9月17日、18日,黎巴嫩连续发生传呼机和对讲机爆炸事件,造成至少39人死亡,数千人受伤。黎巴嫩真主党指责对手以色列发动了这些攻击,称其已越过“所有红线”,并誓言将会实施“正义的惩罚”。外界普遍分析认为,以色列是此次爆炸行动的幕后主使,但以色列至今仍未承认对爆炸事件负责。
目前,公开来源信息还远未能揭示事件的全部真相,有关此次事件的内情可能需要等到有关情况解密或曝光才能完全为外界所知。本文尝试基于已经掌握的情况,从军事、政治、技术和法律角度出度,剖析事件疑点和谜题,分析攻击活动的创新性和颠覆性,并提出对新时代网络攻防态势的启示和思考。
一、事件疑点剖析
(一)爆炸物载体是什么?
目前,关于此次事件的爆炸起因,媒体、学者和专家众说纷纭、说法不一。有多种方式可以导致传呼机、对讲机爆炸,外界对爆炸载体分析主要集中在预置微型爆炸物和通信设备本身电池上。电池爆炸的原因有多种,主要包括内部压力过大、外部加热、化学反应过快等。有观点认为,袭击者可能设法通过化学反应使设备电池过热,从而引发爆炸。
笔者认为这种观点可能性不大,原因有三:
一是曝光的爆炸视频显示,爆炸的破坏范围和烈度显然超出电池爆炸的威力。英国前陆军军官、爆炸物处理专家肖恩·穆尔豪斯表示, “从视频来看,爆炸的规模与单独使用电雷管或使用含有极小高爆炸药的电雷管引起的爆炸规模相似。”
二是电池过热爆炸前应该有过渡时间,会引起大量通讯设备使用者的警觉,而此次事件造成大量人员伤亡,表明爆炸的启动时间较短,使用者没有时间做出反应。
三是通讯设备电池通常都具有过热自保护措施,包括嵌入保护板等,外因诱发化学反应导致的电池过热爆炸成功率不高,与事件的实际情况明显不符。英国陆军某退役拆弹人员表示,“爆炸装置主要有五个组成部分:容器、电池、引爆装置、雷管和炸药,传呼机上已经有三个组成部分,你只需要加上雷管和炸药。”
综合分析认为,事件中的通讯设备爆炸有极有可能源于设备中被预先暗藏的微型炸弹。
(二)是否源于网络攻击?
目前曝光情况显示,真主党成员使用的寻呼机几乎同时于当地时间9月17日15时30分发生爆炸。
针对通讯设备爆炸物的引爆机制分析集中在两个方面:一是预先设置的定时炸弹;二是网电信号指令引发的爆炸。
笔者认为定时炸弹的可能性不大,原因有二:
一是从地区冲突局势上看,自事件的嫌疑幕后主使以色列与哈马斯冲突2023年10月爆发冲突以来,其与跟哈马斯站在同一战线的真主党暴力冲突不断。此次事件的通讯设备约于5个月前购置,而事件幕后主使不太可能未来局势不明朗的情况下选择设置定时爆炸,更可能会选择“把引线留在手中”,将装置设定为收到特定指令时才会爆炸,从而掌握主动性并避免失控态势。
二是从技术原理上看,寻呼机、对讲机均可接收网电信息,为择时引爆内置炸药提供了方便途径和渠道。情况表明,携带寻呼机的人员听到传呼机发出提示音,收到被认为来自真主党领导人发来的信息,当他们正在阅读这些信息时,寻呼机发生爆炸。
综合分析认为,事件中的通讯设备爆炸触发机制很可能源于传呼机和对讲机的通讯网络遭渗透,设备在接收到特定的信号或代码后发生爆炸,即“由比特数字触发的PETN爆炸”。
(三)是否违反国际人道法?
国际人道法基本准则涉及,“失去战斗能力、已退出战斗及未直接参与战斗的人士,其生命及身心健全均有权受到尊重。在任何情况下,他们都应受到不加任何不利区别的保护与人道对待”;“冲突各方及其武装部队成员选择战争的方法与手段均受到限制。使用具有造成不必要损失或过度伤害性质的武器或战争方法,均受禁止”;“冲突各方在任何时候均应将平民居民与战斗员加以区分,以避免平民居民及平民财产受到伤害。不论是平民居民还是平民个人,都不应成为攻击的目标。攻击应只针对军事目标。”
真主党是伊朗资助成立的什叶派黎巴嫩伊斯兰政治和军事组织,其宗旨是消灭以色列并将西方势力逐出国内。该组织性质极具争议,其自创立以来即于国内属合法政党,但其同时被美国、英国、以色列、澳大利亚、加拿大、德国、欧盟、海湾阿拉伯国家合作委员会等国列为恐怖组织。
从结果事件影响来看,此次攻击行动显然违背了国际人道法,原因在于:而此次攻击此次爆炸针对是真主党订购的数千台寻呼机、数百台对讲机的拥有者,行动的针对性只能说是“相对集中和精准”,体现出控制范围和烈度意图,但未充分考虑设备拥有者的身份(是否战斗人员)、所在位置(住宅、汽车、杂货店和咖啡馆)和周围环境(周围是否有平民人员或目标),在动用武力手段实现军事目标过程中未区分平民目标和军事目标,也未采取有可行措施预防平民伤害,不符合国际人道法规定的攻击中的“区分”“相称”“预防”等关键原则。
联合国人权事务高级专员福尔克尔·蒂尔克表示,国际人道法禁止使用诱杀装置,这种装置是看似无害的便携式物体,经过专门设计和制造,可以装载爆炸材料。其中,所指的“诱杀装置”是指其设计、制造或改装旨在致死或致伤而且在有人扰动或趋近一个外表无害的物体或进行一项看似安全的行动时出乎意料地发生作用的装置或材料。
综合分析认为,此次行动针对数千台设备持有目标人员实施无差别爆炸攻击,导致非战斗人员甚至平民伤亡以及平民财产损失,在适用情况下违反了国际人道法。
二、此次特别网络行动的创新性和颠覆性
(一)从行动方式来看,通过软硬供应链攻击实现现代“特洛伊木马”计划
此次行动极有可能的是某种供应链攻击,即在制造或运输过程中对寻呼机和对讲机进行篡改。供应链攻击涉及使用第三方工具或服务(统称为“供应链”)来渗透目标系统或网络,可能针对由第三方管理的硬件、软件、应用程序或设备。
供应链攻击在网络安全领域日益受到关注,最近很多重大网络安全事件都是黑客在产品研发过程中获得访问权限导致的,例如SolarWinds攻击、Kaseya勒索软件攻击等。但此类攻击通常局限于软件,硬件供应链攻击则相对少见,因为它涉及对设备的人工物理接触。
美国智库“新美国安全中心”的高级研究员维韦克·奇尔库里表示,“两轮攻击都可能起源于所谓的供应链攻击:在对讲机和寻呼机的生产节点,生产就被渗透了。少量的爆炸性物质被添加到这两种设备中,让它们在特定时间被远程引爆。”
前英国军队弹药专家表示,这些设备可能在假电子元件中隐藏了10到20克的军用级高爆炸药。1996年和2000年,哈马斯的主要炸弹制造者叶海亚·阿亚什以及法塔赫活动家萨米赫·马拉比均死于“手机炸弹”,以色列军事和情报机构被认为是事件的幕后策划者。上述两次猎杀行动可被视为此次爆炸事件的“先锋”,而此次爆炸袭击的不同之处在于其规模更庞大。
除硬件篡改外,此次行动还可能涉及对设备应用程序的操纵以及通信渠道的入侵。
综合来看,此次爆炸事件可被视为基于供应链渗透和设备武器化的成功网电攻击行动,其行动方式新颖且大胆,具有与“震网”攻击、“手机炸弹”攻击相类似的元素,如人力介入、硬件接触和设备篡改等,符合色列军情和情报机构的行事风格,也反映出以色列网电攻击手段的创新和发展。
(二)从毁伤效果来看,通过动能与非动能打击相结合实现“目标斩伤”
从历史来看,军事战争主要是通过使用物理力量来破坏或摧毁物质资产,所使用主要是动能武器。进入现代信息化战争时代,网络战、电子战、定向能和信息战等非动能效应手段也在不断发展,并为动能攻击手段提供了补充。
网络攻击通常造成的影响是非动能数字损害,包括系统停服、信息被窃、数据泄露,以及由此衍生的服务停顿、物理损害、经济损失、名誉受损等,鲜见由网络攻击直接引发的人员伤亡和财产物理损失。
美军联合出版物JP 3-0号《联合作战》认为,网络空间攻击是一种可产生非致命效果的能力,能产生这种效果的还包括电子攻击、军事信息支援作战及非致命武器。
对比来看,动能攻击与网络攻击的主要区别包括:
一是动能攻击的介入和效果具有瞬时性(例如发射导弹并摧毁目标),而非动能网络攻击手段则具有跨时性,如需要长时间来对目标开展情报侦察、研制网络攻击武器、获取目标访问权限、渗透并植入攻击载体、实施攻击行动等;
二是动能攻击产生的物理损伤效果几乎是不可逆的(例如射杀人员、炸毁建筑物等),而网络攻击的效果则可以产生完全可逆的效果(例如恢复系统运转等),可逆性既是网络武器的优势、也是其局限性;
三是动能攻击影响具有局限性,通常限定于一定范围的物理区域内,而网络攻击则具有广泛性和衍射性,可对广域分布式目标实施攻击并产生级联效应;
四是动能攻击的效果具有量化可预测性(如导弹的毁伤半径等),而网络攻击的效果可能因目标软件、硬件和用户配置的变化而具有不确定性。
此次爆炸行动开创了动能攻击与网络攻击深度融合的先河,展现出俄乌网络战争从未呈现的新型网络技战术,并取得了“先发制人”式闪击效果,除造成大量真主党成员伤亡外,还破坏了真主党指挥通讯网络,是一次现代战争的成功网络战战例。
此次爆炸行动还彰显出网络攻击在现代战争中的威力还远未得到挖掘释放,其不仅是军事行动的一种火力形式,在与动能攻击相结合的情况下还能产生“互相补充、力量倍增”的效果,在保留动能攻击效果不可逆、量化可预测的基础上,还能突破时空限制,瞬时对广泛、大量目标实施打击,以达到最大作战效果。
未来,动能与网络攻击手段的结合可能成常规战争冲突的重要军事战略工具,为国家实现军事目标提供新的渠道。
(三)从资源统筹来看,通过情报、人力和技术相结合实现缜密部署
此次通讯设备爆炸行动是一次特种作战行动,事先必然经过了长期和缜密的策划,并对情报、人力和技术等大量资源进行综合性、精准性统筹和调度。专家认为,此次爆炸的策划准备可能需要数月到数年的时间,需要动用大量人力、物力资源。前美国网络司令部司令保罗·中曾根表示,此次爆炸行动展示“令人震惊”的情报收集能力,肇事者“拥有令人难以置信的情报定位能力,能够真正了解这些号码,知道谁拥有这些号码,并且知道他们使用这些号码的频率”;对真主党的秘密袭击表明了对其成员的“透彻了解”,并且对目标“非常熟悉”。纽约大学学者尼古拉斯·里斯认为,此次攻击的复杂程度表明,肇事者长期以来一直在收集情报。英国皇家国际事务研究所的莉娜·哈提卜表示,此次袭击表明以色列已经“深度渗透”了真主党的通讯网络。
从攻击的规模来看,策划实施此次攻击需要几个方面:
一是精确的情报信息。需要获取目标人员使用的设备信息(型号、配置等)、采购设备的渠道,以及通讯设备操作机制和所运行网络,开发能够确认目标携带设备的情报来源;
二是成功的人力介入。需要建立必要的人力关系和渠道,获得寻呼机、对讲机的物理访问权限并对设备进行物理篡改以及在设备系统中建立立足点。
三是可行的技术操作。需要对目标设备开展技术分析,开发将爆炸物嵌入设备的技术以及通过网信手段引爆爆炸物的技术,具备在执行前不被发现地渗透和操纵该通讯设备网络的能力,且极可能提前对整体行动进行了技术测试和验证。
此次复杂爆炸攻击行动涉及环节众多,资源协调统筹及相互配合的难度极大,任何环节或要素出错都可能导致行动失败,在部分要素上完全可以与“震网”攻击行动相媲美,是一次网络战、渗透战和情报战的成功结合。网信攻击手段可能只是此次爆炸行动的“最后扳机”,由人力、情报手段支撑的设备改造、行动决策、部署实施则为行动成功实施奠定了基础。
此次行动体现出,现代网络战并非单纯的技术战,还必须要有精确的情报作支撑,并适用的情况下结合人力特种行动,才能保障网络行动的成功实施。
(四)从行动影响来看,通过热战、网战和心战相结合实现跨域辐射
两轮爆炸袭击粉碎了真主党的煞费苦心建立的低技术通讯网络,而以色列在事件前就已经破坏了真主党其他形式的现代通讯网络。此次爆炸行动既削弱了真主党力量,也对该组织士气造成极大打击。
事件不仅让真主党感到危机四伏,也让黎巴嫩民众人人自危,担心任何电子设备都可能被外敌动了手脚。有报道称,爆炸开始后的最初时刻,众多黎巴嫩民众惊慌失措,拔掉了家里的路由器甚至电视机的插头,担心爆炸物可能已经渗透到家用电器。
网络风险咨询公司 SecDev Group联合创始人罗布·穆加表示,“这次史无前例的袭击削弱了黎巴嫩真主党对其通信电子设备和更广泛的第三方供应链的信心。这也严重削弱了真主党的沟通能力。”美国智库“新美国安全中心”的高级研究员维韦克·奇尔库里表示,“我认为以色列发出的信息是,即使真主党试图转向技术含量较低、本以为更安全的通讯替代品,也仍然很容易受到攻击。‘我们仍然可以在你的口袋里找到你,无论你在哪里。’这对真主党的安全感产生了巨大的心理影响。”
美国东北大学国际安全问题专家麦克斯·亚伯拉罕表示,“以色列的寻呼机袭击是一次非常有效的心理作战。它传达了一个信息:‘我们比你聪明。我们可以以你甚至没有意识到、甚至不理解的方式攻击你。如果你越界,你会以闻所未闻的方式付出代价,悔恨不已’。”
可见,此次爆炸行动集成了动能战、网络战和心理战,攻击发生在网信域,作用发生在物理域,影响发生在认知域。行动在物理域、信息域和认知域均对真主党造成了破坏性影响,达到了“一举三得”的效果。
在物理域,通过动能爆炸杀伤了真主党成员并破坏了其所用通讯设备,影响了该组织的组织动员能力和指挥控制网络;
在网信域,渗透了真主党通信渠道并瓦解了其通讯网络,造成其内部互相猜疑,并迫使其另行布建新的通讯网络;
在认知域,打击了真主党士气,并干预了真主党成员的感知、认知、情绪、情感、观念、信念等意识活动,影响了真主党高层的决策权衡。
三、启示与思考
(一)网络攻击形式创新性或将开启网络战新篇章
此次爆炸行动可以被视为网络战争和物理战争原则在当今冲突中融合的经典创新案例,或将开辟网络战的新致命前沿,开启网络战争的新篇章,并预示着网络战争将发展成为比黑客攻击和间谍活动更致命的战争活动。
此次行动还标志着军事战略的一个重要转折点,表明现实世界和虚拟世界间不再有明确的界限,网络和物理元素在战争中可以无缝集成,为更致命的混合威胁敲响了警钟。
此次袭击行动不仅仅是一次战术打击,还代表了战争模式的深刻转变,数字和物理领域不仅相互联系,而且融合成一个单一的、强大的战线。先前的网络战例通常破坏性较低,用于实现非关键性的动能目标,主要涉及间谍活动、数据盗窃或基础设施破坏。
能够造成物理伤害的网络攻击的能力则完全将破坏性提升至更高层次,源自数字世界的攻击威胁不再像以前那样是虚拟的、跨时的、可逆的,而是有能力对现实世界造成实际的、即时的、不可逆的影响。
此次事件体现了网络物理系统的巨大潜力和固有风险,为未来的军事行动提供了蓝图,表明网络能力不仅可用于间谍活动或破坏,还可以用作直接动能武器;或将打开网络战的“潘多拉魔盒”,显示民族国家开发新的网络战技战术,进一步推动网络空间军事化程度。
(二)国家网络安全防线建设需要树立体系化思维
此次事件将促使全球重新思考国防和安全战略,凸显强有力的网络安全措施的迫切需要,以及在数字和物理基础设施界限日益模糊的时代,不断创新以保护相互连接的数字和物理基础设施的紧迫性。
在新的时代,网络安全威胁的来源将不再局限于单个漏洞、系统或设备,构成最严重网络威胁的主体将是国家级对手。与普通黑客组织或个人相比,国家级对手能够安排、调动、整合国内人力和资源,甚至可能联合利用国际盟友力量,来实现“数字军火的大融合”。其技术能力强大,拥有成熟的网络攻击技战术,且渗透渠道多样、手法更加隐蔽。尤其是,国家级对手还能动用间谍情报机关,通过对目标开展侦察获取敏感信息,通过拉扰策反等手段打入目标内部,甚至派遣特工直接实施人工操作,导致网络安全威胁更趋严峻复杂。
因此,要应对国家级对手构成的严峻威胁,必须树立体系化网络安全建设思维,变“单打独斗”为“联合作战”,集成和发挥政产学研军等各方力量,构建实战化网络安全防御体系,筑牢数字时代安全基石。
(三)网络安全防护需要跳出“重软轻硬”传统误区
此次攻击可能会催生一个防御创新的新时代,重点是保护供应链和通信设备免受复杂的网络物理威胁。
相比于保护网络系统、软件应用、信息数据等的复杂网络安全机制相比,终端硬件的供应链物理安全获得的关注较少。
此次事件告诉我们几方面信息:
一是高科技设备和低科技设备都可能被此类袭击破坏,即使寻呼机、对讲机等过时的通讯装备经过篡改后也可能成为发动网络攻击的致命武器;
二是电子设备遭物理入侵可能会为间谍活动、破坏行动和网络攻击打开方便大门,对国家安全造成潜在的灾难性影响;
三是网络安全防护不仅仅要保护网络、软件和信息,还要保护通信设备中的物理系统,尤其需要加强设备供应链的监察和保护。
供应链风险无法通过单一措施来消除,但多种策略相结合可以大大降低风险,包括加强国内制造业、减少外国设备依赖、强化进口检验和测试规程、采用尖端安全技术(如基于区块链的跟踪系统)、实施硬件完整性检测等,确保从原材料到生产和运输的每个阶段都受到保护以免受到渗透。
(四)万物互联时代需扩大网络安全的内涵和外延
当今社会已进入万物互联时代,大量智能设备和基础设施都与互联网紧密相连,智能手机、无人机、物联网设备已经成为当今社会不可分隔的一部分。上述设备如果遭受攻击,可能引发更大的灾难,对军队和平民都可能造成严重致命的影响。
本次黎巴嫩爆炸事件表明,网络物理攻击领域的威胁较以前的认知更加多样化,汽车、家用电器、智能手环、耳机、智能门禁、医疗设备、军用电台、关键基础设施、太空飞行器都是潜在的攻击对象。相比于应用范围较小的传统的寻呼机、对讲机,对未来更先进、更复杂、更广泛应用的技术设备的网络物理攻击,在未来网络战争中具有潜在的更大破坏性。
可以预见,万物互联将催生更多前所未有的安全问题,把网络攻击面扩大到新维度,使网络攻击场景更加多样化,导致网络安全风险程度也将上升到新高度。伴着新风险、新隐患,需要并行探索和扩展网络安全的内涵和外延,不断丰富和创新安全理念和思维,加快推动网络安全技术的研发和实践落地,构建全方位、多维度网络安全监测与防御体系。
关于作者
赵慧杰 虎符智库专家、网络空间安全军民融合创新中心高级研究员、奇安网情局主编。主要从事网络安全领域研究工作,对国外国防网络建设发展、网络空间战略政策、网络空间国际斗争、网络武器研发和新兴技术应用等长期进行跟踪研究。
声明:本文来自虎符智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
