文︱邓飞

今年5月，印度与巴基斯坦突发冲突，媒体与社会大多关心令人炫目的空战场面。然而，无硝烟的网络战场其实不比空战来得次要，甚至可以说，这比有硝烟的传统地面与空中战场更具挑战性、更具风险性。

先说采取网络作战行动的组织。根据网络安全监控网页cyberknow显示，至少有71个网络攻击组织高度参与两国的网络间谍或攻击行动，其中大概有18个组织被认为属于或者倾向支持印度，例如Bitter、Patchwork、SideWinder等APT组织（Advanced Persistent Threat，缩写：APT，是指官方或民间的黑客所采取的隐匿而持久的电脑入侵过程），另外有53个组织支持巴基斯坦，例如APT36、SideCopy等APT组织。除了国家支持的APT力量之外，双方还有大量背景模糊的非国家组织或个人活跃于网络空间，包括本国的爱国黑客、网络雇佣军和国际黑客组织等。这些群体或个人既可能是出于自发而行动，也可能是在国家默许或外判的支持下，对敌方网络展开攻击。

再说网络作战行动的目标和方式。综合第三方网络监控信息平台和外方媒体的报道，大致来说，网络战的目的和方式、技术可以分为以下三大类：

一是运用网络攻击技术，阻断和瘫痪敌方重要的网络基础设施，削弱对手战时行动能力和通讯。同时阻碍敌方政府、军方和民间重要机构企业的信息传播，造成政府决策失效和混乱，并对民众造成一定程度的恐慌。

针对印度方面的例子：

5月7日至8日，疑似亲巴基斯坦的黑客组织Vulture和GARUDA ERROR SYSTEM，宣布对印度最重要的政府网站发动“分散式阻断服务攻击”（也就是所谓的DDoS）。这些黑客组织声称攻击目标包括总理办公室、总统办公室、内政部、国防部、外交部、卫生部和几个执法单位的网站。不过，经过第三方的网络验证评估，受攻击的网站运行基本正常，即使出现断网down机，大约不超过5分钟。

针对巴基斯坦方面的例子：

4月25日9时18分，巴基斯坦政府商务部网站(www.commerce.gov.pk)遭受疑似亲印度的黑客以DDoS攻击，攻击使用DNS反射放大技术（利用UPN网络协议或者属性的弱点，以发起和放大DDoS网络阻断攻击的技术），持续1小时3分25秒。

4月26日10时26分，巴基斯坦紧急服务部网(www.rescue.gov.pk)突遭DDoS攻击，攻击者采用NTP反射放大技术（原理大致同上），攻击持续48分19秒。该网站服务范围覆盖巴基斯坦几乎所有地区，承担灾害救援、医疗急救等关键职能。此次攻击一旦导致服务中断，将严重影响民众紧急求助、灾害预警发布及救援力量调度，肯定造成民众恐慌。

二是通过网络科技手段，从敌方网络上进行对军事、政治、科技等核心情报的收集工作，为实施军事行动提供重要的情报信息支持。甚至采取更先进的网络科技，对敌人的武器装备采取远程干扰和控制。

先说窃取核心情报。这些网络情报搜集行动通常以假的貌似重要文档作为诱饵，发送电邮给敌方军政机构的工作人员，诱使他们打开文档，触发藏在文档里面的恶意软件，例如大名鼎鼎的木马程式便是，从而窃取存档在这些军政机构关键部门电脑系统里面的保密信息情报。在网络战背景下，此类窃密行为具有极高战略价值，通过获取核心情报，攻击方能够借此及时掌握对手的作战意图、兵力部署和调度，达到知彼知己。

举个已经确凿识别为真确的例子：一个名为TransparentTribe（又叫APT36）的APT组织，立场是亲巴基斯坦的，在印巴冲突期间，它通过网络电邮，向印度政府和军方单位发放一款名为Preventive Measures in View of Operation Sindoor and Emerging Security Scenario.ppam的加载巨集文件，当接收者打开这份作为诱饵的巨集文件之后，藏于其中的CrimsonRAT远程木马恶意程式会自动执行安装，继而对作为目标主机的各个印度政府部门及军方单位电脑设施进行远程控制，最后成功窃取各类敏感数据和机密情报。

读者可能觉得奇怪，为什么接收方印度的军政人员会这么轻易就打开一个电邮附件档案？其中一个重要原因，就是这些附件档案往往对症下药地命名，让目标接收者误以为是来自己方的重要文件。例如在这个巨集文件的档案名称中，有“Operation Sindoor（辛多尔行动）”一词，这是印度为报复武装分子在克什米尔袭击印度人的反击行动代号。

再说干扰敌方的设备。5⽉7⽇，印度空军、陆军和海军部署的超过1000个监控摄像头，被巴基斯坦网络部队侵入并控制。监控摄像头作为军事安全防护体系的关键基础设施，被攻破后会造成严重的安全威胁。军事基地的实时影像和动态暴露在敌方视野中，破坏了部署在该地的印度军队隐蔽性，增加巴方攻击的精准度。另外，笔者认为（不是这个例子中的真实情况），如果加上Deepfake技术，把监控摄像头所拍摄的影像视频置换成假的fake内容，则可进一步误导甚至诱导敌方作出不利的错误决策。

三是通过网络科技和网上社交平台，发起针对对手的网络舆论战，大量发布和传播对于己方有利的战时消息，甚至通过虚假信息来击溃对方军队的士气。这方面的网络（舆论）战媒体报道很多，笔者不再赘言。

虽然网络战似乎能带来相当大的军事效能，但同时具有传统作战所没有的两大风险：

第一，难以统一指挥的风险。战争，从古到今都是国家行为，必须由国家领导的军事指挥部门统一指挥，才能保证所有军事行动能依照指挥部的指令来进行。不是说前线官兵不能相机行事，不是说上级不能授权下级行动，而是这些授权和随机应变最终都必须服从于最高统帅部的作战目标和战略意图。最高层说战，就战；说停，就必须停，所有军事单位必须服从最高统帅的命令，用内地说法：“指哪打哪”（意思是，最高统帅命令打哪里，执行的军事单位就必须往哪里打）。但是，网络战却不是由国家军事指挥部门统一指挥的行动，而是同时由属于国家军事部门的网军，再加上民间黑客组织共同构成。甚至就算是民间黑客组织，也不一定是自己国家的国民，肯定存在大量的国际黑客组织。换言之，网络战注定有一批参战者是游离于统一指挥之外，那么国家军方对于网络战的效果和影像范围则既不能完全掌握，甚至不能准确辨识。国家和军方想停止作战行动，但民间黑客们未必愿意配合服从，可能继续进行他们自以为“正当”的网络战，继续攻击敌方政府机构、军事单位和民间重要设施。这就让战争的发展存在很大的变数和失控风险。

第二，难以区分战场和后方。自从朝鲜战争以来，国际上的军事冲突，打底确立了“局部战争/有先战争”的模式，即是在大国之间，尤其核大国之间，避免把战争扩大成为“全面战争”——全面针对对方整个国土和人民的战争，这就无分前后方了，反正打到其中一方国破家亡为止。但“局部战争/有先战争”则双方存在默契，把交战区域局限在某个范围之内，在这个范围之外就避免战争行为和作战行动。

因此，战区和后方还是泾渭分明的，战争对后方的破坏是非常有限的。但存在欠缺统一指挥的网络战就不同了，双方网络参战者（网络部队、APT或者黑客组织）既攻击对方的军事网络，也攻击政府网络和民间重要基础设施，那么就无所分前方后方了。假设一种情况，巴基斯坦的政府救援网站被亲印度的黑客攻破了（见上文），恰好巴国发生大地震，因为救援网站被瘫痪了，巴国政府军方和救援单位根本无法组织救援行动，灾区出现大量伤亡，民怨自然沸腾，由此带来的政治后果就一发不可收拾了。

这次印巴冲突虽然时间很短，但双方交战行动所包含的内容异常丰富，既有常规作战的空战，也有高新科技的网络战，非常值得总结学习。全球和台海局势波谲云诡，天知道未来会否爆发冲突。如果真的爆发，能够为将来网络战提供实战个案经验的，就是这次冲突了。