作者:陶菘
一、前言
美国国家安全档案馆(National Security Archive,简称NSA)是独立于美国联邦政府的非盈利研究机构,于1985年由一批记者与学者在布鲁金斯学会创建,后迁至乔治·华盛顿大学。创建该档案馆的初衷是因为不满于美国政府的保密主义行为,所以致力于通过基于《信息自由法》(FOIA)的诉讼与申请专门收集与保存美国国家安全政策相关的解密文件。
在“伊斯兰国(ISIS)”兴起并诉诸网络空间进而传递信息、招募人马,进行宣传战甚至煽动“孤狼”攻击(孤狼式攻击,就是那些非组织的平民发起的攻击)的情形下,美国遂着手准备从网络空间层面给予“伊斯兰国(ISIS)”网络战打击,阻断“伊斯兰国(ISIS)”的宣传并孤立“伊斯兰国(ISIS)”的发声,从而辅助传统军事打击,达到打击“伊斯兰国(ISIS)”的目的。由于从网络层面对“伊斯兰国(ISIS)”作战属于机密,仅从有限的公开报到公众很难以得知美军对“伊斯兰国(ISIS)”网络作战的全貌。因此美国国家安全档案馆基于《信息自由法》(FOIA),在2017年11月开始不断对美国政府要求公开美军对“伊斯兰国(ISIS)”网络作战的解密文件,因而从2018年到2020年间,美国国家安全档案馆陆续收到并公开了有关解密后的美军对“伊斯兰国(ISIS)”网络作战系列文件。伴随解密文件,我们也能得以一窥美军网络作战的组织、规划、协同、评估等部分细节。
二、「闪亮交响曲」行动
2.1.行动背景
2003年美国入侵伊拉克并推翻萨达姆政权后,伊拉克各类民兵组织盛行。美国也在其中扶持一批打压一批以维持伊拉克政府的统治。当时“伊拉克与黎凡特伊斯兰国(ISIL)”就是被美国所利用的民兵团体之一。这个组织就是ISIS组织的前身,在当时,这个组织在美国卵翼下坐大后,就甩开美国成了“基地”组织的成员。到了2014年6月10日,该组织占领伊拉克的第二大城市摩苏尔,当月29日,它宣布脱离“基地”组织,成立“伊斯兰国(ISIS)”,宣称要在叙利亚和伊拉克建立一个政教合一的:“伊斯兰国”。
“伊斯兰国(ISIS)”成立后,不断通过社交媒体进行宣传战,知名度迅速提高。在中东及非洲乃至亚洲的伊斯兰国家,“伊斯兰国(ISIS)”都有庞大的追随者,甚至也有伊斯兰国的支部,最厉害的是也广泛散布在美国等西方国家的伊斯兰社群里,有些青年主动跨海前往投效,成了战士,但更多青年则受到影响,成了一个个“孤狼”。由于“伊斯兰国(ISIS)”通过社交媒体传递讯息,招募人马,进行宣传战甚至煽动“孤狼”攻击,以网络空间链接全球信教徒并执行“孤狼”作战。以至于在英法美及澳洲都发生恐袭袭击事件。恐怖主义不但激烈化,也更加全球化,简直可说是孤狼遍地。
2014年10月,鉴于“伊斯兰国(ISIS)”势力不断做大,美军和伊拉克军队在地面上很难快速通过军事打击的手段消灭“伊斯兰国(ISIS)”,美国军方启动了代号为“「坚定决心」(Operation Inherent Resolve)”的军事干预行动,正式成立多国联合特遣部队(OIR-CJTF),括英国、法国等54个国家和欧盟、北约以及阿盟等地区组织在内的国际联盟。多国联合特遣部队(OIR-CJTF)旨在针对当前“伊斯兰国(ISIS)”局势,采用网络信息收集、阻断外加情报辅助游弋在波斯湾的美海军航空母舰乔治·布什号进行精确空中军事打击,以阻遏“伊斯兰国(ISIS)”的快速发展。
但是空袭的结果无法制止或摧毁“伊斯兰国(ISIS)”,反而使得冲突更加剧烈和动荡,“伊斯兰国(ISIS)”继续接管伊拉克和叙利亚的城镇,并声称对全世界更多的恐怖袭击负责。通过代号为“「坚定决心」(Operation Inherent Resolve)”的行动,美军收集到了大量的“伊斯兰国(ISIS)”网络情报,通过对“伊斯兰国(ISIS)”网络情报的分析,美军认为“伊斯兰国(ISIS)”能够继续保持战斗力的原因是“伊斯兰国(ISIS)”通过网络和社交媒体不断进行精神动员,获取全球信教徒的物资、盟友、精神等支持以维持其发展和生存所需,要彻底解决“伊斯兰国(ISIS)”,就必须从两个层面协同推进:一是通过地面军事推进,打掉“伊斯兰国(ISIS)”赖以生存的地理活动空间;二是通过网络空间作战,打掉“伊斯兰国(ISIS)”赖以宣传的网络和社交媒介。造成实体与虚拟之孤立,最终才能战胜“伊斯兰国(ISIS)”。
因此在2016年5月,为因应作战需求,由网络空间支持军事干预行动,美军成立“战神”联合特遣部队(Joint Task Force-ARES, JTF-ARES),主要任务是研发并使用恶意软件和网络工具摧毁“伊斯兰国(ISIS)”使用的网络、计算机以及行动装置。
2.2.战神联合特遣部队(JTF-ARES)
在当时,“伊斯兰国(ISIS)”尚在“基地”组织的成员中时,就建立有属于自己的网络宣传团队,专门制作和发行暴恐、宣传等内容。在成立“伊斯兰国(ISIS)”后,网络宣传团队愈发壮大,每天产生大量媒体内容,拥有完善的媒体制作、发行宣传的团队及两本用十种不同语言出版的杂志发行渠道。他们精心拍摄的Youtube视频,专业制作的杂志,吸引人的Facebook和Tiwwer活动,以及利用社交平台做的精心策划,足以与许多老牌美国公司媲美。因此“伊斯兰国(ISIS)”这个对外的宣传社交团队拥有一个完整的网络和团队运营这些内容。此外,根据公开资料显示,“伊斯兰国(ISIS)”拥有世界一流的网络攻击能力,曾数次攻击或入侵过西方国家的要害部门的网络,窃取机密甚至发言挑衅。他们激进、招聘、培训,散布恐惧和不满,并且在世界范围内进行网络集资。
由于美国政府已经在利用情报行动来监视“伊斯兰国(ISIS)”,因此在在代号为“「坚定决心」(Operation Inherent Resolve)”的军事干预行动中,他们认为“伊斯兰国(ISIS)”的网络团队足够强大,需要单独组建一个团队来关注此事,同时从网络空间收集相关信息辅助军事打击。于是就由当时执行空中袭击任务的美海军陆战队的网络司令部(MARFORCYBER)来承建该小组,充当网络信息收集任务,这个任务小组成员还包括联邦调查局,中央情报局,国家安全局等美国部门以及参与情报收集、共享的以色列、荷兰、五眼联盟等的。该小组在“「坚定决心」(Operation Inherent Resolve)”行动开始后,就专注于收集“伊斯兰国(ISIS)”目标的信息,包括执行者的个人真实身份、IP位置以及所有使用的社交媒体、银行、电子邮件账号等等,这些信息辅助当地的美军军事情报,可为空中的战机和导弹提供精确打击能力。
“伊斯兰国(ISIS)”网络宣传攻势凶猛,美国网络司令部(USCYBERCOM)于2015年3月29日发布《行动命令 15-0055 号》指示由网络空间支持军事干预行动,美军开始着手进行网络战的前期准备工作。在这个时期,“「坚定决心」(Operation Inherent Resolve)”行动的美海军陆战队的网络司令部网络信息收集任务小组一直在运作,在2015年命令发布后,以该任务小组为主体的任务组开始制定网络战的前期准备计划,寻找对应的网络战人员加入小组联合实施网络战行动。从这个时期开始到2016年11月正式授权进行“「闪亮交响曲」行动”攻击时间期间,主要任务是进行网络战任务目标的信息收集工作,以为从网络打击“伊斯兰国(ISIS)”提供数据支撑。
准备工作进行到2016年的5月份,在充分收集了大量“伊斯兰国(ISIS)”的网络信息数据后,美国网络司令部举行内部研讨综合评估,认为目前收集到的网络数据信息足以支撑开展网络作战行动,于是在美军管理层的授权下,美国网络司令部于2016年5月成立战神联合特遣部队(JTF-ARES),主要任务是利用黑客攻击及网络武器摧毁由“伊斯兰国(ISIS)”使用的计算机系统,从而瓦解其功能(例如对武装分子的宣传及经济支持能力)并追踪其网络枢纽位置。
战神联合特遣部队(JTF-ARES)是基于“「坚定决心」(Operation Inherent Resolve)”行动的美海军陆战队网络司令部网络信息收集任务小组的基础上,抽组美军网络任务部队、五眼联盟网络任务部队、北约合作伙伴荷兰以及中东合作伙伴以色列的网络任务部队筹建而成。根据澳大利亚广播公司事后对澳大利亚参与此次行动人员的采访,澳大利亚在本次行动中为战神联合特遣部队(JTF-ARES)提供了20多人的专家队伍。
战神联合特遣部队(JTF-ARES)成立后,在作战主体上和承担“「坚定决心」(Operation Inherent Resolve)”空袭行动的多国联合特遣部队(OIR-CJTF)平级,因此其归属权美军网络司令部,而非中央司令部(USCENTCOM)或多国联合特遣部队(OIR-CJTF)。作为独立的作战单位和编制单元,战神联合特遣部队(JTF-ARES)需要为本次行动设置一个行动代号,以区别于“「坚定决心」(Operation Inherent Resolve)”军事干预行动。根据美国国家公共电台(NPR)发表的一篇专题文章,标题是“美国如何入侵ISIS”,在文章中,主要是针对一位海军陆战队员“尼尔”的采访,他提出了“「闪亮交响曲」行动”的概念。网络安全播客《暗网日记》(Darknet Diaries)也发布类似的内容。「闪亮交响曲」的概念和含义在于,借鉴传统军事打击手段的炮声轰鸣和战斗轰炸,连绵不绝的炮火带着闪耀的、毁灭性质的打击,就像是一段死亡的鸣奏乐和交响曲。
为配合和辅助进行地面作战的多国联合特遣部队(OIR-CJTF)“「坚定决心」(Operation Inherent Resolve)”军事干预行动,战神联合特遣部队(JTF-ARES)组建后开始进行代号为“「闪亮交响曲」行动”。
2.3.「闪亮交响曲」行动时间线
战神联合特遣部队(JTF-ARES)针对“伊斯兰国(ISIS)”使用的计算机系统进行攻击的正式执行时间应于作战核定发布的2016年11月8日前后。实质上在2016年2月,为了配合多国联合特遣部队(OIR-CJTF)在地面上对“伊斯兰国(ISIS)”发起的叙利亚城市萨达达争夺战,美国网络司令部就使用网络任务部队通过针对性拒绝服务攻击及其它网络行动阻止“伊斯兰国(ISIS)”进行正常的网络通信,从而为多国联合特遣部队(OIR-CJTF)提供“火力支援”。而这种对“伊斯兰国(ISIS)”计算机进行针对性拒绝服务攻击的效果并不好,每当“伊斯兰国(ISIS)”的一台服务器被DDOS或者网络攻击手段给宕机成功后,新的服务器就会上线,并且服务器的IP及目标还会动态变化。单纯的攻击“伊斯兰国(ISIS)”的通信服务器及IP地址已经无法达到目的,需要从根源上拔出掉“伊斯兰国(ISIS)”的物理基础设施或人员。
根据美国国家公共电台(NPR)和网络安全播客《暗网日记》的文章,美国网络司令部转变了攻击思路,采用社会工程学攻击的方法,通过对“伊斯兰国(ISIS)”的成员采用社会工程学,收集他们的习惯,行为和技巧。通过社会工程学攻击,美国网络司令部的攻击小组成功的获取到了大量有价值的情报,甚至获取到了“伊斯兰国(ISIS)”的核心帐户和服务器,这些账号和服务器管理着“伊斯兰国(ISIS)”的宣传、资料、货物、金融交易等内容。只需定点拔出这些特定账号和服务器即可极大毁伤“伊斯兰国(ISIS)”的网络通讯运作。而随着地面战争的推进,对于网络攻击的迫切性就要求美军专门成立攻击小组针对“伊斯兰国(ISIS)”的网络行为进行攻击作战。
于是在2016年2月攻击的基础和“「坚定决心」(Operation Inherent Resolve)”军事干预行动中美海军陆战队网络司令部网络信息收集小组自2014年以来收集的“伊斯兰国(ISIS)”网络情报数据,成立了专门针对“伊斯兰国(ISIS)”的网络行为进行攻击作战的战神联合特遣部队(JTF-ARES),战神联合特遣部队(JTF-ARES)主要在于针对性强,杀伤力大。战神联合特遣部队(JTF-ARES)于2016年05月05根据第16-0063号任务授权建立,建立后的第一项准备工作接收和梳理据根据网络情报数据进行网络作战目标规划、列出初步目标列表,任务列表,并针对目标任务制定针对性的网络工具或恶意软件。
战神联合特遣部队(JTF-ARES)在执行网络作战目标规划中,将目标分为以下几类:设施、个人、虚拟、设备、组织。在战神联合特遣部队(JTF-ARES)的目标列表中,对单一目标包括执行者的个人真实身份、IP位置以及所有使用的社交媒体、银行、电子邮件账号等内容,通过上述网络情报数据及网络作战目标列表,绘制网络作战地图及作战目标画像,并针对作战目标画像采取的对应外科手术式的精准打击战术,形成战神联合特遣部队(JTF-ARES)执行对“伊斯兰国(ISIS)”网络作战的大体流程。
根据美国国家公共电台(NPR)和网络安全播客《暗网日记》的文章,战神联合特遣部队(JTF-ARES)针对作战目标采用不同的技术手段和方法来诱导“伊斯兰国(ISIS)”的网络目标上当,比如精心构造电子邮件钓鱼攻击等,通过各种手段进入内网后,战神联合特遣部队(JTF-ARES)作战成员将建立软件后面,也就是后续进入的跳板和据点,再在内网进行横向移动,最终获取管理员权限和资产清单,然后实施毁灭行为。
从2016年05月05授权成立到2016年11月8日前后核定执行,战神联合特遣部队(JTF-ARES)中间花费了几个月的时间来进行前期的识别、钓鱼和侦察工作。在正式授权进行攻击的第一天,战神联合特遣部队(JTF-ARES)作战成员就进入到“伊斯兰国(ISIS)”的内部网络,控制并建立后门,同时擦除入侵的痕迹,保持在“伊斯兰国(ISIS)”内部网络的隐蔽存在。之后,就像是上帝之手,战神联合特遣部队(JTF-ARES)作战成员将通过控制的“伊斯兰国(ISIS)”内部网络在内部制造混乱,降低“伊斯兰国(ISIS)”网络通讯团队的效率,干扰他们的正常工作,最终达到“兵不血刃”从源头遏制“伊斯兰国(ISIS)”网络战线的目的。
根据美国国家安全档案馆公布的「闪亮交响曲」行动评估文件显示,「闪亮交响曲」行动原本计划周期30天,但是再后续的行动中,继续授权延长到120天。其主要是维持在“伊斯兰国(ISIS)”内部网络的存在。从2017年7月美国网络司令部对国防部其他单位所发出的一般行政信息报告可知,「闪亮交响曲」行动已获授权延长,从中我们看出,隐蔽在“伊斯兰国(ISIS)”内部网络的战神联合特遣部队(JTF-ARES)一定有其持续进行的必要与价值。这也可为我国网络战观察和研究提供有益参考。
三、「闪亮交响曲」行动作战评估
美国国家安全档案馆2020年1月21日公布了「闪亮交响曲」行动作战评估的相关文件,共计6份文件,文件包括自2016年11月10日行动被授权当日对评估框架的探讨,到2017年4月12日行动后120天的评估文件等,揭示了「闪亮交响曲」行动的空前复杂性、多方协调和消除冲突等挑战,并对行动有效性进行了评价。
已公开的「闪亮交响曲」行动作战评估的相关文件指出,美国网络司令部针对网络作战及「闪亮交响曲」行动的整体作战评估包含两大架构,即量度作战执行程度的任务达成架构(Task Accomplishment Framework)和作战是否达成预期效益的作战效益架构(Operation Effectiveness Framework)。在2016年11月14日的1.1版简报中,初步报告认为「闪亮交响曲」行动作战任务执行相当成功,通过目标及对应的预期效果,有一种或两种有效性量化指标进行评估,确认达成作战概念所设下的目标,并认为与盟友间的有效合作是成功执行的一项原因。2016年11月16日的1.2版简报中,针对任务执行部分进行说明,试图建立一套可持续使用的评估架构。
在「闪亮交响曲」行动正式开始后30日以及120日分别进行的评估,则指出作战评估挑战须更长期的投入,同时,进一步详细介绍了利用“「闪亮交响曲」行动”采集的计算机网络数据。评估认为,收集到的大量资料远超出当时网络司令部所能存储的范围,需要在后续的行动中考虑数据存储本身的挑战。此外,战神联合特遣部队(JTF-ARES)负责协调合作伙伴国家,还评估了协调跨部门之间、跨国家之间协作,确定目标范围,对于不同目标打击,战神联合特遣部队(JTF-ARES)司令部将不同目标交给盟国处理。
另外,作战是否达成预期效益的作战效益架构由于缺乏一些指标,因此在评估文件中并未对作战是否达成预期效益的作战效益架构进行说明。虽然不太容易确认目标达成后,其效果如何。但是美网军特别注重其在攻击渗透过程中使用的网络武器被敌方二次利用。避免被敌方或者其他第三方国家“窃取”了网络武器。可能需要“更具侵入性的战术和/或利用尖端能力”,并有可能“危及关键基础设施和/或能力”。制定“计划和协议”限制信息共享协议的联盟成员或非联盟成员政党将行动情报泄露给了美国的“对手”。
参考资料
http://blog.sina.com.cn/s/blog_537937210102vw43.html
https://unredacted.com/2019/09/13/learning-from-isis-for-cyber-war/
https://www.abc.net.au/news/2019-12-18/inside-the-islamic-state-hack-that-crippled-the-terror-group/11792958?nw=0
https://www.npr.org/2019/09/26/763545811/how-the-u-s-hacked-isis
https://nsarchive2.gwu.edu//dc.html?doc=6655592-National-Security-Archive-1-USCYBERCOM-Operation
https://nsarchive2.gwu.edu//dc.html?doc=6655593-National-Security-Archive-2-USCYBERCOM-Operation
https://nsarchive2.gwu.edu//dc.html?doc=6655594-National-Security-Archive-3-USCYBERCOM-Operation
https://nsarchive2.gwu.edu//dc.html?doc=6655595-National-Security-Archive-4-USCYBERCOM-Operation
https://nsarchive2.gwu.edu//dc.html?doc=6655596-National-Security-Archive-5-USCYBERCOM
https://nsarchive2.gwu.edu//dc.html?doc=6655597-National-Security-Archive-6-USCYBERCOM
https://nsarchive.gwu.edu/briefing-book/cyber-vault/2020-01-21/uscybercom-after-action-assessments-operation-glowing-symphony
https://www.cyberscoop.com/cyber-command-pentagon-counter-isis-glowing-symphony-foia/
https://nsarchive.gwu.edu/briefing-book/cyber-vault/2018-08-13/joint-task-force-ares-operation-glowing-symphony-cyber-commands-internet-war-against-isil
https://darknetdiaries.com/episode/50/
https://nsarchive2.gwu.edu//dc.html?doc=5751043-National-Security-Archive-COS-MEMO-11-FEB-19
https://nsarchive2.gwu.edu/dc.html?doc=4311638-United-States-Cyber-Command-Mission-Analysis
声明:本文来自时间之外沉浮事,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。