近年来,俄罗斯网络犯罪分子与国家情报机构之间的关系越来越紧密,揭示出一种复杂且高度协作的合作形态。过去,网络犯罪与国家安全部门的联系难以捉摸,多数情况下表现为基于私人关系的散漫合作;但随着时间推移,越来越多证据表明,这种关系已转向一种制度化、战略化的合纵连横。尤其是在涉及DanaBot恶意软件家族的行动中,这种动态得到了明确的体现。DanaBot最初是由俄罗斯网络犯罪分子设计,用于执行金融诈骗和数据窃取。它采用多功能设计,能够窃取受害者的银行账户信息、虚拟货币钱包数据以及设备信息等。该恶意软件作为一种“即服务”工具,在俄罗斯的暗网平台上按月出租,服务价格达数千美元。
据美国司法部披露,DanaBot已感染全球超过30万台计算机,给受害者造成超五千万美元的损失。这类经济驱动型的网络犯罪行为,虽然危害严重,却在俄罗斯网络生态中曾一度保持相对独立。然而,进入2021年后,DanaBot演变出一种新的变体,转向国家级间谍活动。新的版本不仅更注重对高价值目标的精准攻击,还改变了基础架构和操作机制。该版本能够全面记录用户在感染电脑上的交互活动,远超之前仅通过手动激活进行的监控。这项变化意味着网络犯罪分子开始按照俄罗斯情报机构的需求进行定制开发和部署,代表了犯罪分子和国家机器之间达成的利益共识。
美国司法部指控十六名与DanaBot开发部署有关的俄罗斯被告,同时破获了该网络的国际行动,彰显了跨国执法合作的力度。那么,国家为何需要“借用”网络犯罪力量?一方面,网络犯罪集团拥有广泛的技术人才和灵活的作战能力,他们能够快速设计、迭代高级恶意软件,有效规避传统防御体系。另一方面,国内法律和国际制裁环境限制了俄罗斯情报机关直接参与某些攻击行动,因此通过与犯罪分子的合作,实现“代理战”成为理想选择。这种合作不仅模糊了国家与犯罪的边界,还极大地提升了俄罗斯在网络空间的攻击与情报能力。DanaBot的间谍变体专注于针对外交官、执法部门及军事人员,这些正是典型的国家间谍锁定对象。更令人警觉的是,这种合作的时间远早于2022年俄罗斯入侵乌克兰,表明俄方早已将网络战作为战略重点积极布局。
伴随2022年乌克兰战事爆发,DanaBot更被用于分布式拒绝服务攻击(DDoS),针对乌克兰国防部及国家安全理事会等关键机构,彰显了俄罗斯通过网络犯罪工具支撑传统军事行动的战略深度。这种演变表明,单纯的网络犯罪行为已经和国家主权利益深度绑定,谋求更广泛的战场与情报优势。DanaBot事件之外,西方情报界也观察到越来越多俄罗斯高级持续威胁组(APT)在2024年新出现的活动,以及新型攻击载体如SVG格式的钓鱼邮件被大量使用,显示俄罗斯网络攻防策略日趋成熟和多元。尽管俄罗斯国家与犯罪群体的合作日益明朗,但法律与政策层面的挑战不容忽视。例如,美国情报机构正致力于建立“商业数据联盟”,通过统一采购和管理敏感商业信息,实现信息共享与隐私保护的平衡。这样的举措反映出全球范围内对网络安全与数据治理的双重压力:一方面要有效利用商业数据提升情报和防御能力,另一方面必须保障隐私权利和防止滥用。
丹纳波特案件之因,源于其涉案人员涉嫌协助俄罗斯情报机构的非法间谍活动,体现国家利用网络犯罪力量不仅限于袭击经济目标,更将网络犯罪转化为权力工具,打造出具有高度针对性和隐秘性的网络情报网络。这种趋势可能导致全球网络安全形势更加复杂难测,国家之间的网络对抗将不仅限于传统军事实力角逐,而是进入一个网络工具、犯罪集团与情报行动融合的全新战场。对于网络安全从业者和政策制定者而言,理解俄罗斯网络犯罪与国家间谍的互动机制至关重要。首先,要关注恶意软件的多样化及其被定制化用于情报收集的可能性,从技术层面强化检测和应对手段。其次,必须推动国际执法合作,打击跨国网络犯罪组织,为遏制国家支持的网络行动筑起坚实防线。最后,政策层面需明确网络空间法规,厘清国家行为者与非国家行为者在网络攻击中的责任和界限,加强国内外法律协调和监督。
总之,俄罗斯网络犯罪与国家间谍行为的结合,代表了网络安全领域崭新的挑战。它不仅仅是犯罪问题,更是国家利益和国际局势的体现。在全球数字化和信息化高速发展的背景下,各国必须强化网络防御能力,同时在国际法和国际合作框架下,积极应对这种多层次、多角色、多手段的网络威胁,维护国家安全和全球网络秩序的稳定。未来,理解并应对俄罗斯式的网络犯罪与国家间谍“共谋”,将成为国际网络安全治理的重要课题。
