编者按

亚马逊威胁情报团队11月19日发文称,随着国家级网络威胁体利用网络入侵来实时辅助军事打击,网络作战和物理作战间的传统界限正在消融,标志着战争形态正在发生根本性演变。

亚马逊称,传统的网络安全框架通常将数字威胁和物理威胁视为两个独立的领域,这种人为划分越来越不切实际;国家级行为体已经意识到,将数字侦察与物理攻击相结合能够产生倍增效应,因此正在开创一种新的作战模式,将网络侦察直接赋能于动能打击;国家行为体在战争方式上正在发生根本性的转变,从仅是造成物理损害的网络攻击扩展到精心策划的协同作战行动,其中数字行动旨在支持实际的军事目标;上述动向揭示了“网络赋能的动能打击”新战争类型,该类型战争区别于“网络动能作战”和“混合战争”,指专门设计用于赋能和增强动能军事行动的网络行动;展望未来,“网络赋能的动能打击”将日益普遍,并被众多对手所利用。亚马逊举了两个实际案例。

案例一:伊朗网络威胁组织“帝国小猫”的海上战役。该组织2021年12月4日入侵了某海上船舶的自动识别系统平台,从而获得了对关键航运基础设施的访问权限;2022年8月14日扩大了其海上攻击目标范围,将目标转向更多船舶平台,包括入侵了一艘船舶上的闭路电视监控系统从而获取了实时视频情报;2024年1月27日针对特定货轮的自动识别系统位置数据进行定向搜索,标志着其行动模式从广泛侦察明显转向有针对性的情报收集。美国中央司令部2024年2月1日报告称,胡塞武装对“帝国小猫”一直在追踪的船只发动了导弹袭击。该案例表明,网络行动可被用来获取精确情报,以便对海上基础设施进行有针对性的物理攻击。

案例二:伊朗网络威胁组织“浑水”的耶路撒冷行动。该组织2025年5月13日专门为网络行动提供服务器,建立其行动所需的基础设施;2025年6月17日利用其服务器基础设施访问了另一台包含来自耶路撒冷的实时监控视频流的被入侵服务器,从而能够实时掌握耶路撒冷市内潜在目标的影像信息。以色列当局2025年6月23日报告称,伊朗军队利用被入侵的监控摄像头收集实时情报并调整导弹目标。

亚马逊表示,攻击者利用复杂技术基础设施,并采用多层级攻击方法:一是通过匿名VPN服务路由其流量,以掩盖其真实来源,使归因更加困难;二是利用专用控制服务器为持续操作提供持久访问以及命令与控制能力;三是渗透托管关键基础设施的企业服务器;四是利用遭入侵摄像头和传感器的实时数据流获取可操作的情报,以便近乎实时地调整目标。亚马逊表示,此项研究警示网络安全界必须调整策略,以应对横跨数字和物理领域的威胁;过去自认为不会成为威胁行为体目标的组织,如今也可能成为战术情报的目标;必须扩展威胁模型,加强情报共享,并制定新的防御策略,以应对来自不同对手的网络攻击所带来的现实挑战。

奇安网情局编译有关情况,供读者参考。

亚马逊威胁情报最新发现:

国家行为体正在将网络战与动能战相结合

新的威胁形势

网络战与传统动能作战之间的界限正迅速模糊。亚马逊威胁情报团队近期的调查揭示了一种被称为“网络赋能的动能打击”(cyber-enabled kinetic targeting)的新趋势,即国家级威胁行为体系统性地利用网络行动来支持和增强其物理行动。传统的网络安全框架通常将数字威胁和物理威胁视为两个独立的领域。然而,亚马逊的研究表明,这种划分越来越不切实际。多个国家级威胁组织正在开创一种新的作战模式,在这种模式下,网络侦察直接赋能于动能打击。

亚马逊发现,国家行为体在战争方式上正在发生根本性的转变。这些不再仅仅是造成物理损害的网络攻击;而是精心策划的协同作战行动,其中数字行动旨在支持实际的军事目标。

案例研究1:“帝国小猫”的海上战役

第一个案例研究涉及“帝国小猫”(Imperial Kitten),这是一个被怀疑代表伊朗伊斯兰革命卫队(IRGC)行事的威胁组织。时间线揭示了该组织从数字侦察到物理攻击的演变过程:

  • 2021年12月4日:“帝国小猫”入侵了某海上船舶的自动识别系统(AIS)平台,从而获得了对关键航运基础设施的访问权限。亚马逊威胁情报团队发现了此次入侵事件,并与受影响的组织合作,共同修复了此次安全事件。

  • 2022年8月14日:威胁行为者扩大了其海上攻击目标范围,将目标转向更多船舶平台。在其中一起事件中,他们入侵了一艘船舶上的闭路电视监控系统,获取了实时视频情报。

  • 2024年1月27日:“帝国小猫”针对特定货轮的AIS位置数据进行定向搜索。这标志着行动模式从广泛侦察明显转向有针对性的情报收集。

  • 2024年2月1日:美国中央司令部报告称,胡塞武装对“帝国小猫”一直在追踪的那艘船只发动了导弹袭击。虽然导弹袭击最终未能奏效,但网络侦察与实际打击之间的关联性显而易见。

本案例表明,网络行动如何为对手提供精确情报,以便对海上基础设施(全球商业和军事后勤的关键组成部分)进行有针对性的物理攻击。

案例研究2:“浑水”的耶路撒冷行动

第二个案例研究涉及“浑水”(MuddyWater)组织,美国政府将其归咎于拉纳情报计算机公司(Rana Intelligence Computer Company),该公司受伊朗情报与安全部(MOIS)指使。该案例揭示了网络行动与动能打击之间更为直接的联系。

  • 2025年5月13日:“浑水”专门为网络行动提供服务器,建立其行动所需的基础设施。

  • 2025年6月17日:攻击者利用其服务器基础设施访问了另一台已被入侵的服务器,该服务器包含来自耶路撒冷的实时监控视频流。这使得攻击者能够实时掌握耶路撒冷市内潜在目标的影像信息。

  • 2025年6月23日:伊朗对耶路撒冷发动大规模导弹袭击。同日,以色列当局报告称,伊朗军队利用被入侵的监控摄像头收集实时情报并调整导弹目标。

这并非巧合。据美媒报道,以色列官员敦促民众断开联网监控摄像头,并警告称伊朗正在利用这些摄像头“收集实时情报并调整导弹目标”。

技术基础设施和方法

亚马逊的研究揭示了支撑这些行动的复杂技术基础设施。威胁行为者采用了多层级攻击方法:

  • 匿名VPN网络:威胁行为者通过匿名VPN服务路由其流量,以掩盖其真实来源,使归因更加困难。

  • 由行为体控制的服务器:专用基础设施为持续操作提供持久访问以及命令与控制能力。

  • 遭渗透的企业系统:最终目标是托管关键基础设施(如闭路电视系统、海上平台和其他情报丰富的环境)的企业服务器。

  • 实时数据流:来自被入侵的摄像头和传感器的实时数据流提供可操作的情报,可用于近乎实时地调整目标。

定义一种新的战争类型

研究团队提出了一套新的术语来描述这些混合操作。传统的框架不足以应对这些需求:

  • 网络动能作战(cyber-kinetic operations)通常指的是对系统造成物理损害的网络攻击。

  • 混合战争(Hybrid warfare)的概念过于宽泛,涵盖多种战争类型,却没有特别关注网络物理一体化。

亚马逊的研究人员建议使用“网络赋能的动能打击”(cyber-enabled kinetic targeting)作为更精确的术语,来描述那些专门设计用于赋能和增强动能军事行动的网络行动。

对防守者的影响

对于网络安全界而言,这项研究既是警示,也是行动号召。防御者必须调整策略,以应对横跨数字和物理领域的威胁。过去认为自己不会成为威胁行为者目标的组织,如今也可能成为战术情报的目标。必须扩展威胁模型,加强情报共享,并制定新的防御策略,以应对来自不同对手的网络攻击所带来的现实挑战。

  • 扩展的威胁建模:组织不仅要考虑网络攻击的直接影响,还要考虑受损系统可能如何被用来支持针对自身或其他组织的物理攻击。

  • 关键基础设施保护:海上系统、城市监视网络和其他基础设施的运营者必须认识到,他们的系统不仅可能对间谍活动有价值,而且可能对军事行动有目标定位辅助作用。

  • 情报共享:这些案例表明,私营部门组织、政府机构和国际合作伙伴之间共享威胁情报至关重要。

  • 归因挑战:当网络行动直接促成动能攻击时,归因和响应框架会变得更加复杂,可能需要网络安全、军事和外交渠道之间的协调。

展望未来

“网络赋能的动能打击”将日益普遍,并被多个对手所利用。国家行为体已经意识到,将数字侦察与实体攻击相结合能够产生倍增效应。这一趋势代表着战争的根本性演变,网络作战和动能作战之间的传统界限正在消融。

声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。