以色列的噩梦:抵抗运动如何泄露了有关占领军士兵的200页信息?
“对杀害加沙儿童的凶手实施报复”
根据以色列《国土报》今年7月份的报道,上述这个简短的句子正是哈马斯(巴勒斯坦伊斯兰抵抗运动)泄露出来的一份文件的题目,而其中包含了以色列空军超过2000名士兵的详细信息。
《国土报》将此次泄密事件称为“网络噩梦”——正如该媒体指出的那样,这些有关以色列士兵详细信息的文件,是在收集情报信息的网络行动的框架内制定的。
这些文件长达200多页,至少从去年12月起就可以在盗版平台上获取,现在则已重新发布,并与一组国际调查记者共享。每份文件都包含这些士兵的详细信息,包括他们的全名、服役基地或所属单位、身份证号码、手机号码、电子邮件地址、社交媒体帐户、家庭成员姓名,有时还会包含密码、信用卡号和银行账户信息。
此次网络攻击,以及那些如此详细地记载并发布的文件,并非凭空产生,而是自很久以前就已开始并且持续至今的网络战争不断发展的结果。2021年5月,哈马斯运动在其一位领导人朱马·塔尔哈(在2021年的“圣城之剑”战争中牺牲)的追悼会上透露,已经以“网络武器”的名义建立了一个隶属该运动军事派别卡桑旅的机构。
塔尔哈曾负责该电子战机构“网络武器”的成立和构建——该机构在“吞噬风暴”战役后于2014年启动。此外,哈马斯运动还提到,塔尔哈亲自领导了针对以色列重要设施和军事设施的网络攻击,无论是为了收集数据还是为了破坏占领国的基础设施。
详细文件
这些详细文件是在去年10月7日之后,在战争的背景和条件下以及更为广泛的信息和心理战的框架下制定并发布的,但其原始信息的收集过程要比这更早。这些文件包含了从之前的网络黑客行动中泄露或提取的多组信息,它们可能侵入了并不隶属于以色列军队的网站服务器,此外还从社交媒体网络、公共媒体网络以及此前的泄漏中收集到了其他一些信息。
尽管哈马斯运动领导的抵抗派别很可能是这些网络攻击的幕后黑手,但该运动并没有官方否认或确认此事,而这些文件和数据的收集是通过一个名为“Profiler”的自动化程序完成的——该程序允许收集、比较和整合来自开放来源的情报信息,以制定情报目标的详细“概况”。通过这种方式,他们能够收集数千名在以色列空军各个基地内服役或者曾经服役的人员的个人准确信息。
以色列网络安全局运营部负责人达纳·图林表示,如果将这些数据库以适当的组合形式正确地收集在一起,就可能根据其结果而精确地描绘出对手的全面情况。
专家们将这一过程归类为“黑客攻击与泄露”,这是一个包含两步的过程——黑客攻击潜在的受害者,然后发布其提取的数据和信息,目的是影响敌人的士气与心理状态。
此类泄露的危险在于它们为未来针对这些士兵的黑客行动提供了便利,例如,根据士兵所发挥的作用的重要性,这些文件允许针对特定士兵开展网络钓鱼攻击,而且高级军官更容易受到攻击。至少在其中一个案例中,以色列空军网站证实了被哈马斯泄露详细信息的一名军官的身份,并将他与加沙地带的侵略行动联系起来。据《国土报》报道,这可能会使他成为情报监视行动的目标,或者可能使他在其他国家受到法律起诉。
关于每个士兵的全面资料还允许对其发动“社交工程”攻击,这意味着每个目标都与其制定的内容相匹配。这就增加了富有针对性的攻击成功的可能性。卡内基梅隆大学将“社交工程”定义为:“一种用于操纵、影响或欺骗受害者,以控制计算机操作系统或窃取个人和财务信息的策略。该策略还包括使用心理操纵来欺骗用户,以使之犯下安全错误或者泄露敏感信息。”我们可以将其视为一组与理解人类行为以及数字世界如何运作相关的策略和计划。
例如,如果已知某个士兵喜欢足球,则可能会向他发送一条看似无害的有关比赛比分应用程序的消息,但其中包含一个包含恶意软件的链接,用于将间谍软件下载至其设备上。
网络间谍活动
一段时间以来,巴勒斯坦抵抗派别一直致力于通过针对占领国的网络间谍活动收集情报信息。根据现有信息,抵抗派别此前曾经使用多个应用程序,目的是收集信息甚至渗透以色列士兵,以从他们身上提取信息,或者直接从他们的移动设备中收集情报信息。
例如,在2018年,哈马斯的网络部门将间谍软件隐藏在一个看似普通的、用来分享2018年世界杯比赛结果的应用程序中,但它使抵抗组织能够收集有关各种军事设施和信息的重要和敏感信息。以色列《国土报》在当时报道称,这些设施中包含属于以色列军队的装备(包括装甲车)的重要信息。
专门从事网络威胁情报的以色列公司Cybereason表示,2022年4月,抵抗运动据信对以色列占领区进行了最复杂的网络间谍行动,并表示哈马斯的这次网络行动展示了“新的复杂程度”。
这家以色列公司随后发现了一场针对以色列个人的、精心策划的间谍活动,其中包括一群在以色列境内国防、执法和紧急服务机构内从事敏感工作的备受瞩目的目标。抵抗成员再次通过Facebook平台来使用“社交工程”策略,但他们还采用了先进的方法,目的是获得受害者运行Windows系统的设备和运行安卓系统的手机的后门。此次攻击的主要目标是从受害者的设备中提取敏感信息。
一旦这种恶意软件被下载到设备上,“网络部队”的士兵就可以访问该设备上的大量信息,例如设备的文档、摄像头和麦克风,从而获得有关目标的行踪及其与周围环境交互的大量数据,以及其他敏感且非常重要的信息。
此外,调查还显示,哈马斯网络部队通过使用新的工具有效更新了其软件库,而这些软件配备了难以被检测到的先进隐形功能,调查还指出,这些部队使用了与已知基础设施完全分离的新的专用基础设施,而且这是它拥有且在此前的行动中使用过的。
至于去年10月7日发生的事情以及随后发生的事情,“对话”网站的一篇报道称,哈马斯的一个部队对以色列展开了网络间谍活动,以寻找有关以色列军事设施的秘密和敏感信息。在“阿克萨洪水”行动期间,有不止一份专门报告表明,抵抗成员了解他们在这场复杂的军事行动中渗透并控制的地区和设施的细节。
美国《纽约时报》的报道也指出,哈马斯在收集情报时“以令人震惊的方式掌握了有关以色列军队的准确的机密信息”,而且网络部队参与的详细的研究和策划工作,似乎有助于哈马斯精确了解多个基地内的通信服务器的位置,而这将帮助地面武装人员袭击这些服务器并阻止它们在“阿克萨洪水”行动期间发挥作用。这篇报道还指出,卡桑旅“对以色列军队的管理方式、特定部队驻扎的地点以及增援部队到达所需的时间有着令人震惊的理解”。
在“阿克萨洪水”行动之后以及以色列对加沙地带发动战争期间,哈马斯网络抵抗部队的行动仍在继续。除了收集情报信息之外,该部队还发动了各种进攻性的网络行动,包括使用“Wiper”类型的软件展开攻击——该软件会感染计算机并完全删除其数据,其目的是摧毁其路径上的一切。
在去年10月7日的事件发生后,隶属哈马斯运动的一个网络组织渗透进了一些以色列公司,并使用该软件破坏了这些公司的基础设施。正如一家以色列网络安全公司所说的那样,该组织还使用了以色列总理内塔尼亚胡的昵称“比比”来将该恶意软件命名为“比比Wiper”。
在去年11月初,一个自称“Cyber Toufan Operations”的黑客组织声称对入侵多个以色列网站并窃取网络托管公司Signature IT的多份文件负责——该公司的客户包括Ace、Shefa Online、Home Center、Auto Depot、宜家等等。
该组织的Telegram频道上还出现了一段视频——黑客在这段视频中表示,他们能够渗透到以色列国防部,并获取了数以百万计的预备役士兵和以色列军队的数据,特别是有关以色列北加沙师的数据。
“绿帽黑客”
美国国际事务与关系领域研究机构大西洋理事会基金会在2022年11月发布的一份报告中,揭示了哈马斯网络战略的发展,及其如何重组电子行动并利用进攻性的网络攻击,从而以新的方式渗透占领军的防御,并收获最大数量的重要情报信息。
这份报告将哈马斯的网络部门称为“绿帽黑客”——这是网络安全界一个众所周知的术语,所指的是在电子黑客领域内相对的新手。此人可能缺乏经验,但他全身心投入这项事业,并重视不断学习。这正是抵抗运动在过去几年内表现出来的特质,特别是在间谍活动和情报收集方面。
令人印象深刻的是该部队网络能力的发展程度,尽管它并不拥有其他地方的黑客组织所拥有的那些先进工具,以至于一些网络安全专家甚至对抵抗运动拥有网络能力这一事实感到意外,因为加沙地带一直处于令人窒息的围困之下,不仅长期受到停电的困扰,而且这里的通信频率和基础设施也处于占领国的控制之下。
成熟与发展
谷歌在今年2月发布的一份报告中,基于该公司的威胁分析小组与其他网络安全团队合作进行的分析指出,哈马斯的网络分子通常依靠简单而有效的战术方法来发动攻击。他们使用“网络钓鱼”和“恶意软件”操作、基本的“后门”漏洞、常用的远程访问工具以及可以从地下互联网论坛购买的恶意软件拦截工具。
在2017年初,哈马斯网络部门利用“社交工程”技术并通过 Facebook 平台上的虚假账户与以色列占领军内部的个人聊天,并使用恶意软件来攻击他们。该部队利用以色列女孩的虚假个人资料说服占领军士兵下载即时通讯应用程序,而该应用程序将他们的手机变成了间谍工具。
间谍软件也被用于手机之上,包括安卓系统上的定制开源间谍软件——这类软件会通过电子欺诈的方式发送给受害者,但是谷歌的威胁分析团队指出,最近至少有一个隶属哈马斯的实体已经展现出他们拥有了更加先进的能力——谷歌团队将之称为“BLACKATOM”,这些能力包括专门针对软件工程师等高价值目标而设计的复杂“社交工程”技术,以及专门开发适用于各类操作系统(Windows、Mac和Linux)的恶意软件。
在2023年9月,“BLACKATOM”通过精心设计的“社交工程”策略,并以以色列的软件工程师为目标,从而导致恶意软件的安装并成功窃取了计算机中的cookies。
攻击者还冒充真实的公司员工,并通过领英平台(LinkedIn)进行沟通,以邀请目标申请软件开发领域内的自由职业机会。这类目标名单包括以色列军队以及占领国航空和国防工业的软件工程师。
在初次联系之后,攻击者会向目标发送一个招标文件,其中包括参加测试以评估申请人的编程技能的说明。文件中的说明会指示目标个人从受攻击者控制的GitHub平台上的页面或者Google Drive服务上的页面下载Visual Studio项目。工程师需要向该项目添加一些编程功能,以展示其编程技巧和能力,然后再将文件发回以进行评估。
该项目看起来像是一个普通的人力资源管理流程应用程序,但它还包含了一项功能——可以下载压缩的恶意软件,然后将其解压缩并在目标人员的操作系统中执行该软件。
谷歌公司的威胁分析团队指出,此次网络攻击“比哈马斯附属网络组织之前的攻击目标更加精确和详细”。
最后,该团队得出的结论是,其他网络组织在成熟和发展阶段也出现过这种发展,因此,我们现在很可能正在见证隶属哈马斯运动的网络组织的成熟和发展阶段。谷歌公司的团队声称,“虽然关于哈马斯网络行动的未来尚不清楚,但其网络能力发展的最新指标仍值得注意,并且值得进一步的监控。”