《网络战的重要玩家——伊朗》（上篇）

2010年伊朗核项目受到网络攻击的震网病毒事件，促使伊朗当局下决心在网络空间采取主动姿态。目前伊朗在该领域的重要参与者包括政府实体、APTs集团和伊朗爱国黑客三类群体。伊朗希望通过一系列网络工具和战略来改善地区和国际状况，在不对称战争中挫败更强的对手，从而实现其战略目标。

伊朗的网络力量体系并不像美国、俄罗斯和中国的网络力量体系那么复杂, 但是由于其在网络空间主动出击的姿态，加之其希望通过一系列网络工具和战略来显著改善地区和国际环境，伊朗的网络力量格外吸引全球专家的注意。

在伊朗，网络空间的使用已经发生了变化。如果说伊朗最初专注于监视和保护其网络，那么它后来逐渐展示出了发展网络技术专长以实施攻击的意愿和能力。更具体地说，近年来，由于意识到与对手相比其军事实力薄弱，德黑兰已经认识到建立自己的网络力量的重要性。事实上，由于进入网络空间的低壁垒和该领域为参与者提供的一定程度的无障碍性，使得网络活动为竞争创造了空间，并在不对称战争中挫败更强的对手，从而实现战略目标。

为了分析伊朗网络力量的一些关键方面，本期上篇的分析将集中于伊朗网络力量体系的参与者和动机，下篇将分析伊朗在网络空间的敌人和盟友，以提供外交的和客观的分析框架。

一、参与实体

伊朗的对外网络活动参与者的生态系统是复杂的，由许多不同的实体组成，我们可以将它们分为三个主要类别：政府实体、APTs集团和伊朗爱国黑客。

（1）政府实体

在伊朗，网络空间高级理事会（High Council of Cyberspace）是处理网络领域相关问题的最高机构。在伊朗最高领导人阿亚图拉·哈梅内伊(AyatollahKhamenei)的指示下，该组织于2012年成立，被赋予设计网络空间政策的使命。其他在网络空间开展活动的政府实体包括伊斯兰革命卫队(IRGC)、巴斯基(Basij)和被动防御组织(NPDO)。IRGC是伊朗武装部队的一个分支，负责监督网络攻击活动，而巴斯基（Basij）网络委员会则是由志愿的黑客组成，受伊斯兰革命卫队的监督。此外，被动防御组织（NPDO）的任务是阻止、预防、识别和反击针对伊朗关键基础设施的网络攻击。

（2）高级持续性威胁 (Advanced Persistent Threat, APTs)

由于高度的去中心化和复杂的联系与合作，很难追踪这些行为者集团内部以及它们之间的边界。即便确定个别组织，但它会随着成员随时跳槽而自行解散。尽管如此，其中5个被称为APTs的伊朗组织值得特别关注。 

• 漩涡小猫(Helix Kitten)，也被称为“扭曲小猫”(Twisted Kitten)、OilRig、APT34、Crambus、Chrysene、TA452、IRN2、ATK40以及ITG13。自2015年以来，该集团一直很活跃，主要从事网络间谍活动，收集航空、能源、金融、电信和政府部门运营组织的战略信息，以服务于伊朗政府的利益。最初的目标集中在中东地区，后来他们的目标也包括在美国的实体。2017年至2018年期间，津巴布韦、阿尔巴尼亚和韩国也成为该集团的目标。

• 飞行的小猫(Flying Kitten)，也称为“Ajax安全团队”(Ajax Security Team)。该集团从2012年开始出现，主要从事航空航天、石油和天然气以及国防工业有关的网络间谍活动。

• 奥沙文集团(Shamoon Group)，也被称为“正义之剑”(Cutting Sword of Justice)。它的目标包括2012年沙特阿拉伯国家石油公司(SaudiAramco)、卡塔尔拉斯拉凡液化天然气公司(RasGas)和2018年意大利塞班油服公司(Saipem)等能源公司。

• 火箭小猫(Rocket Kitten)，自2011年以来开始活跃，它的目标包括以色列、委内瑞拉、沙特阿拉伯、阿拉伯联合酋长国、伊拉克、科威特、加拿大、土耳其、英国、叙利亚和约旦的学术机构、媒体和政府机构，收集国防、安全、人权问题的数据。

• 可爱的小猫(Charming Kitten)，又名Parastoo和Newscaster。自2014年以来，该组织专攻国防技术、军事和外交领域。2020年7月，“可爱小猫"假扮著名的《德国之声》和《犹太日报》的记者，首次通过Whatsapp和LinkedIn诱导目标打开链接，引发广泛关注和讨论。

（3）爱国黑客

伊朗网络军(Iranian Cyber Army, ICA)就是一个典型的爱国黑客组织。即使这是一个独立的实体，本身也没有得到官方承认，但专家广泛认为它是IRGC运作的。该组织参与了2009年针对Twitter、2010年百度和2011年美国之音的网络行动。此外，ICA的目标也包括与伊朗反对派关系密切的新闻媒体和平台，如Amir Kabir Newsletterm Jaras和Radio Zamaneh，以及“绿色运动”（Green Movement）。

二、动机

自1992年伊朗首次与互联网相连以来，当局主要利用网络满足其确保国内政权稳定的需要，也利用监控技术以识别反对政府的信息。因此，在21世纪初，伊朗在网络空间的首要任务是控制内部动态，这导致了它对互联网服务提供商的特殊要求，即共享客户数据。这一点在2009年尤为明显。当时支持民主的“绿色运动”让伊朗人重新团结起来，反对马哈茂德•艾哈迈迪-内贾德(Mahmoud Ahmadinejad)总统的连任，反对米尔-侯赛因•穆萨维(Mir-Hossein Mousavi)。“绿色运动”认为社交媒体是让数百万支持者的声音被听到的重要平台，因此利用互联网来动员人民。

为了回应质疑政权合法性的不满情绪，以及反击西方影响力的扩散，德黑兰决定在网络领域采取更强硬的路线。但让伊朗加快其网络能力发展的真正转折点，是震网病毒（Stuxnet）事件的发生。2010年，一种计算机多部分蠕虫病毒(后来被归咎于美国和以色列)攻击了伊朗的核项目，目标是SCADA系统(监视控制和数据采集)。网络武器首次造成了物理破坏——纳坦兹铀浓缩设施（Natanz uranium enrichment facility）的离心机受损，这为伊朗的决策者敲响了警钟，成为他们开始大力投资网络活动的主要动力。

总之，在评估网络空间的全球动态时，德黑兰将继续作为一个重要的参与者。事实上，其网络战的策略和组织潜力值得进一步观察与评估，尽管在这个领域，参与者、风险和规则仍然复杂和模糊。

（作者：FEDERICARUSSO）

（翻译：刘仪）

原文摘自《人工智能资讯周报》总第101期

《人工智能资讯周报》探讨人工智能对公共政策、治理和政策建议的影响，探索人工智能对商业、政治和社会的影响，以确定潜在的研究领域，探讨可能的合作研究和机构伙伴关系。本刊着重提供中国人工智能发展动态和对人工智能的思考，同时关注全球范围内人工智能相关研究动态。本刊旨在通过可靠的研究，来帮助企业、研究机构和公民预测和适应技术引领的变化。