2020年全球国防网络空间情况综述 (国家冲突篇)

编者按：网络空间是现实世界的延续和拓展，网络空间斗争是现实世界斗争博弈的虚实映射。2020年以来，全球网络空间局部矛盾冲突接连不断，现实冲突与网络空间冲突相互交织，反映出网络空间对现实空间的加速覆盖和深度融合，全球网络对抗在底线试探中正在向新阶段发展。

一、美伊在网络空间明争暗斗，网络战场已经成为国际战略博弈的新前线

自2010年伊朗核设施遭“震网”（Stuxnet）病毒侵袭以来，美伊间在网络空间的冲突持续不断。2020年，美军刺杀伊朗高级指挥官，伊朗黑客对美国开展报复性网络攻击；美国举行总统换届选举，伊朗取代俄罗斯成为此次大选过程中美国讨伐的最主要网络干涉标靶。

伊朗黑客在苏莱曼尼被刺杀后对美开展网络攻击活动

2020年初，根据时任美国总统特朗普命令，美军击毙伊朗头号军事指挥官苏莱曼尼，伊朗最高领袖哈梅内伊随后誓言将暗杀事件进行严厉报复。事件后，伊朗黑客开展报复行动，对美国目标开展网络攻击和滋扰活动。

伊朗黑客组织1月4日攻击了美国“联邦寄存图书馆计划”（FDLP）网站，并贴出了一张美国总统特朗普被重拳殴击的图片，同时煽动对美国开展报复性行动。

伊朗黑客1月7日攻击并篡改得克萨斯州农业部和南阿拉巴马老兵联合会页面，并张贴苏莱曼尼图片，并显示“被伊朗黑客攻击”（Hacked by Iranian Hacker）和“被盾牌伊朗攻击”（Hacked by Shield Iran）的字样。

网络安全公司Cloudflare表示，在苏莱曼尼被击毙后，伊朗黑客入侵联邦州和地方政府网站的活动激增了50％，并继续加速；在48小时内，源自伊朗IP地址对全球目标的攻击几乎增加了两倍，最高每天达到5亿次；实际的攻击数量可能更高，这种攻击次数飙升非同寻常，与伊朗军事指挥官的直接相关。美国智库战略与国际研究中心专家詹姆斯·刘易斯称，“低俗、低预算的图像是伊朗宣传的标志。这可能是‘爱国黑客’在追击他们能找到的易受攻击的.gov网站。绝对不是A团队。”

伊朗成为干涉美国总统大选新的焦点目标

自2016年以来，美国加强了对大选网络安防工作，抵制外国虚假消息影响力运动是其中的重要组成部分。不同于以往主要将矛头指向俄罗斯，美国在此次大选过程中将伊朗树立为网络干涉活动新的重点打击目标。

脸谱2月12日表示，其关闭了6个位于伊朗的Facebook账号和5个Instagram账号，这些账号是一个试图在美国制造外国干预的网络的一部分。上述虚假账号操纵人员分享政治新闻故事，试图联系政府官员，并在各种团体中发帖。他们关注的内容涉及美国选举、宗教、移民政策和其他热点政治问题。

美国联邦调查局8月发布安全警报称，与伊朗政府相关的黑客组织正利用新披露F5设备漏洞CVE-2020-5902攻击美国私营和政府机构，其没有特定目标，任何采用F5 BIG-IP设备的公司都可能是目标。该组织在安全界的代号是Fox Kitten，其主要任务是为其他伊朗黑客组织提供筛选过的攻击目标，比如APT33、APT34、Chafer等。

美国土安全部（DHS）网络安全和基础设施安全局（CISA）9月15日发布了一份恶意软件分析报告（MAR），详细介绍了19个恶意文件的细节，其中包含有关伊朗黑客使用的Web Shell的技术细节。根据CISA的报告，来自匿名APT组织的伊朗黑客正在利用几个已知的Web Shell，对美国各地的IT、政府、医疗、金融和保险机构进行攻击。他们利用了Pulse Secure VPN、Citrix ADC以及F5’s BIG-IP ADC产品中的漏洞进行攻击，使用的恶意软件包括ChunkyTuna、Tiny和China Chopper。

美国司法部于9月15日起诉19岁的Behzad Mohammadzadeh和25岁的Marwan Abusrour，指控其联手攻击美国的数十个网站，篡改网站内容，以抗议及报复美国杀害外国恐怖组织领导人的行为；9月16日起诉30岁的Hooman Heidarian和34岁的Mehdi Farhadi，指控其窃取数百TB的数据，涉及美国国家安全、外国政策情报、非军事用途的核子信息以及科学研究等知识产权内容；9月17日起诉34岁的Said Pourkarim Arabi和Mohammad Bayati以及不确定年龄的Mohammad Reza Espargham，指控其掌握1800个隶属于与航天及卫星技术有关的组织或企业的攻击目标账号名单，同时攻击澳大利亚、以色列、新加坡及英国的政府机构。

美国财政部海外资产控制办公室（OFAC）9月17日宣布，将制裁代号为APT39的伊朗黑客组织，制裁的对象包含45名个人和一家用来掩饰非法行动的Rana情报运算公司。遭OFAC制裁的45人均受雇于Rana公司，他们在当中扮演不同的角色，从经理、程序设计师到黑客专家等。根据美国联邦调查局调查，上述人员都与APT39或伊朗情报安全部有关联。

美国商务部工业和安全局9月查封伊朗政府支持的恐怖组织卡塔伊布·真主党非法使用的两个域名，即：Aletejahtv.com和Aletejahtv.org。这些网站传播旨在进一步推进其政治议程的视频、文章和照片。美国司法部10月宣布，美国已经查封了92个伊朗伊斯兰革命卫队（IRGC）用于进行全球虚假宣传运动的域名。其中4个域名（newsstand7.com、usjournal.net、usjournal.us和twtoday.net）被伪装成真实新闻机构，但实际上由IRGC控制，并且针对美国开展伊朗宣传，目的是影响美国的国内和外交政策。美国司法部11月宣布，再次查封了IRGC的27个域名，上述域名中的4个域名（rpfront.com、ahtribune.com、awdnews.com和criticalstudies.org）以美国为目标受众，开展虚假信息影响力运行，企图暗中影响美国的政策和舆论。

美国官员10月指责伊朗黑客在总统大选之前通过欺骗性电子邮件恐吓注册的民主党选民。根据安全公司Proofpoint的说法，该活动在两波电子邮件活动中冒充了极右翼的“骄傲男孩”（Proud Boys）组织，一些电子邮件包含收件人的家庭住址。美国情报官员表示，“我们已经确认，伊朗和俄罗斯分别获得了一些选民登记信息。外国行为者可以利用这些数据试图向注册选民传达虚假信息，他们希望这将造成混乱并破坏对美国民主的信心。”

美国财政部10月22日对包括伊斯兰革命卫队在内的5个伊朗实体实施新制裁，理由是其试图干涉美国大选和美国选民。美国财政部称，伊朗政府的一些部门伪装成新闻机构或媒体，这些组织“通过在网上散布虚假信息和实施旨在误导美国选民的有害影响行动，在选民中制造不和”。美国时任财政部长史蒂芬·姆努钦表示:“伊朗政权利用虚假叙述和其他具有误导性的内容，试图影响美国的选举。”所确定的实体是伊斯兰革命卫队（IRGC）、IRGC-Qods部队（IRGC-QF）、Bayan Rasaneh Gostar学院、伊朗伊斯兰广播电视联盟（IRTVU）和国际虚拟媒体联盟（IUVM），上述实体被指控直接或间接参与、赞助、隐藏或以其他方式参与了总统大选的外国干预。

美国国土安全部（DHS）网络安全和基础设施安全局（CISA）12月3日发布警报称，“伊朗网络威胁行为者一直在不断提高其进攻性网络能力。他们继续从事更常规的攻击性网络活动，从网站毁损、分布式拒绝服务攻击、个人身份信息窃取到更高级的活动，包括社交媒体驱动的影响力行动、破坏性恶意软件以及潜在的网络赋能的动能攻击。”

美国联邦调查局（FBI）和国土安全部（DHS）12月得出结论认为，伊朗很可能是名为“人民的敌人”网站的幕后主使，该网站明显煽动对选举官员以及FBI局长暴力行为。该网站发布了相关照片和据称是州选举官员和一家投票设备供应商雇员的住址，以及时任FBI局长克里斯托弗·雷和前网络安全和关键基础设施安全局（CISA）局长克里斯·克雷布斯的信息。

美国已秘密授权CIA对伊朗开展网络攻击

美国雅虎新虎网站7月报道，美国总统特朗普于2018年秘密签署一份“总统决定”，为中央情报局开展进攻性网络行动开辟了道路，尤其是伊朗等敌对国家目标发起攻击。此项指令在网络行动的目标和类型上赋予中央情报局更大的自由度，例如对关键基础设施、金融目标等发起网络攻击，以及开展类似于俄罗斯黑客和“维基揭秘”的“黑客攻击—信息泄露”活动。此外，该指令还缩短了网络行动的决策执行周期，此前从规划到执行有时需要经历数年，现在只需几周时间即可付诸实施。在该指令签署后，美中情局已开展了十余次网络行动，例如在社交媒体Telegram上曝光伊朗情报人员个人信息以及所用黑客工具。

有前美国政府官员表示，在特朗普签署该指令前，美政府官员就已经在鼓励中央情报局大胆诠释此前存在的与伊朗相关的秘密授权，从而辅助当局对德黑兰的“极限施压”，新的网络决定进一步增强了中央情报局对伊朗的行动；“极限施夺”行动包括惩罚经济制裁，但也涉及中情局对伊朗基础设施的网络攻击。以“推回苏联”的冷战战略为灵感，特朗普政府高级国家安全官员认为破坏伊朗在其边界内的稳定将迫使该政权停止在国外的冒险活动，甚至可能瓦解该政权。

民间社会组织NetBlocks（主要跟踪互联网的终端和关闭情况）2月8日观测到伊朗互联网连接出现大规模中断。NetBlock称，在伊朗政府部署了“数字堡垒”（Digital Fortress，也称为D DEZHFA/Dejfa，伊朗的国家网络防护机制）后，就发现了互联网连通性问题。NetBlocks指出，观察结果显示这是一次针对性的攻击。攻击的来源和目的地高度分散，而且DDoS攻击使用了来自东亚和北美的伪造源IP。伊朗网络安全部门承认两个政府部门10月13日、14日遭到了“重大”网络攻击，而其他一些部门暂时关闭了其在线服务，以防止进一步的攻击。

总体上来看，网络战已经成为美伊斗争博弈的重要形式和手段，美伊间相互的网络攻击从未真正停止过，除非局势发生根本性变化这种攻击态势将长期持续。美国网络攻防能力俱强，但对网络的依赖度更深，对网络攻击的损失接受度更低；伊朗与美国在网络战水平上存在差距，但其网络行动能力正在不断提升，已经成为美国不可小觑网络对手。可以预见，美伊网络空间斗争未来将是一个长期复杂的过程，现实冲突与网络空间冲突相互交织影响将成为美伊斗争的新常态。

二、以伊在网络空间短兵相接，和平时期网络互袭表明全球网络冲突已进入新阶段

自2020年4月以来，以色列与伊朗之间发生多次网络互袭，网络冲突已经成为以色列与伊朗之间新战线。目前，绝大多数网络攻击还没有越过对物理世界造成破坏的界线，但双方正在通过网络攻击测试彼此的容忍度和承受力，上述界线正在被快速迫近。

以色列官员透露，4月24日至25日，伊朗利用美国服务器对以色列的供水命令和控制系统展开破坏。以色列安全内阁5月7日专门召开了一次最高机密会议，不仅确认伊朗是对以色列全国水利设施发动网络攻击的罪魁祸首，还对此次攻击进行了深入讨论。以色列官员强调，政府认为这次袭击是伊朗的重大升级，因为此次攻击目标越过了红线，瞄准民用供水设施进行打击。

5月9日，伊朗霍尔木兹海峡的重要港口沙希德·拉贾伊遭受网络攻击。其中，调节船只、卡车、货物流通的计算机系统一度崩溃，致使该港口水路和道路运行发生严重混乱。有匿名官员披露，此次网络攻击是以色列方面所发起的军事报复，其目的是为了报复伊朗4月企图攻击该国与供水有关的计算机系统。伊朗港口和海事组织总干事穆罕默德·拉斯塔德表示，不明身份的外国黑客令其港口计算机发生短暂性“停工”，但网络攻击并没有渗透到核心计算机。

工业网络安全公司OTORIO表示，与伊朗相关联的黑客12月1日发布一段视频，显示以色列再生水设施的HMI系统遭受入侵。该系统直接连接到互联网并且缺乏安全协议。该公司称，不需要任何身份验证即可访问和修改系统，这使威胁行为者可以篡改水压，并进行改变温度等活动。此次入侵最初是通过位于伊朗的一个名为“Unidentified TEAM”的黑客组织的Telegram频道发布的。该组织还攻击了美国得克萨斯州一个政府教育网站，声称他们是在为11月底被暗杀的伊朗核科学家穆赫森·法赫里扎德复仇。

虽然网络战已经进入公众视野，但它仍然是一个模糊且不受控制的领域，目前还没广泛接受的硬性国际准则对其进行规管。以色列与伊朗之间关系复杂而尖锐，双方的网络交锋存在升级为全方位物理冲突的危险，这种局势两国都不愿承受但又可能被迫卷入。2020年以来，以色列与伊朗的频繁网络互袭表明网络战已进入新的、更加开放的阶段，而新的交战和威慑规则正在建立过程中；新的网络攻击将目标瞄准关键民用基础设施，但如果攻击控制不当或执行失误，则有导致冲突升级的风险。

三、亚阿在网络空间兵戎相见，网络信息战已经成为现代战争的重要组成部分

现代冲突日益伴随着在线“影子战争”，冲突双方在其中为争夺话语控制权而战。阿塞拜疆和亚美尼亚9月27日在纳卡地区爆发新一轮冲突，双方均指责对方违反停火协议，率先发动军事进攻，此次冲突造成包括平民在内的大量人员伤亡。伴随着战争冲突，双方也在互联网上为争夺话语控制权而展开激烈斗争。

澳大利亚战略政策研究所（ASPI）国际网络政策中心发布报告，记录并分析了双方阵营在推特平台上的斗争活动。报告发现：在冲突初期，推特账户创建出现了显著急剧上涨，并且新创建账户立即开始从事可疑影响力活动；此次网上争斗情况非常复杂，不仅涉及冲突双方，还涉及其盟友，土耳其和巴基斯坦账户支持阿塞拜疆，而印度账户则支持亚美尼亚；此次网上斗争跨越了多种平台和语言，使用了多种策略，其中一个显著特征就是双方都在争取名人明星影响力支持。

Facebook和Instagram于10月8日删除了598个伪造的阿塞拜疆账户、7906个页面和447个Instagram账户。Facebook对阿塞拜疆的虚假个人资料和页面的进行了详细分析，称这是与纳卡冲突有关的主动宣传，在Facebook上为这些页面做广告花费了6600美元。

在纳卡冲突过程中，亚美尼亚和阿疆拜疆的在线战争集中在网络上开展有利于本国的舆论宣传，同时扰乱对方的信息流。除了社交媒体激进主义外，黑客组织还一直在对数字基础设施发起直接攻击。有信息安全专家称，亚阿信息战和网络战之间几乎没有区别，因为网络攻击主要与信息有关，例如攻击政府和新闻网站以防止敌方的信息流，攻击用户账户的目的是代表他们传播信息。亚美尼亚黑客入侵了阿塞拜疆的13个电视频道，并在现场直播节目中播放了10分钟亲亚美尼亚的视频。亚阿双方都竭力攻防对方的网站，目的是确保互联网搜索将用户引导至己方网站。许多阿塞拜疆网站在战争爆发首日就无法访问，约90个亚美尼亚网站和域名被重新定向，偶尔还会发生一些强大的DDoS攻击。

战争冲突中很难获得准确信息，这也给网络虚假信息留下了巨大生存空间。很少有记者能够进入战争第一线，使得人们只能依靠政府媒体和手机录像，以及在社交媒体上未经证实的谣言。尽管大多数共享在线媒体是新闻报道、官方政府信息或运动口号和图片，但也有很多篡改或过时的镜头。某视频自称是伊朗人在边境观看亚美尼亚与阿塞拜疆的“战争”，其在推特上发布后短时间内被浏览超过25万次。然而，该视频实际拍摄的是2019年11月俄罗斯一次军事日活动。网上还有信息称，来自伊拉克的雅兹迪战士正在支持亚美尼亚。而实际上，大约有2万名雅兹迪人生活在亚美尼亚，他们是亚美尼亚雅兹迪人而非外国战士。

除了在社交媒体上开展的信息战，亚美尼亚和阿塞拜疆之间甚至还发生了网络战。10月初，思科威胁情报团队Talos表示，经研究发现，最近几周来，身份不明的间谍一直在悄悄入侵阿塞拜疆政府的IT网络，并获取了某些官员的外交护照。Talos数据显示，数字间谍活动经常与现代战争中的暴力爆发同时发生。在阿塞拜疆总统呼吁动员后备部队几天后，黑客使用了伪造的阿塞拜疆政府文件作为诱饵。嵌入在文档中的恶意代码可以从受感染的计算机中窃取数据，并使黑客持久地访问计算机。Talos表示，该活动是“对国家安全有影响的间谍活动”，开展行动的组织“对阿塞拜疆的各个政府部门特别感兴趣”。Talos还曝光称，该组织使用的黑客工具“PoetRAT”充斥着文学参考，此前其代码使用的名片是“威廉·莎士比亚”（William Shakespeare），最近进行了更新纳入了费奥多尔·陀思妥耶夫斯基（Fyodor Dostoevsky）。更新之后，该工具了使用通用协议进行数据渗透，从而使其更加难以检测。

亚美尼亚黑客组织“蒙特·梅尔科尼安”10月3日宣布将对阿塞拜疆电信有限责任公司发起攻击。阿塞拜疆银行系统10月11日遭受攻击，涉及约520000份客户交易。黑客们还警告称，他们可能会采取更多行动来致瘫其他阿塞拜疆基础设施。

信息网络不仅是现代军事活动的指挥中枢，还触及社会生活各个领域，而舆论战、心理战在信息化战争环境中也日益显现出巨大威力。亚美尼亚与阿塞拜塞均非网络强国，双方在冲突中的在线战争更多地是集中于信息战，目的是在网络空间传播对已有利信息，夺取舆论信息主导权，从而达到提高国内凝聚力、削弱对方士气和争取国际舆论支持的目的。网络攻击在此次冲突中更多发挥的是边缘辅助作用，亚阿双方的攻击缺乏统筹协调、目标价值较纸、技术相对简单，目的在于给对方造成滋扰，而非造成毁伤性打击。虽然网络信息战并非决定性战争胜负因素，但其已经成为贯穿现代战争全程的必然组成，并且将发挥越来越重要的作用。

声明：本文来自网络空间安全军民融合创新中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。