CRS报告：伊朗进攻性网络作战能力评估

远望智库技术预警中心 书香慧言

编者按：1月3日，美国在伊拉克机场定点清除了伊朗革命卫队“圣城旅”指挥官苏莱曼尼，导致美伊军事冲突瞬间升级。虽然目前局势略有缓和，但外界普遍认为，伊朗仍将继续通过发动网络攻击等手段进行报复。本文根据美国国会研究局（CRS）的报告编译而成，重点评估伊朗的进攻性网络作战能力，包括伊朗从事网络作战的组织、主要网络攻击样式、以往网络攻击案例以及日后可能发动的网络攻击。

一、伊朗网络威胁的演变

伊朗对网络空间的使用是从对内进行信息管控和压制演变成对外国目标发动更具侵略性的攻击。伊朗政权一直在开发自己的网络安全软件及互联网架构，以保护和隔离自身网络。伊朗还在发展网络专业知识，将其作为对美军发动非对称战争的一种形式。

伊朗也有利用网络攻击对美国实施报复的历史。2010年，网络安全研究人员发现了一种名为“震网”（Stuxnet）的计算机蠕虫病毒，该病毒渗透到控制伊朗核项目离心机的计算机上，导致这些离心机因遭受物理性损害而无法正常运行。据报道，“震网”蠕虫是美国和以色列政府共同研发的。该恶意软件被发现后，美国资产遭受了来自伊朗更加严重、持续时间更长的网络攻击。

二、伊朗网络作战力量组成

自“震网”蠕虫病毒问世以来，伊朗一直在投资发展自己的网络力量和组织。这些实体有些隶属于政府和军队，还有一些似乎独立运作；有些更侧重于防御，但可以与军事部门协同发动进攻性网络作战。

（一）政府实体

1、伊朗网络警察。作为执法部门，网络警察主要负责打击网络犯罪。该部门主要负责监视伊朗境内的在线活动，包括渗透到持不通政见者的网站和电子邮箱内。

2、情报与安全部（MOIS）。该部门类似于美国的国家安全局，主要负责信号情报并从电子通信中搜集信息。

3、网络空间最高委员会。该机构也称网络空间高级委员会，负责协调伊朗政府的网络空间政策以及进攻性与防御性网络作战。

4、国家网络空间中心（NCC）。该中心是网络空间最高委员会的实体，主要关注网络信息内容及国内互联网安全管控。根据伊朗2013年发布的《国家网络空间中心规范》，该部门还负责“做好伊朗与敌人进行文化战争的准备”。

5、伊斯兰革命卫队（IRGC）。这支部队是伊朗武装力量的一个分支，负责监督进攻性网络活动。

6、伊斯兰革命卫队电子战与网络防御组织。该组织负责提供网络防护方面的培训课程，并阻止访问和审查在线内容和通信。

7、巴斯基（Basij）网络委员会。巴斯基网络委员会被视为一支准军事力量，由非专业人员组成，在伊朗国民卫队专家的监督下，利用志愿者开展黑客活动。这些志愿者有时被称为“网络战争突击队员”。

8、国家被动防御组织（NPDO）。伊朗成立该组织是为了保护基础设施。据分析人士称，国家被动防御组织的主要职能之一就是利用“国家所有网络和非网络资源来慑止、预防、拒止、识别和有效打击敌对国家或由其支持的团体针对伊朗国家基础设施发动的一切网络攻击。”

9、网络防御司令部。该组织也被认为是伊朗军队的网络总部，与巴斯基网络委员会一起从事进攻性网络活动。该司令部可能是针对为美国成立网络司令部而创建的。

（二）“代理人”

众所周知，伊朗擅长使用“代理人”实施网络作战。这些“代理人”有出于爱国或商业动机的黑客个体，还有私营承包商及准政府组织。鉴于伊朗政权对国民的网络监控力度，可以想像，尽管这些个体行为可能不是国家主导的，但几乎可以肯定的是，这些活动得到了国家的默许甚至鼓励。使用“代理人”使伊朗政府可以合情合理地否认所发动的网络攻击，从而避免局势升级。然而，计算机代码中易识别的签名表明，伊朗政府有意通过对外国实体发动攻击来显示自己的能力。

1、马布纳（Mabna）研究所。这是一家私人承包商，能够根据伊朗政府和伊朗革命卫队的要求实施计算机入侵、电信欺诈和数据盗窃等活动。

2、“伊朗网军”（Iranian Cyber Army）。该组织由IT专家和专业黑客组成。“伊朗网军”尚未与伊朗革命卫队建立直接联系，但据伊朗政府官员称，政府利用该组织入侵“敌方网站”，转移互联网流量，并入侵外国媒体网站和社交媒体平台。

三、伊朗可实施的网络攻击样式

至少自2012年以来，伊朗的网络攻击方式已从简单的网站破坏，发展到拒绝服务和其他破坏性攻击，其中包括阻止访问目标网站的分布式拒绝服务（DDOS）攻击，以及更具破坏性的攻击，如破坏数据或使计算机完全瘫痪等。

1、篡改网站。即控制网站上的数据和图像或将流量指向其他网页的网络攻击。

2、数据泄露和盗窃。指侵入计算机系统，获取大量受保护数据。

3、拒绝服务。指通过发动网络攻击，使目标计算机或网络充斥大量数据，无法供用户访问。

4、破坏性攻击。指破坏目标网络中的应用程序和计算机的网络攻击，其所造成的损害几乎等同于动能攻击。

四、与伊朗有关的主要网络攻击事件

1、沙特阿美石油公司网络数据被恶意清除。2012年，针对沙特阿美石油公司及中东其他能源公司的恶意数据清除软件（被称为Shamoon）损坏了3万余台计算机并影响了中东地区的石油生产。美国政府官员认为该起网络袭击事件与伊朗有关。

2、拉斯维加斯金沙赌场网络遭破坏性攻击。2014年，由亲以色列、反伊朗的政治捐助者拥有的金沙酒店和赌场遭到破坏性网络攻击，酒店和赌场网络被非法访问和破坏。美国国家情报总监将这起袭击事件归咎于伊朗政府。

3、美国银行遭分布式拒绝服务攻击。从2011年到2013年，分布式拒绝服务攻击使包括美国银行、富国银行（Wells Fargo）在内的银行网站曾被大量数据堵塞，导致一段时间内客户无法进行访问。2016年3月，美国司法部起诉了7名受伊朗革命卫队雇佣的行为体。据称，这些攻击使银行付出了数百万美元的赔偿金。

4、推特和脸书网站被篡改。2009年，Twitter网站被重新定向到一个自称是“伊朗网军”的页面。2018年，推特宣布删除了2,617个从事“恶意活动”的伊朗帐户。2019年5月，脸书表示已删除与伊朗有联系的帐户、页面以及Instagram帐户。尽管这些“恶意活动”大部分涉及网络钓鱼及其他影响力活动，但社交媒体平台也可用于协调发动网络攻击。

5、纽约州拉伊市水坝监控与数据采集系统遭到入侵。2013年，受伊朗革命卫队委托，一家公司雇用伊朗人远程访问了纽约州拉伊市鲍曼大坝的监控与数据采集（SCADA）系统。这样就可以获取有关水坝运行状态的信息，影响水坝的正常运行。2016年，这名伊朗人被美国司法部起诉。

6、大规模网络数据盗窃活动。大约2013年至2017年间，与马布纳（Mabna）研究所有联系的网络黑客盗取了144所美国大学、美国劳工部、联邦能源监管委员会、夏威夷州、印第安纳州以及美国境外公司和组织的知识产权和其他数据。2018年，美国司法部针对这些事件起诉了9名伊朗人。

五、伊朗针对苏莱曼尼遇刺事件可能对美采取的网络行动

2019年6月22日，美国国土安全部（DHS）网络安全与基础设施安全局（CISA）主任克里斯托弗·克雷布斯（Christopher C. Krebs）发表声明称：“网络安全与基础设施安全局意识到最近伊朗政权行为体和代理人针对美国工业和政府机构的恶意网络活动有所增加……伊朗政权行为体和代理人越来越多地使用破坏性的数据清除攻击，不仅仅为了窃取数据和金钱”。2020年1月3日，伊朗革命卫队将领苏莱曼尼在巴格达国际机场遇袭后，克雷布斯在其社交媒体帐户上发布了这份声明的链接。

1月4日，美国国土安全部全国恐怖主义警报系统发布警告称：“伊朗保有一支强大的网络力量，可对美国实施网络攻击。伊朗至少有能力对美国重要基础设施发动网络攻击，制造暂时性破坏。”该公告警告说，为应对美国在巴格达机场实施的军事打击，伊朗可能会发动网络报复行动。同样在这一天，自称代表伊朗伊斯兰共和国的黑客入侵并破坏了美国多个网站。网络安全与基础设施安全局并未证实这次袭击是由伊朗政府赞助的。

在苏莱曼尼遇刺后的几天时间里，美国兵役登记局网站一度无法打开。很多美国公民收到了文本消息称，“由于即将爆发的伊朗战争，美国将恢复征兵”。截至目前，这些文本消息的来源仍不得而知。

声明：本文来自战略前沿技术，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。