编者按
在美国和以色列对伊朗发动大规模空袭的同时,某伊朗祈祷应用程序遭劫持向伊朗军人发送劝降信息,同时伊朗黑客也迅速发起网络反击活动,网络安全业界预测伊朗近期将加强网络攻击活动以报复美以军事打击行动。
在美以发动第一轮空袭后不久,伊朗广泛应用的BadeSaba Calendar祈祷应用程序就被劫持发送包含“救援已到”“放下武器才能得到特赦并保全性命”等内容的信息。网络安全业内人士评论称,如此规模和性质的网络攻击一定是事先计划好的,不是“趁火打劫”式勒索软件攻击,而是蓄意且精准地执行的国家级对抗;对BadeSaba的网络攻击是“一步妙棋”,因为虔诚的伊朗政府支持者是该程序的主要用户;此次行动并非单纯的网络攻击,而是一场与军事打击同步进行的协调一致的信息战、一场旨在瓦解伊朗政权安全部队凝聚力的心理战;“智能手机推送通知比飞机投放传单的传播效率更高”,此次行动将空袭、网络战和信息战相结合,堪称当代政治军事战略的教科书式案例。
伊朗黑客也迅速发起反击行动,黑客组织“网络伊斯兰抵抗组织”倡导发起“伟大史诗”网络攻势。在该组织的领导下,黑客关闭了约旦的加油站,并对美国和以色列的军事供应商发动攻击,旨在破坏数据并实施心理战。网络安全业内人士评论称,随着伊朗常规军事能力被削弱,网络攻击因其低成本、难溯源、高破坏性而更具吸引力;伊朗领导层在突袭中几乎被彻底摧毁,导致网络行动指挥结构基本瓦解,进而引发更多不可预测、分散的代理人攻击;未来48小时将是黑客行动主义者和代理人主导事态升级的关键窗口,其正填补伊朗领导层被摧毁留下的权力真空;网络攻击决策权已下放至缺乏监督的个体层面,甚至可能由低级黑客自主发动攻击;伊朗网络攻击目标可能从传统军事目标扩大至中型物流公司等民用商业实体,风险波及范围远超中东;中东地区网络活动显著增加,与伊朗结盟的威胁行为者正在进行侦察并发起DDoS攻击活动,可能预示会发生更具侵略性的行动。
美国网络安全公司Anomali发布简报称,伊朗地缘政治和军事危机已达顶峰,美军行动已经摧毁了伊朗的常规军事选项,使网络战成为该政权唯一残存的非对称报复手段,这并非“纸上谈兵”,伊朗支持的组织正在升级其行动。该简报做出五项关键判断:一是伊朗即将发动网络报复行动;二是针对以色列和美国关键基础设施的恶意数据擦除攻击是可能性最高的报复行动;三是针对工业控制系统/运营技术网络攻击可能在48至72小时内发生;四是伊朗互联网连接性下降只会延缓但无法阻止伊朗的网络报复行动;五是伊朗关键黑客组织正在进行秘密部署。
美国网络安全公司SentinelOne发布简报称,美以军事行动使得地缘政治局势高度动态化,并带来切实的网络威胁;伊朗历来会在地区局势升级时期采取网络行动,伊朗政府主导的网络活动在短期内可能会加剧;伊朗有能力且有意愿在网络领域开展行动,其长期以来利用网络行动进行非对称报复、发出胁迫信号和传递战略信息;伊朗利用多种网络工具来实现国家目标,特别是维护伊朗政权,包括间谍活动和凭证窃取、破坏性和干扰性攻击活动、有针对性的鱼叉式网络钓鱼和社会工程攻击、伪装成“黑客行动主义”的影响行动、虚假信息和影响力行动、国内互联网封锁、代理勒索软件和犯罪团伙等;伊朗可能开展的网络报复行动有四类,包括精准的间谍行动、扰乱性和破坏性策略、协调一致的影响力与虚假信息宣传活动以及针对美国和以色列基础设施的探测攻击;以色列、美国及其盟国的组织很可能面临直接或间接的攻击目标,尤其是在政府、关键基础设施、国防、金融服务、学术和媒体部门;伊朗网络攻击目标的优先顺序和策略可能会根据现实世界的发展、政治声明或感知到的挑衅而迅速改变。
奇安网情局编译有关情况,供读者参考。
美以空袭伊朗期间,一款下载量超500万的祈祷应用遭黑客入侵,被用于向伊朗民众推送劝降信息,开启现代战争“军事打击+数字心理战”的先例。伊朗黑客随即反击,引发网络空间剧烈动荡,专家警告伊朗黑客未来将加剧网络攻击。
伊朗祈祷应用程序被劫持发送劝降消息
在美以第一轮空袭发生后不久,伊朗民众的手机上就涌现出大量通知,这些通知并非来自政府发布的谨慎提醒,而是来自一款名为“BadeSaba Calendar”的祈祷时间应用程序,该应用程序已在Google Play商店下载了 500 万次。
在短短30分钟内,相关信息接连不断地涌入,第一条信息是德黑兰时间上午9点52分发布的“救援已到”。
上午10点02分收到的一条信息写道(波斯语),“复仇的时刻已经到来。该政权的镇压势力将为其对伊朗无辜人民的残酷无情行径付出代价。任何参与保卫伊朗人民的人都将获得特赦和宽恕。”
上午10点14分发送的信息写道,“为了我们伊朗兄弟姐妹的自由,我们呼吁所有压迫势力——放下武器,加入解放力量。只有这样,你们才能保全性命。为了自由的伊朗!”。
网络安全和隐私领域的独立研究员和顾问卢卡什·奥莱尼克2月28日发帖称,“伊朗的BadeSaba应用遭到黑客攻击,其推送通知系统被劫持,在空袭期间用波斯语发布信息,呼吁士兵放下武器并承诺给予特赦。信息内容几乎与特朗普的讲话一字不差——要么豁免,要么死——这表明这是一场与军事打击同步进行的协调一致的信息战。这并非单纯的网络攻击,而是一场旨在瓦解伊朗政权安全部队凝聚力的心理战。”
卢卡什·奥莱尼克还评论称,“美以联军对伊朗发动军事行动,这堪称现代信息战的活生生案例。在导弹和无人机袭击伊朗目标的同时,一款被黑客入侵的祈祷应用程序正向数百万部手机推送叛逃信息。智能手机推送通知比飞机投放传单的传播效率更高。这道理显而易见,但在此之前,从未有人在真正的战争中实践过。…….. 此次行动的既定目标是推翻伊朗政权。空袭、网络战和信息战的结合,堪称当代政治军事战略的教科书式案例。”
美国网络安全公司BeyondTrust首席安全顾问莫雷·哈伯指出,如此规模和性质的网络攻击一定是事先计划好的。他表示,“虽然攻击中使用的恶意软件或技术尚不清楚,而且可能永远不会被揭露,但资产被入侵发生在一段时间前,这些‘求助’信息是定时或触发的有效载荷。这不是那种趁火打劫的勒索软件攻击,而是国家间对抗,而且是蓄意而精准地执行的。”
瑞典网络安全公司DarkCell的创始人兼安全研究员哈米德·卡什菲表示,对BadeSaba的网络攻击是“一步妙棋”,因为政府支持者会使用它,而他们往往更虔诚。
伊朗黑客迅速发起反击
伊朗政权的拥护者迅速进行反击。据美国网络情报公司Flashpoint报道,3月1日发生的事件是迄今为止“伟大史诗”(Great Epic)网络攻势中最具侵略性的一次。该行动由一个名为“网络伊斯兰抵抗组织”(Cyber Islamic Resistance)的松散协调的网络行动小组发起。在该组织的领导下,多名网络攻击者关闭了约旦的加油站,并对美国和以色列的军事供应商发动攻击,旨在破坏数据,以及开展模仿BadeSaba黑客攻击事件的心理战。
Flashpoint在一份最新报告中指出,未来 48 小时很可能是一个“极度动荡”的时期,黑客行动主义者和代理人将“主导事态升级,以填补德黑兰中央指挥部留下的权力真空”。Flashpoint 威胁情报团队负责人、前美国国家安全局专家凯瑟琳·雷恩斯表示,这些行动者据称正在利用Telegram和Reddit作为协调中心,发布所谓攻击的截图作为证据,但验证其准确性需要数周甚至数月的时间。
此外,凯瑟琳·雷恩斯表示,随着伊朗领导层在2月28日的空袭中几乎被彻底摧毁,负责网络行动的指挥结构也基本瓦解。她表示,“伊朗领导层的真空很可能导致更多不可预测、分散的代理人攻击。”
实际上,这意味着结盟的黑客行动主义者和代理组织无需中央当局批准即可自行决定攻击目标。凯瑟琳·雷恩斯表示,因此,如果一个极具攻击性的组织决定攻击一家中型物流公司以示抗议,那么风险就会蔓延到德黑兰、华盛顿特区或纽约以外的地区。她警告称,“它现在掌握在一个19岁的黑客手中,他在一个Telegram群组里,没有任何监督或指导。”
美国人工智能安全公司Andesite的联合创始人兼首席执行官、前中央情报局精英特种行动中心(SAC)主任布莱恩·卡博表示,美国商界领袖需要做好应对持续不确定性的准备。他指出,多年来,伊朗政府和抵抗力量都展现出了惊人的韧性。鉴于伊朗政权正在轰炸其邻国,人们应该预料到,伊朗除了动用导弹和在全球各地部署武装代理人等其他国家力量外,还将继续运用其强大的网络攻击能力。
布莱恩·卡博表示,“积极主动、富有创造性的抵抗已经深深融入伊朗安全机构乃至整个伊朗伊斯兰共和国的文化之中。对于商界领袖、企业保护人员以及高层决策者而言,他们需要做好准备,这种情况可能会持续一段时间,冲突也可能朝着多种不同的方向发展,甚至出现反复。”
布莱恩·卡博表示,随着美国和以色列的攻击削弱伊朗的常规军事能力,网络攻击显得更具吸引力。网络攻击部署成本低,难以追踪来源,而且相对于所需的投入而言,能够造成巨大的心理和作战破坏。例如,伊朗已经证明,它有能力模仿并发展俄罗斯率先展示的网络攻击方法。
网络安全公司 Sophos 的威胁情报主管拉夫·皮林表示,“随着伊朗考虑各种选择,代理组织和黑客行动主义者采取行动(包括对以色列和美国附属的军事、商业或民用目标发动网络攻击)的可能性越来越大。”
拉夫·皮林表示,这些攻击可能包括将旧的数据泄露事件放大,伪装成新的、不复杂的尝试来破坏暴露在互联网上的工业系统,以及可能直接发起进攻性网络行动。
前美国联邦调查局高级网络官员、现任美国反勒索软件公司Halcyon高级副总裁辛西娅·凯泽表示,中东地区的网络活动有所增加。
美国网络安全公司CrowdStrike反恐行动高级副总裁亚当·迈耶斯表示,当前的网络活动可能预示着更具侵略性的行动即将到来,CrowdStrike已经发现与伊朗结盟的威胁行为者和黑客行动主义团体进行侦察和发起DDoS攻击的活动。
伊朗的网络战并非“纸上谈兵”
美国网络安全公司Anomali于2月28日发布《网络威胁简报:伊朗的报复态势》称,伊朗地缘政治/军事危机已达顶峰,“史诗狂怒行动”摧毁了伊朗的常规军事选项,使网络战成为该政权唯一残存的非对称报复手段。这并非纸上谈兵——伊朗支持的组织已被证实正在升级其行动。
该简报做出五项关键判断:
伊朗即将发动网络报复行动(高度可信)。伊朗情报部(MuddyWater)和伊朗伊斯兰革命卫队(APT42、APT33)的网络部队均已启动并进行重组,以应对即将到来的军事行动。伊朗已公布的战争条令将网络攻击列为首要应对手段。
针对以色列和美国关键基础设施的恶意数据擦除攻击是可能性最高的报复行动(高度可信)。针对以色列能源、金融、政府和公用事业部门的恶意数据擦除攻击活动已经展开。伊朗的恶意数据擦除软件库包含15个以上的恶意软件家族(例如ZeroCleare、Meteor、Dustman、DEADWOOD、Apostle、BFG Agonizer、MultiLayer、PartialWasher等)。
工业控制系统/运营技术(ICS/OT)攻击可能在48至72小时内发生(中高置信度)。伊朗拥有IOCONTROL(专门针对ICS的恶意软件),ICS漏洞利用在2025年将翻一番,并且伊朗的报复性攻击目标分析中明确提到了“破坏”。
伊朗4%的互联网转接性只会延缓但无法阻止报复行动(高度确信)。预先部署的植入程序、境外操作人员和代理组织独立于伊朗国内基础设施运作。
APT34/OilRig的沉默是最令人担忧的情报缺口(中等可信度)。在伊朗历史上最严重的危机期间,伊朗最活跃的间谍组织在整整7天的周期内都未被发现。这很可能表明他们进行了秘密部署,而非毫无活动。
伊朗政府主导的网络攻击将会加剧
美国网络安全公司SentinelOne于2月28日发布《网络威胁简报:伊朗的报复态势》称,“美国和以色列近期对伊朗目标发动袭击,随后伊朗又对多个地区目标发动攻击,这使得地缘政治局势高度动态化,并带来切实的网络威胁。伊朗历来会在地区局势升级时期采取网络行动。鉴于地缘政治紧张局势迅速升级,我们评估认为,伊朗政府主导的网络活动在短期内可能会加剧。这是基于其长期以来利用网络行动进行非对称报复、发出胁迫信号和传递战略信息的经验。此前的行动,包括破坏性恶意软件、基础设施中断以及伪装成‘黑客行动主义’的影响行动,都表明其有能力且有意在网络领域开展行动,并同时采取实际军事行动。”
该简报称,伊朗利用多种网络工具来实现国家目标,特别是维护伊朗政权,其中包括:
通过 APT34、APT39、APT42 和MuddyWater进行间谍活动和窃取凭证,目标涵盖广泛的军事、民用、电信和学术机构,尤其针对地区目标(以色列、中东)和美国。
破坏性和干扰性攻击活动,包括使用恶意数据擦除软件。
有针对性的鱼叉式网络钓鱼和社会工程攻击,支持跨多个行业的战略情报收集。
虚假的黑客行动主义者身份,以便于否认并产生心理影响(例如,DarkBit、Cyber Av3ngers)。
在 Telegram、X和被控制的新闻媒体上开展协调一致的虚假信息和影响力行动。
伊朗境内实施互联网封锁以控制舆论和叙事,同时以此抵消外国影响力行动的影响。
代理勒索软件和犯罪团伙模糊了国家行为体和以经济利益为驱动的行为体间的界限。
该简报预测,伊朗将开展四类网络回应:
精准间谍行动。预计伊朗将升级针对以色列国防、政府和情报网络的攻击,攻击手段包括鱼叉式网络钓鱼、凭证窃取和部署定制恶意软件。此外,美国军方和政府机构也可能成为类似攻击的目标。
扰乱性和破坏性策略。伊朗利用破坏性恶意软件和DDoS攻击瘫痪对手关键基础设施的历史由来已久。伊朗极有可能对美国和以色列的公共事业部门,特别是公用事业和公共系统,采取类似策略。
协调一致的影响力与虚假信息宣传活动。与伊朗结盟的势力很可能会加大虚假信息宣传力度,以左右公众认知,尤其是在平民伤亡、军事失败和地缘政治不稳定等方面。这些行动往往与现实世界的冲突升级同时进行,旨在削弱公众对政府机构的信任。
针对美国和以色列基础设施的探测攻击。在局势高度紧张时期,伊朗已展现出将攻击目标扩大至西方基础设施的意愿。此类行动旨在进行报复和发出信号,通常力求造成低影响但高曝光度,以最大限度地发挥心理战作用。
该简报评估认为:
伊朗拥有超过十五年的经验,在各种恶意网络事件中积累了丰富的经验,因此构成了一个成熟且资源充足的网络威胁。
以色列、美国及其盟国的组织很可能面临直接或间接的攻击目标——尤其是在政府、关键基础设施、国防、金融服务、学术和媒体部门。
伊朗网络攻击目标的优先顺序和策略可能会根据现实世界的发展、政治声明或感知到的挑衅而迅速改变。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
