1月27日,伊朗国家电视台多个频道被黑客攻击,电视画面出现两位政治异见团体领导人照片,并出现呼吁杀死伊朗最高领导人的照片。

前不久,正值伊朗革命卫队“圣城旅”指挥官卡西姆·苏莱曼尼逝世两周年纪念日。亲伊朗黑客连夜攻入两家以色列媒体的官网和推特,将一张写有“我们就在你附近,在你想不到的地方”的图片po在首页。

入侵与被入侵是网络空间亘古不变的主题,是大国角逐的第五空间。在海陆空天之外,这片无形的战场硝烟弥漫,你来我往攻城拔寨。以往,伊朗通常作为网络攻击者的形象出现,若干APT组织被指向拥有亲伊朗背景;但最近伊朗频频转换角色成为“被攻击者”。

图:《耶路撒冷邮报》官网

网络空间的“软战争”,重要性不亚于核问题

伊朗的安全机构,即负责国家内部又负责外部的安全,即国防和情报机构的结合体。该国政权提出,网络空间是“软战争”,即西方利用文化和政治颠覆伊朗国家。

武装部队总参谋部 (AFGS) 网络总部指挥官贝鲁兹·埃斯巴蒂 (Behrouz Esbati) 表示“在伊朗和美国之间的网络战争中,决定性因素是文化,而不是计算机系统攻击或网络攻击。”

他认为,网络战争是对网络内容生产和管理的控制能力,他口中的网络内容特指宣扬西方价值观和伊斯兰革命价值观的内容。在他看来,“网络安全的重要性不亚于核问题。”

伊朗的国家安全机构(情报部和伊斯兰革命卫队)和其他国家有所不同,它结合了革命机构和国家机构,既负责内部又负责外部安全(国防和情报事务)。因此像军队和警察这样的国家机构和伊斯兰革命卫队(Islamic Revolutionary Guard Corps)、革命委员会和非正规部队(真主党)等意识形态机构互相掣肘。

其情报部门发展还不成熟,它是由SAVAK(萨瓦克,秘密警察,国内安全和情报机构)的大部分旧部和革命部队组成。萨瓦克是伊朗的Mohammad Reza Shah在美国中央情报局(CIA)的帮助下建立的,从1957年运作至1979年,在1979年巴列维王朝被推翻前,萨瓦克被描述为伊朗"最令人憎恨和恐惧的机构"。

图:伊朗埃布拉特博物馆,展示萨瓦克回忆

伊朗法律规定,情报部长必须是神职人员,有时内政部也会由神职人员领导,其协调和职责分工由法律规定。

国家主要的安全战略决策机构是由总统担任主席的“高级国家安全委员会”(HNSR)所做出。敏感的安全政策决定由非正式的“三权分立委员会”(立法/行政/司法)做出。

在网络战争中,组织Basij-e Mostazafin很活跃,负责网络监控等工作。该组织成立于1982年,在伊拉克战争爆发之后,伊斯兰革命卫队经历了军事化演变,Basij是作为伊斯兰革命卫队的后备军创立,起初担任着辅助警察和群众运动的职能。后期Basij逐渐活跃于网络监控领域,包括负责实施黑客攻击和防御等职能。虽然Bsij的互联网指挥部想把自己打造成威胁情报中心,但实际上网络战争仍由情报部门负责。

网络攻防能力

网络空间已是国家间的必争之地,攻击和防御能力是国家网络实力的体现。攻击包含入侵别国计算机网络系统、远程部署和实施网络攻击行为;防御包含入侵检测、攻击预警和防灾恢复,保护本国关键信息基础设施、重要网络系统和数据库。

根据目前可公开信息整理,伊朗网络作战能力主要来自三支力量:伊斯兰革命卫队的网络战分支、黑客团体、神秘组织“伊朗网络军”。

(1) 伊斯兰革命卫队的重要职能之一是情报搜集,聚集了全国顶尖的网罗人才、技术和设施,其任务是对外部进行网络攻击并保护本国的关键信息基础设施和网络。据新华社报道,伊朗伊斯兰革命卫队还与网络安全与通信领域的公司开展合作,主要目标是抵御美国的网络攻击和攻击美国的网络信息系统。

2011年12月,在伊朗东北部,美国一架RQ-170无人机的指挥控制信号被接管而落入伊朗之手,据信这是伊朗伊斯兰革命卫队网络战部队的“杰作”。

(2) 黑客团体是一些分散的个人黑客和黑客组织,其背后的支持者有极大可能是伊朗政府,必要时被组织起来发起团体性网络攻击活动。这些黑客团体参与国家性网络作战行动的外围和支持性工作,充当“人海战术”中不可忽视的作战力量。一个名为“Ashiyaneh”的黑客组织,自称对2010年千余个美国、英国和法国的网站被黑负责。这支力量日常活跃在网络社交媒体和论坛上,开展发送虚假信息和钓鱼式攻击等活动。

(3) 神秘组织“伊朗网络军”经常发起网络窃密和网络攻击活动,攻击目标包括美国和以色列,还包括极端组织“伊斯兰国”和“异教徒”逊尼派组织。自其2005年公开活动以来,其成员构成和来源一直很神秘,有一种说法是“伊朗网络军”是伊斯兰革命卫队组建的一支负责防御网络攻击的网络军事部队。

图:2011年在德黑兰网吧上网的伊朗公民

三种常用的网络攻击手段

伊朗的网络能力来自本国的大学及黑客社区,并且经常使用代理机构来掩盖其网络行动,这种行动于该国的安全机构(情报部和伊斯兰革命卫队)有关。使用代理有助于伊朗进行合理性否认,且相对较低的成本,也不容易在政治上引起反弹,还可以有效防止目标或受害者行使法律追索权。

在其对外网络攻击手段中,选举攻击、知识产权窃取攻击和关键网络基础设施攻击十分常见。

选举攻击

在国际关系中,干预选举是一个相对较新的攻击手法和领域。部分原因是因为只有少数国家拥有影响选举的技术工具箱,并能有效利用它。伊朗的网络攻击者认为,干预美国选举有利于保障伊朗在海外的利益。

多数美国媒体指责伊朗攻击过美国选举系统,美国将伊朗视为一个潜在威胁者,虽然关注程度不及其“头号大敌”俄罗斯,但也榜上有名。

据MEI@75表示,伊朗攻击者干预了2020年美国大选。阿拉斯加州和弗罗里达州等选民收到了威胁邮件,邮件内容包含个人信息、收件人家庭住址等隐私信息,邮件据称来自美国极右翼极端组织Proud Boys,并威胁“我们会追踪那些没有给特朗普投票的人。”

但后来美国政府的分析人士称,这些行为是伊朗的攻击者假借Proud Boys之名,煽动进步派对特朗普靠向右翼团体的怒火,从而影响特朗普在2020年大选中的胜率。

图:2018年伊朗报纸头版上刊登关于唐纳德·特朗普的消息

知识产权窃取攻击

在当前国际制裁的局势下,伊朗开辟了另一种网络攻击形式——知识产权窃取。伊朗由于受到制裁,学术和科学交流受限,独自追求科学和技术进步的能力大大削弱。从大学和其他组织窃取研究成果,有效地让伊朗绕过制裁,并通过窃取知识的流入,促进其陷入困境的经济。

据称伊斯兰革命卫队委托委托马布纳研究所(Mabna Institute),对全球范围内三百余所高校展开大规模鱼叉式网络钓鱼活动,其中包括144所美国大学、176所非美国大学的电子邮件账户以及全球10万多名教授。

据了解,马布纳研究所仅从美国大学窃取的知识产权总价值就超过34亿美元,相当于31.5兆兆字节的学术数据。

该案件是美国司法部(Department of Justice)迄今为止起诉的由国家资助的最大黑客活动之一,司法部在该案中起诉了9名被告。

关键基础设施攻击

2020年12月,据报道一个伊朗背景的黑客组织攻击了以色列某水利设施,黑客还将视频发布到互联网上以证实攻击成功。专家公布了伊朗黑客组织入侵 HMI(人机界面)的信息,利用HMI 系统漏洞,黑客获得了对水利设施的访问权限,并随后发布了攻击视频。

外媒曾报道,一个与伊朗革命卫队(IRGC)有关的黑客组织曾对英国国家基础设施发动了两次网络攻击,一次是攻击英国国家邮政局,一次是英国议会网络。

美国曾警告称,伊朗国家支持的黑客正利用勒索软件等手段,对关键基础设施领域的美国组织发起攻击。

美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、澳大利亚网络安全中心(ACSC)和英国国家网络安全中心(NCSC)曾联合发布了一项罕见的警告,公开将伊朗与勒索软件联系在一起。

除了上述网络攻击手段,颇具代表性的伊朗背景APT组织APT 35(又名:Charming Kitten)还擅长使用邮件钓鱼攻击、利用WhatsApp和LinkedIn帐号冒充德国之声工作人员进行钓鱼诈骗。

伊朗网络力量虽然时常“亮剑”网络,但其国家性的网络安全战略并未公布,外界无从得知,其真实网络攻防实力犹如黑纱罩面。但网络攻防是一场博弈,长期、隐匿且持久,并会对地区形式和国际安全产生深远影响。