据《金融时报》报道,本月早些时候,当以色列全境响起导弹警报时,数千名以色列人收到了自称以军方发来的短信,诱导他们下载一款假冒的防空避难所应用,该软件可窃取大量个人数据。
还有人收到群发恐吓短信:“内塔尼亚胡已死。死亡正在逼近你们,地狱之门即将为你们敞开。在伊朗导弹的烈火吞噬你们之前,离开巴勒斯坦。”
网络安全专家表示,这些信息只是伊朗、以色列、美国及其网络支持者在互联网深处展开大规模网络战的最表层表现。
伊朗黑客虽以键盘而非步枪作战,但多年来已在网络暗处与以色列反复交锋,是德黑兰手中最具实战经验的作战力量之一。
“伊朗人正在倾尽全力,”美国前网络安全和基础设施安全局(CISA)局长克里斯・克雷布斯(Chris Krebs)表示,他曾是美国级别最高的民用网络安全官员之一。
“全员上阵,”克雷布斯说,“只要这些网络作战人员还在呼吸,他们就会守在键盘前。”
他们的目标五花八门:制造恐慌、制造混乱、大规模窃取情报、锁定导弹打击坐标。在晦暗不明的网络战中,甚至很难判断谁占据上风。
但网络空间的胜负对塑造舆论、打击敌方士气至关重要,因此伊朗大力投入,试图突破美国与以色列的防火墙。
分析人士与前官员称,伊朗最精锐的网络力量由伊斯兰革命卫队与伊朗情报部直接掌控。他们运营着大量掩护组织,为网络攻击提供合理的“可否认性”,并对外发布公开威胁。
伊朗还雇佣半独立的黑客代理、网络罪犯与外包人员。此外,志愿黑客活动人士也经常在德黑兰背后被动员起来参战。
多国政府与网络专家认为,伊朗特工曾曝光一家美国大型防务承包商驻以色列员工信息,黑客入侵阿尔巴尼亚(该国收容伊朗反对派组织)政客邮箱,并渗透波兰核研究中心。其大部分高度敏感的间谍活动很可能未被公开。
伊朗迄今最具破坏性的攻击,目标是美国医疗科技公司Stryker,该公司市值数十亿美元,服务客户包括英国国家医疗服务体系(NHS)。本月早些时候,该公司数千名员工因电脑被锁被迫停工,关键医疗设备供应中断,手术被迫推迟。
网络安全研究机构与美国政府认定,与伊朗情报部门关联的黑客组织Handala宣称清除了约20万台设备。克雷布斯称,这是战时针对美国最具影响的网络攻击。
Handala还宣称入侵联邦调查局(FBI)局长卡什・帕特尔(Kash Patel)的私人邮箱并公布个人照片。FBI证实其邮箱遭“恶意行为者”攻击,但称泄露信息均为“历史旧数据”。
当前军事冲突,进一步升级了三国持续多年的网络攻防拉锯战。美国与以色列拥有强大的网络攻击能力,往往能造成比伊朗更重大的战略打击——例如2009年曝光的震网(Stuxnet)病毒,曾对伊朗核计划造成重创。
美军参联会主席丹・凯恩(Dan Caine)称,在上月对伊朗发动首轮空袭前夕,美国已发起网络攻击,“干扰、削弱并致盲伊朗的侦察、通信与反击能力”。
以色列则在战争中打出一记关键重拳:多年前便黑客渗透德黑兰几乎所有交通摄像头,为刺杀最高领袖阿里・哈梅内伊展开大规模情报铺垫。
据媒体报道,以色列还利用一款伊朗热门宗教应用向数百万用户推送劝降通知。其中一条信息写道:“唯有如此,你才能为伊朗保全性命。”
相比俄罗斯,伊朗的技术水平相对有限,常依赖钓鱼攻击与简单粗暴的“擦除式”恶意软件删除目标数据。
但长期以来,伊朗一直将网络攻击作为与更强对手进行不对称作战的低成本手段,用以制造混乱、瘫痪运转。2022年,部分以色列媒体指控伊朗黑客入侵摩萨德局长大卫·巴尼亚(David barneo)妻子的旧手机,并在Telegram上泄露他的疑似个人信息。
美国网络安全公司Recorded Future的亚历山大・莱斯利(Alexander Leslie)表示,伊朗在本轮冲突中双线作战。
一方面,借助高调的黑客活动组织与代理攻击软目标、发动心理战;另一方面,更具威胁的核心组织则保持低调。分析人士称,顶尖特工正系统性寻找漏洞、寻找入口、潜伏进入目标网络。
“动静最大的行动,未必是最重要的,”莱斯利说。
网络安全公司赛门铁克(Symantec)数据显示,美英认定与伊朗情报相关的组织Seedworm自2月初以来持续尝试渗透美国网络,该组织已被一家美国银行、一座机场及一家防务业软件供应商逐出。
但伊朗似乎正集中全力突破防御比美国更严密的以色列网络防线。
以色列当局称,伊朗已对以色列企业发起数千次“擦除式”攻击,其中约50起得手。以色列网络安全公司CheckPoint的吉尔・梅辛(Gil Messing)表示,伊朗黑客入侵以色列及海湾国家安防摄像头,为无人机与导弹打击提供了目标指引。
德黑兰还将网络能力与常规军事行动协同。梅辛称,伊朗黑客将网络攻击与群发恐吓短信结合,展现出“规模、效果与复杂程度”的全新水平。
尽管动静不小,部分分析人士却意外发现,伊朗并未打击更具决定性的战略目标。德黑兰过去曾攻击美以水处理厂等关键基础设施,本轮冲突中却未采取类似行动。
可能原因有几点:以色列早期打击削弱了伊朗网络能力;伊朗为国内审查限制互联网,反而束缚了本国黑客;发动大型攻击所需的复杂恶意软件开发耗时较长。
也有可能,伊朗已秘密潜入敏感经济或军事目标,潜伏窃取信息。“他们可能拥有长期访问权限,不愿轻易暴露,”网络安全公司Palo Alto Networks的安迪・皮亚扎(Andy Piazza)说。
但有专家警告,美国的防御体系并不均衡。
“若给伊朗时间与空间重整力量,他们完全有能力开发出更具决定性的攻击手段,”美国外交关系协会的马修・费伦(Matthew Ferren)表示。