以哈爆发地面冲突以来,全球各国黑客根据国家利益和意识形态选边站队,在网络空间展开激烈攻防斗争,对双方军政、能源、媒体等关键机构的网站和数据库发动攻击。由于亲阿拉伯方黑客力量强大,以色列总体处于守势,但该国凭借出色的舆论动员、领先的国防力量和发达的网络安全产业等优势,仍然维持了该国网络空间的总体秩序并展开反击。这一案例对我国运营商产生了以下启示:在和平时期遵循“构建备用通信链路”、“加强民间网军动员”、“制定多样化抗D策略”和“大力孵化优质网络安全企业”的策略,可有助于提升我国运营商在极限场景中的网络弹性。
网络战综述
当地时间10月7日,巴勒斯坦伊斯兰抵抗运动组织哈马斯宣布对以色列采取军事行动,以色列随后宣布进入“战争状态”。根据巴以官方10月29日口径,热战已造成双方9500人死亡。而在网络空间,随着局势升级,全球各地的黑客组织也逐渐在巴以之间站队,通过DDoS攻击、篡改攻击、窃取攻击等手段渗透以色列和巴勒斯坦地区的政府、媒体和关键基础设施网站,造成网络瘫痪、文件泄密、虚假信息等后果,引起民众恐慌和社会动荡。
根据威胁情报平台FalconFeedsio统计,截至热战第5日,已有超77个亲阿拉伯世界黑客组织(如“匿名者苏丹”、SiegedSec、Killnet、UserSec)等亚洲势力支持哈马斯,涵盖俄罗斯、伊朗、巴基斯坦、印度尼西亚等国,它们主要对以色列政府、司法、银行、电力、军队和媒体网站发动篡改和DDoS攻击。其中的重要案例是以色列中央政府网站、国家安全局、以色列第一大英语报纸《耶路撒冷邮报》等遭受DDoS攻击而瘫痪、伊朗黑客组织“网络复仇者”连续宣称关闭以色列亚夫内市电网系统、200个以色列加油站和多拉德发电厂,并泄露机密文件。
同时,目前有20个西方及印度黑客组织(如“掠夺性麻雀”、UCC、ThreatSec、“印度网络力量”)支持以色列,它们集体入侵了巴勒斯坦地区的基础设施网络。其中的重要案例是ThreatSec组织声称攻击巴勒斯坦最大的互联网ISP供应商;“印度网络力量”于10月9日攻陷了巴勒斯坦电信公司、哈马斯官网、巴勒斯坦国家银行、巴勒斯坦网络邮件政府服务,使对应官网瘫痪。在官方力量层面,目前仅有美国应以色列要求,承诺与之共享网络威胁情报,并打击哈马斯黑客。
以哈网络战的四大特点
双方数字服务可用性均遭到不同程度的物理打击,但以色列总体损失较小。10月9日晚,以色列摧毁了巴勒斯坦加沙地带的一处电信大楼,并声称将继续以加沙两家主要电信公司Paltel和Jawal的总部为轰炸目标。以色列通信部长什洛莫·卡希于10月13宣布关闭了在战时“被用来进行哈马斯的宣传、煽动和破坏以色列国家安全”的半岛电视台频道,并表示从次日起,加沙地带的所有互联网服务(固定及移动业务)将被切断。10月27日晚,巴勒斯坦通信部部长希德尔表示,由于以色列轰炸了加沙地区的最后两个国际连接点,加沙的内外部互联网通信已经彻底中断,他强调包含救护车调度在内的卫生服务遭到波及,已尝试接触国际电信联盟ITU,并呼吁国际社会进行干预;而哈马斯方面,主要采取小规模袭扰的方式攻击以军信息系统。在开战初期,哈方采取无人机偷袭以边境通信基站、监视塔的策略,瘫痪了部分以军监控网络,从而麻痹对手并完成突袭行动但由于双方武装力量的巨大差距,哈方的物理打击影响十分有限。
泛滥的虚假信息严重扰动了全球舆论。例如,美国总统拜登依据以色列媒体“哈马斯武装分子斩首40名儿童”的报道,在接见华盛顿犹太领袖时称“从未想过有朝一日真的会看到恐怖分子斩首儿童的照片”而引起舆论轰动,但该报道随后遭到以军方辟谣;在推特等主流社交媒体,以色列国防军与哈马斯卡桑旅持续利用各自的官方账号和机器人账号进行舆论争夺战;亲巴勒斯坦黑客组织AnonGhost成功利用API漏洞破解以色列百万级用户体量的RedAlert应用程序,并通过发送关于火箭弹甚至核弹攻击的假警报,引发了以色列民众的剧烈恐慌;冲突第一周,以哈双方估计有100个网站遭到SQL注入,导致网页篡改污损。
DDoS攻击策略及攻击目标的多样化。在策略层,传统的分布式拒绝服务攻击仅瞄准Web服务器,但从以色列遭攻击态势来看,本次各骨干网络的DNS服务、关键邮件服务同样被列为攻击目标,而这些基础服务影响更大。因为DNS服务一旦瘫痪,会影响整个区域内的域名解析,导致网站、电子邮件服务等无法访问,造成网络通信宕机。而关键邮件服务一旦瘫痪,也会造成通信中断,使重要单元暂时“致盲”;在目标层,以色列本次遭受DDoS的网站极其多样,不仅包括了传统网络战的重灾区,比如军政(以色列国防军、全天候防空系统“铁穹”)、金融、能源、通信等领域,也包括了相对次要、但贴近普通民众生活的社会福利团体、楼宇自动化和控制网络(BACNet)、装修设计、酒类售卖网站,这说明网络战有走向民用化、众包化甚至娱乐化的趋势。
网络战总体烈度有限、目前且未能对热战造成实质影响。以色列骨干网站所展现的这种较强网络弹性,与该国世界领先的网络安全产业息息相关:该国以仅占全球0.1%的人口,创造出了仅次于美国的世界第二大网络安全份额,并利用深度嵌套的民用科技-国防网络,将这种产业势能转化为网络战中的国家优势,比如颇具争议、被爆可以轻松入侵各国政要手机的以色列NSO公司间谍软件“飞马”。由于网络战中参与面复杂的“众包战争”(即多元参战主体自发攻击多元目标)属性,数字服务时常呈现高度混乱的局面,这需要政府、国防机构、关键信息基础设施方、网络安全厂商在极限场景下快速形成互惠共生的防御合力。
对我国运营商的启示
构建极限场景中的备选空天通信链路是增加网络弹性的重要方案,同时也应加强地面通信的冗余规划。早在俄乌冲突中,低轨卫星通信系统就已大显身手。虽有着时延不稳定、成本高、频谱效率低等缺陷,但它在战时仍然拥有“从0到1”的全域重构通信网络的颠覆性能力。据悉,以色列目前正在与埃隆·马斯克的太空公司SpaceX就在该国早期启动星链项目进行谈判,以促进该国通信链路的稳定性。由于国家安全等考量,我国运营商需要完全实现卫星通信的独立自主,而不能依赖国外资本,故应加强卫星通信产业链的核心技术研发、筹备并推进低轨卫星发射计划以抢占近地轨道资源、积极参与国际电信联盟(ITU)的空天通信治理的规则制定等;在地面侧,我国运营商可联合友商加强基站互通共享技术研究,集约化管理基站资源、互为冗余备份,提升极限场景下的通信服务韧性
加强民间动员是应对舆论信息战的重要补充。本次网络战中,除了以色列官方利用AI技术打造的“网络穹顶”信息战系统外,该国科技界人士也自发成立了民间的“以色列科技卫队”,利用社交媒体公开信息搜寻人质及失踪人员,并在国际互联网打击谣言和不利言论,这一组织形式呈现了“反应快”、“弹性大”、“见效快”的优点。由于信息战具备高不对称性、“攻易守难”的特征,所以我方运营商应在极限场景中,辅助官方整合民间网络力量,根据IT素养的梯度,建立负责人员搜救数据库建立及维护、虚假消息举报辟谣、保护关键数字服务等任务的民间志愿军,对正规网军形成补充。
把军政、能源等关键客户纳入抗D高优先级响应白名单,筹建极限场景下的抗DDoS快速响应小组,开发具有可扩展属性的抗DDoS高级保护系统。充分利用运营商骨干网络优势,制定应急预案,针对重点客户的系统特性,提前定制带宽扩容、硬件升级预案,安排专人承担防火墙设置、流量监控、威胁识别、流量压制、近源清洗、溯源分析等职能,避免或缩短流量过载事件,形成极限场景下全面、高效、灵活、高韧性的DDOS防护能力,保障其业务的连续性和可用性。
大力孵化网络安全企业。从90年代起,以色列通过国防科技外溢、吸纳国际人才及资本、补贴研发、政府需求牵引等手段,孵化了以Checkpoint、Cyberbit为代表的800多家顶尖网络安全企业。我国运营商应加强网络安全领域的超前资本布局,利用稳定的现金流加大对具备核心技术的全球初创安全企业的并购力度,将管道优势和数据资源与后者的技术和人才形成叠加优势,实现“1+1>2”的良好协同效益,从而补齐极端场景下的安全防御短板。
本文作者
雷东亚
云网安全实验室
科研人员
伦敦政经硕士,CISO,就职于中国电信研究院,主要研究方向为运营商极限安全、网络战等领域。
