齐夫医院(Ziv Hospital)坐落在以色列最高城市采法特(Safed)的底部,离叙利亚和黎巴嫩边境不远。11月,该医院承认黑客侵入了其计算机系统。一个由伊朗支持的黑客组织后来声称获得了500GB的患者数据,包括10万份与以色列士兵相关的医疗记录。这已见怪不怪。黑客经常攻击并侵入医院,通常是为了勒索赎金。
然而,对齐夫医院的数字攻击体现了10月7日事件之后,以色列与伊朗之间肆虐的网络战。以色列国家网络安全局(Israel National Cyber Directorate,简称INCD)负责人加比·波特诺伊(Gaby Portnoy)在接受《经济学人》采访时表示,这次袭击在几个方面都是新颖的。其一,这是伊朗及其盟友真主党(Hizbullah)共同实施的行动,而真主党是一个主导黎巴嫩的民兵组织和政党。"在10月7日之前,他们配合得并不好,"他说,"现在我们看到他们在交换目标,交换能力,几乎已经融为一体。"
目标的选择也打破了以往的模式。波特诺伊说,伊朗和真主党此前从未攻击过以色列医院。这位退役准将援引以色列情报称,10月7日事件后,伊朗最高领袖阿里·哈梅内伊(Ali Khamenei)下令扩大对以色列的网络行动。其结果是一场更猛烈、更精准的攻击。
10月7日以后,针对以色列的网络攻击频率上升了3倍。伊朗发动的攻击变得更加复杂,对预期目标之外的波及更少。波特诺伊说:"他们更准确,搜集情报更完善,攻击更精准。他们有时比我们更了解以色列。"他补充说,以前伊朗需要数周时间来利用已公开的软件漏洞,现在缩短到了几天。
没有一次攻击成功扰乱以色列的关键基础设施,如电力或供水系统,部分原因是10月7日事件后在重要设施的网络内部部署了数字传感器。大多数入侵本质上是一种骚扰,而不是类似武装袭击的行为。有些旨在从事间谍活动,而非颠覆。但也有许多是一种信息战形式。
一些伊朗相关黑客伪装成被哈马斯俘虏的人质家属,目的是加深以色列社会的分裂。特拉维夫国家安全研究所最近的一项研究指出,伊朗黑客对以色列社会和政治的裂痕有着复杂的理解,针对战争的支持者和反对者发送不同的信息。
欧洲网络冲突研究所的詹姆斯·夏尔(James Shires)指出,在某些情况下,想要恐吓以色列人的黑客甚至无需真正入侵任何东西。例如,一个伊朗组织泄露了据称来自以色列内瓦蒂姆空军基地(Nevatim air base)外的视频。但实际上,那段视频来自以色列北部同名道路上一个无关的地点。他说:"引起关注就能达到效果。"
波特诺伊表示,自去年12月以来,除了在以色列早期入侵一些监控摄像头外,哈马斯本身作为一支网络力量几乎无关紧要。他将此归因于以色列在加沙的战争,这场战争不仅打击了该组织的武装分子,也扰乱了其黑客。更广泛地说,曾在精英情报部门8200部队(负责进攻性网络行动)服役的波特诺伊承认,保护以色列的计算机网络需要渗透敌人的网络:"没有进攻行为就无法防御。"
这在一定程度上是为了确定攻击的来源。但也是为了反击。以"掠食麻雀"(Predatory Sparrow)为例,这是一个被怀疑是以色列政府幌子的黑客组织。2021年,它瘫痪了伊朗各地的铁路网络和加油站,并入侵数字广告牌展示嘲笑哈梅内伊的信息。2022年的一次后续行动损坏了伊朗的三家钢铁厂,造成一家工厂的熔融钢铁溢出车间地面。去年12月,它再次出击,导致伊朗70%的加油站瘫痪,并宣称:"这次网络攻击是对伊斯兰共和国及其代理人侵略行为的回应。"
以色列官员公开不承认在这些袭击中的作用。但波特诺伊坚称,以色列与西方的进攻性网络机构有着相同的"规范和价值观"。"我们不会做敌人对我们做的事,"他说,"我们非常关注不伤害平民,不过度影响民众生活。"华盛顿国防大学的K.D指出,Predatory Sparrow的攻击与过去俄罗斯或朝鲜针对关键基础设施的攻击不同,显示出克制和精心设计的迹象。他列举了一些特点,如防止恶意软件扩散到无关网络,以及决定使用"众所周知、有据可查"的工具,而非可能导致先进网络能力扩散的新工具。
结果是一场"非常不平等的行为体"之间的网络战,夏尔说。以色列已一再表明,它能对控制伊朗一些关键基础设施的计算机网络造成惊人的破坏。尽管伊朗取得了进步,但一位消息人士表示,其能力"并不比中等规模的有组织犯罪团伙强多少"。以色列官员担心这种状况可能突然改变。伊朗向俄罗斯提供了无人机、炮弹和其他武器,用于乌克兰;一个令人担忧的问题是,俄罗斯可能会以网络工具或专业知识进行回报。
那将是一个惊喜。长期以来,俄罗斯一直利用这些工具监视伊朗本身,有时还会巧妙地窃取伊朗间谍收集的情报。即便如此,缺乏先例并没有让以色列官员放心。波特诺伊说:"伊朗只需点击一个按钮,就可能拥有超级大国的能力。"
推荐阅读
闲谈
威胁情报
1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链
APT
入侵分析与红队攻防
天御智库