编者按
全球各地黑客团伙、民族国家背景的黑客组织及其他网络威胁行为者正在以各种方式卷入以色列与哈马斯的战争,并且随着冲突持续可能会发挥更大作用。
在冲突爆发后,针对以色列和巴勒斯坦网站和应用程序的黑客攻击开始涌现,黑客针对数十个政府网站和媒体机构开展了篡改和DDoS攻击,试图通过垃圾流量使目标超载并将其瘫痪。亲俄罗斯黑客组织方面,Killnet承诺支持哈马斯的行动并将对以色列发起网络攻击;“匿名者苏丹”讨论了针对以色列“铁穹”防御系统发动网络攻击,声称已获得“来自罗马尼亚的零日漏洞”用于攻击以色列目标,并推广了DDoS工具Mhddos、Ru DDoS C2、Hulk和Krypton;SiegedSec声称正在与“匿名者苏丹”合作对以色列基础设施开展攻击;UserSec声称对多个以色列政府网站开展了DDoS攻击。亲巴勒斯坦黑客组织AnonGhost成功破解以色列RedAlert 应用程序,并通过发送关于核弹和火箭弹攻击的虚假警报引发了以色列民众恐慌。亲以色列组织ThreatSec入侵了巴勒斯坦互联网服务提供商 AlfaNet,造成该公司服务中断10个小时。此外,“印度网络力量”声称对哈马斯官方网站等发起了DDoS攻击;“网络复仇者”声称窃取了以色列国家电力局的文件;提供DDoS服务出租的Krypton 网络向希望攻击以色列组织的黑客活动分子出售其服务。
在沉寂近1年后,疑似以色列国家背景的黑客组织“掠夺性麻雀”10月9日在网上宣布重新回归。该组织曾对伊朗成功发动过多性破坏性攻击,包括攻击伊朗加油网络支付系统、钢铁厂等。该组织的活动具有高度的战略性和专业性,被认为具有复杂先进的活动能力,能够精确控制行动并限制活动的溢出影响,体现出远超普通黑客的专业能力。美国网络安全服务提供商ReliaQuest表示,民族国家对冲突的反应更加混乱且难以溯源;伊朗网络威胁组织很可能希望通过网络战场来影响冲突,并可能对拥有成熟安全计划的组织开展攻击;鉴于与伊朗有关的威胁组织通常将攻击重点放在与伊朗地缘政治关系紧张的国家,如美国和以色列,因此与伊朗有关的网络威胁组织相关的活动可能会因此次战事而增加;潜在的攻击可能是战略性和有针对性的,影响与政府有联系的以色列企业或在以色列关键基础设施或政府、电信和国防领域工作的公司。
在战争混乱中,黑客行动主义往往会助长虚假信息、错误信息和恐慌,并导致意想不到的后果,对于一些数字行为者来说这本身就是目标。美国网络安全公司Recorded Future表示,目前大多数数字攻击似乎源于先前存在的团体或更广泛的与其他冲突相邻的类似活动,攻击活动的范围是国际性的,但仅限于黑客行动主义中预先存在的意识形态团体。新加坡网络安全公司Group-IB表示,目前观察到的大多数黑客活动组织主要涉及篡改和DDoS攻击,只有利用API漏洞的RedAlert攻击等少数事件造成了更严重的危害和风险。以色列网络安全公司Kela表示,虽然黑客活动可能会加剧骚乱,但预计不会对地面战争产生重大影响;由于冲突的严重性和黑客活动团体的普遍演变,预计会有更多黑客团体参与并出现更多的DDoS攻击,但不会对整体威胁格局产生重大影响。
奇安网情局编译有关情况,供读者参考。
10月7日,哈马斯武装向以色列边境地区发射火箭弹并派出武装人员,造成大规模人员伤亡和并掠走大量人质。上述事态发展是哈马斯迄今为止对以色列最激进的攻击,恰逢1973年埃及-叙利亚对以色列发动突然袭击50周年。世界各地的黑客行动团伙和民族国家联盟组织,以及受全球地缘政治事件高度影响的其他网络威胁行为者,正在对此场冲突做出反应。
黑客活动分子的反应
中东地区和世界各地的黑客活动分子已经纷纷加入此场战斗。在哈马斯武装分子和火箭弹进入以色列后数小时内,针对以色列和巴勒斯坦网站和应用程序的黑客攻击开始涌现。在冲突升级后的短时间内,黑客针对数十个政府网站和媒体机构开展了篡改和DDoS攻击,试图通过垃圾流量使目标超载并将其瘫痪。一些组织声称窃取了数据,攻击了互联网服务提供商,并入侵了以色列导弹警报服务RedAlert。
互联网基础设施公司Equinix 网络安全团队成员威尔·托马斯表示,“我发现至少有60个网站遭受了DDoS攻击,其中一半是以色列政府网站。至少5个网站被污损并显示‘自由巴勒斯坦’相关信息。”
威尔·托马斯还表示,“‘印度网络力量’(Indian Cyber Force)声称对hamas.ps和webmail.gov.ps发起了DDoS攻击。名为‘网络复仇者’(Cyber Avengers)的组织声称窃取了以色列国家电力局的文件。他们声称他们窃取了以色列多拉德发电厂的文件。但他们实际上以编造东西、创建虚假基础设施和截图而闻名。”
网络安全公司Recorded Future 的威胁情报分析师亚历克斯·莱斯利表示,到目前为止,他和他的同事已经确定了以色列与哈马斯战争的3个活动子集。大多数数字攻击似乎源于先前存在的团体或更广泛的与其他冲突相邻的类似活动。亚历克斯·莱斯利表示,“范围是国际性的,但仅限于黑客行动主义中预先存在的意识形态团体。”
Recorded Future 迄今为止已确定的小组是“自称支持巴勒斯坦的‘伊斯兰’黑客活动分子。” 亚历克斯·莱斯利表示,“这些组织历来以印度为目标,并且已经存在多年。亲俄罗斯的黑客活动分子正在转向以色列,其目的可能是制造混乱并传播俄罗斯国家的言论。还有‘新的’团体,因为它们是在过去几天内才出现的,并且在冲突前的活动有限。”
亲俄罗斯黑客者“匿名者苏丹”和Killnet都介入了哈马斯和以色列之间的冲突。Killnet的官方 Telegram 频道发布了一张图片,承诺该组织支持哈马斯的行动,并承诺发动反以色列袭击,并写道:“以色列政府,你应对这场流血事件负责。早在 2022 年,你就支持乌克兰的恐怖政权。你背叛了俄罗斯。今天Killnet正式通知你!所有以色列政府系统都将受到我们的攻击!”
Killnet 的声明得到了亲俄罗斯黑客组织“UserSec”的响应,该组织声称对多个以色列政府网站开展了分布式拒绝服务(DDoS)攻击。另一个黑客活动组织“匿名者苏丹”声称已获得未具体说明的“来自罗马尼亚的零日漏洞”,用于反以色列攻击。“匿名者苏丹”官方Telegram频道和相关Telegram聊天中的其他帖子讨论了针对“铁穹”防御。因在美国和世界各地开展出于政治动机的攻击而闻名的网络犯罪组织SiegedSec表示,该组织正在与“匿名者苏丹”合作对以色列基础设施开展攻击。
在广告中宣传DDoS服务出租的Krypton 网络也向希望针对以色列组织的黑客活动分子出售其服务。DDoS攻击通常会导致网站流量激增,导致网站无法使用,这种攻击已成为黑客活动组织的主流,并且很可能成为以色列和亲以色列组织将面临的最常见的网络威胁之一。“匿名者苏丹”Telegram频道推广了DDoS工具Mhddos、Ru DDoS C2、Hulk和Krypton。
亲巴勒斯坦黑客组织AnonGhost对以色列RedAlert 应用程序发起了网络攻击,成功破解该应用程序,并在以色列民众中造成了混乱。该应用程序由应用程序开发人员和物联网研究员科比·斯尼尔开发,用于在火箭弹、迫击炮或导弹从加沙地区向以色列发射时提供实时警报。
新加坡网络安全公司 Group-IB 证实了此次网络攻击。该公司的威胁分析团队透露,AnonGhost利用了RedAlert应用程序中的 API 漏洞。AnonGhost成功拦截了请求,暴露了易受攻击的服务器和API,使他们能够利用 Python 脚本向一些以色列应用程序用户发送垃圾邮件。这导致用户在智能手机上收到虚假的导弹警报,进一步恶化了该国本已严峻的局势。
但攻击的规模并没有仅限于虚假的火箭弹警报。根据 Group-IB 的威胁情报系统,AnonGhost 还发送了有关对以色列进行“核弹”袭击的捏造信息。
AnonGhost在Telegram上发布的一则公告夸耀了这次攻击,并写道“以色列的RedAlert手机应用程序系统被AnonGhost + AG成员黑客攻击。在这次攻击发生前,我们发现该聊天室中有大约10000名用户在线。此应用程序中的所有10000到20000个用户都将收到相同的通知。”
此外,该组织声称,除发送虚假警报并引起恐慌外,此次攻击的影响还包括断开用户手机与互联网的连接并导致手机无法使用,迫使受害者购买新手机。上述说法目前尚未得到证实。
Hackread网站深入研究了AnonGhost的说法,发现了AnonGhost在其Telegram频道上分享的一段视频,表明该组织利用 RedAlert 应用程序发送有关虚构火箭弹和核弹袭击的紧急警报。
Group-IB 威胁情报部门网络犯罪调查负责人奥列格·迪奥罗夫在谈到该公司在以色列战斗中观察到的行动时表示,“我们目前观察到的大多数黑客活动组织主要涉及篡改和DDoS攻击。只有少数事件,例如利用API 漏洞的事件,才会造成更严重的危害和风险。”Group-IB表示,在RedAlert事件中,攻击者向该应用程序的一些用户推送了虚假消息,包括核弹即将到来的警告。奥列格·迪奥罗夫表示,“尽管其中许多人拥有有限的技术专业知识,但他们社区的庞大规模放大了他们的影响力。”
其他黑客组织承诺发动攻击以保卫以色列。据报道,亲以色列组织ThreatSec已经入侵了巴勒斯坦互联网服务提供商 AlfaNet。监控公司 Kentik 的互联网分析主管道格·马多里表示,在黑客活动分子发表声明前,10 月 7 日,Alfanet 有大约10个小时无法访问。此后,该互联网服务提供商的系统已重新上线。道格·马多里表示,“他们的一些服务仍然可能被破坏。”他指的是10月8日晚无法访问的 Alfanet TV 网站和门户网站。一些团体也积极回应印度对以色列的支持,或赞成或反对这种支持。
民族国家行为者的动向
网络安全服务提供商ReliaQuest表示,民族国家对冲突的反应更加混乱且难以归因;然而,伊朗网络威胁组织很可能特别有兴趣通过网络战场影响冲突;哈马斯公开表示,其对以色列的袭击得到了伊朗的支持。
该公司表示,一些伊朗国内威胁组织有可能对拥有最成熟安全计划的组织开展成功的攻击;鉴于与伊朗有关的威胁组织通常将攻击重点放在与伊朗地缘政治关系紧张的国家(例如美国和以色列),因此与伊朗有关的网络威胁组织相关的活动实际上有可能会因这些事件而增加;然而,潜在的攻击可能是战略性和有针对性的,影响与政府有联系的以色列企业或在以色列关键基础设施或政府、电信和国防领域工作的公司。
在沉寂近一年后,一个疑似与色列政府有联系的强大黑客组织“掠夺性麻雀”10月9日在网上重新出现,这表明随着以色列和哈马斯之间的冲突持续下去,数字行为者可能会发挥更大的作用。
随着以色列和哈马斯武装分子间的暴力冲突继续上演,大部分战斗仍然是激烈的军事行动。但自10月7日战斗开始以来,冲突双方的一系列神秘“黑客行动主义”团体通过分布式拒绝服务攻击使网站离线,破坏了一些网站,并在手机应用程序上触发了虚假警报,警告即将到来的攻击。
网络安全公司曼迪昂特首席分析师约翰·霍特奎斯特 10月10日对记者表示,“这场危机规模太大,无法不吸引各个角落的情报收集者。”
“掠夺性麻雀”(Predatory Sparrow)的重新出现尤其引起了网络操作人员的注意,该活动被认为是以色列相对复杂的黑客行动,曾在伊朗发动过破坏性攻击。约翰·霍特奎斯特表示,“这无疑是一位值得关注的行为者”。
“掠夺性麻雀”(波斯语Gonjeshke Darande)10月9日其 Telegram 频道上发布了自 1 月份以来的第一条消息,同时也在 X(前身为 Twitter)上发布了类似的帖子。该组织用波斯语写首,“你觉得这可怕吗?我们回来了。我们希望你关注加沙正在发生的事情。”该消息包含伊朗政府梅尔通讯社网站的链接,该网站已暂时无法访问。
2021年至2022年间,分析人士将“掠夺性麻雀” 与一系列旨在让伊朗政府难堪的引人注目的攻击联系起来。2021年10月,与伊朗国家燃油泵网络相连的支付系统遭到攻击,干扰了伊朗民众加油,并发布了敦促驾车者联系伊朗最高领导人办公室的信息。2022年6月,该组织再次袭击伊朗境内,目标是其所称与伊斯兰革命卫队有联系的钢铁设施。
作为后一次袭击的一部分,该组织发布了明显的闭路视频,显示其中一个目标设施遭到严重损坏。该组织似乎可以访问设施内的视频监控,并确定了破坏性袭击的时间,以尽量减少设施工作人员受伤的可能性,这让专家推测这次袭击具有高度战略性和专业性。
网络安全公司SentinelLabs的高级主管胡安·安德烈斯·格雷罗-萨德表示,“‘掠夺性麻雀’之所以如此出色,是因为每项活动都通过其克制来表现出更大的能力。‘我们本来可以,但我们没有,所以不要逼我们出手,因为我们可以。’相比之下,‘黑客行动主义者’阵线暂时关闭网站作为头条新闻看起来就像小学生一样。”
“掠夺性麻雀”从未声称与任何政府有联系,但匿名的美国国防官员告诉《纽约时报》,针对伊朗加油站的行动是由以色列实施的。还有其他迹象表明与以色列政府有联系。例如,在钢铁设施遭到袭击后,《以色列时报》报道称,以色列军方领导人已下令对以色列行动的泄密和未经授权的披露进行调查。
还有迹象表明,伊朗政府认为“掠夺性麻雀”是以色列的行动。2022年7月,一个自称为“国土正义”(Homeland Justice)的组织针对多个阿尔巴尼亚政府系统部署了破坏性恶意软件,这些系统与该国主办流亡的伊朗反对派组织Mojahedin-e Khalq的会议有关。在那次行动中,“国土正义”组织(多国政府和私营调查者将其与伊朗政府联系起来)使用了一个标志,嘲笑“掠夺性麻雀”的愤怒的小鸟风格的品牌形象,其特征是大卫之星内有一只愤怒的小鸟,即将被老鹰抓走。
黑客攻击活动对冲突的影响
在任何爆发的动能战争的混乱中,黑客行动主义往往会助长虚假信息、错误信息和恐慌。这可能会导致意想不到的后果。对于一些数字行为者来说,不可预测性本身就是目标。国家支持的黑客组织、黑客行动、亲伊朗信息行动存在表明,以色列和哈马斯间的冲突可能会引起全球黑客组织和情报机构的关注。
以色列网络安全公司Kela的威胁研究主管维多利亚·基维列维奇表示,虽然黑客活动可能会加剧骚乱,但预计这不会对地面战争产生重大影响。维多利亚·基维列维奇称,“由于冲突的严重性和黑客活动团体的普遍演变,我们预计会看到更多的团体和DDoS攻击,但是,到目前为止,我们预计不会对整体威胁格局产生任何重大影响。”
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
