【反恐研究】“伊斯兰国”组织网络攻击能力评估
2017-01-14 16:33:47        今日中国www.chinatodayclub.com                     来源:今日中国

【反恐研究】“伊斯兰国”组织网络攻击能力评估 今日中国 www.chinatodayclub.com

2014年美国中央司令部(CENTCOM)和新闻周刊(Nesweek)的推特(Twitter)账户被ISIS黑客侵入,使得外界开始关注ISIS组织的网络力量。近年,亲ISIS的黑客群体至少由5个独立组织组成,每个组织都可以发起支持恐怖组织的网络攻击行动。虽然在接近一年半的时间里以不同的称呼展开行动,但有证据表明这些组织及其所属人员,在某些行动中相互之间存在交叉或协调,共享其资源和人力。这在2016年4月4日达到顶峰,在正式合并几个组织后宣布成立了“联合网络哈里发”(United Cyber Caliphate)。

一、组成联合网络哈里发的五支网络力量

(一)“网络哈里发”(哈里发网络军)

“网络哈里发”是2014年夏ISIS宣布其“哈里发”成立后出现的第一个亲ISIS黑客组织。除了前文提到的劫持新闻周刊和美国中央司令部的推特(Twitter)账户外,该组织把自己看作“网络哈里发”(Cyber Caliphate),声称为一系列引起全球关注的网络攻击负责。2015年1月6日,该组织对众多美国目标发起了网络攻击,包括新墨西哥州阿尔布开克市的《阿尔布开克日报》、WBOC News(一个服务于德拉瓦、马里兰和弗吉尼亚组成的德玛瓦半岛的媒体)和田纳西州一个国土安全部的信息融合中心(Fusion Center)在脸书(Facebook)和推特上的简介,但其主张没有被全部证实。

创办、培育并改进“网络哈里发”和ISIS网络声誉的工作是由一名叫做朱奈德•侯赛因(又名Abu Hussain Al Britani)的英国参与者领导的。侯赛因以前是知名黑客组织TeaMp0isoN成员,绰号“TriCk”,2013年离开英国加入了ISIS,在2015年8月的无人机空袭中丧命。之后,在英国接受教育的商人和计算机专家,31岁的孟加拉人西菲儿•哈克•苏占(SifulHaqueSujan)代替了侯赛因,并于2015年12月10日在叙利亚的拉卡被美国无人机空袭击毙。据称,侯赛因妻子莎莉•琼斯(Sally Jones)(又名乌姆•侯赛因•布瑞塔尼亚UmmHussainBritaniya)继承了这一组织。

(二)ISIS黑客技术部门

ISIS黑客技术部门(Islamic State Hacking Division)出现于2015年初,似乎受到了网络哈里发的启发,并松散地隶属于网络哈里发。这两个组织通过朱奈德•侯赛因的共同领导思路联系在一起。ISIS黑客技术部门得到了科索沃黑客的支持。

Ferizi是黑客组织“科索沃黑客安全”(Kosova Hacker’s Security)的领导人,曾对美国境内的一处目标发起黑客攻击,随后盗走数千份个人信息资料。据说他随后将1000多名美国政府人员的信息提供给朱奈德•侯赛因,由其负责公开发布。侯赛因随后在8月11日将这些资料打上ISIS黑客部门的标志并转储(dump)。这批信息包括近1500名美国军方和政府人员的姓名、部门、电子邮箱及密码、工作地点和电话号码,人员涵盖空军、多个外国大使馆、海军陆战队、美国宇航局(NASA)、美国国际开发署(USAID)和纽约港务局。被黑客窃取的信息还包括几名国务院官员的信用卡信息,以及美军现役人员之间的私人脸书消息截图。2015年10月15日,联邦检察官对科索沃公民ArditFerizi(又名Th3Dir3ctorY)发起了刑事诉讼

据悉,ISIS黑客技术部门2015年6月1日又宣称“黑客侵入”意大利境内的几个军方服务器。此后,该组织透露了10名号称是意大利军官的个人信息,这起事件很可能是事实。

(三)“伊斯兰网络军”

2015年9月25日,一个自称“伊斯兰网络军”(Islamic Cyber Army)的黑客组织在推特上发布了第一份正式声明,宣称“在统一的旗帜下,支持圣战游击队的黑客们成立了“伊斯兰网络军”(SIC)……“伊斯兰网络军”(将发动电子圣战领域的全部力量,战斗在第一线,为ISIS“哈里发”反抗美国及其仆从国的战斗提供支持“伊斯兰网络军”主要针对美国,但由于缺乏先进技术,其主要活动限于一些反美的网络宣传。

(四)Rabitatal-ansar

RabitatAl-Ansar是规模较大的亲ISIS媒体 “媒体前线”(Media Front)的一部分,Rabitat Al-Ansar并不总是以网络部队而知名。在超过一年的时间里,该组织在支持ISIS的活动中扮演的都是圣战宣传媒体角色。但是,随着越来越多的ISIS支持者参与到网络攻击中,Rabitat Al-Ansar有样学样,最终开始宣布为一些自己声称的黑客活动负责。其主要活动是网络反美宣传,美国银行也成为其威慑的目标。

(五)“哈里发军之子”

“哈里发军之子”隶属或等同于第一个亲ISIS黑客组织——已知的“哈里发”网络部队(也叫“网络哈里发”),“哈里发”军之子作为一个下属组织出现进一步突显了ISIS支持者对网络日渐浓厚的兴趣。社交媒体是重点目标,并且威胁过威胁推特和脸书创办人。

二、“联合网络哈里发”

2016年4月4日,“哈里发网络军”宣布合并几个组织后,以“联合网络哈里发”(United Cyber Caliphate)名义成立了一个新的集团,包括“幽灵哈里发部”(Ghost Caliphate Section),该组织相对不太活跃;“哈里发军之子”;“哈里发网络”军和卡拉什尼科夫电子安全小组(Kalashnikov E-Security Team)。这个新生的组织将自己标示为“网络黑客技术及其利用”专家。

(一)宣布合并

“哈里发网络军”是在其非公开的通讯软件Telegram公告板上一条宣布自己劫持了一个推特账户(该组织经常干这种事)的消息后发布的这项公告,该组织随后在该账户上广播信息。控制该账号后,“哈里发网络军”发布了一条推特信息,“ISIS黑客组织#CaliphateCyberArmy#SonsCaliphateArmy#KalashnikovTeamnew #Team. #UnitedCyberCaliphate正在合并”。

与此同时,“哈里发网络军”在其Telegram公共板上发布了一条信息,“依赖于万能的安拉和他的恩典,ISIS黑客组织进行了合并以扩展我们的行动,为了深入打击敌人,我们宣布成立新组织“联合网络哈里发”(#Team#UnitedCyberCaliphate)”。

此后不久,新成立的“联合网络哈里发”就公布了自己的Telegram公告板。

这项声明是以英语、阿拉伯语、俄语和法语同时发布的。考虑到“哈里发军之子”的成立首先是在“哈里发网络军”的Telegram公告板上宣布的,而这两个组织后来经常在各自的公告板上共享对方的材料,这两个组织之间很可能存在隶属关系。但是,该声明首次明确了其正式联盟关系。

再者,一直有迹象表明这些组织之间,以及和其他亲ISIS组织之间存在协调,这种协调主要是以提到多个组织的负责声明布告形式出现的。但是,这是支持ISIS的网络组织第一次宣布正式合并,并随后成立一个保护伞组织。

(二)首次宣传对黑客事件负责并扩大关注范围

“联合网络哈里发”于2016年4月5日发布了第一项声明,宣传为涂改印度尼西亚驻法国大使馆的网页负责。涂改内容包括一张倒下的埃菲尔铁塔的照片,照片上附有信息,“现在,我们的战斗已经开始,我们只会用大炮与你们协商,用手中的枪和你们对话。我们会一直战斗,直到按照真主的意志征服罗马并在哪里祷告为止,真主永远不会违背他的誓言”。

这些组织的合并还意味着,联合小组的活动范围扩大了。除了专注于“哈里发网络军”和“哈里发军之子”这样的组织发起的黑客攻击外,像卡拉什尼科夫小组(Kalashnikov Team)这样相关性日益增长的组织加入“联合网络哈里发”表明,该联合组织越来越重视在线圣战者社区有关数据加密和其他技术的教育,包括虚拟专用翻墙软件(VPNs)、代理服务器和网站漏洞。

(三)可能仍在进一步整合

由于目前以ISIS名义发起网络攻击的这些组织既没有得到ISIS的承认,ISIS也没有宣布过这些组织的存在,所以现有这些行为体之间糟糕的组织水平往往导致诸多行为体之间出现自相矛盾的信息。这些组织标示自己的方式证实了这种自相矛盾,他们经常使用同样的名称,稍加改变而不加以解释,譬如,“ISIS黑客技术部门”(Islamic State Hacking Division),有时是指“ISIS网络入侵部门”(IslamicState Hack Division)。虽然这明显是为了进行协调,如成立“联合网络哈里发”,但依然存在一些不一致。例如,在宣布这次合并的多人共享Telegram和推特信息中,其中的的一个成员叫做“幽灵哈里发部”,也简称为“幽灵哈里发”(GhostCaliphate),另外一个成员是“卡拉什尼科夫小组”,也叫做“卡拉什尼科夫电子安全小组”。

虽然存在这种历久犹存的不一致情况,但“联合网络哈里发”的成立很可能形成一支组织性更强的亲ISIS黑客力量。各个成员将继续以自己的名义活动,还是新的保护伞组织将取代“哈里发网络军”、“哈里发军之子”、“幽灵哈里发”和卡拉什尼科夫小组的所有具体活动,仍然有待观察。

三、联合网络哈里发的网络攻击能力评估

虽然难以确定ISIS支持者的网络攻击能力,但根据截至到目前为止该组织的“成功”网络攻击,西方网络情报公司分析认为以下就是亲ISIS黑客赖以使用(但不局限于此)的技战术和流程:

(一)攻击协调

在发起一场媒体战之前,亲ISIS黑客私下(很可能是使用加密通信平台)对战斗进行协调,以统一即将到来的网络攻击宣传。在很多案例中,这些人宣布他们即将对诸如推特之类的社交媒体发起黑客攻击,使用主题标签来激发宣传受众对其计划行动的支持。

(二)黑客攻击模式

攻击时机可以固定为几个特定的重要日子——如911纪念日。这些日子对圣战者组织黑客非常重要,因为这些日子意味着会得到相当多的媒体关注,而民众对安全也会非常关注,这有助于这些黑客利用极高的社交媒体流量来招揽潜在的支持。虽然黑客之间存在私下通信交流,但他们严重依赖社交媒体来获得对其攻击行动的支持。亲ISIS黑客一直在使用推特的主题标签来获得臭味相投的圣战者的支持。从这个角度来看,推特在其行动中必不可少。

(三)攻击工具评估

至于通信工具,闪点公司的分析人员曾发现过网络安全经验丰富的圣战者,但不一定是黑客,他们使用Surespot和Telegram之类的加密在线平台进行通信。

虽然难以确定亲ISIS组织发起声称的网络攻击时所使用的具体攻击方法,但如果假设这些黑客活动确实是他们发起的,则他们可能用到了一些技术和工具。

评估这些组织的能力时需要考虑的是,这些人使用的是自己开发的定制(custom-made)黑客工具,还是依赖于可从深黑网站(Deep & DarkWeb)获取的预制(pre-made)工具和软件。这些工具大体可分为两类:用于从外部渗入系统的黑客工具,和用于从内部损害系统的恶意软件。

黑客工具几乎总是能够从开源项目中获取,因为获取这种工具很容易,并且总是能够成功运用。开发专用工具需要大量的工作和资源,来建立一个与已经可以公开获取的工具集水平相当,甚至水平更高的专业工具集。当然,ISIS黑客组织成员可以修改开源软件,或编写简单的脚本,但这些组织目前不可能正在从头开发供其支持者使用的软件。

1、黑客工具和恶意软件

亲ISIS网络力量很可能从公共开源项目下载黑客工具,还很有可能同时使用现有和定制恶意软件。在地下市场,虽然经常有恶意软件出售,但黑客工具却并不像恶意软件那么常见,因为黑市中的共识是,付费恶意工具难以与已有的免费开源产品竞争。

亲ISIS组织释放定制恶意软件的一个典型案例发生在2014年年底,当时一个恶意虚假幻灯片被发送给对ISIS持批评态度的推特用户。这个可执行文件是一个定制恶意软件,但其功能非常简单。虽然这个恶意软件既不复杂也不先进,但足以识别被感染的机器及其用户,并进行物理定位。换句话说,亲ISIS网络威胁行为体已经创造了一个通过社交媒体散布恶意软件的记录。

2、恶意软件的潜在用途

与黑客工具相比,恶意软件有其特别用途。恶意软件不需要付出大量的工作来创建另外的密码盗取程序或远程访问木马(RAT)。恶意软件的症结在于容易被反病毒软件发现,公开获取的恶意软件很容易被反病毒软件查杀,而模糊处理工具(如crypters)能够延长恶意软件的寿命。但为了确保不为人知,让恶意软件逃出反病毒公司掌控的唯一方法就是编写定制的恶意软件,并保持狭小的攻击目标范围。即使存在这么多诱因,我们仍然发现许多国家行为体继续使用现成的恶意软件产品。由于进入这些攻击工具目录的门槛不同,刚成立的黑客组织在使用定制黑客工具之前很有可能使用定制恶意软件。

(四)攻击目标与对象国

1、攻击目标

就像至少一个亲ISIS黑客组织公开宣称的那样,ISIS网络威胁人员似乎有两类首要宏观目标:“政府和经济”目标。根据上文的负责声明,金融机构也是ISIS网络人员的一个主要攻击目标。

考虑到以前的黑客攻击重点,我们经过评估后认为,ISIS网络威胁人员在未来仍会把金融机构作为目标。

2、攻击对象国

截止到目前,ISIS网络人员发起的攻击主要针对的是政府、银行和媒体。这些对象不仅是ISIS黑客所重点关注的攻击对象,还能为这些黑客背后的组织产生最大的影响力,所以很有可能促成ISIS黑客组织关注这类目标。

此外,ISIS网络人员还发起一场鼓励对非美国目标进行类似攻击的活动,包括俄国境内的目标。这是在俄国开始在叙利亚境内展开军事行动后出现的新情况。

目前,没有可以准确说明亲伊斯兰分子对具体目标发起网络攻击频率的统计数据。然而,闪点公司分析人员注意到,自2014年夏季以来,新成立的亲ISIS黑客组织数量显著增多。亲ISIS黑客期望目标的多样性也显著增加,从清单中美国目标占绝大多数,变成了目标清单中包括英国、意大利和俄国境内的目标。

(五)ISIS网络攻击能力的未来发展趋势

虽然亲ISIS的网络攻击次数逐渐增多,网络能力不断提高,但仍处于相对简单的水平上。从短期来看,这些人员将会抓住机会继续发起网络攻击。这种攻击包括发现并利用小型企业的网页漏洞,并涂改这些网页。其它攻击可能包括分布式拒绝服务攻击(DDoS)。

朱奈德•侯赛因的例子表明,ISIS在吸引专业黑客上取得了成功,而他们很可能继续这么做。虽然还未发现ISIS明确号召见多识广的黑客加入他们,但圣战者经常访问深网(DeepWeb)论坛,包括涉及到初学者和高级黑客课程的板块、黑客工具和手册,以及与有类似想法的论坛长期访问者的交流方式。

例如,主要的“圣战黑客”深网论坛——“加沙黑客”(Gaza Hacker)网络论坛,经常被包括亲ISIS网络分子在内的各种圣战者访问。该论坛提供各种各样的黑客课程和手册。论坛成员过去曾发布过盗窃来的信用卡信息,以及有关黑客工具和黑客方法的手册。该论坛向圣战者提供了学习如何侵入计算机系统、如何提高黑客技巧、如何获得特定的黑客软件等各种事物的一站式服务。

此外,如果该组织能够从外部招募到专家,就像侯赛因和Ferizi那样,则该组织很可能发展出先进的目标定位和渗透能力。亲ISIS人员网络能力的发展在很大程度依赖于该组织是否能够形成一个成员具备广博技术技巧的多样化技术组织。侯赛因加入ISIS时的技术水平相对较高,考虑到他参与黑客组织TeaMp0isoN的时间,这是一个绝佳案例且开了先例。

亲ISIS网络人员正呈现上升趋势,表明他们将继续提高并增强目前已拥有的技巧和策略。近期多个亲ISIS网络组织宣布合并在同一个保护伞下:联合网络哈里发,证实了这种趋势。为了更加有效并获得更多支持而愿意相互适应和发展表明,虽然这些人的技术水平不高,但其学习、中枢支撑和重组改装能力代表了一种日益增长的威胁。

原文来自:中国财经界

【慎重声明】 凡本站未注明来源为"今日中国"的所有作品,均转载、编译或摘编自其它媒体,转载、编译或摘编的目的在于传递更多信息,并不代表本站及其子站赞同其观点和对其真实性负责。其他媒体、网站或个人转载使用时必须保留本站注明的文章来源,并自负法律责任。 今日中国对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。

最新资讯

关于我们 | 联系我们 | 免责声明 | 广告服务 | 我要投稿 | 意见反馈 | 信息纠错 | 网站地图

未经今日中国网书面特别授权,请勿转载或建立镜像,违者依法必究
本站今日中国(www.chinatodayclub.com)提供空间和技术支持 Code ©2009-2016 今日中国版权所有 业务联系:sunny@chinatodayclub.com

{"remain":4996223,"success":1}http://www.chinatodayclub.com/news/shishi/15888.html