1 月 3 日,伊朗政府的關鍵人物卡西姆。蘇來曼尼少將在伊拉克巴格達機場遭遇美軍無人機殺害后,美國國土安全部發出警告稱,伊朗有能力對美國的關鍵基礎設施進行具有臨時破壞性的網絡襲擊。就在美國發布警告的次日,美國聯邦儲備圖書館營運的網站就遭到了攻擊,在之后的幾個小時里,許多美國非政府網站也遭到了同一批黑客的破壞,并顯示了伊朗要報復美國的相關消息。美國多家網絡安全公司的分析報告稱,總部位于伊朗的某網絡間諜組織試圖通過發送網絡釣魚郵件來進攻美國政府,軍事以及其他包括金融、石油和天然氣等領域的網絡系統。美軍方警告說,伊朗很可能發起一波破壞性的網絡攻擊浪潮。伊朗已經花費了數年的時間培養黑客能力,不僅可以執行大規模破壞計算機設備的行動,而且還可以對電網和供水系統等西方關鍵基礎設施進行攻擊。就目前來看,美方對伊朗的網絡行動還是處于高度戒備的狀態,網絡襲擊確實是伊朗對蘇萊曼尼被殺所采取的首個報復手段。
一、美伊網絡戰由來已久
美伊網絡戰最早可追溯到 2010 年震驚世界的震網事件,美國通過震網病毒摧毀了伊朗核實驗設施,極大影響了伊朗核試驗的進度。這是世界各國第一次認識到網絡戰的可怕。這種病毒是美國首個被揭露的超級網絡破壞武器,這種武器美國至少掌握 200 種。
2012 年初,伊朗使用一種名為 Shamoon 的惡意軟件對美國的石油公司發動進攻。這是伊朗發起的一起相對嚴重的網絡攻擊,清除了美國石油公司至少 30000 臺計算機。
2012 年 9 月,名為網絡戰斗機的組織在名為“阿巴比爾行動”的網絡戰役中對美國銀行基礎設施進行了 DDOS 攻擊。
2014 年 2 月,美國金沙拉斯維加斯公司遭受伊朗黑客攻擊。這次攻擊關閉了通信系統,并清除了硬盤驅動器。
2016 年,據稱美國和以色列聯手開發了一款名為火焰的計算機病毒, 火焰病毒比震網病毒結構更復雜、破壞力也更強,旨在繪制伊朗計算機網絡的地圖,并監控伊朗官員的計算機,從而針對伊朗核項目發動網絡戰。
2016 年 3 月,美國指控七名伊朗黑客對 46 家美國公司進行協同攻擊。
2018 年 3 月,美國司法部指控 9 名伊朗黑客對美國銀行和紐約大壩進行了網絡攻擊。竊取了美國公司數據。
2019 年 6 月,伊朗伊斯蘭革命衛隊聲稱其擊落了一架屬于美國海軍的無人機后,美國對伊朗發動了網絡攻擊,這次襲擊清除了 IRGC 數據庫,除成功癱瘓伊朗控制火箭和導彈發射的電腦系統外,還同步摧毀了一個負責追蹤海灣船只的間諜網絡。
2019 年 9 月,沙特阿拉伯的石油設施遭受攻擊,沙特和美國均宣稱調查顯示伊朗才是背后黑手。消息人士透露,在攻擊事件發生后,美國隨即對伊朗發動了秘密網絡攻擊,目標是針對伊朗的宣傳能力,這次網絡攻擊行動影響到了伊朗的物理硬件。
2019 年 10 月,伊朗政府相關黑客組織發起名為phosphorous 的攻擊, 試圖破壞與美國總統大選有關的賬戶。
二、美國的網絡戰力遙遙領先
美國是全球網絡空間事實上的超級霸主,作為網絡戰的始作俑者,其網絡戰實力超強。不僅是網絡戰力最強的國家,也是發動網絡戰最多的國家。美國早在 2009 年 5 月就率先成立了網絡戰部隊,6 月組建網絡戰司令部,10 月網絡司令部全面運行。2018 年 5 月美國網絡司令部正式升級為獨立的聯合司令部,升級的網絡司令部將把網絡行動整合到單一的指揮官下面,從而幫助簡化時間緊迫的網絡行動的指揮和控制,升級也將確保重要網絡行動獲得足夠資源的支持。網絡司令部的升級顯示了美國應對網絡威脅的決心,并形成威懾。這意味著網絡空間正式與海洋、陸地、天空和太空并列成為美軍的第五場,網絡空間軍事化趨勢正進一步加劇。美國網絡司令部的升級是美國落實“懾戰并舉”戰略思想的重要舉措,必將對全球網絡空間戰略穩定發揮重大影響。據稱目前美國開發的網絡武器多達2000 種,是世界上頭號網絡武器大國,美國還利用通過壟斷設施、監視全球,使網絡公共空間成為其私有領地,美國在網絡空間領域占據著絕對優勢。
2.1 美網絡攻擊能力超強
目前,美軍約有 3000-5000 名網絡專家,涉足網絡戰的軍人在 5 萬到 7 萬之間,如果再加上原有的電子戰人員,美軍的網絡戰部隊人數 在 8.87 萬人左右。特朗普上臺后,美軍展開網絡攻擊的自由度大大增強。2018 年 5 月,美軍宣布其組建的 133 支共 6200 人的網絡任務部隊具有全面作戰能力。其中國家任務部隊 13 支,網絡防護部隊 68 支,作戰任務部隊 27 支,網絡支援部隊 25 支。在這 133 支網絡任務部隊中,陸軍負責提供 41 支,海軍負責提供 40 支,空軍負責提供 39 支,海軍陸戰隊負責提供 13 支,由此美軍網絡空間力量體系基本成型。美軍網絡空間力量參與了多種國內外網絡行動,展示了強大的作戰能力和作戰效果。除這 133 支部隊之外,美國陸軍預備役和國民警衛隊正在組建 21 支網絡保護分隊,計劃在 2024 財年具有完全作戰能力。2018 年美發布的《國家網絡戰略》明確提出要用主動防御和攻擊手段來降低對手發動網絡攻擊的意圖和能力,并宣稱必要時可以采用先發制人的網絡攻擊。2018 年 6 月,美軍參聯會頒布《網絡空間作戰聯合條令》升級版,為網絡戰力量遂行作戰行動提供了法規保障。8 月,特朗普廢除了第 20 號總統令,其目的是為網絡戰松綁,將決策權下放給國防部長,使程序相對簡化,易于操作。與此同時,五角大樓發布《國防部網絡戰略》,要求美軍奪取并保持網絡空間優勢,保衛美國網絡安全。在網絡空間建設更加致命的軍事力量,包括加快網絡戰和打擊惡意網絡行動的能力建設,確保聯合部隊能夠在日常行動和戰時利用網絡空間開展行動。美軍在網絡戰的法規保障、編制體制、武器裝備和訓練演習方面達到世界領先地位。
從美國實施網絡攻擊的對象來看,俄羅斯、伊朗、朝鮮等均為美國戰略對象國和威脅目標,但美國擁有遠超對手的網絡攻擊能力。
從美國攻擊的具體目標來看,核設施、導彈、電網、網絡服務基礎設施均為防護嚴密的關鍵設施和系統,顯示出美國擁有對核心目標的網絡攻擊能力。
從美國網絡攻擊手段和技術來看,其技術超前性、手法創新性和程序嚴密性均令人嘆為觀止,且貫穿偵察、滲透、情報、指揮、打擊等全流程,顯示出美國擁有極強的綜合網絡作戰能力。在接入手段上,掌握口令破解技術、漏洞滲透技術、“木馬”技術、旁路“偵聽”技術等網絡目標滲透技術;具備通過無線監聽、搭線監聽獲取敵方通信內容的能力;具備綜合運用多種手段,分析、發現關鍵指控節點的能力;通過網絡監聽與口令破解工具,已能獲取敵方網絡協議、硬件地址、口令、身份鑒別過程等信息。在目標選擇上,采取甄別方式鎖定目標來進行特定攻擊,可以根據計算機上的信息判斷目標是否存在攻擊價值。在攻擊目標分析上,美軍掌握網絡目標主機拓樸結構分析技術、目標服務分布分析技術、目標網絡漏洞掃描技術等網絡目標信息搜集技術。采用網絡分析工具、網絡安全掃描器等掃描工具已能獲取敵方網絡的漏洞信息。在擾亂欺騙上,掌握一定網絡欺騙技術手段。通過對網中傳輸信息的格式和長度等屬性的分析,對其內容進行篡改,已能實現欺騙對方的目的。在癱瘓摧毀上,掌握目標服務終止、目標系統癱瘓、目標網絡癱瘓等網絡摧毀技術。具備對特定基礎設施進行定向選擇攻擊的能力。
從美國實施網絡攻擊的支撐體系來看,美國在戰略、戰役、戰術等多個層面實現網絡武器體系化建設、管理和應用,逐漸實現型譜齊全、全域覆蓋,顯示美國已經擁有體系化網絡武器庫。
從美國開展網絡空間合作和結盟態勢來看,美國建立了包括北約、五眼聯盟以及美日等國際多邊和雙邊戰略同盟,有層次、成體系,顯示出美國已經在國際社會中建立了網絡空間利益共同體。
2.2 對伊的網絡作戰樣式
美國對伊朗可能采用的具體作戰樣式如下:
一是:預植后門,遠程攻擊。伊朗作為美重點關注的對象,美從來沒有間斷過對伊朗網絡空間的窺探工作。美國掌握著計算機芯片、操作系統、應用軟件等核心技術,在銷售給對手國家的設備中預置后門,并擇機進行控制或破壞是美國慣用的攻擊手段。美國在西方公司出售給伊朗的儀器、機械、軟件程序中隱蔽植入了木馬病毒或后門程序,德國明鏡周刊公布的保護美國國家安全局 49 款裝備的網絡入侵裝備清單中就能植入 FPGA 芯片的三個模塊,這些模塊可根據不同的用途配置成微型化硬件植入目標中,實現信息竊取和遠程控制等功能。
二是:利用漏洞,攻破體系。利用漏洞破壞體系就是發現并利用網絡漏洞,在未經授權的情況下進入、訪問或破壞信息網絡,進而控制網絡、影響其功能發揮, 甚至破壞網絡體系支撐下的戰爭體系。美國在漏洞利用方面具有得天獨厚的優勢。美軍利用漏洞破壞體系的方式主要分為兩種。一是組合使用,即利用多個漏洞組合或與密碼攻防、信息控制等其他機理組合使用實施突破攻擊。二是精確攻擊,尋找體系中特有的漏洞,實施精確攻擊,如震網病毒就只針對西門子公司生產的離心機控制芯片進行攻擊。
三是:虛假信息,干擾欺騙。美軍在伊拉克戰爭期間,曾使用 EC-130H 電子干擾機在干擾伊軍通信網絡的同時,還向部分頻段的通訊網散發假消息和假指令,以至于美軍差點接管了伊軍的全部地面部隊。
四是:投放病毒, 精確打擊。病毒攻擊是網絡空間作戰的重要方法和手段,根據實際作戰需求既可實施全面致癱攻擊,也可定向精確打擊。利用病毒定向精確打擊是根據不同作戰對象特點,適時投放有針對性的可控病毒,造成關鍵節點無法正常工作,甚至導致硬件損傷,實現對重要目標的定向精確打擊。
五是:特工潛入,隱蔽致癱。最著名的例子就是 2010 年美以兩國使用震網病毒,攻擊伊朗核設施。伊朗核設施作為保密設施,一般不會連接外網,這時特工就發揮了重要作用。美國特工把震網病毒放到伊朗核設施工作人員的 U 盤中,工作人員把感染的 U 盤插入到內部計算機后,病毒隨之開始傳播。2010 年 10 月,伊朗情報部長穆斯里希就曾宣布,數量不明的間諜人員因涉嫌震網病毒被捕。
六是:破譯密碼,滲透網絡。密碼攻擊就是采取密碼破譯手段,突破敵方信息網絡的密碼系統,還原加密信息以取得對網絡、信息的控制權,是隱秘的作戰行動。密碼是網絡空間的最后一道防線,密碼一旦被破譯,就可以隱蔽進入敵方系統,層層突破密碼關防,實現對敵方核心網絡的秘密控守,獲取機密敏感信息,同時還進一步植入病毒、篡改數據,發動網絡攻擊。在伊拉克戰爭中,美軍通過伊軍從西方國家進口的密碼設備掌握了伊軍保密通信系統,為美軍獲取戰爭的主動權發揮了重要作用。
七是控制信息,影響決策。控制信息就是通過控制信息網絡中的載體、信息運動、信息內容及信息利用,進而影響網絡輿情、態勢感知乃至指揮決策。美軍實施信息控制作戰戰法的主要手段包括:信息遮斷、信息延時、信息重發、信息過載、信息篡改、信息欺騙和輿論奪控等。尤其隨著大數據分析成為戰略決策的基本依據,網絡輿論戰發展成為獨立的作戰樣式,網絡輿情引導也成為網絡空間博弈和安全斗爭最尖銳的部分,美軍充分利用門戶網站、社交網絡、微博、微信等平臺,運用全媒體手段和網絡輿情監控、分析、引導等新型智能化系統,爭奪輿論主導權。2011 年在中東、北非的茉莉花革命期間,美國操縱社交網絡新媒體興風作浪、推波助瀾,直接或間接導致局勢的惡化和失控。此外,美國還在世界各地建立隱形互聯網,用于在發生大規模騷亂的地區隨時接入全球互聯網,幫助參與者繞過本國政府的監控,即所謂的用數字暴動來代替顏色革命。
此外,還有一種方式需要引起注意,就是美國可利用自己掌握全球大多數網絡根服務器,監管全球網絡域名和網址的先天優勢,干擾他國網絡的正常運行。在塔利班統治阿富汗時期,美就將阿富汗的國家域名管理權授予了前流亡政府,后來又在 2003 年轉交給由美支持的阿富汗過渡政府。
三、伊朗網絡戰力分析
近年來,伊朗的網絡能力迅速提高。雖然伊朗目前還沒有處于全球網絡力量強國的最前列,但它在網絡戰的戰略和組織能力方面領先于大多數國家。伊朗對網絡作為國家權力工具的效用表示贊賞。它在秘密活動方面的豐富經驗有助于指導其戰略和行動,利用網絡作為脅迫和武力工具,并創建一個復雜的組織機構來管理網絡沖突。
伊朗發展網絡力量是對其脆弱性的反應。伊朗是外國網絡間諜活動的經常目標。伊朗領導人最擔心的是他們自己的國人和互聯網會面臨類似阿拉伯之春那樣的風險。在 2009 年的綠色革命期間,伊朗安全部隊開始發展他們的黑客攻擊能力,以擴大對國內的監視和控制,這些行動是伊朗網絡能力發展的根源。多年來,伊朗與以色列和沙特阿拉伯的持續交戰提高了其網絡能力,而秘密行動的經驗使伊朗有能力使網絡攻擊如何適應更大的軍事行動。伊朗使用的工具通常是來自黑市的經過修改的惡意軟件,這些惡意軟件通常不具有更先進的網絡武器的破壞效果。以色列國防軍 C4I 部隊負責人表示,伊朗黑客組織近幾年越變越好。隨著全球各個國家對區塊鏈技術的重視,各國加大布局和戰略制定,全力推動區塊鏈產業的發展,區塊鏈技術在各領域應用落地的步伐不斷加快,但產業規模和增長漸緩, 投融資交易熱度下降。
3.1 伊朗全面提高網絡攻擊能力
從伊朗網絡攻擊活動歷史軌跡來看,伊朗的網絡攻擊能力從最開始粗淺的網站首頁涂改,逐漸發展到可進行網絡間諜活動、網絡假消息宣傳、分布式拒絕攻擊和入侵關鍵基礎設施網絡等較全面任務的水平,顯示伊朗網絡戰能力正在不斷增強。2019 年 1 月,美國情報機構在其發布的《全球威脅評估報告》中認為,伊朗的網絡間諜和攻擊威脅能夠攻擊美國官員、竊取情報,能夠讓大型企業的網絡癱瘓數日,甚至數周。2019 年 4 月,有黑客組織發布了據稱屬于伊朗國家背景的APT 攻擊組織APT34 的網絡武器庫,顯示具有較強的攻擊能力。趨勢科技也在2019 年發布了黑客組織APT33 的相關信息;該機構以針對能源部門發動破壞性攻擊的 Shamoon 惡意軟件著稱,主要攻擊針對美國和中東地區的石油天然氣行業,聽命于德黑蘭黑客組織。安全專家認為,伊朗網絡攻擊組織一直致力于尋求攻擊基礎設施、工廠和油氣機構,一場由伊朗政府機構支持的網絡攻擊報復將可能導致電力中斷和城市癱瘓。比如,2012 年伊朗的黑客就試圖攻擊紐約市郊的水壩系統。
伊朗一直將網絡攻防手段作為對美的一種非對稱手段,重點進行發展。伊朗有自己的網絡安全戰略,主要有兩個目標:1. 保護關鍵基礎設施和絕密資料免遭各種形式的入侵。2. 壓制在網絡空間中的反伊活動。
2010 年年底,伊朗成立了一支名為網絡防御司令部的組織,實際上是伊朗網軍的馬甲,受命于伊朗武裝部隊聯合參謀部的指揮。這支網軍具備相當強悍的戰斗力,2012 年美國各大銀行系統和沙特美石油公司網絡遭到大規模攻擊,造成數據被篡改和清空,系統崩潰。2014 年,以色列互聯網遭到多頻次大規模網絡攻擊。2015 年,土耳其電力系統在網絡攻擊下崩潰, 包括首都在內的全國 44 個地區大規模停電 12 小時,而這些活動的始作俑者都指向伊朗網絡作戰部隊,伊朗革命衛隊領導稱伊朗擁有世界第四網軍。
伊朗的網絡部隊主要分為以下幾個部分:
APT33,主要進行網絡偵察和情報收集。APT,是指組織或者小團體利用先進的攻擊手段,針對特定對象,長期、有計劃和有組織地竊取數據。伊朗高級持續威脅組織被火眼公司標記為 APT33。該組織從 2013 年起就針對國外關鍵基礎設施、能源和軍事部門收集情報。
伊朗網絡防御司令部,主要負責網絡防御。該司令部成立于 2011 年, 主要職責是保護伊朗基礎設施免遭網絡攻擊,阻止有人利用互聯網從事間諜及破壞活動,對國內反動派進行暗中監視。下轄計算機應急響應小組協調中心,主要是促進溝通,協調國家應對網絡威脅的行動。
伊朗網軍,主要負責網絡進攻。該部隊成立于 2005 年,是伊朗革命衛隊的一部分。這支隊伍由受過專門培訓的計算機和信息技術專家組成。2009 年 12 月 18 日,該部隊因攻擊推特而名噪一時。此外,還有巴斯基民兵, 主要負責在社交網絡和博客中進行親伊朗政府的宣傳活動。
3.2 對美的網絡作戰樣式
伊朗僅具備相對有限的網絡攻防能力,可對美國有限的安全防護較差目標開展網絡攻擊。從已曝光伊朗黑客行動來看,伊朗對美國以及美國在中東的盟友相關目標廣泛開展網絡攻擊滲透活動,涉及政府以及金融、能源、電信等多個行業和部門,目標在于竊取情報信息、開展滋擾破壞、顯示網絡行動能力。預測伊朗對美國開展網絡斗爭的戰略為全時尋隙滲透、無序發動攻擊,作戰目標將瞄準易滲透的美國國內脆弱民間目標和系統。
伊朗的網絡能力在技術上是創新的,伊朗人在網絡空間可能采取的幾種應對方式:分布式拒絕服務攻擊;數據刪除;對工業控制系統的攻擊;網絡滲透;網絡間諜活動,以及采取軍事行動。
數據刪除或對工業控制系統的攻擊被認為是伊朗的主要網絡手段,這種攻擊是針對美國基礎設施的。與這種攻擊最有關的使用將是在美國軍事網絡上。伊朗并未直接攻擊美國的網絡,但已經滲透到了某個網絡。這可能會對網絡造成永久性損害,并有可能破壞物理硬件。
進行網絡間諜活動以跟蹤和瞄準人員進行暗殺或恐怖襲擊的另一種可能性。類似的攻擊可能會利用某種與網絡相關的情報來促進這種攻擊,無論是跟蹤某人的電話以獲取實時地理位置信息,還是發展一種生活模式, 然后將其用作目標人群。據稱伊朗的網絡間諜和攻擊威脅能夠攻擊美國官員、竊取情報,能夠讓大型企業的網絡癱瘓數日,甚至數周。
網絡滲透也是伊朗慣用的一種攻擊手法。伊朗政府在線利用其功能的 主要方法之一是利用虛擬專用網漏洞滲透并在世界各地的公司中植入后門。據一家名為 Clearsky 的網絡安全公司發布的新報告稱,伊朗黑客去年將目標鎖定為來自 IT、電信、石油和天然氣,航空,政府和安全部門的公司。此類攻擊證實了伊朗的網絡能力已經比以前想象的要復雜得多。這些攻擊 的目的具有雙重性。首先,它要能直接訪問在線政治和商業平臺。其次, 此類攻擊能讓伊朗政府在選擇時訪問敵人的信息。VPN 在提供對網絡的遠程訪問中起著至關重要的作用。它們的主要功能是在第三方和公司網絡之間建立數據隧道,并對其進行保護。后者主要通過加密來實現。
從 2011 年底開始,伊朗行動者還利用 DDOS 攻擊了美國銀行,盡管這種策略是阻止使用網絡的臨時措施。雖然危害性較小,但當時的伊朗襲擊在技術上頗具創新性。此外,2019 年 12 月,伊朗政府支持的黑客發動新的破壞性惡意軟件攻擊能夠刪除運行 Windows 操作系統計算機上的數據,黑客使用了名為ZeroCleare 的新型惡意軟件,將目標鎖定在中東的能源公司。FireEye 的專家認為,伊朗的此類襲擊正在上升。
值得關注的是,美國 2020 年將舉行總統大選,伊朗將極有可能借機開展網絡攻擊,竊取候選人資料、開展勒索軟件攻擊、傳播網絡虛假消息等。網絡戰已經成為美伊斗爭博弈的重要形式和手段,美伊間相互的網絡攻擊從未真正停止過,除非局勢發生根本性變化。美國網絡攻防能力巨強, 但對網絡的依賴度更深,對網絡攻擊的損失接受度更低;伊朗與美國在網絡戰水平上存在差距,但其網絡行動能力正在不斷提升,已經成為美國不可小視的網絡對手。可以預見,美伊網絡空間斗爭未來將是一個長期復雜的過程,現實沖突與網絡空間沖突相互交織影響將成為美伊斗爭的新常態。美國土安全專家甚至認為,2020 年針對伊朗高官的定點清除,可能推動網絡攻擊進入新時代;一直避免升級的規則不再存在,將會進入更加混亂, 不受限制的新時代。
美國在網絡空間具有強大的攻擊、威懾和防御能力。網絡空間作戰功在平時、用在戰時,作戰能力的形成非一朝一夕之功。應著力研發自主核心技術、提高網絡空間技術整體水平。加強電力、通信等關鍵性基礎設施的防護能力。
