汪川
知远战略与防务研究所
反恐与海外安全国际研究中心(杭州)
本文摘要首发于《中国信息安全》9月刊,全文如下:
当前,网络空间特别是互联网空间成为恐怖组织活动的重要空间。恐怖组织谋求发展网络力量的目的包括:在全球范围内制造恐慌、自我宣传并扩大影响,威胁敌对方并牵制分散对方的各种资源,通过扩大影响促进潜在受众激进化,招募新人乃至促使其就地发动“独狼式”袭击,以及筹集资金,甚至谋求发动破坏敌对方民用基础设施的网络攻击等。从全球范围来看,“伊斯兰国”组织(以下简称ISIS)虽然在叙利亚与伊拉克的地盘与实力遭到严重削弱,但其网络力量在2016年得到整合,目前仍然是网络空间最为活跃的恐怖组织,产生广泛威胁。“基地”组织等其他恐怖组织也在大力发展网络力量,其多个方面的重点活动值得高度关注。
一、主要的网络恐怖组织
当前最有影响的网络恐怖组织是ISIS的网络力量。根据国际网络安全公司闪点公司的报告《ISIS黑客行动:新兴网络威胁态势》指出,ISIS的网络力量主要由五支力量组成,在2016年整合统一为“联合网络哈里发军”(United Cyber Caliphate)。这五支力量的主体是“网络哈里发”(Cyber Caliphate),“网络哈里发”是2014年夏ISIS宣布其“哈里发”国家成立后出现的第一个亲ISIS黑客组织。其曾经劫持新闻周刊和美国中央司令部的推特(Twitter)账户,声称对一系列引起全球关注的网络攻击负责。创办、培育并改进“网络哈里发”和ISIS网络声誉的工作是由一名叫做朱奈德·侯赛因(又名Abu Hussain Al Britani)的英国参与者领导的。侯赛因以前是知名黑客组织TeaMp0isoN成员,绰号“TriCk”,2013年离开英国加入了ISIS,在2015年8月的无人机空袭中丧命。之后,在英国接受教育的商人和计算机专家,31岁的孟加拉人西菲儿·哈克·苏占(Siful Haque Sujan)代替了侯赛因,并于2015年12月10日在叙利亚的拉卡被美国无人机空袭击毙。据称,侯赛因妻子莎莉·琼斯(Sally Jones)(又名乌姆·侯赛因·布瑞塔尼亚Umm Hussain Britaniya)继承了这一组织。
第二支力量是ISIS黑客技术部门(Islamic State Hacking Division),其出现于2015年初,似乎松散地隶属于“网络哈里发”,其得到了科索沃黑客的支持。 第三支力量是 “伊斯兰网络军”(Islamic Cyber Army),由于其缺乏先进技术,其主要活动限于一些反美的网络宣传。第四支力量是Rabitatal-ansar,这个组织是规模较大的亲ISIS媒体 “媒体前线”(Media Front)的一部分,其主要活动是网络反美宣传。第五支力量是“哈里发军之子”(Sons Caliphate Army)“哈里发军之子”可能隶属 “网络哈里发”。另外,像卡拉什尼科夫小组(Kalashnikov Team)这样声称以传播黑客技术、鼓舞黑客行为以促进 “圣战”为目的组织也加入了“联合网络哈里发”。
除了发展自身的网络能力之外,购买也是ISIS获得网络能力的另一途径。2016年1月,根据印度时报报道, ISIS成员正引诱印度黑客,打算支付高额佣金以入侵政府网站并窃取敏感文件。ISIS成员们希望通过社交媒体建立一套潜在印度技术人才数据库,而成功入侵政府网站的黑客将能够收到最高每次1万美元的报酬。经调查显示,黑客们已经通过窃取政府数据获得了丰厚的经济回报。 这样的报酬对于印度黑客来说可谓前所未见,可观的薪酬已经成为ISIS在印度拓展影响的主要手段。针对政府系统的入侵行为可能允许恐怖分子收集与其目标相关的信息。目前情报机构已经意识到,极端主义分子开始积极在印度黑客社区中招募人才,相当一部分黑客来自印度南部,以及克什米尔、马哈拉施特拉邦和拉贾斯坦邦。
ISIS网络力量的整合意味着其进一步重视网络空间的作用,其正加强吸引和培养支持其的黑客人员,并且采取更加有效的技术手段,扩展网络空间活动的样式和范围。此外,基地组织同时大力发展网络力量,其倚重年轻、具创造力成员(例如“突尼斯网络军(Tunisian Cyber Army)”成员)来实施网络攻击。根据美国网络安全智库关键基础设施技术研究所的报告《解剖网络“圣战士”》指出,2015年2月,基地组织宣称组建完成了一支专门负责实施电子圣战作战行动的网络空间武装力量,称之为“基地电子圣战军(Qaedet al-Jihad al-Electroniyya)”,指挥官(据称)为“叶海亚·乃木尔(Yahya al-Nemr)”和“马木达·阿德纳尼(Mahmuda al-Adnani)”。
二、恐怖组织在网络空间公开和秘密的宣传活动
2014年起,ISIS等恐怖组织充分利用Twitter、Facebook、YouTube和Vimeo这些社交和视频网站平台,制造了全球社交媒体传播浪潮。然而,自2015年起,其在大众社交媒体上的活动遭受严厉打击,其网络宣传活动一方面被迫从公开平台主要转向加密平台,另一方面其利用黑客行为重新在公开平台上制造间或性影响。
(一)从公开传播平台转向加密公共传播平台
以美国为代表的反恐国家在打击网络恐怖主义的过程中,一方面,其促使facebook,twitter,youtube等传统社交媒体平台关闭大量涉恐账号。另一方面,美国情报机构也认为互联网和移动互联网也是侦察恐怖组织活动的重要平台。因此,包括ISIS和基地组织在内的恐怖组织普遍转向使用加密工具和匿踪软件之类的网络防御技术手段,加强隐蔽性,避免其行踪被敌国的情报和反情报机构发现,同时能够将信息精准地传播给直接相关受众。
例如,多个恐怖组织大量使用Telegram这一手机通讯软件。由俄罗斯Vkont akte(俄罗斯最大的社交网站)网站创建者帕维尔·杜罗夫(Pavel Durov)开发的Telegram似乎成为恐怖组织的首选,因为所有的Telegram信息都经过加密。这些组织使用Telegram来运行媒体频道,通过这些频道来发布声明、视频以及宣传材料。 2016年1月,主要由中国籍恐怖成员组成的突厥斯坦伊斯兰党Turkistan Islamic Party的宣传机构“伊斯兰之声”在Telegram上开通了加密频道,陆续上传音频视频文件)。恐怖组织大量使用的还有IMO,Tango, Messenger, Whats App,Viber, Kik等手机通信软件以及相应的数据粉碎应用(俗称阅后即焚)如Wickr和Surespot,甚至还有自己开发的“Alrawi”软件。虽然这些加密手段在西方国家安全机构的技术面前并非绝对保密,然而在多数情况下,美国情报机构和执法机构有法院指令也无法实时的截获恐怖组织在其中传播的信息。
(二)自行开发加密传播平台
恐怖组织成员为了安全获得其效忠的组织散布的宣传鼓动和媒体材料,需要掩盖其在线身份。尤其是ISIS组织,存在大量媒体分支。恐怖分子需要连接互联网才能持续不断获得这些宣传材料。虽然有些加密开源工具可以掩护他们的活动并规避侦测,但这些工具并不能确保时刻连接互联网。为确保持续在线,近年,ISIS和其他恐怖组织已经开发了数个专用移动互联网宣传应用软件。
根据国际网络安全公司闪点公司的报告《解剖“圣战分子”的工具箱》指出,下述这些应用向恐怖人员提供了对其效忠的组织和宣传媒体频道的不间断接入能力:
(1)阿玛克通讯社(The A’maq Agency)
这是一个隶属于ISIS的多产媒体组织,是ISIS开发的首批安卓移动应用的之一。当前,阿玛克已经推出了包括英语和阿拉伯语在内的多个升级版本,将相关的实时新闻和战区视频发送给活跃的ISIS支持者。
(2)电讯(Al-Bayan Radio)
ISIS的官方电台也发布了自己的安卓应用(Al-Bayan Radio)。使用该应用,支持者可以获得诸如古兰经诵读、极端演讲和有关ISIS行动公告之类的广播。电讯最初仅在伊拉克的摩苏尔进行广播,但从2015年9月开始,电讯开始在伊拉克、叙利亚和利比亚的12个ISIS控制区发送广播。目前,电讯通过3个网络域名和1个安卓应用传播翻译成数种语言的新闻剪辑,并且每天都有更新上传。这项工作大大增加了ISIS宣传鼓动目标受众的规模和范围。
在运行一段时间后不久,恐怖组织对网络上流传的虚假阿玛克和电讯安卓应用发出了警告。敌人发布了虚假但看起来一模一样的应用版本,但植入了恶意监视软件。为了避免混淆,亲ISIS的网络力量“地平线”发布了分辨这些真实和虚假应用版本的手册。手册建议相关人员根据阿玛克和电讯软件在其Telegram频道中的提示校验下载文件的MD5哈希值(MD5 Hash)来确保获得正确的应用软件。
(3)“圣战之声”(Voice of Jihad)
2016年4月1日,阿富汗塔利班发布了名为“圣战之声”的应用,一开始可以从谷歌商店(Google Play)下载。大约48小时后,在受到大量媒体关注的情况下,谷歌移除了该应用。但是,几天后,该应用又出现在亚马逊(Amazon)的应用商店中。4月7日,阿富汗塔利班宣称该应用是让用户“了解最新新闻、报道、声明、文章和视频”的一种方式。
(4)字母表(Alphabet)
ISIS组成的核心媒体发布了可能是最令人意外的宣传应用,“字母表”应用主要是针对儿童的——该应用在介绍中把儿童称作“幼童军”(Cubs)。该应用通过以“圣战”为中心的词汇表来教授儿童如何读写阿拉伯语文字,字母表的练习参考了火箭、大炮、坦克和其他军事术语作为教授儿童单词的一种方式。从本质上讲,这进一步推进了ISIS极具侵略性的灌输策略。
(三)发展黑客能力在公开传播平台持续制造影响
朱奈德·侯赛因的例子表明,ISIS能够成功吸引专业黑客,虽然没有证据表明有更多能力更强的黑客加入。但是,根据美国网络安全智库关键基础设施技术研究所的报告《解剖网络“圣战士”》指出,有恐怖分子经常访问深网(Deep Web)的论坛,能够获得涉及到初学者和高级黑客课程的讨论板块内容、黑客工具和手册,以及与有类似想法的论坛长期访问者的交流方式。
例如,主要的“圣战黑客”深网论坛——“加沙黑客”(Gaza Hacker)网络论坛,经常被包括亲ISIS网络分子在内的各种“圣战者”访问。该论坛提供各种各样的黑客课程和手册。论坛成员过去曾发布过盗窃来的信用卡信息,以及有关黑客工具和黑客方法的手册。该论坛向圣战者提供了学习如何侵入计算机系统、如何提高黑客技巧、如何获得特定的黑客软件等各种事物的一站式服务。
此外,巴勒斯坦激进黑客团体“匿名幽灵(Anon Ghost)”下属的部分小组,也对ISIS组织提供技术支援。其技术水平足以发起DDoS分布式拒绝服务攻击,而且能够熟练配置运用各种“预设工具软件(preconfigured tools)”实施网络攻击。在主题为“以色列行动(#OpIsrael)”网络攻击行动中,他们阻塞了数个以色列网站的TCP、UDP和HTTP端口通信。他们在Facebook网站页面上公开发布自己使用的黑客工具软件,并且在YouTube网站上提供视频指导,而且所有操作都是通过代理服务器完成。
同时,通过“伊斯兰国网络服务台(ISIS’s Cyber Help Desk)”系统获得其黑客的教导和帮助后,新手和初级黑客们能够迅速提高其发起网络攻击的技术水平。在这场宗教意识驱动的“圣战”中,他们只需按部就班地移动鼠标敲击键盘对大型目标发起网络攻击,使得此类目标面临的网络攻击威胁越来越大。
随着黑客能力与规模的提升,ISIS的网络力量自2014年其陆续发起标志性的黑客行动,篡改各类官方机构的网页,发布“圣战”信息,进而扩大影响。ISIS组织攻击网站涂改其网页时,通常会展示一面该组织的旗帜,并留下“伊斯兰国黑客攻击(Hacked by Islamic State)”字样。这种行为愈演愈烈。“联合网络哈里发”宣称,仅2017年3月份对超过100个推特账号进行了黑客攻击。
三、使用具有较强加密性的网络工具与服务掩护进行恐怖活动
在发起全球社交媒体传播狂潮之前,恐怖组织利用网络工具掩护进行恐怖活动的历史由来已久,其应用手法与技术手段一直处于改进之中,一方面其采用较强加密性的开源网络工具与服务,另一方面自行开发有针对性的工具。
(一)信息加密的通信应用
多年来,恐怖组织一直在使用各种加密信息传输应用来进一步隐藏其通信内容。最受欢迎的通信软件提供端对端加密,这意味着信息只能在发送和接收信息的设备上进行加密和解密。所以信息在传输过程中不能读取,从而在最大程度上保证了安全。根据国际网络安全公司闪点公司的报告《解剖“圣战分子”的工具箱》指出,为了在日常行动中使用,恐怖组织已经评估了下述加密通信软件:
1、私密短信(Threema)
这是一款来自瑞士的端对端加密通信软件。2016年4月,一本亲ISIS的技术手册对私密短信软件表示了支持,描述了它如何“不收集电话号码或电子邮件地址之类的个人信息,因为它不需要输入身份信息”。此外,私密短信不会“由于公司面临政府压力而解密加密信息”。该手册还补充到,私密短信“实际上能够加密图片和文件,音频和应用,并强烈排斥中间人(MITM,man-in-the-middle)攻击,并且不在公司的服务上保存任何信息”。
2、What sapp
Whats app属于端对端加密应用,但其运用并未在恐怖组织群体中得到保证。自2016年4月开始进行端对端加密以来,ISIS支持者仍然对使用脸书的Whats app小心翼翼。亲ISIS的黑客技术界的一名主要思想领袖提醒追随者,虽然经过了新的升级,但“我们不能信任Whats app,因为这是最容易破解的应用,还是一款被以色列的脸书项目收购的社交信息应用”。
3、Telegram
尽管虽然所有的Telegram信息都经过加密,但标准信息使用的是客户端到服务器加密,这些标准信息存储在云端,并由设备读取。现代恐怖组织已经在坚决呼吁其同伴仅仅使用Telegram的“秘密聊天”(Secret Chat)服务。从本质上来说,但是,秘密聊天使用的是客户端到客户端加密,即只有发送和接收信息的设备才能读取信息;最后,如果用户在一台设备上删除了秘密聊天信息,另外一台设备也将自动删除该信息。
4、秘密聊天(Asrar al-Dardashah)
不论平台有多么先进,生性多疑的恐怖组织都不会完全信任任何公开通信服务,因为大部分平台和服务都是由西方开发的。但是,恐怖组织开发的服务减轻了这些忧虑。2013年2月,一个叫做“国际伊斯兰媒体阵线”(Global Islamic Media Front,GIMF)的恐怖组织媒体机构引入了Asrar al-Dardashah(秘密聊天)工具,这是一种与各种即时通信平台兼容的加密插件。该插件允许用户在即时通信平台上对实时对话进行加密,如:Paltalk、Google Chat、Yahoo、MSN和Pidgin。根据“国际伊斯兰媒体阵线”的教程,“该插件为通过即时信息平台的安全通信提供最高级别的加密,该插件体积很小,几秒之内就可以安装完毕,可以放心使用并保证通信安全……通过使用统一码(Unicode),该插件支持世界上的大部分语言”。
(二)安全浏览器
世界范围内的恐怖组织在很大程度上依赖各种网络浏览器来开展行动,一般的浏览器都存在严重的安全威胁,往往让恐怖组织成为情报机构的目标。精通技术的恐怖组织一直被迫去寻找替代性的安全浏览器以规避监控。特别是,洋葱浏览器(Tor Browser)在恐怖组织中间最受欢迎。除了使用洋葱浏览器对网络浏览进行加密外,恐怖组织还应将洋葱浏览器下载到便携式USB设备上,以便于在网吧使用。恐怖组织经常在网吧上网,这是因为网吧在充斥着网络审查的领域,提供了额外层面的隐私。另外一个得到恐怖组织认可的备用浏览器叫做欧朋浏览器(Opera Browser),该浏览器含有免费的虚拟专用网(VPN)服务和广告过滤。欧朋浏览器也兼容安卓(Android)系统,而安卓系统似乎是恐怖组织首选的移动操作系统。
(三)虚拟专用网(VPN)和代理服务
早在ISIS开发各类互联网工具之前,恐怖组织一直在利用虚拟专用网和代理服务来进一步增强在线浏览的安全性。这种技术于2012年首次出现在恐怖组织圈子中,当时,基地组织在深网/暗网论坛活动的成员讨论了Cyber Ghost VPN的用途。随着虚拟专用网和代理服务变得更加普遍,恐怖组织对这些工具的掌握使用日益老练。实际上,在2014年9月,一名深/暗网论坛成员发布了鼓励恐怖组织采用Cyber Ghost VPN来掩饰IP地址,从而确保在线浏览行为安全的详细手册。为了降低这种缺点所带来的风险,他建议使用软件“硬盘序列号更改器”,这是一款允许用户安全方便的更改其机器硬盘识别序列号的免费软件。2016年,ISIS黑客组织“联合网络哈里发”也发布了一份关于特定虚拟专用网服务的使用警告。
(四)加密电子邮件
近年,亲ISIS分子和亲基地组织分子使用大量的加密和临时性电子邮件服务来进行保密通信并推动其数字议题。恐怖组织强烈推荐下述保密电子邮件服务Hush-Mail、质子邮件(ProtonMail)、Tutanota、GhostMail、YOPmail。
(五)手机安全应用
对恐怖组织而言,大部分移动设备显然不够安全。如果没有适当的预防措施,第三方可以比较容易地获得恐怖组织的敏感识别特征,如智能手机用户的GPS位置或IP地址。一直以来,恐怖组织技术组织都鼓励使用不同的智能手机应用来降低上述安全风险。一个叫做“地平线”的恐怖组织群体在Telegram上开辟了两个频道,教育支持者如何利用技术来规避风险。其曾发布了一系列安全教程,建议使用数据自动删除、位置伪装、隐私保护、以及各类加密安全应用和服务,这些安全应用是用来保护用户位置和数据安全、清空设备并删除浏览记录的。
四、针对民用基础设施网络的黑客攻击
针对民用的网络空间的攻击分为两种,一种是传统意义上针对互联网的黑客攻击,另一种针对民用基础设施,例如包括电力、交通、金融、电信、银行、核生化设施运维所依托的网络系统的攻击。虽然,ISIS的网络力量到目前为止还未呈现出有破坏物理设施的网络攻击典型案例,但是许多分析人士都认为ISIS的网络部队企图获得相应能力。
根据美国ABC新闻网2015年的报道,FBI表示“网络哈里发”对美国政府的网络成功地进行过渗透和破坏。黑客极端分子也曾经针对过美国政府和银行系统进行过相应的行为。
根据CNN新闻网2015年10月的报道,在当年10月份的一次美国能源公司的安全会议上,美国国土安全部负责基础设施保护的助理部长Caitlin Durkovich告诉这些公司的负责人,ISIS开始筹划网络攻击了。他们可以在黑市上购买能够破坏物理设施的高端黑客软件。FBI担心ISIS或其支持者会购买能够渗入计算机系统以及损毁电子元件的网络武器。ISIS试图通过网络攻击美国的电力公司,针对电力公司的网络攻击能够破坏美国的民用和商用电力供应。
不仅美国政府担心IS购买网络武器针对民用基础设施发动物理破坏袭击,巴黎恐怖袭击之后,英国的财务大臣也表示,恐怖组织也很可能会利用网络攻击金融系统或者电力设施。
黑客攻击电力系统最近的案例是2015年12月23日乌克兰遭受的袭击,有22.5万民众失去电力供应。有分析人员表示,这次袭击可能是有俄罗斯黑客发动,其利用了14项尚未为人所知的安全漏洞。据悉,这次攻击活动使用的主要恶意软件名为Black Energy,可以花40美元就可以购买到。通过Black Energy结合精心设计的额外软件就可以形成对电力系统的攻击武器。此外,美国国土安全部更紧张killdisk这款曾经在2015年3月太平洋燃气与电力变电站遭遇袭击中出现的恶意软件,其能够破坏文件,导致系统无法正常运作。
根据美国政治新闻网2015年末的报道,其再度提醒ISIS企图针对美国发动破坏物理设施的网络攻击。其指出,有美国官员表示,ISIS黑客不仅企图通过计算机渗透破坏电力系统,而且在shadowy国际黑客论坛上,ISIS的支持者发布了飞机驾驶舱的照片和视频,表示说要通过黑客攻击飞机电子仪表来破坏飞机。美国网络安全公司闪点公司还表示,极端分子还讨论了通过发送错误指令破坏核电站的功能,引发核辐射的想法。
2016年4月11日,美国网络司令部司令兼国家安全局局长罗杰斯海军上将在国会证词中表示,类似于IS这样的非国家行为体利用网络空间针对美国和其他国家发动攻击可能在不远的将来成为现实。
五、通过黑客行为进行筹资
恐怖组织的发展水平与其融资能力息息相关,通过黑客活动筹集资金也逐渐成为恐怖组织发展的一个重要选项。例如,根据美国网络安全智库关键基础设施技术研究所的报告《解剖网络“圣战士”》指出,ISIS组织在其多语言版本出版物《大比丘(Dabiq)》中声称,他们所伪造的钓鱼邮件水平高超,目标对象难以识破。连博科圣地这种网络能力相对低端的组织,也开始用勒索软件(采用RaaS或MaaS模式)替换升级手中效能日益降低的“419欺诈软件(419Scams)”
依托黑客行为的筹资方式一方面这为其拓展了融资渠道,另一方面给相关国家的金融反恐制造了难度。随着比特币等数字货币在近年兴起,由于其匿名性和跨国流动性强的特点,成为恐怖组织日益青睐的资金选项。
根据FOX新闻网报道,2015年末,一个叫做Ghost Security Group的黑客组织宣称,已经锁定了伊斯兰国其中一个关键的资金筹集渠道--比特币账户。其披露,在被锁定的数个账号当中,有一个账号拥有价值300万美元的比特币。Ghost Security Group 成员透露,伊斯兰国手上持有的虚拟货币总额大约在470万美元到1560万美元左右,占总资金的1%-3%。按照2017年8月的比特币市值,已经翻了10倍。
另外,2017年5月,全球上百个国家近20万台设备爆发网络病毒攻击事件,黑客要求用比特币支付赎金。恐怖组织通过黑客行为的筹资将有极大的可能随着其网络能力水涨船高。
结语:
虽然恐怖组织的网络攻击能力还不强,但在全球宣传方面早已获得了巨大的成功,在宣传活动大量转入秘密平台之后,其宣传活动不再能接触到大多数互联网使用者,但却更加精准地向直接受众进行传播。同时,在针对互联网和民用基础设施网络发动黑客袭击的能力虽然目前还比较低下,无法造成大的破坏,但如果恐怖组织能够吸引更高水平的黑客加入,西方国家关键机构在互联网上的目标以及相应民用基础设施遭到黑客袭击的风险升高。值得高度关注的是,恐怖组织利用黑客行为以及数字货币的兴起开辟了一条新的融资渠道。为此,网络反恐将逐渐成为更加重要的全球议题。
文章来自知远防务订阅号,欢迎大家关注!
声明:本文来自反恐视点,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。