天空新闻(Sky News)当地时间7月26日晚间公布了五份机密文件,据称这些文件显示伊朗计划侵入包括欧洲在内的西方国家的基础设施。伊朗驻伦敦大使馆没有回应就这些指控置评的请求。尽管过去曾有伊朗和其他国家进行此类黑客攻击的报道,但媒体机构获得伊斯兰革命卫队(Islamic Revolutionary Guard Corps)网络部队第13部队(Unit 13)的实际内部策划文件是非常罕见的。越来越多的国家,包括英国,拥有网络武器,并正在努力发展新的进攻能力。这项工作通常是最高机密。因此,看到一个国家进行网络攻击研究的书面证据是非常罕见的。
事件缘起
天空新闻披露的五份报告共计57页,安全消息人士说,这批报告是由一个名为沙希德·卡维(Shahid Kaveh)的秘密网络攻击组织编写的,该组织是伊朗精英伊斯兰革命卫队(IRGC)网络司令部的一部分。这位消息人士说,他认为这项工作是伊朗努力收集民用基础设施情报的证据,这些情报可以用来确定未来网络攻击的目标。
根据这份报告,伊朗革命卫队网络组织可能正在策划一些潜在的黑客攻击,目标是货船的压载水系统。这可能会对轮船造成无法弥补的损害。压舱水系统在某些情况下通过将水抽入船上的特殊水箱来帮助船保持平衡,而对系统进行篡改可能会破坏这一关键过程。
报道称,伊朗的另一个阴谋似乎是侵入某些加油站的自动油罐计量器,这可能会阻止天然气流动,在最糟糕的情况下,甚至会导致爆炸。
此外,这份57页的报告还描述了侵入海上通信设备的企图。天空新闻获得的内部文件还包括全球航运业使用的卫星通信设备的信息,以及一个基于计算机的系统,该系统控制着世界各地智能建筑的照明、供暖和通风等设备。这些报告似乎表明,他们对研究英国、法国和美国等西方国家的公司和活动特别感兴趣。
天空新闻采访了英国国防大臣本·华莱士,他更笼统地谈到了文件中描述的严重威胁,显然没有否认这些威胁。
报告中的另一位匿名消息人士说,这些文件描述了网络攻击计划的早期阶段,但没有说明计划进行到什么程度。目前还不清楚是谁泄露了这些文件,但这次泄露似乎是为了让伊朗在欧洲国家面前难堪,从而可能影响他们对有关这个伊斯兰共和国的一系列问题的看法。
目前,伊朗和美国是否会重返2015年伊朗核问题全面协议(JCPOA)的问题上陷入僵局,破坏欧盟对德黑兰的信任也可能会破坏那些本已紧张的谈判。
在欧洲大陆发现伊斯兰革命卫队的恐怖行动后,欧盟在外交上对伊朗冷淡,但没有像美国和以色列有时那样公开使用武力进行报复(或至少在袭击被归咎于他们的时候)。
网络攻击的可能目标都有哪些?
在泄露的文件中,只有两份报告在头版有完成日期。其中一个项目将于2020年11月19日开始,着眼于所谓的建筑管理系统——控制智能建筑中的照明、供暖和通风等东西的计算机技术。
另一份报告的日期为2020年4月19日,研究了一家名为WAGO的德国公司,该公司生产工业控制系统使用的PLC等设备。
另外两份报告,一份是关于加油站油泵的,另一份是关于海事通信的,其中包括去年互联网搜索的屏幕截图。
1、压载水
其中一份报告题为“压载水”。在六页的篇幅中,研究了大型货船上远程控制过滤和压载水等功能的复杂系统。作者们似乎依赖于开源研究,而不是任何特权信息。
一幅图显示一艘船在水中保持稳定,而另一幅图显示一艘船向一边倾斜。照片下面的说明是:“第三张不平衡的照片”。
另一张图显示了如何通过卫星连接从陆地上的控制中心远程向飞船发送命令。
该报告称:“这些泵是用来通过离心机将水引入储罐的,为了正确操作,这项任务必须精确完成。”任何问题都可能导致沉船。”
在结束语中,它指出:“任何类型的破坏性影响都可能导致这些系统的混乱,并可能对船舶造成重大的、无法弥补的损害。”
2、燃料泵
另一项研究是关于一种名为自动油表的系统,该系统可以跟踪加油站的燃油流量。这份长达6页的报告点名了美国富兰克林燃料系统公司生产的燃料设备。
“他们支持欧洲、非洲、美洲和中东的许多客户,他们可以控制和管理这些系统,”该公司表示。
该文件配以一张加油站的照片和一张从富兰克林加油系统公司网站上摘取的图片,详细说明了系统出现“问题”可能造成的影响。
这包括切断燃料供应或改变其温度的能力。
该报告补充说:“如果这些系统被黑客攻击并被远程控制,这些燃料泵可能会爆炸。”
3、海事通信
这份长达14页的报告研究了海上使用的两种卫星通信方式。其中一个名为海鸥5000i,通过卫星连接提供电话、传真和其他数据服务。报告指出,这项服务是由新加坡的Wideye和阿拉伯联合酋长国的Thuraya等公司提供的。
另一种利息系统叫做Sealink CIR。这个文件的大部分只是简单的开源研究,重复了关于两个系统的事实。但在文件的末尾也有一个图表,显示了所谓的“谷歌傻瓜”的结果——用引号括起来的某些关键短语来进行网络搜索,以提高搜索的准确性。
这份报告的作者使用了中文搜索引擎Fofa。Binaryedge是一家美国公司旗下的互联网暴露设备搜索引擎,在美国、英国、法国、以色列和其他一些国家搜索海鸥5000i和Thuraya。一栏列出百分比数字,另一栏列出设备数量。
网络安全公司火眼(FireEye) Mandiant威胁情报部门的莎拉·琼斯(Sarah Jones)对这些文件进行了分析,她表示,这些文件可能指的是通过互联网搜索可以看到登录屏幕的设备所占的比例。
该文档包括登录屏幕的屏幕截图。但没有证据表明,研究人员除了进行搜索之外,还试图访问账户。
4、智能建筑
另外两份报告是仅有的两份在封面上注明了编纂日期的报告。最近的一个项目是楼宇管理系统,这是一种基于计算机的系统,在智能建筑中控制照明、通风、供暖、安全警报和其他功能。它长达9页,日期相当于伊朗日历上的2020年11月19日。
这些文件列出了提供这些服务的公司。其中包括美国的霍尼韦尔;法国电气设备集团施耐德电气;德国巨头西门子;以及另一家美国制造商KMC Controls。
最长的一份报告长达22页,涉及德国WAGO公司生产的电气设备。它的日期相当于伊朗日历的2020年4月19日。该文件检查了被称为可编程逻辑控制器(PLC)的计算机控制系统的漏洞。但作者似乎得出结论,利用它们是不可能的。“继续调查,为了使用这些流程,我们注意到这些系统内的漏洞是无法弥补的,如果发生攻击,损害将不容易修复,”报告称。
因此,与其他PLC品牌相比,这个品牌一旦上线,就无法穿透。当在线时,基础设施和工程智能无法触及,也不会丢失。
“为了我们的利益,最好的情况是PLC不能像预期的那样工作,为了发生这种情况,一个项目必须用梯形语言编写,以便有尽可能多的多个出口。但这个项目的问题是我们无法评估造成的损失。另一个选择是评估PLC和软件的弱点和危险点,以便攻击我们的目标。在找到弱点之前,我们需要进行单独的调查和研究。”
网络攻击计划泄露有什么影响?
英国国防大臣本•华莱士(Ben Wallace)表示,伊朗的文件(如果属实)表明,英国及其盟友在网络攻击面前是多么脆弱。“除非我们采取行动,否则我们的关键国家基础设施,我们的生活方式很容易受到威胁,”他告诉天空新闻。
在被问及伊朗在网络空间构成了多大的威胁时,负责英国网络行动的最高军事官员帕特里克•桑德斯上将(Sir Patrick Sanders)表示:“他们是最先进的网络行为者之一。我们重视他们的能力。我们没有夸大它。他们是认真的,他们在过去的行为非常不负责任。”
帕特里克·桑德斯将军向天空新闻表示:“我认为,各国寻求增强在网络空间保卫自己的能力是完全合法的。”“这没有错。但如果你以恶意和不负责任的方式使用它们,可能会造成伤害或经济损失,那是不可接受的。”
向天空新闻透露伊朗文件的消息人士说,他“非常确信”这些文件是真实的。天空新闻与其他来源分享了这些文件,这些来源将有能力判断它们是否真实。这些消息来源表明,他们认为这些文件看起来可信和有趣。
天空新闻(Sky News)还与美国网络安全公司火眼(FireEye)分享了这些数据。火眼负责调查伊朗以及其他敌对国家的网络威胁。火眼公司下属的Mandiant威胁情报部门表示:“这些文件似乎强调了简单的机会主义攻击。
“他们讨论了针对民用关键基础设施的网络行动可能产生的物理影响,以及进行此类攻击的可行性,同时考察了可能成为潜在目标的可接入互联网设备的比例。”该公司表示,这五份报告似乎是对获取信息或研究请求的回应。
文件中所描述的“一切真正适合我们已经看到的东西从伊朗的能力,他们计划他们的攻击,他们的结构和分配工作,走出去,开始形成一个操作的过程中,Mandiant高级分析师莎拉·琼斯说。如果一个国家想要发展一种特定的网络攻击能力,这些都是最初要采取的步骤。
“你看到的是所有这些设置,但你没有看到任何其他阶段。你可以看到他们在说,如果我们这样做,会发生什么?有人怎么可能对很多不同的技术造成某种破坏或破坏能力?”
伊朗不是唯一一个寻求在网络空间开发新攻击方法的国家。英国及其盟友,以及俄罗斯、中国和朝鲜等对手,都在大举投资建设新的进攻能力。
根据英国官员的说法,不同之处在于敌对国家在和平时期愿意追求的目标——从试图操纵选举到对民用基础设施造成物理破坏,如供水和汽油泵。
网络是一个国家可以秘密地相互伤害、窃取秘密或操纵思想的领域,而不必担心引发更常规的战争——尽管来自网络空间的足够毁灭性的攻击可能会产生这种效果。
英国确实有能力像它的对手一样造成伤害,但表示它只是用来反击威胁或回应攻击的力量。根据英国国家网络部队(National cyber Force)的管理规定,任何网络行动都必须“负责任、有针对性和相称”。国家网络部队是英国军方和情报机构GCHQ的合作机构。
相比之下,与伊朗有关的黑客被怀疑在2017年攻击英国议会,数千个电子邮件账户(包括议员的账户)受到影响。虽然伊朗被视为一个网络威胁,但该国也是多个网络攻击的受害者——其中许多攻击的目标是伊朗的核计划。
已知的最早的攻击性网络攻击之一是Stuxnet病毒,据称是由以色列和美国网络间谍开发的,该病毒于2010年在纳坦兹的一个铀浓缩设施被发现。
最近,在去年5月,伊朗沙希德·拉吉(Shahid Rajee)港口终端的电脑瘫痪,导致交通中断,此前有报道称一场来自以色列的网络攻击。
据称,这是对伊朗试图入侵以色列供水系统的报复。以色列国家网络主管伊格尔•乌纳(Yigal Unna)因此警告称,“网络寒冬即将来临”。
伊朗似乎正在收集信息以磨练其进攻性的网络能力,这应该没什么好惊讶的。
在英国看来,中国和俄罗斯是最强大、最具敌意的网络威胁,其次是伊朗和朝鲜。但英国及其一些盟友,尤其是美国和以色列,也有能力在网络空间发动攻击。他们只是在不同的交战规则下运作。
由于世界上很多地方都依赖互联网、电脑和获取信息,网络成为一个日益增长的冲突领域。在这个领域,国家、犯罪分子和单独的黑客都有能力造成损害,或帮助自己的一方进行防御。网络攻击通常发生在介于战争与和平之间的灰色伤害地带。
参考资源
1、https://news.sky.com/story/irans-secret-cyber-files-on-how-cargo-ships-and-petrol-stations-could-be-attacked-12364871
2、https://www.jpost.com/international/secret-iran-hacking-plans-against-west-revealed-report-674992
3、https://newsbook.com.mt/en/leaked-iran-secret-cyber-files-on-civilian-cyber-attacks/
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。