哈马斯针对以色列的袭击震惊了全世界。当以色列在努力应对哈马斯的袭击与渗透之际,来自网络空间的攻击让其同时陷入另一场冲突中。选边站的黑客组织试图攻击双方的基础设施,将对方支持者拖入冲突,在网络空间开辟新的战场。
瘫痪媒体、政府与社会保障机构网站,甚至攻击以色列“铁穹”导弹防御系统和火箭袭击“警报”应用,支持双方的各种黑客组织发起的网络攻击,令这场混合冲突持续升级。
美国国家安全局网络安全主任罗布·乔伊斯 (Rob Joyce) 表示,到目前为止,网络行动在这场冲突中发挥的作用仍微乎其微。但他指出,这种情况可能会发生改变。地区持续不断的武装冲突可能会吸引更多黑客组织加入这场网络攻击。(未来)可能会发生重大事件。这些攻击的技术并不复杂,但却展现出危及信息传播、企业收入,甚至关基设施的“强大能力”。
黑客选边站,冲突进入网络空间
10月7日,以色列遭遇 1973 年赎罪日战争以来最严重的袭击,700 多名以色列人被杀、2,150 人受伤,数目不详的居民被扣为人质。以色列国防军发言人尼尔·迪纳尔少校在声明中称,“这是以色列的 9/11事件。”
在哈马斯武装分子和火箭进入以色列境内数小时内,针对以色列和巴勒斯坦网站和应用的网络攻击就开始了 。聚集在电报应用(Telegram)上的黑客活动人士表示,他们对以色列网站实施了分布式拒绝服务攻击。Cloudflare 的遥测数据显示,以色列互联网流量出现峰值。
媒体报道显示,冲突升级以来的短时间内,黑客组织针对数十个以色列政府网站和媒体网站进行破坏和分布式拒绝服务攻击,试图用垃圾流量使其瘫痪。据悉,黑客组织成功瘫痪了以色列财政部、社会保障机构、甚至著名摩萨德间谍机构以及耶路撒冷市政府等50多个网站。一些黑客组织声称窃取了数据,攻击了互联网服务提供商,并入侵了以色列导弹预警系统“红色警报”。
在这次网络升级中,安全人员观察到两个派系的角力。一方面亲俄罗斯的黑客组织——Killnet和苏丹匿名者,负责领导亲巴勒斯坦的网络攻击,声称是对以色列支持乌克兰的打击。包括 Team_Azrael_Angel_of_Death、孟加拉国神秘团队、巴基斯坦疯狂团队、印尼黑客活动分子、Garnesia 团队、“甘诺赛团队(Ganosecteam)、摩洛哥黑色网络军、KEPTEAM、Xv888、网络行动联盟(Cyber Operations Alliances)等在内的黑客组织发起了代号OPISRAEL 和 OpIsraelV2 攻击行动,以削弱以色列的数字资产并制造混乱。攻击组织声称,对以色列总会计师网站和国家电力局(NEA)成功实施了分布式拒绝服务(DDOS)攻击,可能使以色列城市陷入黑暗。
另一黑客组织在Telegram发帖称,与哈马斯有联系的黑客团队Storm-1133侵入以色列国防部网站,并窃取了数据。该黑客组织发布了据称是以色列政府网站登录凭据的列表。微软此前的报告认为,该黑客组织在2023年加大对以色列电信,国防和能源公司的网络间谍活动。
使用俄语的苏丹匿名者组织则在10月8日多次攻击了《耶路撒冷邮报》网站,导致其网站瘫痪。这一被广泛怀疑既不是匿名组织,也不是苏丹人而是俄罗斯人的黑客组织,声称其目标是以色列防御系统的“关键端点”,包括铁穹反导弹防御系统。
另一边则是亲以色列的黑客组织,针对巴勒斯坦组织开展了反击行动。据报道,亲以色列的组织“ThreatSec”攻击了巴勒斯坦互联网服务提供商 AlfaNet,其拥有的几乎所有服务器都被关闭。ThreatSec声称,其最初的目标只是获得一些基础设施,后来完全控制了加沙地区的 5000 多台服务器。数据显示,过去几天加沙的互联网连接有所下降。
总部位于印度的黑客组织“印度网络部队”也对巴勒斯坦发动了网络攻击。该组织声称为哈马斯组织、巴勒斯坦国家银行、巴勒斯坦网络邮件政府服务和巴勒斯坦电信公司网站的瘫痪负责。
网络安全公司 Group-IB通过其威胁情报平台表示,现在各种威胁组织已介入以色列和哈马斯之间的冲突。
未来升级为全面网络战?
美国国家安全局网络安全主任罗布·乔伊斯 (Rob Joyce) 表示,到目前为止,网络行动本身在这场攻击中发挥的作用微乎其微。他只提到了拒绝服务攻击和网站篡改等攻击活动。以色列网络安全公司的创始人、董事长兼首席执行官吉尔·梅辛 (Gil Messing) 也证实,到目前为止,网络攻击影响不大。“过去数日的网络攻击并不突出。一些黑客组织对一些新闻和政府网站发起了 DDoS 攻击,但攻击并不严重或持续时间不是太长。”
但乔伊斯和梅辛都认为,这种情况可能会改变。“还会有其他人加入这场战斗。“地区持续不断的武装冲突可能会吸引更多黑客组织加入这场网络攻击。(未来)可能会发生重大事件。这些攻击者的技术并不复杂,但却展现出危及信息传播、企业收入,甚至关基设施的“强大能力”。
苏丹匿名者组织威胁称,要全面攻击以色列的基础设施,其让以色列回到“石器时代”的攻击目标让安全专家保持高度警惕。值得注意的是,苏丹匿名者组织声称打算对以色列发动历史上最强大的网络攻击,并宣称两次成功渗透铁穹系统。
网络安全公司 Flashpoint执行董事安德鲁·博雷内 (Andrew Borene) 表示,该公司的团队已经注意到,“曾经与伊朗、俄罗斯和其他国家背景组织有联系的威胁行为体和黑客组织”在暗网论坛上讨论这场冲突。
普华永道风险咨询、市场和新兴业务负责人 Siddharth Vishwanath认为,未来网络战将会有更多的参与者。物理世界不断升级的冲突可能升级为全面的网络战。
针对电网、证券交易所或通信的网络攻击无疑会产生地缘政治影响。Cybernews 研究团队负责人 Mantas Sasnauskas 强调,许多网络攻击人员试图破坏关键基础设施并引起国际关注。
以色列国家网络局
近年来,以色列一直试图开发与火箭防御系统铁穹相同的网络防御系统,但似乎目前网络空间没有铁穹:近年来,以色列持续遭遇关键基础设施的网络攻击,导致其灌溉系统水位监测器出现故障,医院计算机系统出现瘫痪。
网络空间的性质使得哈马斯等弱者能够与以色列等强者交战,并对其造成比传统冲突更大的损害。哈马斯的网络能力相对较新,且缺乏其他黑客组织的复杂工具,但随着其不断改变攻击方法,越来越容易获得先进的技术,其攻击行动已经达到“新的复杂程度”。
网络战可能会蔓延其他国家
2022年俄罗斯和乌克兰爆发冲突战争后,双方的网络战激增,甚至波及到欧洲多个国家。安全专家认为,巴以冲突期间,黑客组织的下一组攻击目标不一定是交战国。
随着哈马斯和以色列间的冲突愈演愈烈,以及中东地缘政治联盟的变化,可能会出现更多国家支持的网络攻击,网络战可能会蔓延到被视为支持任何一方的其他国家。
印度在持续冲突中公开支持以色列,已被拖入到这场网络战。一些黑客组织反对印度在当前冲突中支持以色列,反对印度在巴以冲突中背离传统的中立立场。
黑客组织“巴勒斯坦幽灵”在 Telegram 频道上声称,针对印度进行网络攻击,并明确强调,攻击的原因是印度对以色列的支持。10月9日,多家媒体报道援引未公开消息来源证实,印度政府网站遭到网络攻击,其中包括德里政府和印度顶级医学科学研究所 AIIMS 的网站。
网络安全公司 CloudSEK 的人工智能数字风险平台 XVigil 发现,由于印度对以色列的长期支持,多个黑客组织被发现正在策划对印度进行网络攻击。CloudSEK 网络情报主管 Rishika Desai 表示:“针对印度的网络攻击将在#OpsIsrael #OpIsraelV2 攻击活动下进行。” 这些攻击背后的动机主要围绕政治因素,攻击媒介可能是大规模篡改、数据泄露、凭证泄露和 DDoS 攻击。
CloudSEK 关于这一发现的报告指出,发现多个黑客组织在 10 月 7 日至 9 日期间攻击多个印度政府机构。这些组织包括 Syhlet Gang、与 Moroccan Black Cyber Team 结盟的 Garnesia Team、System Admin BD 和 Cyber Error System。
以色列一直是网络攻击的重要目标,2022 年,针对以色列的网络攻击增加了 38%。伊朗则一直被指责是其中一些攻击的幕后黑手。但目前伊朗的黑客部队是否参与了当前冲突还不得而知。
安全人员认为,哈马斯与以色列的冲突无疑会对全球机构产生重大影响。与以色列开展合作,或以其他方式对以提供支持的机构,可能成为反以色列黑客活动分子和其他威胁组织的攻击目标。由于美国和其他北约联盟国家向以色列提供支持,西方组织可能会被视为以色列基础设施的延伸,成为网络攻击的目标。目前,巴勒斯坦黑客组织“巴勒斯坦幽灵”向全球发出武装号召,敦促世界各地的黑客瞄准以色列和美国的基础设施。
10月初,红十字国际委员会为“平民黑客”制定了参与冲突的8条准,强调最大限度地减少对平民安全的威胁,并禁止对医疗机构开展网络攻击。它们还禁止使用计算机蠕虫,并要求行动者“即使敌人不遵守这些规则,也要遵守这些规则”。但要求全球网络攻击组织严格遵守这些准则似乎不太现实。
与任何战争一样,网络攻击可能会导致意想不到的后果。对攻击组织来说,不可预测性本身可能就是目标。
END