美伊网络战力解析
发布日期:2021-09-24
来源:信息安全与通信保密杂志社
1 月 3 日,伊朗政府的关键人物卡西姆。苏来曼尼少将在伊拉克巴格达机场遭遇美军无人机杀害后,美国国土安全部发出警告称,伊朗有能力对美国的关键基础设施进行具有临时破坏性的网络袭击。就在美国发布警告的次日,美国联邦储备图书馆营运的网站就遭到了攻击,在之后的几个小时里,许多美国非政府网站也遭到了同一批黑客的破坏,并显示了伊朗要报复美国的相关消息。美国多家网络安全公司的分析报告称,总部位于伊朗的某网络间谍组织试图通过发送网络钓鱼邮件来进攻美国政府,军事以及其他包括金融、石油和天然气等领域的网络系统。美军方警告说,伊朗很可能发起一波破坏性的网络攻击浪潮。伊朗已经花费了数年的时间培养黑客能力,不仅可以执行大规模破坏计算机设备的行动,而且还可以对电网和供水系统等西方关键基础设施进行攻击。就目前来看,美方对伊朗的网络行动还是处于高度戒备的状态,网络袭击确实是伊朗对苏莱曼尼被杀所采取的首个报复手段。
一、美伊网络战由来已久
美伊网络战最早可追溯到 2010 年震惊世界的震网事件,美国通过震网病毒摧毁了伊朗核实验设施,极大影响了伊朗核试验的进度。这是世界各国第一次认识到网络战的可怕。这种病毒是美国首个被揭露的超级网络破坏武器,这种武器美国至少掌握 200 种。
2012 年初,伊朗使用一种名为 Shamoon 的恶意软件对美国的石油公司发动进攻。这是伊朗发起的一起相对严重的网络攻击,清除了美国石油公司至少 30000 台计算机。
2012 年 9 月,名为网络战斗机的组织在名为“阿巴比尔行动”的网络战役中对美国银行基础设施进行了 DDOS 攻击。
2014 年 2 月,美国金沙拉斯维加斯公司遭受伊朗黑客攻击。这次攻击关闭了通信系统,并清除了硬盘驱动器。
2016 年,据称美国和以色列联手开发了一款名为火焰的计算机病毒, 火焰病毒比震网病毒结构更复杂、破坏力也更强,旨在绘制伊朗计算机网络的地图,并监控伊朗官员的计算机,从而针对伊朗核项目发动网络战。
2016 年 3 月,美国指控七名伊朗黑客对 46 家美国公司进行协同攻击。
2018 年 3 月,美国司法部指控 9 名伊朗黑客对美国银行和纽约大坝进行了网络攻击。窃取了美国公司数据。
2019 年 6 月,伊朗伊斯兰革命卫队声称其击落了一架属于美国海军的无人机后,美国对伊朗发动了网络攻击,这次袭击清除了 IRGC 数据库,除成功瘫痪伊朗控制火箭和导弹发射的电脑系统外,还同步摧毁了一个负责追踪海湾船只的间谍网络。
2019 年 9 月,沙特阿拉伯的石油设施遭受攻击,沙特和美国均宣称调查显示伊朗才是背后黑手。消息人士透露,在攻击事件发生后,美国随即对伊朗发动了秘密网络攻击,目标是针对伊朗的宣传能力,这次网络攻击行动影响到了伊朗的物理硬件。
2019 年 10 月,伊朗政府相关黑客组织发起名为phosphorous 的攻击, 试图破坏与美国总统大选有关的账户。
二、美国的网络战力遥遥领先
美国是全球网络空间事实上的超级霸主,作为网络战的始作俑者,其网络战实力超强。不仅是网络战力最强的国家,也是发动网络战最多的国家。美国早在 2009 年 5 月就率先成立了网络战部队,6 月组建网络战司令部,10 月网络司令部全面运行。2018 年 5 月美国网络司令部正式升级为独立的联合司令部,升级的网络司令部将把网络行动整合到单一的指挥官下面,从而帮助简化时间紧迫的网络行动的指挥和控制,升级也将确保重要网络行动获得足够资源的支持。网络司令部的升级显示了美国应对网络威胁的决心,并形成威慑。这意味着网络空间正式与海洋、陆地、天空和太空并列成为美军的第五场,网络空间军事化趋势正进一步加剧。美国网络司令部的升级是美国落实“慑战并举”战略思想的重要举措,必将对全球网络空间战略稳定发挥重大影响。据称目前美国开发的网络武器多达2000 种,是世界上头号网络武器大国,美国还利用通过垄断设施、监视全球,使网络公共空间成为其私有领地,美国在网络空间领域占据着绝对优势。
2.1 美网络攻击能力超强
目前,美军约有 3000-5000 名网络专家,涉足网络战的军人在 5 万到 7 万之间,如果再加上原有的电子战人员,美军的网络战部队人数 在 8.87 万人左右。特朗普上台后,美军展开网络攻击的自由度大大增强。2018 年 5 月,美军宣布其组建的 133 支共 6200 人的网络任务部队具有全面作战能力。其中国家任务部队 13 支,网络防护部队 68 支,作战任务部队 27 支,网络支援部队 25 支。在这 133 支网络任务部队中,陆军负责提供 41 支,海军负责提供 40 支,空军负责提供 39 支,海军陆战队负责提供 13 支,由此美军网络空间力量体系基本成型。美军网络空间力量参与了多种国内外网络行动,展示了强大的作战能力和作战效果。除这 133 支部队之外,美国陆军预备役和国民警卫队正在组建 21 支网络保护分队,计划在 2024 财年具有完全作战能力。2018 年美发布的《国家网络战略》明确提出要用主动防御和攻击手段来降低对手发动网络攻击的意图和能力,并宣称必要时可以采用先发制人的网络攻击。2018 年 6 月,美军参联会颁布《网络空间作战联合条令》升级版,为网络战力量遂行作战行动提供了法规保障。8 月,特朗普废除了第 20 号总统令,其目的是为网络战松绑,将决策权下放给国防部长,使程序相对简化,易于操作。与此同时,五角大楼发布《国防部网络战略》,要求美军夺取并保持网络空间优势,保卫美国网络安全。在网络空间建设更加致命的军事力量,包括加快网络战和打击恶意网络行动的能力建设,确保联合部队能够在日常行动和战时利用网络空间开展行动。美军在网络战的法规保障、编制体制、武器装备和训练演习方面达到世界领先地位。
从美国实施网络攻击的对象来看,俄罗斯、伊朗、朝鲜等均为美国战略对象国和威胁目标,但美国拥有远超对手的网络攻击能力。
从美国攻击的具体目标来看,核设施、导弹、电网、网络服务基础设施均为防护严密的关键设施和系统,显示出美国拥有对核心目标的网络攻击能力。
从美国网络攻击手段和技术来看,其技术超前性、手法创新性和程序严密性均令人叹为观止,且贯穿侦察、渗透、情报、指挥、打击等全流程,显示出美国拥有极强的综合网络作战能力。在接入手段上,掌握口令破解技术、漏洞渗透技术、“木马”技术、旁路“侦听”技术等网络目标渗透技术;具备通过无线监听、搭线监听获取敌方通信内容的能力;具备综合运用多种手段,分析、发现关键指控节点的能力;通过网络监听与口令破解工具,已能获取敌方网络协议、硬件地址、口令、身份鉴别过程等信息。在目标选择上,采取甄别方式锁定目标来进行特定攻击,可以根据计算机上的信息判断目标是否存在攻击价值。在攻击目标分析上,美军掌握网络目标主机拓朴结构分析技术、目标服务分布分析技术、目标网络漏洞扫描技术等网络目标信息搜集技术。采用网络分析工具、网络安全扫描器等扫描工具已能获取敌方网络的漏洞信息。在扰乱欺骗上,掌握一定网络欺骗技术手段。通过对网中传输信息的格式和长度等属性的分析,对其内容进行篡改,已能实现欺骗对方的目的。在瘫痪摧毁上,掌握目标服务终止、目标系统瘫痪、目标网络瘫痪等网络摧毁技术。具备对特定基础设施进行定向选择攻击的能力。
从美国实施网络攻击的支撑体系来看,美国在战略、战役、战术等多个层面实现网络武器体系化建设、管理和应用,逐渐实现型谱齐全、全域覆盖,显示美国已经拥有体系化网络武器库。
从美国开展网络空间合作和结盟态势来看,美国建立了包括北约、五眼联盟以及美日等国际多边和双边战略同盟,有层次、成体系,显示出美国已经在国际社会中建立了网络空间利益共同体。
2.2 对伊的网络作战样式
美国对伊朗可能采用的具体作战样式如下:
一是:预植后门,远程攻击。伊朗作为美重点关注的对象,美从来没有间断过对伊朗网络空间的窥探工作。美国掌握着计算机芯片、操作系统、应用软件等核心技术,在销售给对手国家的设备中预置后门,并择机进行控制或破坏是美国惯用的攻击手段。美国在西方公司出售给伊朗的仪器、机械、软件程序中隐蔽植入了木马病毒或后门程序,德国明镜周刊公布的保护美国国家安全局 49 款装备的网络入侵装备清单中就能植入 FPGA 芯片的三个模块,这些模块可根据不同的用途配置成微型化硬件植入目标中,实现信息窃取和远程控制等功能。
二是:利用漏洞,攻破体系。利用漏洞破坏体系就是发现并利用网络漏洞,在未经授权的情况下进入、访问或破坏信息网络,进而控制网络、影响其功能发挥, 甚至破坏网络体系支撑下的战争体系。美国在漏洞利用方面具有得天独厚的优势。美军利用漏洞破坏体系的方式主要分为两种。一是组合使用,即利用多个漏洞组合或与密码攻防、信息控制等其他机理组合使用实施突破攻击。二是精确攻击,寻找体系中特有的漏洞,实施精确攻击,如震网病毒就只针对西门子公司生产的离心机控制芯片进行攻击。
三是:虚假信息,干扰欺骗。美军在伊拉克战争期间,曾使用 EC-130H 电子干扰机在干扰伊军通信网络的同时,还向部分频段的通讯网散发假消息和假指令,以至于美军差点接管了伊军的全部地面部队。
四是:投放病毒, 精确打击。病毒攻击是网络空间作战的重要方法和手段,根据实际作战需求既可实施全面致瘫攻击,也可定向精确打击。利用病毒定向精确打击是根据不同作战对象特点,适时投放有针对性的可控病毒,造成关键节点无法正常工作,甚至导致硬件损伤,实现对重要目标的定向精确打击。
五是:特工潜入,隐蔽致瘫。最著名的例子就是 2010 年美以两国使用震网病毒,攻击伊朗核设施。伊朗核设施作为保密设施,一般不会连接外网,这时特工就发挥了重要作用。美国特工把震网病毒放到伊朗核设施工作人员的 U 盘中,工作人员把感染的 U 盘插入到内部计算机后,病毒随之开始传播。2010 年 10 月,伊朗情报部长穆斯里希就曾宣布,数量不明的间谍人员因涉嫌震网病毒被捕。
六是:破译密码,渗透网络。密码攻击就是采取密码破译手段,突破敌方信息网络的密码系统,还原加密信息以取得对网络、信息的控制权,是隐秘的作战行动。密码是网络空间的最后一道防线,密码一旦被破译,就可以隐蔽进入敌方系统,层层突破密码关防,实现对敌方核心网络的秘密控守,获取机密敏感信息,同时还进一步植入病毒、篡改数据,发动网络攻击。在伊拉克战争中,美军通过伊军从西方国家进口的密码设备掌握了伊军保密通信系统,为美军获取战争的主动权发挥了重要作用。
七是控制信息,影响决策。控制信息就是通过控制信息网络中的载体、信息运动、信息内容及信息利用,进而影响网络舆情、态势感知乃至指挥决策。美军实施信息控制作战战法的主要手段包括:信息遮断、信息延时、信息重发、信息过载、信息篡改、信息欺骗和舆论夺控等。尤其随着大数据分析成为战略决策的基本依据,网络舆论战发展成为独立的作战样式,网络舆情引导也成为网络空间博弈和安全斗争最尖锐的部分,美军充分利用门户网站、社交网络、微博、微信等平台,运用全媒体手段和网络舆情监控、分析、引导等新型智能化系统,争夺舆论主导权。2011 年在中东、北非的茉莉花革命期间,美国操纵社交网络新媒体兴风作浪、推波助澜,直接或间接导致局势的恶化和失控。此外,美国还在世界各地建立隐形互联网,用于在发生大规模骚乱的地区随时接入全球互联网,帮助参与者绕过本国政府的监控,即所谓的用数字暴动来代替颜色革命。
此外,还有一种方式需要引起注意,就是美国可利用自己掌握全球大多数网络根服务器,监管全球网络域名和网址的先天优势,干扰他国网络的正常运行。在塔利班统治阿富汗时期,美就将阿富汗的国家域名管理权授予了前流亡政府,后来又在 2003 年转交给由美支持的阿富汗过渡政府。
三、伊朗网络战力分析
近年来,伊朗的网络能力迅速提高。虽然伊朗目前还没有处于全球网络力量强国的最前列,但它在网络战的战略和组织能力方面领先于大多数国家。伊朗对网络作为国家权力工具的效用表示赞赏。它在秘密活动方面的丰富经验有助于指导其战略和行动,利用网络作为胁迫和武力工具,并创建一个复杂的组织机构来管理网络冲突。
伊朗发展网络力量是对其脆弱性的反应。伊朗是外国网络间谍活动的经常目标。伊朗领导人最担心的是他们自己的国人和互联网会面临类似阿拉伯之春那样的风险。在 2009 年的绿色革命期间,伊朗安全部队开始发展他们的黑客攻击能力,以扩大对国内的监视和控制,这些行动是伊朗网络能力发展的根源。多年来,伊朗与以色列和沙特阿拉伯的持续交战提高了其网络能力,而秘密行动的经验使伊朗有能力使网络攻击如何适应更大的军事行动。伊朗使用的工具通常是来自黑市的经过修改的恶意软件,这些恶意软件通常不具有更先进的网络武器的破坏效果。以色列国防军 C4I 部队负责人表示,伊朗黑客组织近几年越变越好。随着全球各个国家对区块链技术的重视,各国加大布局和战略制定,全力推动区块链产业的发展,区块链技术在各领域应用落地的步伐不断加快,但产业规模和增长渐缓, 投融资交易热度下降。
3.1 伊朗全面提高网络攻击能力
从伊朗网络攻击活动历史轨迹来看,伊朗的网络攻击能力从最开始粗浅的网站首页涂改,逐渐发展到可进行网络间谍活动、网络假消息宣传、分布式拒绝攻击和入侵关键基础设施网络等较全面任务的水平,显示伊朗网络战能力正在不断增强。2019 年 1 月,美国情报机构在其发布的《全球威胁评估报告》中认为,伊朗的网络间谍和攻击威胁能够攻击美国官员、窃取情报,能够让大型企业的网络瘫痪数日,甚至数周。2019 年 4 月,有黑客组织发布了据称属于伊朗国家背景的APT 攻击组织APT34 的网络武器库,显示具有较强的攻击能力。趋势科技也在2019 年发布了黑客组织APT33 的相关信息;该机构以针对能源部门发动破坏性攻击的 Shamoon 恶意软件著称,主要攻击针对美国和中东地区的石油天然气行业,听命于德黑兰黑客组织。安全专家认为,伊朗网络攻击组织一直致力于寻求攻击基础设施、工厂和油气机构,一场由伊朗政府机构支持的网络攻击报复将可能导致电力中断和城市瘫痪。比如,2012 年伊朗的黑客就试图攻击纽约市郊的水坝系统。
伊朗一直将网络攻防手段作为对美的一种非对称手段,重点进行发展。伊朗有自己的网络安全战略,主要有两个目标:1. 保护关键基础设施和绝密资料免遭各种形式的入侵。2. 压制在网络空间中的反伊活动。
2010 年年底,伊朗成立了一支名为网络防御司令部的组织,实际上是伊朗网军的马甲,受命于伊朗武装部队联合参谋部的指挥。这支网军具备相当强悍的战斗力,2012 年美国各大银行系统和沙特美石油公司网络遭到大规模攻击,造成数据被篡改和清空,系统崩溃。2014 年,以色列互联网遭到多频次大规模网络攻击。2015 年,土耳其电力系统在网络攻击下崩溃, 包括首都在内的全国 44 个地区大规模停电 12 小时,而这些活动的始作俑者都指向伊朗网络作战部队,伊朗革命卫队领导称伊朗拥有世界第四网军。
伊朗的网络部队主要分为以下几个部分:
APT33,主要进行网络侦察和情报收集。APT,是指组织或者小团体利用先进的攻击手段,针对特定对象,长期、有计划和有组织地窃取数据。伊朗高级持续威胁组织被火眼公司标记为 APT33。该组织从 2013 年起就针对国外关键基础设施、能源和军事部门收集情报。
伊朗网络防御司令部,主要负责网络防御。该司令部成立于 2011 年, 主要职责是保护伊朗基础设施免遭网络攻击,阻止有人利用互联网从事间谍及破坏活动,对国内反动派进行暗中监视。下辖计算机应急响应小组协调中心,主要是促进沟通,协调国家应对网络威胁的行动。
伊朗网军,主要负责网络进攻。该部队成立于 2005 年,是伊朗革命卫队的一部分。这支队伍由受过专门培训的计算机和信息技术专家组成。2009 年 12 月 18 日,该部队因攻击推特而名噪一时。此外,还有巴斯基民兵, 主要负责在社交网络和博客中进行亲伊朗政府的宣传活动。
3.2 对美的网络作战样式
伊朗仅具备相对有限的网络攻防能力,可对美国有限的安全防护较差目标开展网络攻击。从已曝光伊朗黑客行动来看,伊朗对美国以及美国在中东的盟友相关目标广泛开展网络攻击渗透活动,涉及政府以及金融、能源、电信等多个行业和部门,目标在于窃取情报信息、开展滋扰破坏、显示网络行动能力。预测伊朗对美国开展网络斗争的战略为全时寻隙渗透、无序发动攻击,作战目标将瞄准易渗透的美国国内脆弱民间目标和系统。
伊朗的网络能力在技术上是创新的,伊朗人在网络空间可能采取的几种应对方式:分布式拒绝服务攻击;数据删除;对工业控制系统的攻击;网络渗透;网络间谍活动,以及采取军事行动。
数据删除或对工业控制系统的攻击被认为是伊朗的主要网络手段,这种攻击是针对美国基础设施的。与这种攻击最有关的使用将是在美国军事网络上。伊朗并未直接攻击美国的网络,但已经渗透到了某个网络。这可能会对网络造成永久性损害,并有可能破坏物理硬件。
进行网络间谍活动以跟踪和瞄准人员进行暗杀或恐怖袭击的另一种可能性。类似的攻击可能会利用某种与网络相关的情报来促进这种攻击,无论是跟踪某人的电话以获取实时地理位置信息,还是发展一种生活模式, 然后将其用作目标人群。据称伊朗的网络间谍和攻击威胁能够攻击美国官员、窃取情报,能够让大型企业的网络瘫痪数日,甚至数周。
网络渗透也是伊朗惯用的一种攻击手法。伊朗政府在线利用其功能的 主要方法之一是利用虚拟专用网漏洞渗透并在世界各地的公司中植入后门。据一家名为 Clearsky 的网络安全公司发布的新报告称,伊朗黑客去年将目标锁定为来自 IT、电信、石油和天然气,航空,政府和安全部门的公司。此类攻击证实了伊朗的网络能力已经比以前想象的要复杂得多。这些攻击 的目的具有双重性。首先,它要能直接访问在线政治和商业平台。其次, 此类攻击能让伊朗政府在选择时访问敌人的信息。VPN 在提供对网络的远程访问中起着至关重要的作用。它们的主要功能是在第三方和公司网络之间建立数据隧道,并对其进行保护。后者主要通过加密来实现。
从 2011 年底开始,伊朗行动者还利用 DDOS 攻击了美国银行,尽管这种策略是阻止使用网络的临时措施。虽然危害性较小,但当时的伊朗袭击在技术上颇具创新性。此外,2019 年 12 月,伊朗政府支持的黑客发动新的破坏性恶意软件攻击能够删除运行 Windows 操作系统计算机上的数据,黑客使用了名为ZeroCleare 的新型恶意软件,将目标锁定在中东的能源公司。FireEye 的专家认为,伊朗的此类袭击正在上升。
值得关注的是,美国 2020 年将举行总统大选,伊朗将极有可能借机开展网络攻击,窃取候选人资料、开展勒索软件攻击、传播网络虚假消息等。网络战已经成为美伊斗争博弈的重要形式和手段,美伊间相互的网络攻击从未真正停止过,除非局势发生根本性变化。美国网络攻防能力巨强, 但对网络的依赖度更深,对网络攻击的损失接受度更低;伊朗与美国在网络战水平上存在差距,但其网络行动能力正在不断提升,已经成为美国不可小视的网络对手。可以预见,美伊网络空间斗争未来将是一个长期复杂的过程,现实冲突与网络空间冲突相互交织影响将成为美伊斗争的新常态。美国土安全专家甚至认为,2020 年针对伊朗高官的定点清除,可能推动网络攻击进入新时代;一直避免升级的规则不再存在,将会进入更加混乱, 不受限制的新时代。
美国在网络空间具有强大的攻击、威慑和防御能力。网络空间作战功在平时、用在战时,作战能力的形成非一朝一夕之功。应着力研发自主核心技术、提高网络空间技术整体水平。加强电力、通信等关键性基础设施的防护能力。
