以色列与伊朗冲突加剧网络威胁

6月13日，以色列针对伊朗核设施和军事基础设施发动大规模军事行动“崛起的雄狮”，此后，以色列面临的网络威胁形势急剧升级。这项旨在摧毁伊朗核武器能力的“先发制人”行动，导致伊朗军方重要人物死亡、关键基础设施受损。预计这些军事打击将引发伊朗国家行为体及其盟友黑客组织的报复性网络行动。

背景

以色列和伊朗间的网络敌对至少可以追溯到2010年，当时发现了“震网”（Stuxnet）蠕虫病毒。“震网”病毒被广泛认为是第一个能够造成物理破坏的网络武器。“震网”病毒专门针对伊朗铀浓缩离心机的西门子制造的可编程逻辑控制器（PLC）。通过改变离心机的转速，该恶意软件导致设备故障，严重扰乱了伊朗的核计划。

“震网”病毒爆发后，伊朗投入巨资发展其网络能力，并发起了一系列报复性网络行动。在接下来的十年里，与伊朗相关的行为体越来越多地将西方和海湾地区的基础设施作为攻击目标。值得注意的是，黑客组织“伊朗网络军队”（Iranian Cyber Army）与针对美国金融机构的一系列分布式拒绝服务 （DDoS）攻击有关。

自2020年以来，伊朗网络行动的重点更加明确地转向了以色列。APT35（Charming Kitten）、MuddyWater和CyberAv3ngers等威胁组织针对以色列关键基础设施（包括水务设施、医疗设施和工业控制系统）发起了攻击。这些攻击活动还包括入侵监控系统和针对公共交通网络的侦察活动。

虽然以色列尚未正式承认进行攻击性网络行动，但外国情报机构和网络安全专家普遍将几起影响重大的事件（例如伊朗燃料分配系统、铁路和工业场所的中断）归咎于与以色列政府有关联的行为体。

网络战成为军事挫折中的战略出路

由于伊朗通过常规军事手段进行回应的能力显著下降，其目前比以往任何时候都更有可能通过网络攻击进行报复。以色列最近的行动严重削弱了伊朗的军事基础设施和领导层。据称，此次定点清除行动消灭了约20名高级指挥官，其中包括伊朗空军和核计划的关键人物。这些袭击包括精确空袭和摩萨德领导的破坏行动，摧毁了导弹基地、燃料库以及对伊朗国防能力至关重要的战略资产。因此，尽管伊朗可能有回应的动机，但它缺乏立即有效实施的军事能力，这使得网络行动成为一种更容易获得且更可行的替代方案。

此外，伊朗核计划和领导层结构所遭受的影响，损害了伊朗当前政权在国内和国际的形象。在一个对实力和控制力的认知至关重要的体系中，这种损失可能会被解读为脆弱的迹象。这种认知不仅会削弱公众信心，还可能壮大反对派团体，甚至引发内部动乱，就像过去伊朗政权动荡时期所见的那样。为了重申权力并遏制进一步的挑战，伊朗当前政权可能会诉诸网络攻击、间谍活动以及启动盟友黑客组织等非对称手段来打击以色列的利益——这既是报复，也是持续能力和决心的展示。

多载体威胁

伊朗政府支持的网络攻击组织——最著名的是APT34（OilRig）和APT39（Remix Kitten）——持续开展针对性的网络攻击行动，旨在开展间谍活动、破坏基础设施和监视。相关组织的活动范围历来遍及中东及其他地区，且明确以地区对手为目标。

最近的情报显示，伊朗可能会加强网络攻击行动，预计行动重点包括：

入侵以色列政府和国防网络




窃取敏感的国家和军事信息




利用网络钓鱼、社会工程和零日漏洞

这些入侵通常通过看似合法的通信来掩盖，或通过受感染的第三方供应商和服务提供商来促进。

与以往的升级模式一致，伊朗可能还会发动旨在削弱或中断基本服务的破坏性攻击。这些攻击可能包括拒绝服务（DoS）攻击、勒索软件部署或使用破坏性恶意数据擦除软件。

此外，伊朗的网络行动很可能辅以协同信息战。根据以往的行动经验，预计伊朗将启动人工智能驱动的僵尸网络和虚假社交媒体账号，散布虚假信息，削弱公众对以色列领导层的信任，并放大分裂或破坏稳定的言论。

这些影响行动可能与该地区意识形态一致、受宗教驱动的团体合作进行。Telegram、X（原 Twitter）和TikTok等社交媒体平台预计将成为这种协调宣传和动员行动的主要渠道。

亲伊朗威胁行为者活动激增

以色列军事行动的消息公开后不久，Radware观察到与伊朗结盟的威胁行为体在其公共和私人Telegram频道上的活动有所增加。Cyber Bulletin频道收到了一个以“以色列行动”（#OpIsrael）开展行动的威胁行为者发送的消息，称其针对以色列公共广播系统（Tzofar）发起了攻击，该系统用于向平民通报潜在的导弹袭击（见图 1）。

图1：以色列警报系统“Tzofar”遭受网络攻击

（来源：Telegram）

黑客组织“神秘孟加拉队”（Mysterious Team Bangladesh）已向邻国约旦和沙特阿拉伯发出警告，称如果它们支持以色列，将面临国家基础设施遭受网络攻击的风险（见图2）。另一方面，黑客组织“阿拉伯幽灵”（Arabian Ghost）声称他们关闭了以色列的广播电台（见图3）。其他几个组织针对以色列组织也威胁并声称发动网络攻击，其中一个组织声称他们关闭了以色列摩萨德的网站（见图4）。

图2：“神秘孟加拉队”警告邻国不要帮助以色列

（来源：Telegram）

图 3：黑客组织“阿拉伯幽灵”声称

他们关闭了以色列广播电台（来源：Telegram）

图 4：威胁组织威胁并声称发动攻击

（来源：Telegram）

Radware公司6月15日表示，过去两天针对以色列的网络攻击与6月12日之前相比增加了700% 。该公司表示，数据显示“针对以色列基础设施的恶意网络活动显著升级”。

Radware公司网络威胁情报副总裁罗恩·梅兰表示，“恶意活动在短短两天内激增 700%，源于伊朗国家行为者和亲伊朗黑客组织的网络报复行动，包括DDoS攻击、针对关键基础设施的渗透尝试、数据盗窃和恶意软件分发活动。”

Radware公司公司表示，“预计伊朗政府支持的网络组织将加强其旨在破坏基础设施和心理影响的行动。”该公司表示，政府网站、金融机构、电信公司和关键基础设施都是攻击的目标。

建议的预防措施

加强监控：提高所有网络和端点的警惕性，并监控与已知伊朗APT相关的失陷指标（IOC）。




强化系统：确保所有面向互联网的系统都已修补，并且所有服务都受到多因素身份验证（MFA）的保护。




员工意识：提醒员工注意潜在的网络钓鱼场景。




事件响应准备：确保事件响应团队处于高度戒备状态，策略是最新的并包括对国家级威胁的响应。




公共沟通：制定反虚假信息策略，并与值得信赖的媒体机构协调，以减轻虚假新闻的影响，防止其传播或损害组织的声誉。

结论

网络领域是以色列-伊朗冲突的主要战场。以色列各地的组织机构必须提高警惕，做好准备，应对一波又一波复杂且受意识形态驱动的网络攻击。在未来的日子里，主动防御、情报共享和公众韧性将至关重要。