伊朗網絡戰能力研究

　　摘 要：在全球局勢愈發動蕩的大背景下，網絡空間的角逐和較量日益激烈。網絡攻擊已演變成為國家級對抗的重要手段之一，網絡戰已經成為世界各國關注的新熱點。當前，網絡戰已經成為美伊斗爭的重要手段，受 2010 年“震網”攻擊事件影響，伊朗不斷提升網絡戰能力，與美國等敵對國家在網絡空間領域明爭暗斗。從伊朗網絡戰能力建設整體情況入手，以美伊網絡戰實例為基礎，分析了伊朗的網絡作戰力量、網絡戰特點及其在網絡戰方面的發展趨勢等。

　　本文源自龔漢卿; 張運雄; 郝志超， 信息安全與通信保密 發表時間：2021-04-10

　　關鍵詞：伊朗;網絡戰;網絡威懾;網絡作戰力量

　　0　引　言

　　近年來，伊朗的網絡戰能力迅速提高。雖然伊朗當前還算不上一流網絡強國，但其在網絡戰略和網絡建設方面仍領先于大多數國家。伊朗將網絡攻擊視為其對抗美國所必需的一種不對稱軍事能力，如果要能夠與美國及其他敵對國家匹敵，與之抗衡并制止它，伊朗就必須在一個更加平等的領域——網絡空間，來與美國及其他敵對國家抗衡。

　　一直以來，伊朗政府都很少將自身網絡戰實力公開示人，并對其網絡戰略意圖避而不談。但是通過最近發布的《伊朗伊斯蘭共和國武裝力量總參謀部關于適用于網絡空間的國際法的宣言》等戰略文件，仍可看出伊朗的專業化網絡力量正在不斷成長，網絡戰能力也在穩步提升。

　　1　日益強化的網絡威懾思想

　　盡管 2015 年 1 月就有媒體報道稱，伊朗正在制定一項新的網絡安全戰略，但該戰略迄今未見正式文本，這無疑為伊朗的網絡戰攻防能力增添了神秘色彩。2020 年 8 月，伊朗武裝力量總參謀部發表了《伊朗伊斯蘭共和國武裝力量總參謀部關于適用于網絡空間的國際法的宣言》，該宣言從應對網絡威脅的角度闡明了各種武裝力量活動的概念、宏觀政策和框架，并明確指出如果任何國家、團體或由其它任何國家支持、控制或指導的個人或實體作出了與該宣言所述政策相悖的舉動，伊朗武裝力量就有權以堅定而果斷的方式作出回擊 [1]。

　　伊朗強化了網絡威懾戰略，宣示在網絡空間安全方面的國家立場，為網絡空間行為“舉旗劃線”，強調將采取包括軍事、外交和法律在內的一系列措施予以應對，力求震懾一切國外網絡安全威脅。

　　2　獨立且專業化的網絡作戰力量

　　網絡戰能力軍事化是伊朗的優良基因和歷史傳承，組建獨立且專業化的網絡作戰力量則是伊朗在“震網”事件后的自我反思與重塑。自 “震網”事件以來，伊朗一直默默發展自己的網絡力量，從未對外披露其網絡作戰力量組成，綜合分析認為伊朗網絡作戰力量主要分為三類：一是伊朗伊斯蘭革命衛隊的網絡戰分支機構;二是由伊朗民兵組織管理、并由志愿者組成的伊朗網絡軍團;三是具有政府背景的網絡間諜組織。這些網絡作戰力量涉及到政府機構、代理人和軍事組織，其中有些隸屬于政府和軍隊，有些則似乎為獨立組織;此外有些作戰力量更側重于網絡防御，但也可與軍事部門協同發動進攻性網絡戰 [2]。

　　2.1　政府機構

　　如表 1 所示，政府機構是伊朗網絡作戰力量的重要組成部分。在如何實施網絡安全策略一事上，伊朗的態度是以政府為主導，自上而下貫徹其策略。

　　2.2　代理人

　　眾所周知，代理人在伊朗網絡戰行動中扮演著重要角色。如表 2 所示，這些代理人主要是出于愛國或經濟目的的獨立黑客，此外也包括一些私營承包商和準政府組織。這些代理人要么得到了伊朗政府的支持，要么在伊朗政府的默許下開展行動。從伊朗政府國內的網絡監控力度來看，這些代理人的行為可能并非由國家主導，但幾乎肯定得到了伊朗政府的默許甚至鼓勵。

　　2.3　軍事組織

　　軍事組織是伊朗網絡作戰力量的基石。如表 3 所示，伊朗革命衛隊、巴斯基網絡委員會、國家被動防御組織和網絡防御司令部四個軍事組織在網絡戰行動中發揮著主導作用。

　　3　穩步提升的網絡攻防能力

　　長期以來，伊朗一直將網絡攻防作為對抗美國的一種非對稱手段和發展重點。“震網” 病毒攻擊使伊朗痛定思痛，開始全力提高網絡戰能力。盡管伊朗出于種種緣故并未開展過大規模的網絡攻擊，但其的確具有足夠的攻擊能力和一流的網絡審查系統，網絡攻擊方式也多種多樣。

　　3.1　足夠的網絡攻擊能力

　　近期與伊朗有關的網絡攻擊事件表明，伊朗的攻擊能力的確達不到美國和俄羅斯等國的水平，但在攻擊民用和關鍵基礎設施上堪稱表現嫻熟。安全專家認為，伊朗網絡攻擊組織一直致力于攻擊基礎設施、工廠和油氣機構。由伊朗政府支持的網絡攻擊或可竊取美國官員的個人情報，讓大型企業的網絡癱瘓數日乃至數周，甚至中斷電力導致城市癱瘓 [3]。

　　2020 年 1 月，美國情報機構在其發布的《全球威脅評估報告》中指出，伊朗從 2019 年 1 月起開始設法增強其網絡戰能力，以便攻擊美國的關鍵基礎設施。2019 年，伊朗黑客襲擊了阿聯酋、卡塔爾和科威特等海灣鄰國的私營部門以及意大利石油公司 Saipem。為竊取公司機密并清除計算機中的數據，伊朗黑客還攻擊了全球 200 多家石油和天然氣及重型機械公司，波及人數多達數千人。此外伊朗一直試圖入侵電信和互聯網基礎設施提供商，以劫持中東、歐洲和北美政府機構的全球域名。

　　3.2　多樣化的攻擊樣式

　　從近期活躍的伊朗網絡攻擊活動來看，伊朗的網絡攻擊能力從最初粗淺的網站首頁涂改，逐漸發展到可實施網絡間諜活動、網絡假消息宣傳、分布式拒絕服務攻擊和入侵關鍵基礎設施網絡的水平，這表明伊朗的網絡戰攻擊樣式日漸多樣化，網絡戰能力正在不斷增強。表 4 展示了伊朗實施過的網絡攻擊方式。雖然伊朗的網絡戰能力不如俄羅斯，但伊朗同樣擁有能夠執行偵察與目標分析任務的團隊。除 “阻斷服務”攻擊外，伊朗還可發起網絡間諜活動、勒索軟件攻擊和破壞性攻擊。

　　僅在 2019 年里，涉及伊朗黑客的網絡攻擊和網絡間諜事件就多達 14 起，其中包括針對美國大選的網絡活動，針對伊拉克、巴基斯坦和塔吉克斯坦電信系統的攻擊，以及對工業控制系統企業員工帳戶的入侵等。2019 年 7 月，火眼公司稱，與伊朗政府有關的黑客組織 APT34 已開始部署針對社交平臺“領英” (LinkedIn)的網絡釣魚活動。黑客向美國“領英” 用戶發送加入專業網絡的邀請，從而將惡意軟件注入受害者系統，繼而通過后門提取其機密信息。2019 年 10 月，美國相關安全團隊發現伊朗黑客攻擊了 241 個電子郵件帳戶，其中部分賬戶與美國大選有關。此外，美國還曾指控伊朗黑客試圖竊取美國退伍軍人的信息及學術研究數據 [4]。

　　3.3　一流的網絡審查系統

　　從 2009 年開始，在諾基亞公司和西門子公司的幫助下，伊朗建立了“世界一流的互聯網控制和審查系統”。該系統既可軍用也可民用，其不但能封鎖網站或阻礙網絡訪問，還能廣泛監測和收集個人的網上通訊內容，甚至修改內容傳遞假消息。該系統可以解析電子郵件、網絡電話、“臉書”(Facebook)和“推特”(Twitter)等社交網站的圖文信息，審查其中的關鍵字，然后再重新封裝起來，整個過程耗時僅有幾毫秒。該網絡審查系統加大了伊朗的網絡審查力度，并能抵御來自外部的網絡攻擊，但無可避免會拖慢網絡傳輸速度。

　　4　網絡作戰特點

　　在政治文化沖突和地緣政治博弈的推動下，美伊兩國長期陷于網絡戰的泥沼不能自拔。對伊朗而言，網絡戰是一種切切實實的戰爭，而且可能是唯一可行的對美戰爭手段。

　　正如表 5 所示，從 2010 年伊朗核設施遭遇“震網”攻擊，到 2020 年伊朗核設施遇襲，美伊之間的軍事沖突不斷升級，兩國持續在網絡空間內明爭暗斗。美國一直在探索打擊伊朗關鍵目標的網絡手段，研究如何滲透伊朗的關鍵信息系統和重要網絡系統，而伊朗也力求通過網絡實施適當的防守反擊。伊朗網絡戰部隊頻繁對美國實施網絡攻擊，顯露出伊朗政府擁有在網絡空間內與美國對抗的實力和意圖。

　　不難看出，伊朗網絡戰的行動目標發生了變化，從對內進行信息管控和壓制，演變成了對外國目標發動更具侵略性的攻擊。同時在網絡戰的攻擊目標、攻擊手法和攻擊武器等方面，伊朗也有自身的特點和不足。

　　(1)從攻擊目標來看，主要針對私營部門

　　2019 年 6 月，美國國土安全部表示，伊朗針對美國私營企業的“惡意網絡活動”有所增加。美國軍方在 2019 年發布的一份報告中指出，伊朗主要針對世界各地的航空公司、國防承包商、能源公司、自然資源公司和電信公司開展網絡間諜活動。已曝光的伊朗網絡攻擊目標多為私營部門中網絡防御能力較差的設施和系統 [5]。 2019 年，伊朗黑客襲擊了阿聯酋、卡塔爾和科威特等海灣鄰國的私營部門以及意大利石油公司 Saipem。2016 年，美國司法機構對 7 名與伊朗政府有關的黑客提出指控，稱他們為報復美國對伊朗的經濟制裁，在 2013 年實施了針對美國銀行、納斯達克證券交易所和紐約證券交易所等金融機構以及一座小型水壩的大規模協調攻擊。從 2011 年至 2013 年期間，伊朗黑客對包括美國銀行(“美國銀行”為一家美國銀行的名稱)和富國銀行在內的銀行網站發動分布式拒絕服務攻擊，導致客戶在一段時間內無法訪問這些網站。

　　(2)從攻擊手法來看，隱蔽性不強

　　從外界披露的伊朗網絡攻擊活動來看，美國、以色列以及相關網絡安全公司頻繁曝光伊朗網絡攻擊行動，涉及攻擊手法、組織及個人等細節，這表明伊朗網絡攻擊行動的隱蔽性不強。

　　2020 年 1 月，在美軍定點清除伊朗高官不久后，美國聯邦儲備圖書館運營的網站便遭到攻擊，其它非政府網站也遭到了同一批黑客的破壞，并在網頁上展示了伊朗要向美國報仇的訊息。美國多家網絡安全公司的分析報告稱，總部位于伊朗的某網絡間諜組織試圖以發送網絡釣魚郵件的方式，來攻擊美國政府、軍事、金融、石油和天然氣等領域的網絡系統。

　　2019 年，Telegram 頻道、暗網和公共互聯網上的網站多次曝光伊朗的網絡間諜活動。黑客組織“MuddyWater”的運營數據以及“拉納(Rana)研究所”的相關信息都被公布于眾，致使伊朗的黑客組織不得不重新開發黑客工具，并使用新的方式開展攻擊活動。伊朗的黑客組織可能因此推遲了當時的網絡攻擊計劃。美國對伊朗極限施壓后，伊朗的知名黑客組織 APT33 堂而皇之地發起網絡戰行動。APT33 并不在意其發出的網絡釣魚文件被安全機構發現，但會竭力避免將其攻擊活動與伊朗掛鉤 [6]。

　　(3)從攻擊武器來看，缺乏可靠的技術支撐

　　從外界披露的伊朗網絡武器來看，伊朗主要利用黑市上的惡意軟件實施網絡攻擊，網絡武器的體系化建設和原創性研發明顯不足。伊朗并非計算機大國，網絡人才相對匱乏，因此更難培養出合格的網絡戰人才。由于美國長時間對伊朗實施貿易禁運，伊朗無法購買或研制足夠先進的計算機，再加上持續性的臨戰狀態迫使伊朗長期運行網絡戰設備，導致設備損耗很大，有相當一部分設備都需要停機和修復?？偟膩碚f，伊朗缺乏強有力的網絡技術來支撐網絡作戰，這在相當程度上限制其網絡作戰能力。

　　總而言之，伊朗與美國的網絡戰水平存在差距，但其網絡作戰能力正不斷提升，對美國來說是一個不可小覷的對手?？梢灶A見的是，美伊在網絡空間內的斗爭將是一個長期而復雜的過程，“現實沖突與網絡對抗相互交織”將成為美伊斗爭的新常態，并對地區形勢和國際安全產生深遠影響。

　　5　未來發展趨勢

　　當前網絡作戰已經成為美伊博弈的重要手段，未來美伊還將持續相互發動網絡攻擊。雖然伊朗的網絡作戰水平遜于美國，但其網絡作戰能力也在不斷提升。未來伊朗將在網絡作戰領域做好“長期纏斗、階段激化”的準備，圍繞“戰略牽引、有所側重”的作戰理念，保持“激烈而有節制”的作戰態勢。

　　(1)做好“長期纏斗、階段激化”的準備，網絡對抗進一步加劇

　　網絡空間是現實世界的延續和拓展，網絡空間斗爭是現實世界博弈的虛擬映射。自 1979 年伊朗伊斯蘭革命后，除了沒有發動戰爭，美國對伊朗實施了孤立、制裁、顛覆和軍事包圍等一切敵對手段，伊朗則視美國為“霸權強敵”，并竭其所能擴展自身勢力，企圖將美國趕出中東。兩國的矛盾根植于政治文化沖突和地緣政治博弈，只要雙方無法消除基礎性障礙并互信互諒，敵對狀態就會延續下去，并在網絡空間內引發沖突。

　　(2)保持“激烈而有節制”的作戰態勢，積極發展非對稱作戰能力

　　自 2010 年“震網”事件以來，伊朗一直在積極發展自身的非對稱作戰能力(尤其是網絡空間滲透攻擊能力)，以確保其網絡攻擊能力不斷提升。美國在 2020 年定點清除蘇萊曼尼后，伊朗沒有選擇與美國正面開戰，而是發揮其非對稱作戰能力，積極運用發展了十多年的網絡空間滲透滋擾能力來妨害美國及其區域盟友的安全和軍事利益。在未來很長一段時間內，伊朗很可能將網絡攻擊行動控制在一定限度內，保持“激烈而有節制”的作戰態勢，以免網絡戰升級為全面戰爭。

　　(3)圍繞“戰略牽引、有所側重”的作戰理念，實現網絡戰實戰化和多樣化

　　當前網絡空間和現實空間進一步深度融合，利用網絡空間開展阻流癱點、制權毀體等作戰樣式已經成為現實，網絡武器向實戰化和多樣化發展 [7]。美伊雙方開展網絡戰的行動樣式，將取決于雙方的政治和軍事目的以及自身的網絡武器裝備水平。當前伊朗擁有足夠的網絡攻擊能力，但防御能力薄弱，僅可對美國及其盟國內安全防護較差的目標開展網絡攻擊。已曝光的伊朗黑客行動表明，為竊取關鍵情報、開展滋擾破壞和展示網絡作戰能力，伊朗開展了一系列網絡攻擊或網絡滲透活動，涉及多個行業和部門。未來伊朗將以“全時尋隙滲透、無序發動攻擊”作為對美國開展網絡斗爭的戰略，作戰樣式也將以軟性阻斷破壞為主，并重點攻擊美國國內防護能力脆弱的民用目標 [8]。

　　6　結　語

　　網絡戰已經成為美伊博弈的重要形式和手段，美伊之間的網絡攻擊從未真正停止過。伊朗與美國及其它國家的網絡戰水平存在差距，但其網絡作戰能力正在不斷提升，已成為網絡戰領域不可小覷的對手。未來伊朗將在提升攻擊能力的同時，加強自身網絡防御能力的建設，以便在網絡空間真正占據一席之地。