以色列与伊朗之间暗战的秘密
2025年6月的一天凌晨,伊朗军事工程师正在核设施附近的防御工事掩体中监视雷达屏幕,预测以色列或美国即将发动袭击。雷达没有显示出任何重要迹象,这是一个多星期以来,这个夜晚第一次显得如此平静。但雷达无法探测到所有威胁。
几乎与此同时,在约2000公里之外,一些以色列士兵聚集在大屏幕周围,其中一些士兵偶尔敲击着面前的键盘。在针对伊朗多处地点进行毁灭性轰炸的几分钟前,以色列的电子攻击仍很平静,但已经开始干扰伊朗的雷达并侵入预警系统。
这几乎就是实际发生的情况。以色列安全部门消息人士透露,以色列情报机构摩萨德在伊朗建立了秘密系统和阵地,以袭击多个战略要地,包括一个爆炸性无人机基地,并证实,此事发生在6月13日周五开始实施打击之前。
以色列媒体报道称,这些无人机在袭击前秘密进入伊朗,摩萨德在首都德黑兰附近为它们建立了专门的场地,准备瞄准伊朗的导弹发射台和防空系统。
当零点到来时,摩萨德特工远程启动了这些武器,很可能还伴随对伊朗雷达系统的黑客攻击,这是以色列军方在2024年10月对伊朗进行空袭时使用的一种策略。
最终,这些将间谍、网络和电子战工具与空袭相结合的秘密行动成功削弱了伊朗的预警网络。因此,以色列战机能够以较少的抵抗和较慢的反应速度瞄准防御设施。
科学与国际安全研究所核专家戴维·奥尔布赖特向路透社表示,据信,在空袭的同时,以色列还对伊朗核电站和设施发动了网络破坏行动,但没有留下任何明显痕迹。
这一切仅仅是个开始。在以色列发动侵略行动后的几天里,伊朗和以色列之间的网络对抗步伐不断升级。这些都是暗战,我们在媒体上听不到它们的喧嚣,但它们对各方所针对的基础设施产生了严重影响。
《耶路撒冷邮报》援引以色列网络安全公司Radware的报道称,“短短两天内恶意活动增加了700%,这与伊朗政府附属黑客组织发起的网络行动有关”。另一方面,伊朗基础设施遭到多次以色列网络攻击,主要集中在德黑兰的金融部门。
以色列:更复杂的协同攻击
6月17日周二,一个名为“掠食麻雀”(Predatory Sparrow,波斯语为“Gonjeshke Darande”)的以色列黑客组织声称对伊朗最大的国有金融机构之一塞帕银行(Bank Sepah)发动的网络攻击负责,此次攻击导致该银行服务大面积中断。
此后不久,该组织公布了敏感的内部银行文件,其中包括据称与伊斯兰革命卫队和总参谋长穆罕默德·巴盖里有关的文件,后者在以色列袭击开始时被暗杀。
另一方面,塞帕银行的客户反映他们在访问账户、提款和处理信用卡支付时遇到了问题。伊朗国家媒体警告称,这些中断可能会影响全国各地依赖银行处理交易的加油站。
随后,有消息称,伊朗国家电视台之一伊朗伊斯兰共和国广播电视台(IRIB)遭到黑客攻击,该电视台播放了鼓励伊朗人抗议现政权的信息,并展示了与反对该政权和支持沙阿相关的口号,但没有任何亲以色列组织正式宣布对此次袭击负责。
截至6月18日周三,“掠食麻雀”组织声称对一次网络攻击负责,据报道,该攻击从伊朗加密货币交易所Nobitex窃取了价值超过9000万美元的数字资产。
显然,与以色列有关的最著名的网络攻击都集中在伊朗金融部门,不仅造成了巨大的金融损失,而且还通过扰乱金融交易和使伊朗人的生活更加困难来加剧民众的不满情绪,再加上“媒体”入侵,传播反政权信息,加剧了不满情绪。
这一战略与以色列总理内塔尼亚胡及其政府成员呼吁伊朗人民反抗政权的声明和讲话一致,凸显了以色列利用网络攻击实现政治目标,同时在军事战略中也使用了网络攻击,正如6月13日的袭击所证明的那样。至少二十年来,以色列一直热衷于将网络攻击纳入其战争之中,并引导其实现实际的军事目标。
最突出的例子是2010年曝光的震网病毒(Stuxnet),它被认为是世界上第一个造成实际物理破坏的网络武器。这种病毒专门针对伊朗铀浓缩离心机的控制单元。该病毒操纵了机器的旋转速度并对其进行了破坏,导致伊朗当时的大部分核能力减慢和失效。
此后,以色列对伊朗发动了多次“网络破坏行动”,但范围较有限,破坏力较小。也许最近的例子发生在四月底,当时伊朗官员宣布挫败了针对该国通信系统和基础设施的“复杂而大规模的网络攻击”。这一声明是在伊朗东南部阿巴斯港发生神秘爆炸的第二天发布的。
德黑兰此前曾指责以色列对其港口和燃料网络发动类似袭击,例如2023年对加油站网络的袭击。阿巴斯港本身曾在2020年遭受过网络攻击,导致通往该港的水路暂时瘫痪,《华盛顿邮报》当时暗示,此次袭击是以色列对伊朗网络攻击的回应。
伊朗:不断增强的网络能力
另一方面,伊朗似乎很快就成功地吸收了以色列第一次袭击的影响,并且意识到数字入侵的重要作用,它对互联网的使用和领导层的通信施加了限制。
据法尔斯通讯社报道,网络司令部命令高级政府官员及其网络安全团队放弃联网设备,并在所有政府机构中实施高度戒备状态。随后,该国对所有互联网服务实施限制,并指示公民使用其国家内联网。
与此同时,网络安全专家发现了自战争开始以来一系列与伊朗有关的数字干预行动,主要集中在旨在破坏以色列士气、破坏对政府的信任以及扰乱以色列政府向其公民传达信息的“虚假宣传活动”。
例如,一则广为流传的消息警告以色列人,加油站的燃料供应将暂停24小时。据Axios报道,另一条错误警报声称避难所附近即将发生袭击,并敦促人们撤离,显然是为了在导弹袭击持续期间制造恐慌。
这些信息旨在作为来自以色列本土指挥部的官方警告。伊朗的网络攻击虽然简单,但却成功达到了目的。然而,就在战争爆发前几天,德黑兰还夸耀自己拥有更为先进的情报和网络能力。
6月7日,德黑兰宣布,其掌握与以色列核设施和项目有关的秘密文件,一旦伊朗核设施遭到袭击,这些文件将使其能够瞄准以色列核设施以及经济和军事基础设施。
伊朗国家电视台还援引情报部门消息人士的话称,伊朗安全部门缴获了属于以色列情报部门的“数千份秘密文件”,其中包括有关核设施的信息。媒体认为,这一声明与去年9月索雷克核研究中心遭到黑客攻击有直接联系。
当时,以色列媒体报道称,一个名为“Handala”的网络攻击组织据称与伊朗有联系(并自称亲巴勒斯坦),该组织声称对入侵索雷克核研究中心并窃取197 GB敏感数据负责。
此次行动标志着以色列网络间谍活动向更加精准和有针对性的转变,其中许多行动受到以色列内部情报机构(Shin Bet)的监控。例如,5月下旬,以色列安全局和以色列网络局透露,自2025年初以来,以色列防御系统已挫败了85次伊朗网络攻击。这些攻击大多是针对个人的鱼叉式网络钓鱼攻击,目的是进行间谍活动,目标包括高级国防官员、政界人士、记者和学者。
攻击者通常通过WhatsApp、Telegram或电子邮件冒充可信联系人,并发送虚假的Google Meet会议邀请。当点击该链接时,受害者被要求输入他们的个人信息,黑客利用这些信息在他们的设备上安装间谍软件。
以色列消息人士称,窃取的信息将使伊朗能够追踪个人的位置和通讯,并策划未来的袭击。据以色列安全局称,伊朗泄露个人数据的目的是“在以色列境内开展有针对性的行动,或许是通过在当地招募的特工”。
在2024年10月的另一次行动中,一个与伊朗有关的黑客组织“UNC2428”被发现利用后门对以色列目标发动了复杂的网络攻击。此次攻击是伪装成虚假工作机会的网络钓鱼活动的一部分。
据谷歌旗下的“麦迪安”(Mandiant)公司报道,黑客假装代表以色列国防承包商拉斐尔并向目标个人发送虚假招聘电子邮件。
当受害者与该消息互动时,他会被引导至一个看似拉斐尔官方网站的虚假网站,并被要求下载一个工具以方便申请工作。该工具实际上是恶意软件,显示一个简单的界面,要求受害者输入他们的个人信息并上传他们的简历。一旦发生这种情况,恶意软件就会在后台运行,为攻击者打开一个窗口来永久访问和控制设备。
报告解释说,使用类似于常规招聘平台的图形界面有助于攻击者欺骗受害者,因为熟悉的外观可以减少怀疑,并表明求职过程正常且安全。
伊朗间谍活动的本质
这些行动凸显了伊朗网络能力在过去几年中的不断升级,以色列网络安全官员6月份向Dark Reading表示,伊朗网络能力的提升分为三个渐进阶段。第一阶段的行动随机且嘈杂,依靠原始方法,例如使用拒绝服务攻击网站,主要用于宣传和“破坏”。
在第二阶段,黑客攻击变得更加频繁和更有针对性,使用简单的恶意软件和网络钓鱼技术直接针对军事和政府机构。至于目前对以色列来说最危险的第三阶段,报告指出,网络攻击以深度和秘密行动为特征。
伊朗网络部队不再满足于使用垃圾邮件或干扰攻击来压倒系统,而是逐渐使用合法软件和高度定制的远程控制工具,旨在避免被发现。这种复杂而安静的方法使攻击者能够在更长的时间内访问系统,从而使他们能够收集全面的数据并为战略目标行动做好准备。
尽管存在这种“伊朗式”发展,但以色列和伊朗的网络攻击仍然存在差异,无论是在攻击性质上,还是在协调和管理方式上。
这些差异首先体现在攻击频率上,以色列的袭击次数通常比伊朗的袭击次数少,但更加精准,更有针对性(尽管最近伊朗的袭击在质量上有所提升)。这些袭击通常由军队或与其相关的少数团体实施,与专家认为与伊朗有关的袭击不同,后者更加“分散”。有些活动是由据信与官方机构有联系的团体开展的,还有一些活动是由无法证明与德黑兰任何政党有官方联系的团体开展的。
我们不能忘记提请人们注意这样一个事实:西方数字分析平台经常将与伊朗有关的网络攻击与巴勒斯坦抵抗组织、亲伊朗组织和其他独立行动的组织发起的网络攻击混为一谈,认为它们都属于“单一轴心”。
总体而言,专门的研究人员监测了最近对以色列发动零星袭击的60至100个组织,这些组织包括伊朗组织、俄罗斯组织、南亚组织和其他组织。正如美国网络威胁情报公司Cyble指出的那样,许多此类组织都将自己描绘成针对以色列的“更广泛的数字抵抗系统”的一部分。
这些组织对以色列发动了不同程度和严重程度的攻击,其中大多数是类似于拒绝服务(DDoS)攻击的传统攻击,旨在阻碍用户访问网络。据Radware称,6月4日至12日期间,每天针对以色列发生3或4次拒绝服务攻击,但6月13日这一数字上升至21次,第二天则上升至34次。
自那时起,每天大约有25起或更多的袭击事件发生。总体而言,以色列目前遭受了全球黑客发起的所有拒绝服务(DDoS)攻击的约40%,远远超过任何其他国家。
除了拒绝服务(DDoS)攻击之外,黑客还泄露了重要数据。例如,6月18日,Hanzala组织的黑客组织公布了属于以色列航运公司Mor Logistics Ltd.的数据泄露信息。他们还声称从遭受伊朗导弹袭击的以色列重点研究型大学魏茨曼科学研究所获取了4TB的“内部文件、敏感研究和机密数据”。
几个小时前,Handala组织在其泄密网站上列出了以色列大型石油公司德雷克集团(Delek Group)及其子公司Delkol,并称从他们那里获取了大量数据。该组织后来泄露了300份文件,据称其中包含有关德雷克集团与以色列军方合作的详细信息。该组织还表示,该组织还表示,它攻击了以色列建筑公司 YG New Idan、互联网服务提供商099 Primo Communications以及阿根廷无人机制造商AeroDreams,并指控后者与以色列空军合作。
因此,“与伊朗有关”的网络间谍活动是多层次的,从日益复杂的针对性行动到基本的攻击,主要是由于其“分散”性质。
但无论这些差异如何,最近的事态发展表明,网络战不再仅仅是一种战术或补充行动,而成为实现更广泛军事目标的综合战略的一部分,它可能有助于塑造战场条件、影响外交立场,甚至解决重大的地区冲突。