了乌克兰的系统，以用于通信或情报收集。

低级重要性。在战争的各个阶段，俄罗斯的网络火力已瞄准了乌克兰电信系统和配套的关键基础设施，从Viasat和Uktelecom的中断再到多次试图中断电力。尽管俄军确实依靠乌克兰的基础设施（如手机服务）来进行沟通和收集情报，但他们未采取任何明显的行动来避免对电信网络和配套基础设施的动能打击，这些网络和基础设施在全国各地都遭受了严重破坏，并需要乌克兰工人的持续维修。¹⁴乌克兰的数据中心和广播塔也成为了俄精确打击故意瞄准的目标。¹⁵所有这一切都表明——至少，在战争的大部分时间里——莫斯科没有制定有效、集中的计划来挽救乌克兰的通信网络，以供俄罗斯自身的战时使用。

因素12：俄罗斯军队保留了乌克兰的基础设施，以促进最终占领。

低级重要性。俄罗斯在许多地区部署了大规模轰炸和围攻战术。在俄罗斯控制的一些地区，如马里乌波尔，恢复电力、通信和医疗等基本服务的努力微乎其微。这表明，为了最终控制乌克兰，莫斯科并不关心保护乌克兰的基础设施，至少在该国大部分地区是这样的。

随着战争的发展，俄罗斯可能在改变其主意之前就已经初步为网络限制制定了计划。如果是这样，人们预计，随着时间的推移，俄罗斯对乌克兰关键基础设施的网络火力将在数量和严重程度上有所增加。然而，俄罗斯的网络攻击通常在直接入侵随后的几天和几周内达到顶峰，这意味着容量而非意图一直是主要的限制因素。一个可能的反例是俄罗斯对工业控制系统的网络火力攻击直到4月和7月才发生。7月攻击的准备工作显然在2月之前就已开始，这表明俄罗斯至少在战争一开始就寻求开发工业控制系统攻击的选项。

【1】“Fireside Chat on Cyber, Crypto, and Quantum With Anne Neuberger,” Aspen Institute, July 20, 2022, https://www./watch?v=wVtoQ2M8KRw.

【2】Catherine Stupp, “Russian Cyber Capabilities Have 'Reached Their Full Potential,’ Ukrainian Official Says,” Wall Street Journal, April 27, 2022, https://www./livecoverage/russia-ukraine-latestnews-2022-04-27/card/russian-cyber-capabilities-have-reached-their-full-potential-ukrainian-official-says-QyH0VEv08BLEI9iPmdlM.

【3】“Defending Ukraine: Early Lessons From the Cyber War,” Microsoft, June 22, 2022, https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE50KOK; and “Microsoft Digital Defense Report 2022,” Microsoft, November 4, 2022, https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5bUvv.

【4】Clint Watts, “Preparing for a Russian Cyber Offensive Against Ukraine This Winter,” Microsoft, December 3, 2022, https://blogs.microsoft.com/on-the-issues/2022/12/03/preparing-russian-cyber-offensive-ukraine/.

【5】“Timeline,” CyberPeace Institute, accessed November 13, 2022, https://cyberconflicts./threats/timeline.

【6】Valentin Weber, “Financial Incentives May Explain the Perceived Lack of Ransomware in Russia’s Latest Assault on Ukraine,” Council on Foreign Relations, July 26, 2022, https://www./blog/financial-incentives-may-explain-perceived-lack-ransomware-russias-latest-assault-ukraine;and James Pearson and Raphael Satter, “Analysis: Russian Ransomware Attacks on Ukraine Muted by Leaks, Insurance Woes,” Reuters, March 1, 2022, https://www./technology/russian-ransomware-attacks-ukraine-muted-by-leaks-insurance-woes-2022-03-01/.

【7】Clint Watts, “Preparing for a Russian Cyber Offensive Against Ukraine This Winter,” Microsoft, December 3, 2022, https://blogs.microsoft.com/on-the-issues/2022/12/03/preparing-russian-cyber-offensive-ukraine/.

【8】Sean Lyngaas, “Russian Hackers Behind SolarWinds Breach Continue to Scour US and European Organizations for Intel, Researchers Say,” CNN, July 19, 2022, https://www./2022/07/19/ politics/russia-solarwinds-hackers.

【9】“Microsoft Digital Defense Report 2022,” Microsoft, November 4, 2022, https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5bUvv.

【10】“Viktor Zhora,” Digital Peace Now, June 22, 2022, https:///stillvulnerable-viktor-zhora/;and Brandon Vigliarolo, “Ukraine’s Cyber Chief Comes to Black Hat in Surprise Visit,” The Register, August 13, 2022, https://www./2022/08/13/in_brief_security_black_hat/.

【11】“Number of Office 365 Company Users Worldwide as of June 2022, by Leading Country,” Statista, 2022, https://www./statistics/983321/worldwide-office-365-user-numbers-by-country/.

【12】Alexander Martin, “Fears Grow of Russian Spies Turning to Industrial Espionage,” The Record, September 14, 2022, https://dia/fears-grow-of-russian-spies-turning-to-industrial-espionage/.

【13】Sean Lyngaas, “Russian Hackers Behind SolarWinds Breach Continue to Scour US and European Organizations for Intel, Researchers Say,” CNN, July 19, 2022, https://www./2022/07/19/politics/ russia-solarwinds-hackers.

【14】Thomas Brewster, “Ukraine’s Engineers Battle to Keep the Internet Running While Russian Bombs Fall Around Them,” Forbes, March 22, 2022, https://www./sites/thomasbrewster/2022/03/22/ while-russians-bombs-fall-around-them-ukraines-engineers-battle-to-keep-the-internet-running/.

【15】Catherine Stupp, “Ukraine Has Begun Moving Sensitive Data Outside Its Borders,” Wall Street Journal, June 14, 2022, https://www./articles/ukraine-has-begun-moving-sensitive-data-outside-its-borders-11655199002; and “Defending Ukraine: Early Lessons From the Cyber War,” Microsoft, June 22, 2022, https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE50KOK.

（平台编辑：黄潇潇）