新闻中心

NEWS CENTER

解析巴以冲突中的网络战:瞄准关键基础设施


以下文章来源于信息安全与通信保密杂志社 ,作者Cismag

 

摘 要

 

2023 年 10 月 7 日,伴随着数千枚火箭弹的发射,巴勒斯坦伊斯兰抵抗运动(“哈马斯”)武装人员对以色列占领区发动突然袭击,在短时间内发射 5000 枚火箭弹,并造成大量人员伤亡。以色列国防部承认被俘的军民数量“史无前例”,全国宣布进入“战争状态”,哈马斯针对以色列发起的突袭震惊了全世界。

 

一、背 景

 

这是继 2022 年俄罗斯和乌克兰爆发冲突战争后又一次全球关注焦点。当以色列对哈马斯大打出手之际,数十个国际黑客组织开始选边站队,集中攻击巴以双方的网络基础设施,在网络空间开辟了第二战场,多方势力的黑客行动主义组织开始在网络空间区域内进行持续博弈。随着哈马斯和以色列间的冲突愈演愈烈,以及中东地缘政治联盟的变化,未来可能会出现更多国家支持的网络攻击,网络战可能会蔓延到被视为支持任何一方的其他国家。

 

二、冲突中各方黑客组织参与情况

 

目前,哈马斯和以色列国防军之间激烈的军事行动仍在继续,多国黑客组织进入网络战场加入战斗。自双方开战以来,黑客组织对双方重要政府、职能机构及关键基础设施发起大规模网络攻击。据不完全统计,截至当前共有 70 多个黑客组织团伙参与攻击,巴以冲突各方黑客典型组织可以分为三类:一类是亲巴勒斯坦派(亲巴派),亲巴勒斯坦黑客组织占绝大多数,包括 Killnet 在内的 43 个亲巴勒斯坦网络犯罪团伙瞄准以色列关键基础网络设施进行攻击,包括政府、金融、通信等行业。一类是亲以色列派(亲以派),亲以色列组织相对较少,目前共有 12 个,主要以 India Cyber Force、UCC 等组织为主,以巴勒斯坦关键基础设施为目标进行攻击。还有一类是中立派,以 Krypton、ThreatSec 为代表,公开宣布自己“中立”。随着冲突的继续,以上这些黑客组织未来将卷入所有重大地缘政治冲突,民间黑客等非国家行为体选边站队,影响未来网络攻防和认知态势走向。

 

1、以 Killnet、Anonymus Sudan 为代表的亲巴派,对以色列重要政府、职能机构及关键基础设施发起大规模网络攻击

 

自双方开战以来,亲巴派黑客组织占大多数,他们对以色列重要关键基础设施发起大规模网络攻击,100 多个网站因简单的分布式拒绝服务攻击(DDoS) 遭到破坏或暂时中断,以色列电力、卫星与工控系统等关键基础设施安全持续受创。10 月 8 日,Killnet 通过 Telegram 社交平台中的账号发布将攻击以色列政府网站的言论,随后被ЛЕГИОН- КИБЕР СПЕЦНАЗРФ V2(网络特种部队)Telegram 频道转发,表明ЛЕГИОН - КИБЕР СПЕЦНАЗРФ V2 也将参与对以色列的攻击当中。随后,又发布了攻陷目标后的截图,包括以色列政府官方网站。

 

2、以 INDIAN CYBER FORCE、UCC 为代表的亲以派,对巴勒斯坦关键基础设施目标进行攻击

 

在亲以色列组织的黑客组织相对较少,目前共有 12 个,主要以 India Cyber Force、UCC 等组织为主,以巴勒斯坦关基为目标进行攻击。在此次冲突中,总部位于印度的黑客组织“印度网络部队”也对巴勒斯坦发动了网络攻击。该组织声称为哈马斯组织、巴勒斯坦国家银行、巴勒斯坦网络邮件政府服务和巴勒斯坦电信公司网站的瘫痪负责。10 月 9 日 UCC 正式针对巴勒斯坦进行网络攻击。其中涉及巴勒斯坦多个目标,针对巴勒斯坦主要以 DDoS 攻击为主,目标为政府网站。

 

3、以 Krypton、ThreatSec 为代表的中立派,同时对巴以两方进行网络攻击

 

在此次冲突中,除了选边站队的黑客组织外,还有个别黑客组织隶属宣布中立,他们 hreatSec 组织宣布自己“中立”,表示将针对以色列和巴勒斯坦目标。该组织还声称已经入侵了巴勒斯坦最大的互联网服务提供商(ISP)AlfaNext。同时,提供 DDoS 服务出租的 Krypton 网络服务商希望向攻击以色列组织的黑客活动组织出售其服务。

 

三、巴以冲突中网络战特点

 

1、破坏性 DDoS 攻击成为重要手段,通信服务与网络基础服务为DDoS 主要攻击目标

 

DDoS 攻击目前成为国家、政治团体甚至恐怖组织最为直接的常用手段。当前,大量物联设备不断接入互联网,脆弱性广泛存在,成为 DDoS 攻击的作战资源。在此次冲突中,支持双方的黑客组织在网络空间实施了一系列恶意的网络攻击,包括 DDoS 攻击、数据窃取、网站污损等,干扰和破坏对方网络设施,其目标还主要是政府、金融等重点行业的重要网站,可想而知,影响范围较广,甚至整个国家。从巴以冲突双方在网络空间的较量来看,DDoS 攻击除了攻击 Web 服务器外,还将 DNS 服务、关键邮件服务列为攻击目标。相较于传统的攻击 Web 服务,攻击 DNS 服务、关键邮件服务这些基础服务影响更大。DNS 服务一旦瘫痪,会影响整个区域内的域名解析,网站、电子邮件服务等多种服务无法访问,造成网络通信中断。关键邮件服务一旦瘫痪会造成通信中断,影响重要信息的传递,使通信暂时“致盲”。

 

2、网络攻防和认知战相互交织,认知战成为网络战争的重要一环

 

巴以冲突爆发以来,双方在舆论上交锋的内容、呈现形式和程度变化与军事领域密切相关。在其背后,更深层次的原因是双方对舆论话语权的争夺,试图以舆论的力量威慑并压制对方。双方支持者通过网络攻击方式外,还通过认知战引导舆论来宣称自己是正义的行为,自己进行“邪恶”的网络攻击是为了民众,为了“正义”。亲巴方使用社交平台开展认知宣传,如社交媒体威胁情报提供商 Cyabra 分析了超过 100 万条帖子、图片和视频,发现哈马斯控制的虚假在线帐户是为了传播虚假信息或收集有关目标信息而创建的,其中参与在线对话的社交媒体帐户有五分之一是假的。同时,亲以方塑造受害者形象,为军事行动争取“法理道义”,借助在全球媒体平台上的垄断性地位,主动引导国际舆论,影响民众认知。以色列高层多次现身电视节目,驻外使领馆也纷纷发声,将哈马斯塑造成十恶不赦的恐怖分子,将以色列的军事行动描述成正义行动。当前,正如这场战争所证明的那样,认知战和网络战可能会加剧紧张局势并使谈判复杂化。

 

3、新型数据擦除器工具涌现,网络攻击更具针对性和复杂性

 

在此次冲突中,亲巴黑客组织已经在针对以色列目标使用基于 Linux的擦除器恶意软件(BiBi-Linux-Wiper)。Wiper 恶意软件已在俄乌冲突中使用,并被证明具有有效的破坏性,通常用于造成证据破坏和网络战,它可以“擦除”数据、覆盖数据或损坏数据。随着更多擦拭器的部署,预计还会出现其他惩罚性网络攻击,例如部署勒索软件来锁定系统并窃取/分发被盗数据。此外,黑客组织可能会对高价值人士进行人肉搜索,以暴露他们的敏感信息,这些信息可用于物理和/或数字目标。当前,巴以冲突持续发展,这些黑客组织就越有可能参与除网页篡改和 DDoS 攻击之外的其他形式的更危险的网络攻击。

 

4、选边站的黑客组织试图攻击双方的关键基础设施,并快速形成“战时”利益团体

 

在此次巴以冲突中,选边站的黑客组织试图攻击双方的基础设施,将对方支持者拖入冲突,在网络空间开辟新的战场。瘫痪媒体、政府与社会保障机构网站,甚至攻击以色列“铁穹”导弹防御系统和火箭袭击“警报”应用,支持双方的各种黑客组织发起的网络攻击,令这场混合冲突持续升级,地区持续不断的武装冲突可能会吸引更多黑客组织加入这场网络攻击。这些攻击的技术并不复杂,但却展现出危及信息传播、企业收入,甚至关基设施的“强大能力”。从亲巴黑客组织来说,冲突升级以来的短时间内,黑客组织针对数十个以色列政府网站和媒体网站进行破坏和分布式拒绝服务攻击,试图用垃圾流量使其瘫痪。据悉,黑客组织成功瘫痪了以色列财政部、社会保障机构、甚至著名摩萨德间谍机构以及耶路撒冷市政府等 50多个网站。一些黑客组织声称窃取了数据,攻击了互联网服务提供商,并入侵了以色列导弹预警系统“红色警报”。

 

从此次巴以冲突看,各个黑客组织并非始终单体“作战”,具有相同利益的组织会相互示好并快速形成“战时”利益团体。这些组织平时独立行动,但由于“战时”具有相同利益,从而快速结合扩大攻击力量,如此次巴以冲突事件中的社区网络运营联盟机构(C.O.A)团体、Killnet 与Anonymous Sudan 等黑客团体,很多黑客组织也会因为自己的利益诉求临时组建并加入攻击。

 

四、几点启示

 

1、关键基础设施的脆弱性再次敲响警钟,网络安全能力建设迫在眉睫

 

从俄乌冲突到巴以冲突中的网络战,对关键基础设施的网络攻击不断升级,此次冲突中以色列电力、卫星与工控系统安全持续受创,凸显了关键基础设施基本服务的脆弱性以及采取强有力的网络安全措施的必要性。作为中东地区的网络强国,以色列号称“网络安全能力位居世界前五”,拥有世界领先的作战武器和享誉全球的情报机构,以色列国防军及其 8200部队更是拥有惊人的进攻和防御能力,可在这场波及全球的黑客混战中,以色列却屡屡受挫,网络安全防御能力受到质疑。巴以冲突的网络战争给全球各国敲响了警钟,敦促各国重视网络安全能力建设,以应对日益互联的世界中未来冲突的复杂性。各国应对未来可能发生的网络攻击做好充分准备,并采取积极主动全方位的网络安全措施。

 

2、网络战已充分融入军事行动,实施网络攻击成为信息化时代战争“优先项”

 

在现代战争开局阶段,利用网络战损毁敌国关键信息系统,窃取军事情报,瘫痪互联网、通信、交通、能源、金融等关键基础设施,打击敌方军事指挥控制能力,已经是“首要必选手段”。事实上,网络攻击与军事行动的协同作用已被多国国防战略或军事条令所认同,并不断得到军事实践的验证。巴以冲突进一步印证伴随现代军事行动的网络攻击是信息化时代战争形态的必要元素。网络战最重要的战场就是关键基础设施领域,巴以冲突中的黑客组织纷纷瞄准工控系统。黑客活动分子通过追踪各种 ICS(工业控制系统),试图破坏关键基础设施并引起国际关注。他们选择该目标的原因正是因为针对关键基础设施的网络攻击可能会产生严重影响,包括运营中断、安全隐患、经济成本和声誉损害等等。

 

3、网络战往往会引发连锁反应,蔓延其他相关国家

 

网络空间博弈不受地域限制,随时随地都会发起攻击,这就导致网络空间博弈不止在交战双方,会有多方势力的黑客组织参与到网络攻击中,在此次冲突中,有俄罗斯、印度、巴基斯坦、印度尼西亚等多个国家的黑客组织参与到攻击中。如 Garuna Ops 组织攻击巴厘岛与孟加拉相关网站,这会导致一连串的攻击响应,引发连锁反应,导致更大规模的攻击。10 月12 日,黑客组织以韩国支持以色列为由对韩国外交部驻全球多个国家网站发起攻击并导致瘫痪。网络通联性测试网 check-host.net 实测数据显示,直到 10 月 14 日,韩国驻以色列大使馆官网尚未恢复对外服务。由于美国和其他北约联盟国家向以色列提供支持,西方组织可能会被视为以色列基础设施的延伸,成为网络攻击的目标。目前巴勒斯坦黑客组织“巴勒斯坦幽灵”号召全球黑客瞄准以色列和美国的基础设施。随着各方势力的黑客组织“站队”后,除了攻击交战双方境内的网络关键基础设施外,网络攻击的“战火”还会蔓延至所属黑客组织的国家中。

 

五、结 语

 

伴随着巴以冲突的持续升温,全球黑客混战再度上演。当前,巴以冲突与仍在进行的俄乌冲突有许多相似之处,虽然巴以冲突仍处于早期阶段,但它有可能迅速升级,并有愈演愈烈之势。作为中东地区的网络强国以色列,却在这场举世震惊的冲突中,对哈马斯突袭行动却毫无防备,这给以色列和全球各国敲响了警钟。随着网络战成为现代战争的重要组成部分,以色列在应对各种网络攻击的同时,正在全力发展自身网络攻防能力,并仿照“铁穹”导弹防御系统设计了“网络穹顶”。面对当前严峻的网络安全形势和关键基础设施的脆弱性,我们要加速构建网络安全防护能力体系建设,加强网络演习和预警演练,同时寻求全球性的网络治理机制以减少此类网络攻击事件的发生。

 

供稿:三十所信息中心

 

杭州中电安科现代科技有限公司

 

中电安科成立于2016年,是国内领先的工控网络安全产品与解决方案提供商,同时也是国家级“专精特新‘小巨人’企业”。公司始终聚焦工控网络安全产品的自主研发,以“可知”“可管”“可控”为防护理念,凭借覆盖安全审计、边界防护、安全管理、终端防护、云安全等全域的工业网络安全产品体系,以创新赋能电力、石油石化、交通、智能制造、矿业开采、港口码头、军队军工等重要关键信息基础设施行业用户。自2021年起,公司相继获中国电科、中国中车、国家电网、长江资本等央企旗下产业基金战略投资,正式进入网络安全“国家队”。

 

专注工控安全

 护航关基民生

www.zd-sec.com

 400-606-8226

渠道合作:李经理 19157600997

技术咨询:齐经理 15010390956

品牌合作:赵经理 15010923501

相关新闻