前北约黑客揭秘:虚拟战场,战火永不熄
前北约黑客Candan Bolukbas直言,在虚拟的网络世界里,没有停火的概念,即便现实中的伊朗和以色列达成了停火协议,网络空间的硝烟也不会有片刻停歇。
“在网络世界里,没有什么停火协议,”Candan Bolukbas在接受《注册报》采访时语气坚定。他强调,在网络空间,一旦察觉到可能威胁自身的存在,就会毫不犹豫地发起攻击,而且这还是在美国网络司令部赋予的任务框架之下。
Bolukbas如今是黑鹰网络安全风险情报公司的首席技术官和创始人。这家公司专注于评估企业的第三方供应商风险,与美国国家安全局(NSA)以及其他私营安全公司保持着紧密的威胁情报共享与接收合作。
回溯到2016年创立Black Kite之前,Bolukbas曾在北约担任重要角色,作为反网络恐怖主义特遣部队的一员,他通过模拟对政府机构的攻击性网络行动,助力成员国和伙伴国筑牢网络安全防线。
他最后一次在北约执行任务时,参与了对乌克兰基辅一座关键电网的渗透测试。这座电网设施的大部分系统都采用了空气隔离技术,与外部网络完全断开,这无疑给入侵行动增添了巨大难度。“这并不容易瞄准,”Bolukbas回忆道,“所以我转变思路,把目标锁定在该组织的供应商身上。我找到了20个供应商,从中挑选了一个最容易突破的,利用它成功访问了电网控制面板,实际上距离摧毁电网仅有一步之遥。”
无独有偶,2015年,俄罗斯的黑海舰队就曾切断乌克兰部分电网,导致成千上万乌克兰居民陷入数小时的黑暗。十年后的今天,Bolukbas忧心忡忡地表示,他担心伊朗的网络武器会对以色列或美国的关键基础设施发起类似报复行动。
“我的看法是他们会去攻击我们的供应链,因为那是我们的弱点。”Bolukbas补充道,直接突破五角大楼的网络防御如同攀登陡峭山峰,困难重重,但伊朗很可能会将矛头指向以色列和国防部供应商的供应链。
他以俄罗斯为例,指出俄罗斯曾通过胁迫西方物流公司和科技公司(包括电子邮件提供商),收集有关乌克兰目标和军事战略的宝贵情报,作为冲突中的一种手段。据上个月发布的联合政府咨询报告显示,俄罗斯网络间谍还侵入连接互联网的乌克兰边境摄像头,追踪援助物资运输情况,并至少针对一家工业控制系统(ICS)组件供应商对铁路管理发起攻击。
在当今数字化时代,智能电视和其他家庭物联网设备也成了潜在威胁。这些设备极易被攻破,进而被用来构建僵尸网络,发动分布式拒绝服务攻击,或者构建庞大的联网盒子网络,路由流量并对高价值目标发起网络攻击。
“他们不太可能对NSA、五角大楼或那些更大的组织发起复杂的攻击,”Bolukbas分析道,“除非俄罗斯或中国在背后支持他们,但这种情况极不可能发生。”他认为,让伊朗网络特工在俄罗斯和中国完成入侵或利用零日漏洞帮助伊朗之后进入一些关键的美国网络,并不符合这两个国家的最佳利益。莫斯科和北京更希望保留这种隐秘的访问权限和/或网络武器,在有利于其地缘政治或军事目标的时候再使用。
“伊朗在这场游戏中是孤立的,但他们可以打击那些容易下手的目标,”Bolukbas说。
提及网络战,就不得不提“震网”事件。尽管在伊朗网络战方面“我们还没有看到任何停火”,特别是在针对高价值个人凭据和敏感军事信息的钓鱼攻击方面,“我们也这样做,”Bolukbas直言,这里他指的是美国。例如,针对伊朗核燃料离心机的恶意软件“震网”,就是由美国和以色列共同策划的。“当然,那是在停火期间。我们当时并没有和伊朗开战,”Bolukbas说。
“美国拥有最大的网络军队,无论是战略上还是人才方面,”他补充道,“国家安全局以拥有世界上最大的零日武器库而闻名。我们有一种叫做‘防御前移’的学说,它表明如果我们看到网络空间中的某些东西可能会干扰我们,我们将首先攻击它,而且我们在美国网络司令部的任务下就有这样的做法。”
尽管Bolukbas不指望美国在冲突的现阶段对伊朗发动任何重大的网络攻击,但他怀疑网络间谍活动、影响行动、黑客攻击和泄露以及针对伊朗军事和网络基础设施的攻击已经是家常便饭。他坚称,美国并没有用炸弹介入伊朗与以色列之间的战争,“那是在网络空间里很久以前就开始的”。
近期,各种迹象也表明网络威胁的升级。以色列安全专家发来的那条WhatsApp信息,有可能是伊朗人发的钓鱼邮件;伊朗网络攻击美国企业的可能性增大,因空袭后两国关系紧张;亚马逊首席信息安全官称,以色列袭击后伊朗黑客团队“高度戒备”;以色列与伊朗冲突中的网络武器还可能会打击美国。
面对如此严峻的网络威胁形势,Bolukbas为网络防御者提出了宝贵建议。首先,要小心钓鱼攻击,“这非常常见,因为伊朗没有很多零日漏洞,所以他们主要靠社交攻击。小心你点击的东西。”其次,不要轻易相信所读到或看到的一切。根据Bolukbas的说法,伊朗与俄罗斯和中国一样,正在非常擅长地使用生成式人工智能来制造假新闻和社交媒体帖子,这些内容旨在操纵公众舆论。
“最后但同样重要的是:修补你的系统,包括物联网(IoT)终端用户和居民使用的设备。要迅速修补你对外部的系统,而不是一周、十天或一个月之后才修补,因为从漏洞被披露的那一天起时间就在流逝。伊朗团体正在试图开发一个利用该漏洞的恶意软件。如果他们在补丁发布之前就开发了这种恶意软件,他们不会犹豫地使用它。”
