在俄乌冲突爆发前几周,美国向乌克兰派遣了特工人员,以保护基辅的关键网络并更多地了解克里姆林宫的黑客。负责这些防御性网络任务的人是 William J. Hartman少将。
William J. Hartman少将在罗德岛大学的一次研讨会上发表讲话
在接受 Recorded Future News 的播客Click Here采访时,Hartman少将表示,美国与乌克兰等外国合作伙伴之间的合作对于遏制俄罗斯的网络行动至关重要。
上周,微软发布了有关自战争开始以来乌克兰遭受的一系列网络攻击的新细节,并表示一个新的APT组织——被称为 Cadet Blizzard——是一直领导对乌克兰网络发起攻击的俄罗斯军事情报部门。
微软表示,这个相对较新的组织与去年 1 月出现在乌克兰政府网络中的名为 WhisperGate 的擦除器恶意软件有关。激活后,该恶意软件看起来像普通的勒索软件,但实际上是在擦除乌克兰网络设备的主引导记录 (MBR)。
与美国网络国家任务部队负责人Hartman少将坐下来讨论,不仅讨论了乌克兰的追捕行动,还讨论了军方在全球部署网络特工的努力。
为了篇幅和清晰度,对访谈进行了编辑。
Click Here(以下缩写CH):网络国家任务部队狩猎队在 2020 年大选前就在爱沙尼亚,他们在战前部署到乌克兰。为什么以这种方式部署网络特工符合美国的利益?
William J. Hartman(以下缩写WJH):嗯,这符合我们的利益,因为我们所看到的是,威胁我们的国家通常也会威胁他们的邻国。
他们有时会比我们在美国看到的更激进一些。因此,我们根据伙伴国家的邀请派遣团队 [到那些国家]。我们被允许执行防御性狩猎行动,我们能够观察在这些外国活动的对手。我们能够帮助我们的合作伙伴修复他们的网络,同时确保我们收集恶意软件和其他危害指标。我们在合作伙伴的许可下将该信息带回美国,并立即与其他美国政府合作伙伴共享。
因此,如果我们想从防御的角度讨论扩大规模,获取外国恶意软件的访问权限,获取检测攻击指标,与一家可能拥有数百万个端点的美国私人网络安全公司共享,这些端点上装有传感器网络,它确实有利于捍卫我们在美国关心的那些事情。
CH:换句话说,如果你在那边抓住它,就在它有机会过来之前。
WJH:当然。绝对地。
CH:您认为人们对前向搜索行动不真正了解的是什么?
WJH:建立信任的最佳时机是在俄罗斯人入侵之前。乌克兰对我们来说是一项非常重要的任务——这是我们在那里的第四次任务。每个任务都变得更好了一点,但我真的相信那些以前的任务让我们能够快速行动并取得成功。
仅从权威的角度来看,我们拥有这种独特的向前追捕的能力,这使我们能够部署这些团队来执行防御性追捕行动。我们相当频繁地执行这些,我们确实认为这使我们处于一个非常有利的位置,可以建立弹性并支持我们在世界各地的合作伙伴和盟友。
CH:所以被抛出的数字是 39 个网络团队,2000 名军事和文职人员。这些数字更准确还是更不准确?
WJH:这些数字是准确的。我们所做的是将我们的团队组织成联合人员特遣队。因此, 我们有六个特别工作组,专注于对抗主要的民族国家对手:伊朗、中国、俄罗斯、朝鲜。
我们有一个特别工作组,真正关注新出现的威胁,主要是对国家安全的勒索软件威胁。然后我们有一个真正专注于网络访问、*器武**和战术的特别工作组。
CH:你能为我介绍一个已部署的狩猎队的典型一天吗?
WJH:你知道,你真正要做的第一件事就是真正了解网络,获得基线,对吧?然后你要识别异常活动——异常活动可能是不好的,可能是一些错误的配置,也可能是糟糕的客户网络现状。
一群聪明人围坐在白板前,他们会说,嘿,今天的头等大事是这个。该团队进行了调查,并在一天结束时,他们将决定是否存在潜在的恶意 IP,或者他们是否想知道他们发现的恶意软件是好是坏。这是第一要求。我们发现了一个我们认为不应该出现在此处的软件。是好是坏?如果它不好,我们如何找到更多?
这通常是演习。如果需要更深入的取证分析,我们将与任务伙伴合作。我们有能力将数据发回[美国],或将恶意软件发回这里,并进行更深入的分析以提供更准确的信息。
但通常这就是团队运作的方式。他们会展开调查,他们会尝试结束调查,然后我们经常会在网络上发现仅仅是漏洞的东西——这并不是因为有对手的活动。我们将与任务合作伙伴共享该信息。我们希望 [任务合作伙伴] 能够在团队还在的时候分析网络上的任何漏洞。
CH:所以基本上是一个补丁。
WJH:这可能是一个补丁。它可能是一个不应该打开的端口。它可能是一个从未更改过的管理员密码。可能是他们网络上的用户以他们不应允许其网络上的用户运行的方式运行。我的意思是,有很多事情可能是错误的。再说一次,这不是对外国合作伙伴的批评,我们肯定在美国网络上发生过这种情况。
CH:那么大多数早晨会从一块白板开始吗?你的首要任务可能是,我们只说军事通信,然后运营商会蜂拥而至吗?
WJH:所以通常我们会有不同的团队。如果可能的话,我们喜欢在美国的组件和任务伙伴组件中组织一个团队的方式,该团队将调查一个案例。然后我们有主机分析师,我们有网络分析师,我们有恶意软件分析师,因此整个部队有不同的工作角色。
CH:向我解释一下智能是如何适应的。
WJH:情报适合我们的方式首先是我们坐在这里,在国家安全局的校园里,我们与网络安全局真正、非常密切地合作。我们可以访问网络安全主管所拥有的有关以美国或盟友和合作伙伴为目标的对手的信息。所以最终我们想要执行一项情报驱动的任务。因为我们有情报告诉我们,威胁我们的对手也在威胁这些合作伙伴之一。
但我们也与网络安全协作中心合作,该中心是国家安全局的一个部门,真正与数百个行业合作伙伴合作,以交换信息。我们有一个名为“Under Advisement”的组织。
再说一遍,美国私营行业在网络行业方面异常强大。因此,行业方面的信息也可以帮助我们,我们将这些情报[提供给任务合作伙伴]。它确实帮助我们从对手的起点开始了解要寻找什么。
CH:所以,我们已经看到了这种行为,我们已经看到了这些类型的恶意软件。我知道这是基本的,但这就是你所说的那种事情吗?
WJH:当然。如果我们看到互联网上针对美国盟友或合作伙伴的特定基础设施,当我们向海外派遣团队时,我的意思是,他们会寻找这些 IP 地址。如果他们看到尝试的入站连接,这就像是一个直接的触发器,嘿,他们可能会担心这一点。会有已经识别出的恶意软件。
如果这是像在乌克兰这样的任务并且以俄罗斯为重点,那么将会有一组签名被加载到我们预计对手团队将使用的已知恶意软件套件中。您首先要寻找的是已知活动。这就是团队能够带来的。
其中部分原因是与美国国家安全局的合作。其中一些是因为与私营企业的合作。其中一些是因为我们在世界各地都这样做,我们发现了恶意软件,并且我们确保我们不进行发现学习。每次我们都会在以前所做的事情的基础上再接再厉并变得更好。
CH:您在乌克兰等地看到的技术与您在美国看到的技术有何不同?乌克兰的鞋钉上有更多粉笔吗?[俄罗斯人]正在尝试更大、更大胆的事情吗?
WJH:总的来说,我们在乌克兰看到的是,在这种情况下,像俄罗斯这样的对手通常会比在美国更具侵略性。因此,在 [2022] 一月中旬,我们开始看到一系列破坏性的擦除器攻击。这些攻击不会被忽视,最终会被归因。当然,我们从未见过俄罗斯人在美国或我们的西方伙伴中以这种方式行事。
CH:换句话说,他们试图隐藏自己的踪迹,而不是如此明目张胆。这是正确的理解方式吗?
WJH:我认为这是一个公平的评估。
CH:说到擦除器恶意软件,这就是我们所听到的来自乌克兰的恶意软件,它有什么不同?
WJH:所以我认为它的不同之处在于它的使用规模。因此,在一月中旬,我们确实看到了数十起擦除器攻击。我们看到有人试图混淆它实际上是一个民族国家执行擦除器攻击,方法是使其看起来像勒索软件攻击,无法支付任何类型的赎金或使您的数据未加密。所以对我来说,这只是一次相当明目张胆的攻击,在这种情况下很容易将其归咎于俄罗斯人。
CH:我们以前见过擦除器恶意软件吗?只是数量不同,或者有什么新的东西吗?
WJH:我无法真正评论各种类型的擦除器恶意软件。但这对于乌克兰的行动来说似乎有些独特。但可以肯定的是,这种类型的恶意软件并不是什么新鲜事或革命性的东西。
CH:如何将对手赶出网络?合作伙伴会这样做吗?你帮助他们这样做吗?
WJH:我们带来了非保密设备。当我们执行防御性狩猎操作时,我们会根据与合作伙伴达成的协议将该设备安装在合作伙伴的网络上。当我们在网络上发现恶意软件或某种类型的错误配置时,我们会指示合作伙伴,合作伙伴将在自己的网络上采取补救措施。
CH:所以你会说,好吧,我们找到了 X。我们已经隔离了 X。我们建议你做 Y,也许可以让它消失。或者也许他们有自己的系统来做到这一点?
WJH:一般来说,我们会就组织应对其网络进行的更改提出建议,以使其更加安全。看,这通常是基于我们的经验。它基于最佳业务实践。它基于行业标准。因此,归根结底,我们通常不会就修复网络的最佳方法进行长期辩论。如果可能的话,我们最终要做的是向任务合作伙伴提供建议,告诉他们如何纠正对手对其网络的访问,使对手无法轻易再次回来。
CH:这件事的不同之处还在于,由于去年俄罗斯士兵聚集在边境,似乎出现了一种通常不会有的时间压力。从指挥的角度来看,这是如何改变节奏的?
WJH:它从根本上改变了它。我们在 12 月初部署了一个团队来执行这些防御性狩猎行动中的一个真正非常标准的程序。我们部署了一个团队,在这种情况下由一名在我们服务约 12 年的年轻军官领导。
团队进行部署,与任务合作伙伴建立联系,交换信息,获取网络拓扑图的副本,并访问一些数据。然后一般来说,我们回到美国并制定深思熟虑的计划。我们会配置我们要使用的设备,然后我们会部署团队进行更慎重的防御性狩猎行动。
在这种情况下,该团队于 2021 年 12 月初部署。俄罗斯在乌克兰边境集结了 13 万名士兵。当团队到达那里时,团队领导立即评估认为原来的计划可能是不够的。因此,团队领导没有执行正常计划,而是立即打电话要求部署团队的其他成员。我们立即进行了追捕行动。
CH:这是否改变了团队的运作方式?
WJH:当然,这改变了动态。然后在任务的早期,我们看到了一系列破坏性的俄罗斯擦除器袭击,这从根本上改变了任务。现在,除了我们正在搜寻的网络之外,我们还开始了第四项工作,以帮助任务合作伙伴分析恶意软件,并确保根据 [乌克兰人] 的批准,我们可以将恶意软件带回美国并与美国政府和私营部门合作伙伴广泛分享。
如果您还记得的话,当时新闻中有很多报道称我们预计俄罗斯可能会袭击美国。因此,乌克兰方面有一种紧迫感,美国方面也有一种紧迫感。更复杂的是,该团队一直呆在那里直到二月底。而且,如果我们还记得情报评估,人们普遍认为,一旦俄罗斯人入侵,他们将在几天内到达基辅。我们以前从未执行过这样的狩猎行动。
CH:你有没有接到过电话,他们说,请不要走,或者请不要走?
WJH:我想我可能接到了我的团队打来的几个电话,说,请不要让我们走。再说一次,我们在这里不讨论任务的人性方面,对吧?该团队于 12 月初部署。他们的亲人期待他们 10 天后回家。亲人没想到他们会度过圣诞节和新年。所以团队留在那里。
团队专注于任务,我们的联合特遣部队与家属进行了交谈,并尽可能地解释了发生的事情。但现实是,随着时间的临近,团队的愿望是继续留在那里并与乌克兰合作伙伴合作。这是一个相当情绪化的命令,嘿,现在是每个人离开这个国家的时候了。我不能代表乌克兰人说话。但对于美国队来说,他们至今仍然感受到与乌克兰合作伙伴的联系,我预计他们将继续这样做。
CH:真正令我震惊的一件事是有多少年轻人处于矛尖。基本上,您拥有一群从婴儿床起就具有数字素养的群体。这在组建网络部队方面发挥什么作用?
WJH:我认为他们的数字素养很重要,但这里最重要的是领导力。我记得几年前当一名旅指挥官时,有人问我,嘿,你在网络部门寻找的第一件事是什么?而且这仍然是领导力。
当我们谈论在乌克兰执行任务的早期阶段所发生的事情时,所有的功劳都应该归于团队领导。你知道,我们派了一个团队领导到那里并制定了计划。[负责任务的美国海军陆战队少校]认为我们的计划确实不适合她在那里看到的环境和需求。
他们做出了一系列正确的决定,但最终整个团队都支持领导者并支持他们。因此,我们拥有这些受过良好技术训练的年轻人,他们是伟大的领导者,我们将他们安置在这样的职位上,老实说,他们的专业知识是像我这样的领导者必须依赖的。这些狩猎任务只是他们所做工作的一个很好的例子。
CH:您认为防御性网络正处于拐点吗?你知道,攻击性网络曾经一直是网络中性感的部分。防御性网络狩猎小组是否正在改变防御只是打地鼠的观念?
WJH:所以我当然认为,如果你采访了大量的网络士兵、水手、飞行员、海军陆战队员,并询问他们所做过的最有影响力的任务是什么,你会越来越多地与任务伙伴一起寻找美国称其对国家安全至关重要的情报。所以我认为这非常重要。
CH:你认为这是为什么?
WJH:我们加入*队军**是为了做我们认为可以与保护美国密切相关的事情。我非常幸运地参观了许多地点的六七个前线狩猎任务。你走进一个房间,那个房间里有一半的人是来自国家网络任务部队的年轻美国人,而一半的人通常来自任务合作伙伴中的类似服务。以及他们共同努力对试图威胁他们的网络和我们的网络对手采取防御行动的能力——这只是一个非常强大的环境。
我们的军人和参与其中的平民通常会因为能够做到这一点而获得很大的个人满足感。
CH:现在的搜寻行动与两年前有何不同?
WJH:我认为现在的区别在于,我们已经做了足够多次,所以我们有了一个公式。最棒的事情之一是我在出去之前得到了一份任务简介并批准了所有这些事情。你知道,我会得到一张图表,其中会显示正在执行任务的部队成员。
我总是问,嘿,以前有多少人执行过这些任务?一般来说大约是 50/50。因此,我们正在利用之前的任务,但我们改进了为团队领导提供的培训。我们提高了经验水平。以前,如果我们进行为期 60 天的前瞻性防御活动,我们可能会在大约第 50 天变得非常聪明。
CH:那么你阻止过一次攻击吗?
WJH:我们知道有很多事情已经停止,但我无法具体与您分享。
CH:一般情况下怎么样?
WJH:我想一般来说我们之前已经谈过,在基于我们与国土安全部的良好合作关系的 SolarWinds 攻击期间,我们能够从美国政府机构获得 SolarWinds 服务器的受损副本。我们能够在持续的培训环境中复制这一点。然后,我们能够进行寻找特定恶意软件的培训和训练,因为我们是*队军**,而且我们做得很好。
然后我们收到了派遣一个团队到欧洲寻找可疑的 SVR(俄罗斯外国情报局)网络行动的请求。我们确切地知道要寻找什么。我们能够审查有问题的网络。
我们能够做到:第一,找到俄罗斯的恶意活动。第二,我们能够就如何将对手从网络中驱逐出去向任务伙伴提供建议。第三,我们能够看到对手试图重新入侵该网络但未成功。我们能够在对手不知道我们在那里的情况下做到这一点。
CH:你认为你阻止了来自乌克兰的任何例子吗?
WJH:我们最初在乌克兰发现了三个不同的网络。我们所在的网络没有受到任何恶意擦除器攻击。
在团队离开 [乌克兰] 之前,我们能够访问乌克兰的大量恶意软件,这实际上是基于与乌克兰的合作关系。这是我还没有谈到的,真正重要的是,没有什么比身临其境更好的了。
所以团队在乌克兰实地。乌克兰开始遭受一系列破坏性攻击,我们开辟了第四条防线,但随后我们立即开始共享信息。即使团队离开后,我们仍然继续这样做。因此,我认为我们和乌克兰合作伙伴之间已经分享了 6,000 多个攻击检测指标(IOCs)。这就是我们从行业合作伙伴关系中看到的东西。这是他们从实地活动中看到的东西。而且这种关系一直持续到今天。
CH:所以很多人都将乌克兰视为第一次混合战争。确实是动能战与网络战的结合,以一种我们以前从未真正见过的方式。您认为它对我们战争的未来有什么启发?
WJH:所以我认为它强化了我们已经知道的东西。这真的很难。
我认为俄罗斯人的意图是执行一系列破坏性网络攻击以消灭对手,执行相当快的行动并夺取包括基辅在内的大片乌克兰领土。执行这样的计划确实比有意去做要难得多。所以对我们来说,我们不仅要继续发展网络能力,还要确保我们正在做的事情与我们所有其他计划完全结合。
对于我们来说,当然,我们每天都会与联合部队网络总部密切合作,为作战指挥提供支持,以确保我们要做的任何事情都完全同步。
CH:我认为在网络领域一直存在这样一种看法,即俄罗斯是一只 800 磅重的大猩猩。我们现在还这样认为吗?
WJH:所以我认为是在乌克兰。……看,防守者获得了主动权。因此,乌克兰应该受到赞扬。
2014年并没有那么顺利。我们从 2018 年开始向那里派遣团队,乌克兰做出了很多决定。他们投入了资源,最终,2021 年和 2022 年的乌克兰比我们之前看到的更有弹性。
因此,我想告诉你,如果你回去阅读微软的报告,回顾历史,俄罗斯在乌克兰实施的网络攻击将比世界历史上任何一个民族国家实施的网络攻击还要多。但事实证明,乌克兰人非常有韧性。他们得到了很多支持。他们得到了我们的一些支持。他们得到了北约伙伴的一些支持。有些美国公司做得非常出色。将数据从内部部署到外部部署在这里非常非常重要。
但这里的教训是,我们为确保我们的网络准备好在这种高威胁环境中运行所做的工作非常重要。但防守者确实获得了主动权。如果防御者做正确的事情,即使面对数百次俄罗斯网络攻击,我们也可以建立有弹性的网络。
CH:现在狩猎行动在哪里?
WJH:我们不做的一件事就是谈论正在进行的狩猎行动。因此,在任何时候我们都可能有 6 到 10 个团队部署和执行操作。但在任务完成之前,我们通常不会知道这些团队在哪里。然后,只有在我们开展业务的国家/地区同意公开宣布的情况下,我们才会这样做。
CH:可以假设一些团队部署在靠近俄罗斯和乌克兰的地方吗?
WJH:所以我已经指挥了将近四年,可以肯定的是,欧洲战区总是部署有团队。
Sarah Wyman、Will Jarvis 和 Sean Powers 的补充报道。
参考链接:https://therecord.media/maj-gen-william-hartman-interview-ukraine-russia-click-here