乌克兰核电站遭到物理/网络协同攻击？微软报告遭众多网络专家质疑

CyberScoop报道称，微软总裁布拉德史密斯最近大部分时间都在华盛顿各地宣传他的公司关于俄罗斯-乌克兰战争中网络战现状和虚假信息的全面报告。 他与《华盛顿邮报》外交事务专栏作家大卫·伊格内修斯就其调查结果进行网络直播。之后，他前往里根研究所的自由与民主中心就这份名为《保卫乌克兰：网络战争的早期教训》的27页报告发表了20分钟的演讲，随后他加入了参议员安格斯·金 (I-ME)小组讨论会。纽约时报、CNN、华盛顿邮报、NPR 和其他媒体报道这项研究是对乌克兰战争中原本不透明和令人困惑的数字战线的准确而有启发性的观察。

然而，在报告浮出水面后不久，领先的网络安全专家和外交政策学者开始提出严重的问题和担忧。他们对文件的许多关键点表示怀疑——即关于对核电站进行物理和网络攻击的说法——他们抱怨微软试图描述乌克兰网络冲突的状态以促进其商业利益。

网络安全学者、约翰霍普金斯大学高级国际研究学院教授托马斯·里德说：“微软是这个领域在这个星球上最具影响力的公司之一，[并且]微软有责任做到这一点。” “如果你发布这类信息，你必须以一种清醒的方式，以一种以事实为依据的方式，以一种使用专业估计语言的方式来发布。”

总的来说，CyberScoop与十几位著名的网络安全威胁分析师、高管、军事网络从业人员和学者进行了交谈讨论，他们都批评微软发布的报告既没有包含技术基础，也没有支持其观点的证据。他们说，更重要的是，它不符合即使是大多数科技公司在制作关于民族国家或犯罪网络威胁活动的类似报告时也遵守的学术研究的基本标准。 

小证据，大结论

“来源引用很少，甚至不存在，”兰德公司的虚假信息研究员和高级社会科学家克里斯托弗保罗说。他说，“在文本中存在一些指向特定来源和其他报道的链接，第一个实际参考是8 年代报纸页面副本的数字来源”。保罗还指出，该报告向微软自己的AI for Good Research Lab提供了许多数据和表格，该实验室被微软称为专注于人工智能和机器学习的“数据科学家和研究人员的慈善团队”，但没有提供足够的详细信息。  

作为全球最大的科技公司之一，微软确实对在乌克兰进行的网络攻击拥有独特的洞察力，并且就此而言，在世界大部分地区都如此。由于其网络的覆盖范围和规模，它还经常与美国政府合作开展网络安全业务。理所当然地，它将定位于了解乌克兰网络冲突的性质，并帮助告知公众、政策制定者和该领域的专家。 

同样，CyberScoop和许多其他出版物定期报道有关网络活动和民族国家特工的行业报告。但在这种情况下，专家表示，微软强大的全球市场地位、将自己定位为抵御俄罗斯网络攻击的堡垒所带来的潜在商业利益以及乌克兰极其微妙的局势，使得该报告的大胆主张和缺乏数据令人担忧。 

可以肯定的是，关于乌克兰网络战的轮廓以及俄罗斯在其残酷战役中使用网络手段的所有方式，仍有很多未知之处。但许多批评者对该报告提出质疑，因为他们认为微软的报告夸大了俄罗斯协调网络和物理战的程度，并认为它将俄罗斯在乌克兰的行动描述为过于复杂。

在给CyberScoop的一份声明中，微软发言人为该报告辩护，并对批评者的描述提出异议，称该公司希望接触更广泛的受众，这些受众可能并不精通网络攻击的技术性质。 

发言人说：“网络安全问题在整个数字环境中普遍存在，超出了安全社区，延伸到了关键受众，包括政策制定者和其他并不总是沉浸在技术细节中的人。” “我们支持我们的报告及其调查结果，并欢迎与安全界内外的其他人进行持续对话，因为我们共同努力，为保卫乌克兰和保护网络安全生态系统尽自己的一份力量。” 

涉嫌核电站攻击的问题

许多专家的主要反对意见涉及微软对乌克兰核电厂的明显攻击的未经证实的说法，据称该攻击将物理攻击与网络攻击相结合。 

报告（第7页）称，“俄罗斯军方在3月初联合网络和常规武器攻击核电站”，并指出一个俄罗斯组织于3月2日在核电公司的计算机网络上横向移动，然后于3月3日发动军事攻击。

CyberScoop采访的十几位专家中的大多数人都认为这种说法存在严重问题。托马斯·里德指出，虽然微软最初暗示俄罗斯人使用网络从核电站收集情报，但在接下来的句子中，该报告似乎在对冲，称备受推崇的微软威胁情报中心 (MSTIC) “确定了一个俄罗斯组织在核电公司的计算机网络内横向移动。”

“这个[声明]充满了假设，”托马斯·里德说，他写了大量关于俄罗斯情报的文章，并表示将重点从工厂本身转移到更大的公司是误导性的。“第一句话没有第二句话支持。”

他还指出，虽然报告称该工厂的网络事件为“武器”，但对俄罗斯组织“横向移动”的描述并不符合武器的条件。

托马斯·里德说，尽管他对微软关于乌克兰的报告有看法，但通常来自MSTIC 的工作都是高水准的，并且没有企业营销或哗众取宠的光彩。“我对MSTIC以及他们一直在做的取证和调查工作表示最崇高的敬意——奇怪的是，这份报告并没有反映他们的工作质量和水准，”他说。

另一位著名的网络安全专家胡安·安德烈斯·格雷罗-萨德也表示，核电站轶事似乎高估了俄罗斯军方目前的战略能力。

SentinelOne的首席威胁研究员和SAIS的兼职教授格雷罗-萨德说：“提出俄罗斯军队的现实是一个包括不同情报部门和动能部队之间有组织的协调，这是非常有吸引力的。” “它构建了一个我们还没有看到的强大熊的视图。”

（SentinelOne是Microsoft Defender for Endpoint 的竞争对手，后者是一个有助于防御高级持续性威胁的安全平台）。

了解利害关系

格雷罗-萨德 说，由于乌克兰目前的局势及其引发的政策问题，比以往任何时候都更重要的是弄清实地或数字领域可能发生或可能不会发生的事情。  

“在有人建议将网络作为国际刑事法院应考虑作为战争罪调查一部分的领域时，研究团队和技术输出应尽可能保持客观和严谨，”他说。

核电站的故事也引起了一位高级国防官员的注意。

“就网络攻击而言，从战略上讲，这是俄罗斯人不想做的事情，”海军研究生院国防分析部主任、《网络战争与网络现实：国际网络冲突》一书的作者瑞安·马内斯 (Ryan Maness)，”在电子邮件中说。“他们希望工厂完好无损，以获得针对乌克兰的战略能源优势（敲诈、胁迫），因此他们希望它能够正常运转。工厂周围的枪击事件是不负责任的。但据我所知，并没有威胁到反应堆。”

他说，微软正在提出“对战争网络形势的非常不完整的评估”。

像其他接受CyberScoop采访的人一样，Maness表示，这份报告给了俄罗斯人太多的信心。

该文件的许多最直言不讳的批评者表示，如此规模的报告不应被解读为微软的营销宣传，而应更多地依赖攻击入侵指标和清醒的技术分析。相反，格雷罗-萨德说，这份报告似乎是“试图进行技术研究并将其变成一个奇怪的游说机会。”

格雷罗-萨德还表示，该报告总是提出有问题的说法。例如，该报告在没有证据支持这些联系的情况下，将特定的网络威胁与个别俄罗斯情报机构联系起来。具体来说，该报告将各种网络钓鱼、数据盗窃和擦除攻击归咎于三个不同的俄罗斯情报机构，但没有解释它是如何做出每种归属的。他说，即使是最优秀的威胁分析师也很难建立这种联系。

在2019年之前一直担任中央情报局俄罗斯分析师、现在经营研究和分析公司 Activesmeasures的迈克尔·范·兰丁厄姆（Michael van Landingham）也表示，该报告缺乏数据破坏了其调查结果。例如，他说，目前尚不清楚微软是如何确定俄罗斯针对乌克兰的网络入侵企图中只有29%成功的。

“作为微软，你用你的数据捕捉到的俄罗斯网络活动的范围是什么，或者你正在测量什么，你可能遗漏了什么？” 他说。“我希望看到更多关于微软可以看到什么和他们看不到什么的讨论，以及这如何影响他们对阻止入侵的判断的信心水平，以及打破威胁情报团队或作者对这些入侵的广泛看法是为了。”

他说，总体而言，他担心该报告的概括性给非技术性受众留下的问题多于答案。

“当你为更广泛的受众写作时，所有这些东西都会被归入大网络！”他说。“但是 CYBER的问题！是 [现实] 显然要微妙得多，而不是CYBER保护伞下的一切！在武装冲突中产生的影响与作者或通才读者可能预期的一样。”

参考资源 

1、https://www.cyberscoop.com/cybersecurity-experts-question-microsofts-ukraine-report/

2、https://www.documentcloud.org/documents/22076854-microsoft_defending-ukraine_early-lessons-from-the-cyber-war

文章来源：网空闲话