在全球局势愈发动荡的大背景下,网络空间的角逐和较量日益激烈。网络攻击已演变成为国家级对抗的重要手段之一,网络战已经成为世界各国关注的新热点。当前,网络战已经成为美伊斗争的重要手段,受2010年“震网”攻击事件影响,伊朗不断提升网络战能力,与美国等敌对国家在网络空间领域明争暗斗。从伊朗网络战能力建设整体情况入手,以美伊网络战实例为基础,分析了伊朗的网络作战力量、网络战特点及其在网络战方面的发展趋势等。

内容目录:

0 引 言

1 日益强化的网络威慑思想

2 独立且专业化的网络作战力量

2.1 政府机构

2.2 代理人

2.3 军事组织

3 稳步提升的网络攻防能力

3.1 足够的网络攻击能力

3.2 多样化的攻击样式

3.3 一流的网络审查系统

4 网络作战特点

5 未来发展趋势

6 结 语

引 言

近年来,伊朗的网络战能力迅速提高。虽然伊朗当前还算不上一流网络强国,但其在网络战略和网络建设方面仍领先于大多数国家。伊朗将网络攻击视为其对抗美国所必需的一种不对称军事能力,如果要能够与美国及其他敌对国家匹敌,与之抗衡并制止它,伊朗就必须在一个更加平等的领域——网络空间,来与美国及其他敌对国家抗衡。

一直以来,伊朗政府都很少将自身网络战实力公开示人,并对其网络战略意图避而不谈。但是通过最近发布的《伊朗伊斯兰共和国武装力量总参谋部关于适用于网络空间的国际法的宣言》等战略文件,仍可看出伊朗的专业化网络力量正在不断成长,网络战能力也在稳步提升。

日益强化的网络威慑思想

尽管2015年1月就有媒体报道称,伊朗正在制定一项新的网络安全战略,但该战略迄今未见正式文本,这无疑为伊朗的网络战攻防能力增添了神秘色彩。2020年8月,伊朗武装力量总参谋部发表了《伊朗伊斯兰共和国武装力量总参谋部关于适用于网络空间的国际法的宣言》,该宣言从应对网络威胁的角度阐明了各种武装力量活动的概念、宏观政策和框架,并明确指出如果任何国家、团体或由其它任何国家支持、控制或指导的个人或实体作出了与该宣言所述政策相悖的举动,伊朗武装力量就有权以坚定而果断的方式作出回击。

伊朗强化了网络威慑战略,宣示在网络空间安全方面的国家立场,为网络空间行为“举旗划线”,强调将采取包括军事、外交和法律在内的一系列措施予以应对,力求震慑一切国外网络安全威胁。

独立且专业化的网络作战力量

网络战能力军事化是伊朗的优良基因和历史传承,组建独立且专业化的网络作战力量则是伊朗在“震网”事件后的自我反思与重塑。自“震网”事件以来,伊朗一直默默发展自己的网络力量,从未对外披露其网络作战力量组成,综合分析认为伊朗网络作战力量主要分为三类:一是伊朗伊斯兰革命卫队的网络战分支机构;二是由伊朗民兵组织管理、并由志愿者组成的伊朗网络军团;三是具有政府背景的网络间谍组织。这些网络作战力量涉及到政府机构、代理人和军事组织,其中有些隶属于政府和军队,有些则似乎为独立组织;此外有些作战力量更侧重于网络防御,但也可与军事部门协同发动进攻性网络战。

2.1 政府机构

如表1所示,政府机构是伊朗网络作战力量的重要组成部分。在如何实施网络安全策略一事上,伊朗的态度是以政府为主导,自上而下贯彻其策略。

2.2 代理人

众所周知,代理人在伊朗网络战行动中扮演着重要角色。如表2所示,这些代理人主要是出于爱国或经济目的的独立黑客,此外也包括一些私营承包商和准政府组织。这些代理人要么得到了伊朗政府的支持,要么在伊朗政府的默许下开展行动。从伊朗政府国内的网络监控力度来看,这些代理人的行为可能并非由国家主导,但几乎肯定得到了伊朗政府的默许甚至鼓励。

2.3 军事组织

军事组织是伊朗网络作战力量的基石。如表3所示,伊朗革命卫队、巴斯基网络委员会、国家被动防御组织和网络防御司令部四个军事组织在网络战行动中发挥着主导作用。

稳步提升的网络攻防能力

长期以来,伊朗一直将网络攻防作为对抗美国的一种非对称手段和发展重点。“震网”病毒攻击使伊朗痛定思痛,开始全力提高网络战能力。尽管伊朗出于种种缘故并未开展过大规模的网络攻击,但其的确具有足够的攻击能力和一流的网络审查系统,网络攻击方式也多种多样。

3.1 足够的网络攻击能力

近期与伊朗有关的网络攻击事件表明,伊朗的攻击能力的确达不到美国和俄罗斯等国的水平,但在攻击民用和关键基础设施上堪称表现娴熟。安全专家认为,伊朗网络攻击组织一直致力于攻击基础设施、工厂和油气机构。由伊朗政府支持的网络攻击或可窃取美国官员的个人情报,让大型企业的网络瘫痪数日乃至数周,甚至中断电力导致城市瘫痪。

2020年1月,美国情报机构在其发布的《全球威胁评估报告》中指出,伊朗从2019年1月起开始设法增强其网络战能力,以便攻击美国的关键基础设施。2019年,伊朗黑客袭击了阿联酋、卡塔尔和科威特等海湾邻国的私营部门以及意大利石油公司Saipem。为窃取公司机密并清除计算机中的数据,伊朗黑客还攻击了全球200多家石油和天然气及重型机械公司,波及人数多达数千人。此外伊朗一直试图入侵电信和互联网基础设施提供商,以劫持中东、欧洲和北美政府机构的全球域名。

3.2 多样化的攻击样式

从近期活跃的伊朗网络攻击活动来看,伊朗的网络攻击能力从最初粗浅的网站首页涂改,逐渐发展到可实施网络间谍活动、网络假消息宣传、分布式拒绝服务攻击和入侵关键基础设施网络的水平,这表明伊朗的网络战攻击样式日渐多样化,网络战能力正在不断增强。表4展示了伊朗实施过的网络攻击方式。虽然伊朗的网络战能力不如俄罗斯,但伊朗同样拥有能执行侦察与目标分析任务的团队。除 “阻断服务”攻击外,伊朗还可发起网络间谍活动、勒索软件攻击和破坏性攻击。

仅在2019年里,涉及伊朗黑客的网络攻击和网络间谍事件就多达14起,其中包括针对美国大选的网络活动,针对伊拉克、巴基斯坦和塔吉克斯坦电信系统的攻击,以及对工业控制系统企业员工帐户的入侵等。2019年7月,火眼公司称,与伊朗政府有关的黑客组织APT34已开始部署针对社交平台“领英”(LinkedIn)的网络钓鱼活动。黑客向美国“领英”用户发送加入专业网络的邀请,从而将恶意软件注入受害者系统,继而通过后门提取其机密信息。2019年10月,美国相关安全团队发现伊朗黑客攻击了241个电子邮件帐户,其中部分账户与美国大选有关。此外,美国还曾指控伊朗黑客试图窃取美国退伍军人的信息及学术研究数据。

3.3 一流的网络审查系统

从2009年开始,在诺基亚公司和西门子公司的帮助下,伊朗建立了“世界一流的互联网控制和审查系统”。该系统既可军用也可民用,其不但能封锁网站或阻碍网络访问,还能广泛监测和收集个人的网上通讯内容,甚至修改内容传递假消息。该系统可以解析电子邮件、网络电话、“脸书”(Facebook)和“推特”(Twitter)等社交网站的图文信息,审查其中的关键字,然后再重新封装起来,整个过程耗时仅有几毫秒。该网络审查系统加大了伊朗的网络审查力度,并能抵御来自外部的网络攻击,但无可避免会拖慢网络传输速度。

网络作战特点

在政治文化冲突和地缘政治博弈的推动下,美伊两国长期陷于网络战的泥沼不能自拔。对伊朗而言,网络战是一种切切实实的战争,而且可能是唯一可行的对美战争手段。

正如表5所示,从2010年伊朗核设施遭遇“震网”攻击,到2020年伊朗核设施遇袭,美伊之间的军事冲突不断升级,两国持续在网络空间内明争暗斗。美国一直在探索打击伊朗关键目标的网络手段,研究如何渗透伊朗的关键信息系统和重要网络系统,而伊朗也力求通过网络实施适当的防守反击。伊朗网络战部队频繁对美国实施网络攻击,显露出伊朗政府拥有在网络空间内与美国对抗的实力和意图。

不难看出,伊朗网络战的行动目标发生了变化,从对内进行信息管控和压制,演变成了对外国目标发动更具侵略性的攻击。同时在网络战的攻击目标、攻击手法和攻击武器等方面,伊朗也有自身的特点和不足。

(1)从攻击目标来看,主要针对私营部门

2019年6月,美国国土安全部表示,伊朗针对美国私营企业的“恶意网络活动”有所增加。美国军方在2019年发布的一份报告中指出,伊朗主要针对世界各地的航空公司、国防承包商、能源公司、自然资源公司和电信公司开展网络间谍活动。已曝光的伊朗网络攻击目标多为私营部门中网络防御能力较差的设施和系统。2019年,伊朗黑客袭击了阿联酋、卡塔尔和科威特等海湾邻国的私营部门以及意大利石油公司Saipem。2016年,美国司法机构对7名与伊朗政府有关的黑客提出指控,称他们为报复美国对伊朗的经济制裁,在2013年实施了针对美国银行、纳斯达克证券交易所和纽约证券交易所等金融机构以及一座小型水坝的大规模协调攻击。从2011年至2013年期间,伊朗黑客对包括美国银行(“美国银行”为一家美国银行的名称)和富国银行在内的银行网站发动分布式拒绝服务攻击,导致客户在一段时间内无法访问这些网站。

(2)从攻击手法来看,隐蔽性不强

从外界披露的伊朗网络攻击活动来看,美国、以色列以及相关网络安全公司频繁曝光伊朗网络攻击行动,涉及攻击手法、组织及个人等细节,这表明伊朗网络攻击行动的隐蔽性不强。

2020 年 1 月,在美军定点清除伊朗高官不久后,美国联邦储备图书馆运营的网站便遭到攻击,其它非政府网站也遭到了同一批黑客的破坏,并在网页上展示了伊朗要向美国报仇的讯息。美国多家网络安全公司的分析报告称,总部位于伊朗的某网络间谍组织试图以发送网络钓鱼邮件的方式,来攻击美国政府、军事、金融、石油和天然气等领域的网络系统。

2019年,Telegram 频道、暗网和公共互联网上的网站多次曝光伊朗的网络间谍活动。黑客组织“MuddyWater”的运营数据以及“拉纳(Rana)研究所”的相关信息都被公布于众,致使伊朗的黑客组织不得不重新开发黑客工具,并使用新的方式开展攻击活动。伊朗的黑客组织可能因此推迟了当时的网络攻击计划。美国对伊朗极限施压后,伊朗的知名黑客组织APT33堂而皇之地发起网络战行动。APT33并不在意其发出的网络钓鱼文件被安全机构发现,但会竭力避免将其攻击活动与伊朗挂钩。

(3)从攻击武器来看,缺乏可靠的技术支撑

从外界披露的伊朗网络武器来看,伊朗主要利用黑市上的恶意软件实施网络攻击,网络武器的体系化建设和原创性研发明显不足。伊朗并非计算机大国,网络人才相对匮乏,因此更难培养出合格的网络战人才。由于美国长时间对伊朗实施贸易禁运,伊朗无法购买或研制足够先进的计算机,再加上持续性的临战状态迫使伊朗长期运行网络战设备,导致设备损耗很大,有相当一部分设备都需要停机和修复。总的来说,伊朗缺乏强有力的网络技术来支撑网络作战,这在相当程度上限制其网络作战能力。

总而言之,伊朗与美国的网络战水平存在差距,但其网络作战能力正不断提升,对美国来说是一个不可小觑的对手。可以预见的是,美伊在网络空间内的斗争将是一个长期而复杂的过程,“现实冲突与网络对抗相互交织”将成为美伊斗争的新常态,并对地区形势和国际安全产生深远影响。

未来发展趋势

当前网络作战已经成为美伊博弈的重要手段,未来美伊还将持续相互发动网络攻击。虽然伊朗的网络作战水平逊于美国,但其网络作战能力也在不断提升。未来伊朗将在网络作战领域做好“长期缠斗、阶段激化”的准备,围绕“战略牵引、有所侧重”的作战理念,保持“激烈而有节制”的作战态势。

(1)做好“长期缠斗、阶段激化”的准备,网络对抗进一步加剧

网络空间是现实世界的延续和拓展,网络空间斗争是现实世界博弈的虚拟映射。自1979年伊朗伊斯兰革命后,除了没有发动战争,美国对伊朗实施了孤立、制裁、颠覆和军事包围等一切敌对手段,伊朗则视美国为“霸权强敌”,并竭其所能扩展自身势力,企图将美国赶出中东。两国的矛盾根植于政治文化冲突和地缘政治博弈,只要双方无法消除基础性障碍并互信互谅,敌对状态就会延续下去,并在网络空间内引发冲突。

(2)保持“激烈而有节制”的作战态势,积极发展非对称作战能力

自2010年“震网”事件以来,伊朗一直在积极发展自身的非对称作战能力(尤其是网络空间渗透攻击能力),以确保其网络攻击能力不断提升。美国在2020年定点清除苏莱曼尼后,伊朗没有选择与美国正面开战,而是发挥其非对称作战能力,积极运用发展了十多年的网络空间渗透滋扰能力来妨害美国及其区域盟友的安全和军事利益。在未来很长一段时间内,伊朗很可能将网络攻击行动控制在一定限度内,保持“激烈而有节制”的作战态势,以免网络战升级为全面战争。

(3)围绕“战略牵引、有所侧重”的作战理念,实现网络战实战化和多样化

当前网络空间和现实空间进一步深度融合,利用网络空间开展阻流瘫点、制权毁体等作战样式已经成为现实,网络武器向实战化和多样化发展。美伊双方开展网络战的行动样式,将取决于双方的政治和军事目的以及自身的网络武器装备水平。当前伊朗拥有足够的网络攻击能力,但防御能力薄弱,仅可对美国及其盟国内安全防护较差的目标开展网络攻击。已曝光的伊朗黑客行动表明,为窃取关键情报、开展滋扰破坏和展示网络作战能力,伊朗开展了一系列网络攻击或网络渗透活动,涉及多个行业和部门。未来伊朗将以“全时寻隙渗透、无序发动攻击”作为对美国开展网络斗争的战略,作战样式也将以软性阻断破坏为主,并重点攻击美国国内防护能力脆弱的民用目标。

结 语

网络战已经成为美伊博弈的重要形式和手段,美伊之间的网络攻击从未真正停止过。伊朗与美国及其它国家的网络战水平存在差距,但其网络作战能力正在不断提升,已成为网络战领域不可小觑的对手。未来伊朗将在提升攻击能力的同时,加强自身网络防御能力的建设,以便在网络空间真正占据一席之地。

引用本文:龚汉卿,张运雄,郝志超.伊朗网络战能力研究[J].信息安全与通信保密,2021(4):35-43.

作者简介

龚汉卿(1987—),男,学士,工程师,主要研究方向为网络空间安全;

张运雄(1976—),男,学士,工程师,主要研究方向为网络安全与信息化;

郝志超(1993—),男,硕士,工程师,主要研究方向为网络空间安全。

选自《信息安全与通信保密》2021年第4期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。