编者按

随着中东紧张局势持续升级,网络格局成为这场地缘政治冲突的关键前沿和重要组成部分。中东网络冲突具有与俄乌网络冲突截然不同的特征,包括:一是在斗争态势方面,中东冲突参与者具有不同的优势和局限性,这影响了其选择并使网络冲突更加不对称;二是在目标指向方面,俄罗斯政府目标一致,而伊朗和哈马斯则是机会主义者;三是在能力对比方面,俄罗斯和乌克兰拥有类似的网络能力,而以色列的军事行动限制了哈马斯的反应能力,而且该国拥有中东地区最先进的网络攻击能力。

网络安全业界和学术界认为,鉴于网络攻击的自身特性以及黑客行动主义的复兴,中东地区的网络冲突对抗未来可能继续加剧。谷歌公司认为,在不升级或直接参与实地对抗的情况下,网络攻击在限制潜在反击的情况下可以传达意图并展示对冲突的参与,同时也为地区参与者提供了通过网络领域投射力量的机会;伊朗并非以色列与哈马斯冲突的直接参加者,网络可能是一种更容易实现目标的工具;由于伊朗和真主党似乎准备对以色列和美国使用破坏性网络攻击,与以色列有关的组织可能会继续针对伊朗,而黑客活动分子可能会针对任何与敌方有联系的组织;总体而言,以色列应该为更具破坏性的网络攻击做好准备,因为伊朗和其他地区网络组织在此类攻击中几乎没有表现出克制。网络安全公司Radware认为,虽然今年迄今为止网络攻击的数量处于较低水平,但以色列、伊朗和黎巴嫩间重新出现的紧张关系很容易导致更多的网络活动;以色列所遭受网络攻击活动的增加很大程度上是由于黑客行动主义,当前黑客活动分子通过网络来建立联盟,其活动的组织性有所提高;随着民族国家开发标准技术并且黑客活动分子能够更有效地协作,网络攻击活动可能会迅速增加。美国中东研究所战略技术和网络安全项目主任穆罕默德·索利曼表示,以色列和伊朗两国间的网络对抗历史悠久,以色列是网络超级大国,伊朗是正在快速发展网络能力的新兴网络强国。以色列前副国家安全顾问查尔斯·弗雷利希表示,伊朗和以色列似乎都认为网络攻击的升级性不如动能冲突,不会引发对方强烈反应;以色列国防军还未制定总体网络战略,其进攻性网络行动需要与动能行动非常相似的审批流程。

奇安网情局编译有关情况,供读者参考。

随着中东紧张局势持续升级,网络格局成为冲突中的一个关键前沿,网络攻击和行动已成为地缘政治冲突的标准组成部分。

根据总部位于特拉维夫的云安全解决方案制造商Radware的数据,继圣城日(伊朗4月5日纪念其支持巴勒斯坦的耶路撒冷日)后,数十起拒绝服务攻击扰乱了以色列的目标。Radware威胁研究总监帕斯卡·吉恩斯表示,虽然今年迄今为止网络攻击的数量处于较低水平,但以色列、伊朗和黎巴嫩间重新出现的紧张关系很容易导致更多的网络活动。帕斯卡·吉恩斯称,“我们需要在这里考虑两个层面,一个层面是与民族国家更加一致,意味着故意对另一个国家进行攻击,而另一层面则是所有的黑客活动——他们只是想分享他们的信息,并表明他们对这种情况不满。”

谷歌在2月份发布的《第一手段:以色列-哈马斯网络战争》报告中得出结论,总体而言,以色列应该为更具破坏性的网络攻击做好准备,因为伊朗和其他地区网络组织在此类攻击中几乎没有表现出克制。报告称,由于伊朗和真主党似乎准备对以色列和美国使用破坏性网络攻击,与以色列有关的组织可能会继续针对伊朗,而黑客活动分子可能会针对他们认为与敌人有联系的任何组织。

该公司在报告中表示,“我们充满信心地评估,与伊朗有关的组织可能会继续开展破坏性网络攻击,特别是在冲突升级的情况下,其中可能包括黎巴嫩和也门等多个国家针对伊朗代理人团体的动能活动。”

截然不同的网络冲突

俄乌战争爆发前,俄军在战争前和战争期间利用网络攻击针对乌克兰,并在开战两年内广泛攻击美国和乌克兰在欧洲的盟友。

对于中东来说,网络冲突具有不同的特征。一方面,冲突参与者具有不同的优势和局限性,这正在影响他们的选择,并使网络冲突更加不对称。俄罗斯政府目标一致,而伊朗和哈马斯则是机会主义的对手。谷歌云Mandiant事件网络间谍分析主管本·里德表示,俄罗斯和乌克兰拥有类似的网络能力,而以色列的军事行动限制了哈马斯的反应能力,而且该国拥有该地区最先进的网络攻击能力。

本·里德表示,“伊朗非常反对以色列,但不是冲突的直接一方,因此他们的目标不一定是像俄罗斯那样支持夺取领土。由于常规武器(目前)不是伊朗可以接受的结果,他们正在利用网络开展一些破坏性的行动。……网络可能是一种更容易实现目标的工具。”

伊朗并不是该地区唯一的反以色列行为者。谷歌观察到与真主党有关的组织的网络行动,真主党是黎巴嫩伊斯兰政党和与伊朗结盟的激进组织。

谷歌威胁分析小组(TAG)报告分析师克尔斯滕·丹尼森表示,在冲突背景下,伊朗也成为破坏性网络行动的目标。数起针对该国基础设施的破坏性攻击被归咎于“掠食性麻雀”,该组织于2023年10月再次出现,并于当年12月袭击了伊朗加油站,一些分析人士将其与以色列联系起来。

克尔斯滕·丹尼森表示,“在不升级或直接参与实地对抗的情况下,传达意图并展示对冲突的参与……限制了潜在的反击,同时也为地区参与者提供了通过网络领域投射力量的机会。此外,希望避免武装冲突的行为者可以以最小的成本快速部署网络能力。”

黑客行动主义死灰复燃

民族国家并不是卷入冲突的唯一参与者。2023年,随着精通技术的抗议者对俄罗斯-乌克兰战争以及以色列-哈马斯冲突做出反应,黑客行动主义开始兴起。Radware公司的帕斯卡·吉恩斯表示,以色列攻击活动的增加很大程度上是由于黑客行动主义,拒绝服务攻击的急剧增加就证明了这一点。

帕斯卡·吉恩斯表示,“这并不是以前不存在,而是之前他们的组织性要差得多,而现在他们有这样的能力在Telegram上聚集。他们都开始通过主题标签相互交流。他们发现彼此更容易,所以他们聚集在一起并建立联盟来执行攻击。”

过去,这些团体以“匿名者”的名义联合起来,声称自己有这个绰号,并试图让其他团体注册。帕斯卡·吉恩斯表示,如今,他们在Telegram上使用特定于操作的主题标签来获得志同道合的合作者,这是一种更有效的操作方法。

帕斯卡·吉恩斯表示,黑客行动主义可能会继续加剧针对以色列和其他国家的攻击。随着民族国家开发标准技术并且黑客活动分子能够更有效地协作,攻击更有可能迅速增加。

帕斯卡·吉恩斯表示,“未来发生的任何事情,无论是军事行动还是他们不喜欢的选举结果,或者有人说了他们不喜欢的话——他们都会在那里,那里会出现一波DDoS攻击。”

伴随冲突的网络攻击剧增

伊朗4月13日从境内向以色列发射了300多枚弹药,包括弹道导弹和无人机——在很多方面都是史无前例的。随之而来的网络攻击威胁并非史无前例。

以色列国家网络局局长加比·波特诺伊4月9日指责,随着以色列继续针对加沙的哈马斯采取军事行动,伊朗和真主党对以色列网络、政府机构和企业开展“全天候”网络攻击,攻击强度增加两倍。加比·波特诺伊还透露,伊朗情报部有民间代理人,以一家科技公司为幌子,在德黑兰市中心的一座办公楼内对以色列目标进行网络攻击。

最近几周,伊朗发起的网络攻击大幅增加,多个黑客组织现在也将重点转向以色列目标。在伊朗对以色列发动导弹袭击前,名为Handala的亲伊朗网络团伙3月3日声称突破了以色列雷达系统,并于4月13日(格林威治标准时间 19时22分)再次突破了雷达系统。黑客发布了据称被破坏的RADA系统的屏幕截图。该团伙在Telegram上宣称,“我们第二次入侵了你们的雷达系统,但这一次,情况有所不同!你只有几个小时的时间来修复雷达系统!我们开始比赛了!我们建议你现在就逃跑……”。所提供的屏幕截图存在一些不一致之处,因为底部的坐标与以色列的位置不符。

伊朗伊斯兰革命卫队(IRGC)4月13日还声称袭击了以色列网站,敦促居民储存物品并“做好战争准备”。据媒体报道,伊朗支持的团伙“网络复仇者”(CyberAvenger)可能参与了此次袭击,导致多个城市停电。但以色列国家网络局周日表示,“在最近的导弹威胁期间没有检测到异常在线活动,这突显了我们抵御网络威胁的能力。”

Check Point一份报告估计,伊朗伊斯兰革命卫队和伊朗情报部 (MOIS) 在4月第一周各发动了 2000多次袭击。他们共同运营着10多个不同的攻击组织,针对以色列的恶意活动增加了一倍多。Check Point 幕僚长兼全球企业传播主管吉尔·梅辛表示:“以色列遭受的攻击比世界其他任何地方都要多30%。”

CyberKnow的网络跟踪器显示,2024年4月1日至8日期间,有65个组织参与了针对以色列的活动,实施了DDoS、污损和其他类型的攻击。可能还有其他团体不使用 OpIsrael 标签。CyberKnow 表示,“预计该网络跟踪器中列出的组织以及其他可能的组织将重新将重点放在以色列上。已经看到大量的声明——他们将试图加剧混乱。”

以色列最近的受害者包括戈兰地区委员会、莱文斯基学院和以色列研究中心。黑客设法利用受损的服务器向以色列媒体和其他组织发送恶意电子邮件。

下场冲突可能发生在网络空间

以色列和伊朗两国间的网上针锋相对比当前冲突早了十多年,例如针对伊朗纳坦兹核设施的计算机系统的“震网”病毒攻击。

华盛顿特区中东研究所战略技术和网络安全项目主任穆罕默德·索利曼表示,这“实际上是我们最古老的网络竞争之一。伊朗人重新设计了‘震网’来构建他们自己的恶意软件,并用来攻击海湾阿拉伯国家。”

在与美国和其他西方盟友密切合作的帮助下,以色列一直是这两个对手中更为老练的一个。除国家网络机构外,以色列国防军(IDF)最大的部门是名为“8200部队”的情报搜集单位,该部队负责该国主要的进攻性网络行动,据信与美国合作设计了“震网”攻击。

穆罕默德·索利曼表示,“我认为以色列是网络超级大国,伊朗是新兴网络强国。在网络空间方面,伊朗并不等同于以色列,但他们在建设自己的能力方面是一个非常敏捷的国家,而且这些年来他们也一直在向以色列人学习。”

以色列誓言对伊朗的无人机和导弹袭击进行报复,但美国总统拜登和其他人敦促以色列领导人保持克制,以避免冲突大幅升级。网络行动可能是解决这个问题的一种方法。

以色列前副国家安全顾问、《以色列与网络威胁:初创国家如何成为全球网络强国》一书合著者查尔斯·弗雷利希表示,“无论他们的说法正确与否,(伊朗和以色列)似乎都认为网络的升级性不如动能,这样他们可以在期望对方做出较小反应的情况下这样做。”

尽管如此,以色列可能会将针对伊朗的网络攻击视为与任何其他军事行动同等的对待。现任特拉维夫国家安全研究所高级研究员的查尔斯·弗雷利希表示,“以色列国防军有一套作战准则——换句话说,他们知道自己想如何使用它或如何使用它。他们还没有制定总体网络战略。进攻性网络行动需要与动能行动非常相似的审批流程;任何重要的事情都会沿着链条向上传递到总理本人。”

以色列针对伊朗的此类行动可能采取多种形式,从旨在损害核设施的攻击到破坏军事甚至民用基础设施。

以色列对伊朗的网络攻击

2010年6月:在伊朗布什尔市核电站的计算机中发现“震网”(Stuxnet)病毒,并从那里传播到其他设施。到2010年9月,至少14个设施中的多达30000台计算机受到影响。根据非营利机构科学与国际安全研究所的估计,伊朗纳坦兹浓缩设施的9000台离心机中至少有1000台被摧毁。经调查,伊朗指责以色列和美国制造了此次病毒袭击。

2011年4月:伊朗网络防御机构发现了一种名为Stars的病毒,该机构表示该恶意软件旨在渗透并破坏伊朗的核设施。伊朗被动防御组织负责人古拉姆雷扎·贾拉利表示,该病毒模仿官方政府文件,并对计算机系统造成“轻微损害”。伊朗指责以色列和美国。

2011年11月:伊朗表示发现了一种基于“震网”(Stuxnet)的新病毒,名为“毒区”(Duqu)。专家表示,Duqu的目的是为未来的网络攻击收集数据。伊朗政府宣布正在检查主要核设施的计算机。专家普遍认为Duqu间谍软件与以色列有关。

2012年4月:伊朗指责美国和以色列制造了名为“擦除器”(Wiper)的恶意软件,该恶意软件清除了石油部和伊朗国家石油公司拥有的计算机的硬盘驱动器。

2012年5月:伊朗宣布一种名为“火焰”(Flame)的病毒试图从政府计算机窃取政府数据。《华盛顿邮报》报道称,以色列和美国曾利用它来收集情报。时任以色列副总理摩西·亚阿隆未证实该国参与其中,但承认以色列将使用一切手段“损害伊朗核系统”。

2018年10月:伊朗政府表示已阻止新一代“震网”病毒的入侵,并将这次袭击归咎于以色列。

2020年5月:伊朗沙希德·拉贾伊港口控制海上交通的计算机遭受一场网络攻击影响,导致等待靠岸的船只受阻。《华盛顿邮报》援引美国官员的话称,以色列是此次袭击的幕后黑手,不过以色列并未声称对此负责。

2021年10月:伊朗民众使用政府发行的卡以补贴价格购买燃油的系统遭到网络攻击,伊朗境内所有4300个加油站受到影响。消费者必须支付比补贴价格高一倍的正常价格,或者等待车站重新连接到中央配送系统。伊朗指责以色列和美国应对此负责。

2022 年6月:伊朗国有胡齐斯坦钢铁公司遭黑客组织“掠食性麻雀”入侵。黑客组织“掠食性麻雀”疑似与以色列军事情报部门有关,以其校准攻击的方式而闻名。在此次攻击中,该黑客组织公布了所谓的“绝密文件”,其中提供了“这些公司与伊朗革命卫队有关联的证据”。

2023年12月:黑客组织“掠食性麻雀”12月18日发动网络攻击,导致伊朗境内约70%加油站瘫痪,并公布了在攻击中获取得的部分加油站内部文件。伊朗当局将此次袭击归咎于以色列和美国。

声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。