网络空间提供的不对称优势导致一大批非国家行为者获得并使用进攻性网络能力与相对强大的对手竞争。来自勒索软件犯罪组织的网络威胁已得到充分记录,但从专业军事承包商到贩毒集团等传统上参与武装动能暴力的一系列其他非国家行为者也在尝试开展进攻性网络行动,美国及其盟友仍在努力应对如何应对。每个参与者都有涉足网络活动的谨慎动机,将它们全部归为一类非国家参与者可能会使研究和解决他们的行为的努力复杂化。一些历史上几乎完全植根于动能暴力的经过充分讨论的、具有重要政治意义的非国家行为者正在开发或以其他方式获得攻击性网络能力,以促进他们的利益。作为加沙地带事实上的管理机构的巴勒斯坦政党和好战的恐怖组织哈马斯就是其中之一。该组织蓬勃发展的网络能力及其宣传策略对以色列、巴勒斯坦民族权力机构和美国在该地区的利益构成威胁。
哈马斯至少在2012年就开始使用网络,目的是摆脱代价更高的恐怖主义策略。哈马斯没有将资金花在更传统的恐怖活动上,例如火箭弹、刀具和绑架平民,而是转向更适合其信息宣传活动的策略。随着网络能力的增强,它能够在不牺牲其声誉或冒军事报复、基础设施损坏或内部经济和政治压力的情况下提高公众认知和影响力。
2022年11月,大西洋理事会发布了西蒙.汉德勒的专题报告《哈马斯的网络战略和行动:绿旗和绿帽》强调了哈马斯的进攻性网络和信息能力及行为。首先,报告提供了对哈马斯整体战略的广泛概述,了解该战略是评估其网络活动的关键。其次,报告分析了哈马斯参与的进攻性网络行动的类型,表明网络能力的采用并不意味着战略的突然转变,而是战略的重新调整和行动的增强。即哈马斯进攻性网络行动是一种将旧事物做得更好的新方法。第三,报告旨在推动政策界以不同的方式思考其对未来可能利用网络领域的类似非国家团体的做法。报告可用作案例研究,以了解非国家行为体对网络战工具的开发和实施。
报告从间谍活动、信息战行动和战术演进三个方面阐述了哈马斯的网络战略。
网络领域的性质允许像哈马斯这样的弱势行为体参与进来,并对像以色列这样的强大行为体造成比在常规冲突中可能造成的伤害要大得多的伤害。这种不对称性意味着网络空间提供了存储、传输和部署相应能力的内在隐蔽机会,对组织资源和财力或人力的需求远低于工业战。网络能力非常适合支持信息宣传活动,可用于影响受众,而不会引起恐怖主义等更引人注目的行动的注意和影响。通过这些方式,网络行动符合哈马斯的总体战略,并强调建立公众认知和影响力。理解这一战略可以更好地了解哈马斯过去的网络行动,以及该组织未来可能如何在网络领域开展行动。
哈马斯的网络能力虽然相对较新且缺乏其他黑客组织的先进工具,但不应被低估。令许多安全专家感到惊讶的是,哈马斯——长期受加沙地带电力短缺的困扰,平均每天只有十到十二小时的电力——甚至拥有网络能力。以色列对加沙地带电信频率和基础设施的控制使人们进一步怀疑哈马斯如何实施网络计划。然而,在2019年,以色列认为进攻性网络威胁非常严重,因此以色列国防军在挫败了一次行动后发动了袭击,摧毁了哈马斯的网络总部,军方为响应网络行动而进行的首批公认的动能行动之一。然而,尽管以色列国防军发言人声称“哈马斯在我们的袭击之后不再拥有网络能力”,但公开报道强调了哈马斯在随后的数月和数年中的各种网络行动。
这种对哈马斯网络威胁的轻视态度也忽视了该组织在加沙地带以外的行动。土耳其总统雷杰普·塔伊普·埃尔多安和他的正义与发展党在意识形态上同情哈马斯,并已将公民权赋予哈马斯领导层。据称,该组织的领导人利用土耳其作为策划攻击的基地,甚至作为海外网络设施的避风港。哈马斯与其他国家支持者(即提供资金、安全港和武器技术的伊朗和卡塔尔)保持着更稳固的关系。在国家捐助者的协助下,哈马斯将继续发展进攻性网络和信息能力,如果被忽视,可能会导致地缘政治后果。
至少十年来,哈马斯一直在针对以色列和巴勒斯坦目标开展网络行动。这些行动可分为符合哈马斯总体战略的两大行动类别:间谍活动和情报活动。第一类,网络间谍活动,占哈马斯公开报道的网络活动的大部分,并支撑该组织的信息行动。
间谍活动
与任何国家或非国家行为体一样,哈马斯依靠优质情报为其领导层和指挥官提供政治和军事领域的决策优势。从以色列、敌对的巴勒斯坦派系和自己队伍中的个人窃取有价值的秘密,为哈马斯提供了战略和行动杠杆,因此在其网络行动中处于优先地位。
内部安全部队(ISF)是哈马斯的主要情报组织,由来自更大的Izz al-Din al-Qassam旅(哈马斯的一个军事分支)内的al-Majd安全部队成员组成。ISF的职责范围从间谍活动到平息来自党内及其安全机构的政治反对派和异议。ISF的任务范围通过哈马斯的网络行动体现出来。
战术演变
自然地,以色列是哈马斯网络间谍活动的主要目标。这些行动在过去几年中变得司空见惯,逐渐从广泛、生硬的策略演变为更有针对性、更复杂的方法。该组织最初的策略侧重于“喷洒和祈祷”方法,将带有恶意附件的非个人电子邮件分发给大量目标,希望一小部分人会上钩。例如,一项始于2013年年中并于2015年2月被发现的行动要求哈马斯运营商通过许诺色情视频来引诱目标,这些视频实际上是恶意软件应用程序。运营商依赖他们的受害者——包括政府、军队、学术、交通和基础设施部门的目标——向他们的工作场所信息技术部门隐瞒有关事件的信息,后来,哈马斯的行动实施了各种战术更新,以增加成功的机会。2015年9月,该组织开始包括链接而非附件、非色情诱饵(如车祸视频)以及对泄露数据的额外加密。另一项活动于2017年2月公布,涉及一种更加个性化的方法,使用社会工程技术,利用来自虚假Facebook帐户的恶意软件将IDF人员作为目标。在随后的几年中,该组织开始推出各种智能手机应用程序和营销网站,以在目标设备上偷偷安装移动远程访问木马。2018年,该组织伪装成Red Alert(一种针对以色列人的火箭警报器应用程序),在智能手机上植入间谍软件。同样,在2020年,哈马斯通过名称为Catch&See和GrixyApp 的约会应用程序瞄准了以色列人。如前所述,哈马斯还将其间谍软件隐藏在一个看似无害的世界杯应用程序中,该应用程序允许该组织收集有关以色列国防军各种军事设施和硬件(包括装甲车)的信息。这些都是哈马斯指挥官已表现出兴趣了解更多信息的领域,以便在未来的动能冲突中获得潜在优势。
根据以色列威胁情报公司Cybereason的说法,最近的发现表明哈马斯的行动达到了“新的复杂程度”。2022年4月,一场针对以色列军队、执法部门和紧急服务人员的网络间谍活动使用了以前未记录的具有增强隐身机制的恶意软件。这表明哈马斯正在采取比以往更多的措施来保护行动安全。这个特定活动的感染媒介是通过Facebook等平台上的社会工程,这是许多哈马斯间谍活动的标志,以欺骗目标下载木马化的应用程序。下载恶意软件后,哈马斯操作员可以从设备的文档、摄像头和麦克风中获取广泛的信息,获取有关目标行踪、互动等方面的大量数据。从军事、执法和紧急服务人员那里收集的信息本身可能有用,也可能具有潜在的勒索价值。
作为与巴勒斯坦权力机构和竞争对手法塔赫党的权力斗争的一部分,哈马斯以类似的行动瞄准巴勒斯坦政治和安全官员。在另一项针对巴勒斯坦民族权力机构的创造性网络间谍活动中,哈马斯运营商使用隐藏的恶意软件从广泛使用的云平台Dropbox中窃取信息。同样的行动针对埃及的政治和政府官员,鉴于埃及与加沙地带的共同边界以及以色列和哈马斯之间的停火和其他谈判的角色斡旋,哈马斯热衷于进行监视。
哈马斯网络间谍活动的其他常见目标是其自身组织的成员。ISF的职责之一是反情报,对于一个充斥着自相残杀的政治竞争以及对以色列和其他情报部门的监视眼睛的偏执狂的组织来说,这是一个极其重要的领域。根据西方情报来源,哈马斯在土耳其的网络设施的主要任务之一是针对哈马斯持不同政见者和间谍部署反情报。哈马斯对其队伍中的巴勒斯坦人和其他人与以色列“合作”的可能性很敏感,该组织偶尔会因涉嫌担任以色列情报线人而草率处决个人。
信息战行动
虽然哈马斯的大部分网络行动都非常重视信息收集,但其中一部分涉及使用这些信息来进一步影响公众。这种广泛定义的信息操作类别包括从黑客和泄漏到污损到推进有益叙述的社交媒体活动的一切。
当黑客获取秘密或其他敏感信息并随后将其公开时,黑客泄密行动显然是试图转移公众舆论和“模拟丑闻”。在关键时刻战略性传播被盗文件、图像和视频(可能被操纵)对于像哈马斯这样的组织来说可能是一笔意外之财。2014年12月,哈马斯声称入侵了以色列国防军的机密网络并发布了早些时候以色列在加沙地带的“保护边缘行动”拍摄的多个视频。这些剪辑被哈马斯叠加了阿拉伯语字幕,描绘了有关以色列国防军行动的敏感细节,包括以色列军队与渗透到以色列的恐怖分子进行绑架的两个独立实例——一组在前往Kibbutz Zikim的途中通过海上渗透,另一组通过边界下的隧道进入Kibbutz Ein HaShlosha——进行绑架。其中一次突袭导致了一场持续大约六个小时的战斗,并导致两名以色列人死亡。通过泄露包括已故以色列人图像在内的录像,哈马斯试图向巴勒斯坦人展示自己是一个强有力的领导人,并在以色列人中灌输恐惧,吹嘘它有能力渗透以色列、杀死以色列人并返回加沙。这些行动旨在展示哈马斯在两个层面上的实力:首先,他们有能力从以色列窃取有价值的材料;其次,他们为推进巴勒斯坦民族事业而进行攻击的勇气。
篡改是哈马斯网络武器库中的另一个工具。这种行动是一种在线破坏行为,通常涉及破坏网站以发布宣传,与其说是破坏性的,不如说是一种滋扰。这些行动旨在让目标难堪,尽管是暂时的,并对观众产生心理影响。2012年,在以色列在加沙地带的“铸铅行动”期间,哈马斯声称对以色列网站的攻击负责,包括以色列国防军的国土防线司令部,声称网络行动是“对以色列战争不可或缺的一部分”。从那时起,哈马斯就展示了其通过污损行动接触潜在更广泛受众的能力。值得注意的是,在2014年7月的“保护边缘行动”期间,哈马斯获得了以色列第10频道卫星广播的几分钟访问权,播放的图像据称描绘了以色列在加沙地带的空袭中受伤的巴勒斯坦人。哈马斯黑客还用希伯来语文本显示了威胁:“如果你们的政府不同意我们的条款,那么请准备好在避难所中长期逗留。”
哈马斯自己进行了破坏行动,并依赖于“爱国黑客”大军。爱国黑客攻击,即个人代表国家对被认为是对手的网络攻击,并不是以色列-巴勒斯坦冲突所独有的。各国已转向世界各地有同情心的公民寻求支持,经常指示个人黑客破坏对手的网站,就像乌克兰在俄罗斯2022年入侵后所做的那样。同样,哈马斯试图鼓动中东各地的黑客“抵抗”以色列,导致阿拉伯黑客破坏属于特拉维夫证券交易所和以色列国家航空公司ElAl的网站。
在拥抱爱国黑客的同时,哈马斯试图通过在街头争取巴勒斯坦人的帮助来扩大其宣传力度,以进行技术含量较低的行动。在某种程度上,哈马斯以与其他恐怖组织类似的方式使用社交媒体来煽动暴力,例如敦促巴勒斯坦人攻击以色列和约旦河西岸的犹太人。然而,该组织更进一步,鼓励加沙的巴勒斯坦人通过提供社交媒体发布指南来为其努力做出贡献。哈马斯内政部提供的指示详细说明了巴勒斯坦人应如何发布有关冲突的信息并与外界讨论,包括首选术语和做法,例如,“在我们谈话之前,任何被杀或殉难的人都应被称为来自加沙或巴勒斯坦的平民关于他在圣战中的地位或他的军衔。不要忘记在描述以色列袭击加沙地带遇难者时总是加上‘无辜平民’或‘无辜公民’。” 其他指示包括:“避免发布从[加沙]市中心向以色列发射火箭弹的照片。这将为攻击加沙地带的居民区提供借口。” 像这样的宣传活动超越了追随者灌输,在国际公共话语中留下了明显的印记,并构建了与以色列的冲突进程。
哈马斯利用网络领域塑造信息格局的能力可能会对地缘政治产生严重影响。考虑到巴勒斯坦总统马哈茂德·阿巴斯的年龄和不受欢迎——民意调查显示80%的巴勒斯坦人希望他辞职——以及巴勒斯坦权力机构的脆弱状态、巴勒斯坦公众对选举的渴望以及对未来的普遍不确定性,哈马斯的信息操作可以对已经有争议的话语产生特别有效的影响。在某种程度上,以色列的信息环境也是如此,政治不稳定导致以色列在短短三年半内举行了五次选举。如果战略性地执行,信息行动可以在选举结果中发挥影响(如果不是决定性的话)的作用,俄罗斯干预2016年美国总统大选就证明了这一点。一次恰如其分的黑客泄密行动,例如俄罗斯入侵民主党全国委员会的网络并传播其电子邮件,可能会对以色列和巴勒斯坦的政治事件势头产生重大影响。继续未能在巴以冲突中达成两国解决方案将危及以色列的外交关系,以及更广泛的中东地区的稳定。
报告最后总结道,网络能力在全球范围内迅速发展,更先进的技术越来越容易获得,使相对较弱的行为体能够以前所未有的方式与强大的行为体竞争。几乎没有控制措施可以有效应对这种攻击性网络能力的扩散,而且像哈马斯这样的组织在这一领域竞争的技术和财务障碍仍然很低。无论是通过获取和部署具有高度影响力的工具,还是通过与第三方国家的黑客组织建立关系以开展行动,来自哈马斯网络和信息能力的威胁将会增加。哈马斯一直利用恐怖主义作为吸引公众注意力和影响信息环境的手段,抓住战略机会影响政治事件的进程。由于外部压力改变了该组织参与挑衅性动能行动的动机,网络能力为哈马斯提供了推进其战略的替代选择。哈马斯的网络能力将继续提升,该组织可能会继续以对信息环境产生最大影响的方式利用这些工具。了解哈马斯的战略和激励结构如何指导其利用进攻性网络行动,将为类似非国家行为体的网络能力发展提供见解。同时,了解这些动态,以及网络行动如何融入整体战略,是美国制定有效反恐措施打击恐怖组织进攻性网络行动的关键。
参考资源
1、https://www.atlanticcouncil.org/in-depth-research-reports/report/the-cyber-strategy-and-operations-of-hamas-green-flags-and-green-hats/#overview
2、https://www.diplomaticourier.com/posts/confronting-hamas-as-a-cyber-espionage-powerhouse
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
