编者按:英国皇家联合三军研究所(RUSI)网络与技术团队研究员路易丝·玛丽·于雷尔博士3月5日发表题为《迷雾、代理与不确定性:美以在伊朗的行动中的网络威胁》的文章,深入剖析美以与伊朗战争冲突中网络空间七个关键维度,揭示出现代战争中物理打击与网络博弈相互交织的立体图景。

文章称,在中东地缘政治格局持续动荡的背景下,“史诗狂怒行动”与“咆哮的狮子行动”的展开,将网络空间推向了现代军事冲突的核心舞台;此次美以伊战事不仅仅是一场传统意义上的火力对决,更是一场在迷雾、代理人和不确定性中展开的无声较量;从先发制人的网络瘫痪到精密的情报融合,从身份模糊的黑客组织到跨越国界的心理战,网络维度正与现代战争的各个环节深度耦合;网络能力已从辅助角色跃升为贯穿战前侦察、战中打击与战后情报收集全过程的战略支柱;网络能力通过叠加情报与效果,能够实现前所未有的精准打击;代理人的广泛参与和归属模糊,则加剧了冲突的不可控性;网络冲突迅速外溢至整个中东地区甚至可能蔓延至全球,并伴随着激烈的心理战,以争夺认知空间的控制权;这场冲突引发的网络动荡,已将美西方国家的本土安全拖入风险传导链中,迫使各盟友重新校准自身在网络空间的防御基线。

一是网络能力角色的演变:从先导支援到全程融合。文章称,在美以军事行动中,网络能力的运用标志着其已从单纯的“先发制人”工具,进化为贯穿军事行动始终的“力量倍增器”;美国网络司令部在行动初期利用“非动能效应”为后续军事行动塑造环境,同时通过“持续叠加效应”成功扰乱对手通信和传感器网络;在行动持续阶段,美国网络部队角色还会在进攻性打击、防御性拦截、信息作战与情报收集中循环切换;与过往案例相比,此次美以行动面对的是拥有国家级网络战力量的强大对手,这加剧了冲突的复杂性与报复风险;“午夜之锤行动”“绝对决心行动”“史诗狂怒行动”代表着美军正在不断推进网络能力与军事行动的制度性、作战性、战术性整合;此次战事也为北约等盟友关于进攻性网络能力发展的公开辩论提供了新的实战参考。

二是情报与效果的叠加:精准打击的隐形支柱。文章称,网络行动的成败,不仅取决于瘫痪效果本身,更在于其与情报收集的深度融合,刺杀伊朗最高领袖哈梅内伊的案例清晰地印证了这一“叠加”逻辑:此次刺杀行动中人力情报、信号情报和网络间谍活动的递进式配合表明,网络能力是侦察环节的重要支撑,战前在战略性网络中长期预置能够服务于关键打击,包括网络间谍在内的多种情报源的“叠加”能显著提升打击精度并减少附带损害,网络能力效用的最大化高度依赖于与其他情报来源及能力的紧密配套与融合;网络能力虽非决定性因素但是是一项至关重要的能力,在战前对侦察和更广泛的情报收集工作起着支持作用,包括绘制敌方网络图、预先部署对关键系统的访问权限、为后续阶段的规划提供信息等;随着美以军事行动的持续推进,网络的情报收集作用很可能与其破坏性作用一样举足轻重。

三是代理人迷雾:黑客行动主义与国家行为的灰色地带。文章称,代理人势力的介入,极大地加剧了冲突的“战争迷雾”,亲伊朗的黑客行动主义组织在行动后迅速活跃,通过建立Telegram频道、发动网站篡改与数据泄露等方式,对以色列目标发起攻击;这些组织的归属往往难以追溯,新成立团体的身份尤其模糊;伊朗国家支持的黑客惯于利用黑客行动主义身份进行掩护,以增强自身的可否认性。

四是网络战火的蔓延:从美以伊对抗到地区性网络动荡。文章称,随着伊朗对海湾多国境内美军基地的报复,军事冲突已外溢至整个中东地区,网络空间的监测范围必须随之扩大至所有直接相关方;伊朗长期采用国家支持的黑客组织与黑客团体混合的模式施加网络影响,在自身网络访问受限的情况下,伊朗更依赖境外黑客以“爱国”名义发起符合其军事目标的攻击;由于这些代理黑客可能缺乏与国家机构的持续协调,其攻击的实际破坏力尚不明确;目前报道的攻击多为组织自行宣称,且主要集中在网站篡改、DDoS等中低烈度层面;尽管大部分攻击效果存疑,但约旦挫败针对其战略粮食储备的网络攻击这一案例,确凿证明了冲突已实质性蔓延至网络空间,且关键基础设施已成为攻击目标。

五是网络支持的心理战:争夺认知空间的新战线。文章称,在物理战场之外,针对民众的心理战成为网络空间另一条激烈交火的战线,追踪针对伊朗、美国和以色列民众的心理战策略至关重要;伊朗政府的卫星广播2026年1月曾遭到黑客攻击,播放旨在推翻政权的内容,此举意在直接接触伊朗民众,削弱政权的信息控制,该事件时机仍然值得注意;战争爆发后,以色列摩萨德便在Telegram开设波斯语频道,直接向伊朗民众传递反政权信息,伊朗祈祷时间应用程序(BadeSaba)也遭到黑客攻击入侵并推送“救援已到”信息及劝降指令。

六是领导层更迭与指挥中枢受损:伊朗网络活动能力的双重不确定性。文章称,随着哈梅内伊遭刺杀,继任压力与潜在内部斗争将直接影响伊朗伊斯兰革命卫队在网络空间的作战能力与指挥效率,目前这一影响的程度尚无法评估;以色列军方对伊朗伊斯兰革命卫队情报和网络战机构实施军事打击,这一打击对伊朗网络作战规划能力的干扰程度仍不明确;在“领导层更迭”与“网络中枢遭袭”双重背景下,加之伊朗境内网络连接受限,外界难以判断伊朗将如何发动高破坏性网络行动,也无法预判其重点攻击目标;尽管伊朗代理人活动与当前的军事行动间存在一致性,但中央约束力减弱可能诱发分散化、代理人主导的局势升级,这种“不确定性的叠加”将使未来局势更加动荡且难以预测。

七是对西方盟国的威胁:从地区冲突到全球网络风险。文章称,尽管多国已进入戒备状态,但伊朗及其代理人何时、以何种方式将网络攻击扩大至美国本土及盟友,仍存在不确定性;伊朗历来在局势紧张时期对海外目标发动网络攻击,典型案例包括2012年沙特阿美公司数据擦除攻击、2014年拉斯维加斯金沙赌场攻击、2022年阿尔巴尼亚政府系统遭袭,以及近期模糊勒索软件与国家破坏活动界限的攻击;美英已经针对伊朗及其代理人可能对本国构成持续定向网络威胁发布预警;英国虽不愿直接卷入冲突,但已允许美国使用其基地开展防御性军事行动,这种有限介入是否会使英国成为伊朗及其代理人网络报复的目标目前尚不明朗。

奇安网情局编译有关情况,供读者参考。

迷雾、代理与不确定性:

美以在伊朗的行动中的网络威胁

随着“史诗狂怒行动”和“咆哮的狮子行动”行动的展开,网络活动的多个方面需要引起关注和仔细评估。

目前伊朗和中东许多国家局势动荡不安,任何军事干预行动初期,相关报道充其量只能是推测。在仔细评估“史诗狂怒行动”和“咆哮的狮子行动”中网络能力和活动的潜在作用和最终实际影响时,至少有七个要素值得密切关注。

01

评估网络能力在军事行动中的作用

首先,随着更多行动信息的披露,这些案例或许有助于持续评估网络空间是否仍能作为“先发制人”的手段,或者它们或许能为我们提供更多关于网络空间如何维持实际效果的经验。迄今为止,美国参谋长联席会议主席丹·凯恩在3月2日的新闻发布会上指出,美国网络司令部扮演着两项角色:首先,作为“率先行动者”,利用“非动能效应”为后续行动阶段塑造环境;其次,在行动的前57小时内保持“持续叠加效应”——他声称这“扰乱了通信和传感器网络”。据报道,此前的行动,例如2025年的“午夜之锤”行动,就曾利用网络空间在轰炸核设施前扰乱防空系统。“史诗狂怒行动”需要支援力量全天候运转,在不断变化的战场上,在进攻性目标打击、防御性行动、信息作战和情报收集之间循环切换。

随着行动的展开和更多信息的披露,这些活动是否符合委内瑞拉和乌克兰的模式仍有待观察:即网络攻击的影响在行动初期最为显著,此时局势更易掌控,削弱对手的协调能力也最具战略意义。当前形势与美国旨在推翻马杜罗政权的“绝对决心行动”有所不同。在委内瑞拉,能源基础设施正遭受着渐进且严重的衰退,该国的网络能力远未发展成熟,行动的时间和范围也更为有限。相比之下,伊朗拥有爱国黑客组织,伊朗伊斯兰革命卫队拥有专门的网络电子司令部,并且多个高级持续性威胁组织(APT34、APT39和APT42)长期以来与该国存在关联,这引发了人们对报复性网络活动的担忧——而此类活动实际上已经发生。

此外,显而易见,“午夜之锤行动” “绝对决心行动”以及现在的“史诗狂怒行动”代表着美国不断利用的契机,旨在加强网络能力在不同持续时间和针对不同类型对手的军事行动中的制度性、作战性和战术性整合。考虑到领导层被斩首以及局势蔓延至中东其他地区,“史诗狂怒行动”可能是最具情境挑战性的。公众对网络能力在维持军事行动中的运用有更深入的了解,也有助于开展更充分的讨论,尤其是在其他北约成员国更加积极地公开倡导进一步发展进攻性网络能力的当下。

02

叠加的不仅是“效果”还有情报

丹·凯恩就“绝对决心行动”和如今的“史诗狂怒行动”进行简报后举行的两次新闻发布会都沿用了美国网络司令部和太空司令部“叠加非动能效应”的叙事模式。但是(这是值得关注的第二点),与非动能“效应”同样重要的是,在整个行动中,将这些效应与情报收集相叠加,才能成功实现军事目标。刺杀伊朗最高领袖哈梅内伊的事件就清晰地说明了这一点。例如,美国中央情报局向以色列提供了关于哈梅内伊位置的人力情报——正是这一情报促使美以调整了整个行动的时间,以利用这一窗口期——此外,以色列还事先获得了伊朗安全和交通摄像头的访问权限,并干扰了哈梅内伊所在位置附近的移动通信基站,以防止其安保人员收到预警。所有这些措施使得以色列能够成功地对哈梅内伊的住所进行精确打击。人力情报、信号情报和网络间谍活动的这种顺序表明:

  • 网络如何支持侦察;

  • 在行动开始前提前在战略性网络中进行预置如何使其能够用于关键打击;

  • 在网络间谍活动的支持下,情报来源的“叠加”如何能够实现更精确的打击,从而在特定情况下减少对平民的附带损害;

  • 以及(再次!)一个宝贵的提醒:网络能力的有效性取决于与之配套的其他能力和情报来源。

网络能力几乎可以肯定地成为一项至关重要的能力(尽管它本身并非决定性因素),在行动开始前的数月(甚至数年)内,它对侦察和更广泛的情报收集工作起着支持作用:绘制敌方网络图;预先部署对关键系统的访问权限;为后续阶段的规划提供信息。这一作用并不会随着行动的开始而结束。随着“史诗狂怒行动”和“咆哮的狮子行动”的推进,网络的情报收集作用很可能与它的破坏性作用一样举足轻重。

03

通过代理人扩大危机迷雾

第三,或许更为重要的是,持续监测代理人如何加剧危机迷雾至关重要。在2025年6月持续12天的冲突中,网络安全公司的报告显示,黑客行动主义活动(网站篡改和数据泄露)大多亲伊朗,而以色列方面的报道则集中在诸如“掠食性麻雀”等组织的定向行动上,该组织在以色列和美国袭击伊朗核设施后的几天内,针对伊朗的金融基础设施发动了攻击。新兴的开源情报和网络威胁情报报告表明,在最近的行动之后,多个主要亲伊朗的黑客行动主义组织正在建立Telegram频道,以攻击以色列组织。挑战在于,很难确定其中一些组织(尤其是新成立的组织)的归属。此前,伊朗国家支持的网络威胁行为者曾利用黑客行动主义身份来增强其否认性。

04

网络活动反映冲突的战略性扩张

第四,随着伊朗对巴林、卡塔尔、科威特和阿联酋境内的美国基地进行报复性打击,冲突蔓延至整个中东地区,因此,监测“直接冲突方”外的黑客活动也至关重要。伊朗历来依靠国家支持的黑客组织和黑客团体的混合力量来施加网络影响。自行动开始以来,伊朗的网络访问受到限制,因此,境外黑客等代理人可以开展与军事目标和假想敌相符的“爱国”活动。然而,由于缺乏与国家支持的黑客组织和政府相关组织的持续协调,这些活动的实际影响尚不明确。尽管网络攻击的影响尚未得到证实,且大多为黑客组织自行宣告,但亲伊朗的黑客组织一直在积极行动,试图破坏以色列的电子银行门户网站、民间社会网站和电子商务平台,并据称攻击了卡塔尔内政部的在线服务、科威特机场的官方门户网站以及巴林、约旦和其他地区的其他目标。约旦国家网络安全中心成功挫败了一起源自伊朗、针对其战略粮食储备的网络攻击,但这个报道只是冲突蔓延到网络空间的众多迹象之一。

05

通过心理战混淆视听

第五,追踪针对伊朗、美国和以色列民众的心理战策略至关重要。在“咆哮的狮子行动”开始的几个小时内,摩萨德开通了一个波斯语Telegram频道,为伊朗民众提供一条替代信息渠道,呼吁“我们的伊朗兄弟姐妹”分享他们“反对政权的正义斗争”的内容。据报道,今年1月,伊朗政府的卫星广播遭到黑客攻击,播放旨在推翻政权的内容,此举意在直接接触伊朗民众,削弱政权的信息控制。虽然可能不太容易确定具体原因,但时机仍然值得注意:一款广泛使用的伊朗祈祷时间应用程序(BadeSaba)遭到黑客攻击,在2月28日伊朗遭受首次轰炸后,立即向用户发送“救援已到”的通知,随后据报道又发送了劝降指令。

06

领导层更迭之际的内部协调评估

第六,在领导层更迭之际,观察和理解伊朗伊斯兰革命卫队内部优先事项、指挥链和能力运用方面的变化至关重要,尽管难度很大。随着哈梅内伊的死讯得到确认,目前尚不清楚继任压力和潜在的内部斗争将如何影响伊朗伊斯兰革命卫队在网络空间执行现有作战目标的能力。考虑到以色列国防军声称于3月4日袭击了德黑兰东部一处大型建筑群,其中包括伊朗伊斯兰革命卫队的情报局和网络战总部,情况就变得更加复杂。目前尚不清楚此次袭击对伊朗伊斯兰革命卫队开展和规划网络行动的能力造成了多大程度的干扰。

一如既往,不确定性的叠加加剧了局势升级的风险,即中央约束力有限,且局势可能出现分散化、代理人主导的升级,这将使未来几天局势尤为动荡,难以预测。无论伊朗伊斯兰革命卫队是否就目标发出明确指示,也无论以色列国防军的袭击是否只是暂时或显著地削弱了革命卫队的作战能力,只要伊朗境内的网络连接仍然受限,就很难评估伊朗将如何发动更具“破坏性”的网络行动,以及他们将重点攻击哪些目标。尽管代理人活动与当前的军事行动之间存在一致性——无论是在目标一致性方面,还是在支持伊朗更广泛的战略目标方面,即制造混乱和战争迷雾,并将危机蔓延到地区的责任归咎于美国。

07

这对美国、英国及其盟国意味着什么

第七,尽管许多国家已经进入戒备状态,但伊朗的网络活动何时以及如何会扩大到直接攻击美国本土及其盟友,仍然存在不确定性。伊朗(及其代理人)的网络策略一直咄咄逼人且不断演变,更重要的是,它历来对海外国家发动网络攻击,尤其是在局势紧张时期。这些攻击包括2014年对拉斯维加斯金沙赌场的数据进行抹除,以及针对海湾地区能源和政府目标的多次网络攻击,最臭名昭著的是2012年对沙特阿美公司的攻击,2022年对阿尔巴尼亚政府系统发动擦除攻击(导致阿尔巴尼亚驱逐伊朗大使),以及最近模糊了犯罪勒索和国家支持的破坏活动间界限的勒索软件攻击。

美国国土安全部2月28日发布的一份评估报告指出,伊朗及其代理人“可能”对美国本土构成持续的定向攻击威胁,其中最直接的担忧是低级别的黑客行动主义攻击,例如DDoS攻击和网站篡改。英国国家网络安全中心也发布了一份类似的公告,指出虽然“目前伊朗对英国的直接网络威胁没有显著变化”,但冲突的快速演变意味着评估“可能会发生变化”,特别是对于那些在该地区开展业务或拥有供应链的组织而言——它们正面临着更高的网络威胁风险。即便如此,正如英国议会情报与安全委员会在2025年伊朗报告中所指出的那样,虽然在冲突前的当前环境下,“英国似乎并非伊朗网络攻击活动的首要目标”,但伊朗仍然被认为“对英国及其利益构成重大威胁”。尽管伊朗无人机袭击英国阿克罗蒂里空军基地后,英国与塞浦路斯关系紧张,但英国一直不愿卷入冲突。然而,英国已允许美国出于其所谓的“特定且有限的防御目的”(即在伊朗导弹击中目标前进行拦截)使用英国基地,但这种经过权衡的介入是否仍会使英国受到伊朗及其代理人在网络空间发起的报复行动的影响,目前尚不明朗。

声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。