安全研究

News information

超弦实验室|伊朗以色列网络战,工控系统成为破坏目标

<<返回

2020年07月13日 14:21

伊朗和以色列网络战简析

六方云 2020-07


    近年来,伊朗和以色列之间的网络战不断上演,从历次网络战事件来看,工控系统已成为网络战的破坏目标。六方云对网络战的发展趋势,工控系统存在的安全问题进行了分析。并对中国网络安全建设给出了我们的建议。


        一、2020年以来伊朗和以色列之间的网络对抗记录

        二、伊朗与以色列网络战能力对比

        三、全球网络战发展趋势

        四、工控系统成为网络战的破坏目标

        五、对中国网络安全的启示

        六、伊朗与以色列历次重要安全事件回顾

 

一、2020年以来伊朗和以色列之间的网络对抗记录

111.png

二、伊朗与以色列网络战能力对比

从伊朗与以色列的历次网络战对抗中可明显看出,伊朗网络战能力明显处于劣势,一直被动挨打,甚至受到攻击也无法发现敌人。伊朗对以色列的网络攻击明显少于对手对自己的攻击,且伊朗对以色列的网络攻击多以失败告终。

反观以色列,经济实力雄厚,网络安全基础设施完善,网络技术先进,且有美国在背后撑腰。因此,对伊朗的网络攻击屡屡得手。

三、全球网络战发展趋势

1、网络战与常规战相结合,网络战取得出奇制胜的效果

1)先通过网络攻击瘫痪对方的防御体系,然后再出动飞机、导弹等进行物理攻击;

2)通过间谍安装破坏装置,然后再通过网络远程引爆;

3)通过网络战隐藏己方作战计划和攻击武器,悄无声息的对敌方进行打击。

2、针对关键基础设施的工控系统、军事设施网络

1)能源:电厂、变电站、电网、水利设施、供水管网、管道燃气网等;

2)交通:港口、航空、铁路、公路等;

3)军事:兵工厂、弹药库、防空系统、武器装备等。

3、长期潜伏

大家所熟知的震网病毒,从2006年策划开发,2007年部署,到2010年被发现,潜伏了长达3年时间。

四、工控系统成为网络战的破坏目标

仔细分析前述伊朗与以色列之间的网络战事件,可以发现大都与工控系统有关。由于工控系统本身安全性问题(如漏洞多、安全防护缺失等),其已成为网络战的目标和突破口。

工业控制系统(Industrial Control Systems,ICS)是由计算机与工业过程控制部件组成的自动控制系统,它由控制器、传感器、传送器、执行器和输入/输出接口等部分组成。其目前广泛应用于电力、水利、医药、食品以及航空航天等工业领域,堪称重要基础设施的“神经中枢”,关系到国家和企业的战略安全。工控系统直接控制物理设备,一旦工控系统遭受破坏,可能导致现实世界中不可逆转的重大灾难。

2.png

2010年,伊朗震网病毒事件曝光,揭开了工业控制系统(“工控系统”)的“神秘面纱”,也拉开了攻击工控系统的序幕。随后十年间爆发了众多与工控系统关联的安全事件,例如:针对电力、水利、能源、交通等基础设施的定向攻击或针对式攻击(APT,advanced persistent threat),对社会秩序造成较大影响;针对生产制造等企业的定向攻击,窃取商业机密,影响正常生产;撒网式攻击,特别是2017年席卷全球的WannaCry勒索病毒,工控系统亦成为“疫”区,且在近两年仍余波不断。

此外,世界知名的黑客大会,如BlackHat、DefCon等,纷纷将工控安全纳入议题;2020年1月世界高水平黑客大赛Pwn2Own更首次将工控纳入比赛。可以看出,工控领域似乎正在成为“黑道”和“白道”的蓝海,工控系统的漏洞和攻击面也正随着工业互联网的发展,更多的暴露于攻击者。

对工控系统攻击可达到的目标

强目的性、针对式的攻击通常是以破坏工控设备、造成工厂停产、工序异常、次品率增加,甚至火灾爆炸等严重后果为目标。现代工厂中,大部分现场生产设备都是由控制系统(如:PLC-可编程逻辑控制器、数控车床、DCS-分布式控制系统)进行现场操作。因此,攻击者的目标是通过直接或间接攻击或影响控制系统而实现。下文将以工厂PLC举例,阐述黑客对工控系统的攻击思路。

3.png

例如针对工控系统中的PLC进行攻击,可采用以下一些方式:

1)针对式直接攻击

直接攻击PLC,是指利用PLC存在的漏洞,或通过口令破解等方式绕过安全认证,成功控制PLC并进行指令修改,实现攻击目的。当前较多的PLC处于内网,尚不能通过互联网直接访问,在此情景下,直接攻击一般通过物理接触PLC,或通过内部办公网络连接到PLC等方式而实现。随着工厂智能化的提升,设备实现互联互通,大量PLC系统连入互联网,将更易于黑客对PLC发起直接攻击。

2)针对式间接攻击

间接攻击PLC,是指获取PLC上一层监控系统(如HMI、IPC、SCADA等)的控制权,通过监控系统向PLC发送恶意指令,或干扰监控系统与PLC的正常通讯,实现攻击目的。采用间接攻击场景,通常是由于攻击者无法直接接触到控制系统,或对工厂内部PLC系统了解有限,因而转向攻击存在大量攻击者熟悉的IT部件的过程与监控层系统。例如,攻击者首先获得IPC(工业计算机)的控制权,分析IPC和PLC之间的传输模式,构造恶意指令,通过IPC传输给PLC,间接影响PLC的正常工作或阻断生产状态的监控和预警。

3)非针对式攻击

非针对式攻击,或称为撒网式攻击,是指恶意程序利用系统或网络的共性漏洞,无差异化感染系统并在内网传播,影响正常生产秩序。此类攻击场景虽然不针对工控系统,但由于目前工控环境的安全措施较为薄弱,使得撒网式攻击在世界范围内屡屡得手。撒网式攻击通常以病毒或恶意程序为主,例如,攻击者利用员工安全意识薄弱,发送钓鱼邮件,感染接收者的电脑,再利用网络环境的脆弱性,在办公网快速传播,再蔓延至生产网,感染具有共性漏洞的系统,如IPC等,影响生产或造成破坏。

对工控系统攻击途径

工控系统的攻击途径大体包含内部发起和外部发起两类。内部发起又可分为自办公网渗透到工厂网以及车间现场发起攻击;外部发起包含针对式攻击(如APT)和撒网式攻击。

4.png 

1)内部发起

以办公网为起点:

在办公网环境内,使用nmap等工具扫描和获取网段和资产信息,特别是常规工控系统和IT系统端口,Siemens 102,modbus 502,EthernetIP 44818、445、3389等;

利用漏洞对识别出的系统进行攻击,包括嗅探、权限绕过或提升、重放攻击、口令猜解、指令注入、永恒之蓝漏洞利用、口令猜解等;

成功获取系统控制权后,尝试以该主机为跳板,使用Pass the Hash等方式渗透其他系统,找寻工控相关系统PLC、IPC和SCADA等,以实现攻击目的;

若均未成功,转向采用社会工程等方式进一步获取相关信息(如高权限账号等);

同时,考虑设法进入工厂车间内部,转为现场攻击方式;

一些集成控制系统的中控平台,或者内网的一些类SCADA等组态控制系统的web应用端或者dll、dat容易被劫持后形成工程师站的提权。

以车间现场为起点:

在车间内发起攻击工控系统是最为直接的方法,手段和选择同样是多样化的。

进入车间后,仔细观察车间内的情况,寻找IPC或者控制系统的位置,为后续攻击尝试做准备。

攻击尝试一:

首选目标为控制系统(如PLC),寻找是否存在未上锁,或者网线接口暴露在外的设备;

尝试了解相关的控制系统基本信息,例如所使用的品牌,版本等;

尝试使用电脑在现场连接控制系统,利用弱口令等脆弱性,尝试恶意指令注入、权限绕过、重放攻击等。

攻击尝试二:

尝试对现场运行的IPC或者HMI进行攻击,例如对运行的IPC插入恶意U盘植入恶意程序;

针对未设置权限的IPC或者HMI直接操作,如修改控制系统的指令等恶意操作。

2)外部发起

针对式攻击:

APT 攻击是典型的外部发起的针对式攻击,攻击过程包含

对目标企业进行信息收集以初步了解该企业的基本情况;

利用Google、Baidu等搜索引擎寻找暴露在互联网上的域名或服务器;

利用爬虫技术尽可能获取网站所有链接、子域名、C段等;

尝试对网站应用进行高危漏洞利用,例如恶意文件上传、命令执行、SQL注入、跨站脚本、账户越权等;

尝试获取网站webshell,再提升至服务器权限;

以该服务器为跳板打入内网环境,转变为内部攻击的模式;

通过从互联网搜索外网邮箱的用户名,根据企业的特点,针对式地给这些用户发送钓鱼邮件,以中招的电脑为跳板打入内部环境,转变为内部攻击的模式;

利用伪造门禁卡,或者伪装参观、面试人员或者尾随内部员工的方式物理进入企业内部,转变成为内部攻击的模式。

撒网式攻击:

利用Google和Baidu等搜索引擎找出暴露在互联网上企业的域名,若发现可以利用的漏洞则转为针对式攻击;

利用社工,尽可能多收集企业的员工的邮箱,大批量发送钓鱼邮件;

使用Shodan搜索引擎,针对暴露在互联网上的工控系统发起攻击,成功后转为内部攻击。

黑客攻击链(Cyber Kill Chain):

5.png 

一般来说,攻击者通常以低成本、撒网式的攻击手段,如发送钓鱼邮件等社工式,开始攻击尝试。当受害者点开附在钓鱼邮件内的恶意链接或恶意程序时,“潘多拉之盒”就此打开,攻击者将尝试攻陷受害者的设备,并以此设备为跳板,打入企业内网。如果工控网络未能做到与办公网络的有效隔离,攻击者可以在进入办公网络后扫描并分析发现相关工控资产。当前许多工厂工控环境抵御网络攻击的能力较弱,大多存在弱口令,权限设置不当,共享账号和密码,补丁和脆弱性管理缺失,网络隔离和防护不充分等高危漏洞,使得攻击者利用这些漏洞,在企业工控网内大范围、无阻拦、跨领域的对工控资产进行攻击,最终导致工业数据泄露、设备破坏、工序异常、次品率增加、火灾爆炸甚至威胁员工安全等严重后果,形成完整的黑客攻击链。

工控系统存在的安全问题

(1)组织与人员

未落实安全责任:管理层重视不足,部门间安全职责不清晰,无明确安全部门或岗位。

安全意识薄弱:员工对工控系统的安全意识相对薄弱,特别是生产或一线员工。传统型企业的“隐匿式安全”(security by obscurity),认为严格物理安全和访问管理即可确保安全,认为未发生安全事件即是安全,这往往使得企业忽略对网络安全的建设,未能及时补救隐患。

(2)管理与监督

“经验式”管理工控系统自身缺乏安全设计与考量,是很多企业存在的普遍现象,通过实施适当安全保障措施,可以有效弥补。但很多企业并没有建立有效的安全策略和措施,仅依靠个人经验和历史经验进行管理。

应急响应机制缺失缺少应急响应机制,出现突发事件时无法快速组织人力和部署应对措施来控制事件进一步蔓延,并在最短时间内解决问题和恢复生产。

缺少恰当的口令策略未设置恰当的口令策略和管理,如弱口令,共享口令,多台主机或设备共用一个口令,以及口令共享给第三方供应商等情形,增加密码泄露风险。

缺乏安全审计日志系统出现安全事件后,无法追踪和分析事件源头和原因,以避免类似情形的再次发生。

(3)网络与架构

“防君子式”网络隔离内部办公网络和工厂网络缺乏有效隔离,未划分安全域进行防护,导致办公网络的攻击或病毒蔓延至工厂网络,造成生产影响。

不安全的通讯协议工业控制协议非标准化,且大多存在安全隐患,例如CAN、DNP3.0、Modbus、IEC60870-5-101。

不安全的远程访问为方便维修工程师和供应商的远程调试,未对远程访问部署安全措施和监控,此类远程访问功能可能是攻击者利用率最高的漏洞之一。

复杂的结构工控系统的结构相对于IT环境而言更为复杂,攻击面较多。典型的工控环境一般会有以下组成部件:控制器(PLC、数控车床、DCS)、SCADA系统、工业计算机、工业软件、HMI、网络、交换机、路由器、工业数据库等,其中任意一个环节或者部件出现问题就有可能导致整个工控系统被攻击。

(4)主机与设备

认证与授权为了日常使用方便,重要控制系统未设置密码、设置弱密码或共用密码,将密码贴在现场机器上,这些“便利”往往也为攻击者的入侵提供了极大的便利。

防病毒软件未安装病毒防护软件,未及时更新病毒库,非正版软件等。

操作系统陈旧性现在的工厂环境中,使用越来越多的计算机系统,然而由于工业控制系统的更新迭代的时间相比于IT系统要长很多,使得工业控制系统中存在大量陈旧的计算机系统,如windows xp、windows 2003等操作系统,存在大量可被攻击利用的高危漏洞。

默认配置许多工厂在安装设备时,使用了默认口令、默认路径,开启不必要且不安全的端口和服务等默认配置。

离线设备管理对于离线设备,往往认为是安全的,忽视网络安全保护措施。但随着企业数字化的推进或在业务需要时进行网络连接时,此类设备可能会成为安全体系的短板和缺口。

(5)物理防护

硬件调试接口:重要控制系统的机架未上锁,或暴露在外的调试接口未有效防护。

物理端口:未对IPC等通用接口进行有效管理或禁用,如USB、PS/2等外部接口,可能存在设备未授权接入风险,导致病毒感染或者程序非法修改。

外部人员访问:人员进出车间管控不严,特别是外部人员,如供应商等。

 

五、对中国网络安全的启示

1、网络战离我们并不遥远。中国是受网络攻击最严重的的国家之一,这些攻击行为里面可能有不少是某个国家的网军所为。

2、我们需加大网络安全投入,有效保护关键基础设施;

3、我们需要加大网络安全人才的培养,以保证在未来的网络战中立于不败;

4、落后就要挨打,因此我们需加大网络攻击技术和防御技术的研究。例如应对实时变化的威胁变种,需具有检测未知威胁的能力(如六方云神探产品);

5、及时识别风险,评估不断变化的网络安全风险

6、及时修复关键基础设施工控系统的漏洞;

7防止并打击网络空间的犯罪活动

8、及时有效响应网络安全事件,最大限度缓解潜在重大网络事件带来的后果。

六、伊朗与以色列历次重要安全事件回顾

   伊朗多个远程导弹基地剧烈爆炸,司令被炸死

7月10日凌晨3点左右,伊朗首都德黑兰、加尔姆达雷赫和“圣城”市内地区发生了多起爆炸事件。据以色列方面报道称,这是以色列军队针对伊朗用于袭击以色列本土的远程导弹基地进行的狂轰滥炸。以色列方面称,在德黑兰附近的一个导弹基地发生的最后一次重大爆炸,炸死了革命卫队的导弹计划,第二负责人哈桑·泰拉尼·穆格丹司令。尽管有人怀疑是以色列空袭所致,但最初被伊朗官员描述为“事故”。因此,更多的可能是来自机构内部的爆炸导致。

以色列和美国这一次极有可能又使用了网络战攻击伊朗,目标可能包括导弹基地的IT网络、导弹控制系统、辅助装置的工控系统、周边工厂的工控系统等。对导弹基地的IT网络的攻击,可收集有用的情报信息;对导弹控制系统的攻击,可直接使导弹丧失攻击能力或者使防空体系瘫痪;对导弹基地辅助装置的工控系统和周边工厂的工控系统攻击,可使这些系统运行异常,引起生产事故,如爆炸、起火,以间接的方式波及到导弹基地。

而以色列和美国于2010年使用所谓的“蠕虫”对伊朗核计划进行了首次重大网络攻击。以色列网络专家马丁·伊维齐奇在一份研究论文中写道,“震网”早期版本似乎已于2007年部署,但并未达到目标。该版本的目标可能只是为了收集情报。“震网”复杂的平台适应性很容易适应间谍活动。

6.png 

其开发人员最终获得的有关伊朗运营的情报使他们能够在2009年将“震网”病毒接入到未连接互联网的纳坦兹工厂。当这些公司的技术人员将笔记本电脑连接到纳坦兹工厂设备时,他们无意间导致“震网”病毒下载并在整个纳坦兹工厂中传播。通过这种间接连接“震网”病毒的携带人员即使没有直接网络连接,但依然可以被传播。

“震网”病毒被认为是有史以来最大,最昂贵的恶意软件开发工作,该项目规模庞大,除了美国和以色列国家之外,任何人都无法生产。除仅用于伊朗铀浓缩设施的设备外,“震网”病毒的目标也太精确了,以至于不会损坏其他任何东西

7.png 

“震网”病毒攻击通过损坏了伊朗离心机转子:第一个阶段显着但短暂地使离心机的速度超过其最大安全速度,然后短暂地将其大大降低到其最小安全速度以下。然后,该恶意软件将在重复周期之前等待数周。第二个更复杂的阶段,包括过度加压离心机,以随着时间的推移增加转子压力,最后令离心机损坏。

8.png 

以色列和美国针对打击伊朗,似乎越来越依赖网络武器。在四月份的网络攻击中,伊朗试图提高流向以色列居民区的水中的氯含量。以色列国家网络局局长说,在避免了袭击之后,这可能导致向供水中注入高剂量的氯或其他化学物质。此外,在以色列最近的致命热浪中,这次袭击有可能触发故障保护功能,从而关闭泵,并使成千上万的人缺水。

一位不愿透露姓名的以色列官员称,以色列这次针对伊朗袭击,是通过掀起一波又一波的民用基础设施攻击浪潮,制造了“不可预测的风险情景”,这两个国家迄今都避免了正面交火。

 

以色列安放炸药破坏伊朗离心机研发中心

 据《纽约时报》7月6日报道,伊朗承认纳坦兹核设施内的一个工业仓库7月2日发生火灾,造成“相当严重的损失”。报道称,一名中东情报官员表示,是以色列在伊朗研发先进离心机的大楼里安放了炸药。

  《纽约时报》披露,一名了解此事的中东情报官员表示,以色列应该对伊朗纳坦兹核设施事件负责,是以色列使用了威力巨大的炸药进行了破坏。另外,伊朗伊斯兰革命卫队的一名成员也说,有人使用了炸药。

  报道称,伊朗的怀疑集中在以色列和美国身上,这两个国家过去都曾破坏过伊朗的核设施,并誓言要阻止伊朗发展核武器。根据这位伊斯兰革命卫队成员的说法,过去美国和以色列都曾使用过网络攻击破坏伊朗的核设施,但这次排除了这一原因。

7月5日,当被问及是否参与了破坏纳坦兹核设施的行动时,以色列官员含糊其辞,不过他们强调了伊朗拥有核武器的危险性。以色列国防部长本尼·甘茨7月5日在接受采访时表示:“每个人都可以在任何时候、任何事情上怀疑我们,但我认为这是不正确的。”他补充说:“并不是在伊朗发生的每一件事都一定与我们有关”。报道指出,他没有否认以色列与纳坦兹核设施的事故有关。

西方国家一直怀疑纳坦兹是一座进行铀浓缩的核设施,尽管伊朗声称只是和平利用核能。7月3日,伊朗最高安全机构的发言人表示,已经查明起火原因,但拒绝立即公布调查结果细节。但据报道,在伊朗纳坦兹核电站大规模爆炸后,伊朗民防首长威胁要发起“胆敢对其核设施进行网络攻击任何国家”的报复。

军事研究员兰顺正认为,核电站引发的爆炸如果是人为引发的,很可能是特工混入预埋爆炸物。但如果是网络攻击引起的,则可能是通过对核电站工业控制系统、浓缩装置控制系统、离心机控制系统等植入病毒的手段,修改这些系统的运行参数,引发内部设施超负荷、过载引发起火甚至爆炸。

据报道此次火灾导致伊朗损失了80%的UF6(六氟化铀)储量,这将会减慢伊朗的铀浓缩活动。


德黑兰附近军事基地发生爆炸,夜空被火光照亮

在伊朗当地时间6月25日午夜,在德黑兰东部地区,发生了一场剧烈的爆炸,火光照亮了夜空,升起的火球在数十公里外都清晰可见,随后伊朗国防部证实了这场爆炸,并表示爆炸是在伊朗一处军事基地附近发生,并不在军事基地内部。伊朗国防部还回应称,发生此次爆发的原因是储气罐发生泄漏。

9.png 

由于涉事基地是伊朗的帕尔钦军事基地,所以此事颇为敏感,该基地是伊朗境内最大的炸药生产基地,而且西方国家数次怀疑和指控伊朗在该基地进行核活动。从相关爆炸画面来看,伊朗进行核活动的可能性是很低的,不过虽然伊朗方面表示事故原因是相关气体装载罐泄漏所致,但鉴于当前伊朗糟糕的安全环境,很有可能这次爆炸没有伊朗所说的那么简单。

军事研究员兰顺正表示表示,这次爆炸可能是以色列使用网络攻击为先导,先破坏了伊朗的防空体系(如雷达、反导系统等),然后F-35隐身战机投掷钻地炸弹引起的。这个爆炸非常大,从图片视频中看,可以看到大规模的爆炸和橘红色蘑菇云。如果是煤气罐起火发生的爆炸,应该达不到这样的威力。

 

伊朗港口多次受到网络攻击

5月9日,伊朗沙希德-拉贾伊港口码头的航运突然中断,控制船只、卡车和货物流动的工控系统受到攻击,控制系统的工控计算机同时崩溃。一天后,伊朗官员承认,港口计算机短暂地遭到了不知名外国黑客的袭击。

10.png 

一个多星期后,一个更完整的解释浮出水面:该港口遭到了一次大规模网络攻击,美国和外国政府官员表示,这次网络攻击似乎来自以色列。

熟悉此事的情报和网络安全官员称,此次攻击是由以色列特工实施的,可能是为了报复早些时候试图侵入以色列乡村地区供水系统计算机的事件。

11.png 

一名监控5月9日事件的外国政府安全官员称这次攻击“高度准确”,并表示对伊朗港口的破坏比伊朗官方描述的更为严重。这名以情报高度敏感性为由不愿透露其身份和国籍的官员称,“那里(指伊朗港口)一片混乱。”一名接触机密文件的美国官员也表示,据信以色列人是这次攻击的幕后黑手。

以色列大使馆没有回应置评请求。以色列国防军拒绝置评。伊朗多次否认参与4月24日针对以色列供水网络的未遂黑客攻击。

12.png 

哈佛贝尔弗中心的网络安全政策研究员、网络安全公司CrowdStrike的创始人兼前首席技术官德米特里·阿尔佩罗维奇表示,“假设这是真的,这符合以色列通过行动或其他方式积极回应伊朗挑衅的政策。”

此前在5月10日,伊朗港口与海事组织(PMO)总经理穆罕默德·拉斯塔德在伊朗通讯社(ILNA)发表的一份声明中证实了发生过针对港口计算机的攻击。拉斯塔德称,“最近的一次网络攻击未能渗透到PMO的系统,只能渗透并破坏港口的一些个人操作系统。”

5月中旬,以色列对伊朗本土进行了一次网络突袭,造成伊朗港口运作中断。美国方面报道称,这是自以色列情报局摩萨德与美国中央情报局联手制造的“蠕虫”病毒后,以色列第一次单独对伊朗发动了网络战争,第一次就造成了伊朗本土的港口的重大停工。

13.png 

伊朗官员承认,网络攻击使伊朗的沙希德·拉贾埃港口码头控制系统的计算机于5月19日“短暂脱机”。据美国方面报道,美国白宫和外国政府官员说,袭击来自以色列摩萨德,以色列对伊朗的核能计划有袭击的历史。在调节船只,卡车和货物流量的计算机被网络攻击摧毁之后,沙希德·拉贾埃港口码头的运输流量突然中断。据报道,这次袭击在通往该设施的水道和航道上造成了短暂的停运。

 

伊朗针对以色列水利设施的网络攻击以失败告终

《耶路撒冷邮报》报道称,以色列国家网络局局长周三(5月27日)警告称,“网络冬天即将来临”,其速度将快于预期。报道称,4月以来,伊朗就试图入侵以色列的供水系统工控网络,但一直没有成功(如果成功可能导致向供水中注入高剂量的氯或其他化学物质。可能触发故障保护功能,从而关闭泵,并使成千上万的人缺水。《耶路撒冷邮报》5月28日获得了一份网络技术会议的录音,以色列国家网络局局长在讲话中透露了有关伊朗攻击以色列水利设施网络的惊人新细节。

14.png 

他说,“我们将记住这一个月,即2020年5月,这是现代网络战历史上的一个转折点……针对平民水利基础设施的未遂袭击……”他指出,如果各种化学药品与水以错误的比例混合时,“可能是灾难性的”。

他说,“这不是网络犯罪集团,而是国家行为”。他指责伊朗在新冠病毒大流行期间试图破坏以色列人道主义供水系统,这是现代网络战争的一个转折点。他说,我们现在正在做下一步做准备,我担心这仅仅是一个信号,在这个时代,网络攻击将针对人道主义目标。


伊朗遭不明攻击,卫星发射紧急延期,全国大面积断网

15.png

2月9日,沙特Al-Arabiya网报道称,伊朗境内遭到电子攻击,一举导致互联网服务暂时性的全面中断。

于本周六当天,伊朗电信公司的管理委员会的成员萨贾德·巴拉比公开表示,伊朗遭受到了一次电子攻击,由此造成互联网及一些移动通讯公司网络出现故障,一直在持续大约1小时之后才恢复正常。之后,在通信公司工作人员的努力下,才让伊朗信息安全和数字基础设施的保护系统才重新启动,从而让该国互联网服务恢复到正常状态。此次电子攻击事件,造成伊朗境内极大震惊。据萨贾德·巴拉比指出,这是一次不明攻击,因为对于此次攻击源,目前还没有被找到。

 16.png 

耐人寻味的是,此次电子攻击事件,造成伊朗境内互联网及通讯服务的暂时性中断之际,还发生了一起重大事件。2月9日,以色列《耶路撒冷邮报》发布消息,国家航天局负责人Morteza Barari指出,早于一周前,伊朗航天局就已经通过了关于“ZAFAR”卫星发射的所有测试。可紧急决定,此次卫星发射被推迟,没有将卫星“放在发射平台上”。至于推迟发射的原因,Morteza Barari并没有详细说明。另据伊朗法尔斯通讯社曝出,原计划卫星发射的具体日期,初步定于2月8日,即伊朗受到不明电子攻击的当天。

尽管伊朗航天局并没有透露卫星发射推迟的具体原因,可此事与伊朗遭受不明攻击事件相重合,无疑显得疑云重重不能排除火箭发射相关的控制系统受到了攻击2月9日重启发射,但由于速度不够,卫星未能进入轨道

2月8日,伊朗电信基础设施公司的一位名叫Sadjad Bonabi的官员推测道,此次网络中断或是由DDoS攻击引起的,而此类攻击就源于北美洲。据悉诸如这样的攻击已经发生过无数次了。去年12月份,在一周之内,伊朗就受到过3次网络攻击。当时,德黑兰通讯和信息技术部部长穆罕默德·贾诺里声称,在过去的一年中,伊斯国家网络安全防火墙便拦截了多达3300万余次攻击。此次卫星发射的推迟,或与电子攻击事件相关。

17.png 

须知伊朗对于网络攻击所造成的损害,是有极为深刻的切身体会的。2010年,伊朗境内超过六成的网络遭中断,后来查明是遭到了一种名为“震网”的网络病毒攻击。更为严重的是,这种“震网”病毒复制能力极强,很快就因这一特性而侵入了相当具有机密性的高科技军事工业网络,控制了一些重要计算机。果然,与核设施及导弹相关的伊朗关键性计算机遭到控制,导致浓缩铀生产所用的离心机被破坏,从而使伊朗核工厂的4700台离心机损毁了1700多台,伊朗浓缩铀分离能力下降超过30%。

值得提及的是,伊朗的核武研发能力,一直是让美国欲置之死地而后快的。至于另一件让美国深感焦虑的,便是伊朗强大的导弹实力。须知在很大程度上,弹道导弹与卫星发射在技术上是较为相通的,通过卫星发射活动,能极大提高弹道导弹技术。而从去年5月份以来,美国极限施压伊朗,对伊朗施以军事高压,主要便是忌惮于该国的导弹才未敢轻举妄动。由此,美国一直极力反对伊朗进行卫星发射活动。

18.png 

可在美国的极力反对之下,伊朗依然致力于进行卫星发射事宜,去年便接连进行了3次,只是可惜都以失败而收场。早在去年1月及2月份,伊朗发射卫星便连遭失败。至8月份,不甘失败的伊朗再次发射卫星,依然没有成功。在这一过程中,美国一直对伊朗提出严厉警告。此次,正值伊朗进行新一次卫星发射之际,该国网络却相当“及时”遭受攻击,导致卫星发射被紧急延期。看来,美伊两国在网络安全方面的暗战或要加剧了。

 

伊朗特种部队指挥官巴格达遇袭身亡

当地时间1月3日凌晨,在伊拉克首都巴格达国际机场,伊朗伊斯兰革命卫队“圣城旅” 的指挥官卡西姆·苏莱马尼遭到袭击身亡。

随后美国五角大楼在一份声明中表示,这次针对苏莱马尼的袭击任务是总统特朗普亲自下令的。

19.png 

原因是苏莱马尼此前曾计划袭击在伊拉克及附近地区的美国外交官和美军。美国国防部还认为,苏莱马尼及其领导的特种部队“圣城旅”应对数百名美军和国际联军士兵的死亡负责。

20.png

伊朗伊斯兰革命卫队“圣城旅” 是一支伊朗在海外执行重要任务的特种部队。从20世纪90年代末开始,苏莱马尼就被任命为“圣城旅” 的指挥官。

21.png

一直以来,美国军方都对他虎视眈眈,因此62岁的苏莱马尼在伊拉克的巴格达国际机场被袭击身亡消息传出,并不令人感到奇怪。

美国国防部已经明确表示,这次针对苏莱马尼的袭击任务是总统特朗普亲自指挥的

袭杀经过2020年1月3日,美军袭杀伊朗“圣城旅”指挥官卡西姆·苏莱曼尼行动中,苏莱曼尼自下飞机到乘车准备离开机场,全程都被在约9000米高度巡航飞行的MQ-9收割者无人机追踪。据媒体报道,当苏莱曼尼乘坐的车辆通过机场外道路时,千里之外的美军操作员根据卫星回传的高清热成像画面确认目标。在无人机激光照射定位后,操作员根据指令按下发射按钮,MQ-9收割者无人机发射激光制导导弹击中车辆。

有消息人士称,这次暗杀行动是秘密进行的,甚至连美国军方自己的间谍卫星,也就是所谓的“国家技术手段”(NTM)都没有检测到。一位消息人士称,“ 当MQ-9收割机驶向巴格达国际机场时,没有GPS追踪,也没有给负责识别友好飞机的雷达系统提供任何飞行迹象”。