伊拉克和大叙利亚伊斯兰国

引言

2015年4月底，美国政府公布了首次由网络司令部负责指挥的攻击行动，旨在对ISIS成员的网络活动予以打击。在与ISIS的对抗当中，网络也成为各方对抗的一大阵地，因此美国网络司令部计划利用黑客攻击及网络武器摧毁由ISIS使用的计算机系统，从而瓦解其功能（例如对武装分子的宣传及经济支持能力）并追踪其网络枢纽位置。

在最近于德国汉诺威召开的会议上，美国总统巴拉克·奥巴马与其他多国领导者人就针对ISIS的网络对抗策略展开了讨论。

今年3月，五角大楼高级官员确认称，美国陆军已经向ISIS发动首次信息战行动，并以此作为夺取伊拉克城市摩苏尔的军事行动组成部分。

美国军方目前正在使用网络工具对该地区的ISIS部队进行打击，具体包括干扰其成员的日常行动及通信能力。

图一——来源：MEMRI JTTM

美国网络司令部的目标之一，在于破坏ISIS势力的宣传活动并对其日常运作进行干扰——例如向作战人员支付报酬。

奥巴马总统在弗吉尼亚州兰利市CIA总部谈到对伊斯兰国的打击行动时指出：“我们的网络作战行动正打乱对方的指挥、控制与通信能力。”

美国国防部副部长Robert O. Work确认称，网络作战的目标是由一小部分“国家使命团队”执行完成的。他表示：“我们投下了网络炸弹，我们此前从未采取过这类行动。”

根据《纽约时报》的报道，美国官员确认称正在推进的作战行动旨在向ISIS网络部署一系列“植入装置”，从而窥探监听其指挥人员动向。

“现在，计划在于模仿其行为内容或修改其发出消息，从而引导武装分子前往更易受到美国无人机或当地地面部队攻击的区域。”《纽约时报》进一步强调称。“另外，官员指出，美国亦能够通过网络攻击中止对方的电子转账活动并误导支付操作，从而阻止其利用资金储备。”

美国国家安全顾问兼奥巴马总统高级顾问Lisa O.Monaco亦与各IT巨头的技术高管成员进行了会谈，旨在共同探讨如何对ISIS的网络活动加以打击。

追踪并阻断ISIS成员的在线活动绝非易事，而且在ISIS的大旗之下还存在着诸多亲ISIS组织，例如联合网络哈里发（简称UCC）。这里之所以提到UCC，是因为该组织在几周之前刚刚发布了一份“格杀令”，其中囊括了43位效力于五角大楼、国土安全部、国务院以及其它多个机构的美国政府雇员姓名。其公开的信息包括人员姓名、电话号码、所在城市及目标地邮政编码。

联合网络哈里发（简称UCC）的成员们通过高人气加密消息应用Telegram传播这份“格杀令”。

“这群亲ISIS黑客们自称为联合网络哈里发，并于周一发布了一份‘格杀令’，其中包含数十位美国政府工作人员的相关信息，”Vocative在首次发现这份暗杀名单后指出。

“这份清单中包含的43名政府雇员分别来自美国国务院、国土安全部以及国防、能源、商业与医疗服务等部门。另外，名单中还确定将美国驻圣地亚哥与加德满都——以及密西西比州格尔夫波特海军基地——作为攻击目标。被列入名单的某位雇员似乎还曾为澳大利亚国防部工作过。”

图二——UCC发布的在线“格杀令”

这份由联合网络哈里发公布的名单还包含多位在海外工作的美国政府雇员，包括美国驻圣地亚哥与加德满德大使馆的工作人员。

联合网络哈里发是一支新兴的网络黑客力量，其成员来自三个不同黑客集团，其中包括人气颇高的网络哈里发军。

Vocative方面还报道称，网络哈里发军成员公布的“格杀令”中列出了多位现任及前任美国政府官员。

这已经不是ISIS黑客第一次公布“格杀令”内容了。早在2015年3月，一个名为“伊斯兰国黑客部”的ISIS网络部门就曾泄露了居住于美国的超过100名美军成员个人信息，同时要求其追随者组织有针对性的暗杀行动。

图三——美国“格杀令”（2015年3月）

根据路透社媒体代理人员的报道，该组织曾在网络上散布美国军方人员的照片、姓名与地址，并要求“居住在美国的兄弟”将其杀害。

路透社报道称，“ISIS曾发布了100名美国现役军人的姓名、居住地址以及图片，并号召其‘居住在美国的兄弟’将他们杀害。”

该“ISIS黑客部”还宣称曾经成功从几台军方服务器中窃取到信息，并访问到了机密数据库与电子邮件内容。

不过美国国防部官员则否认其军事系统曾遭黑客入侵，并猜测ISIS黑客是从公共来源收集到这些资讯的。

被列入这份格杀令的美国军方人员包括路易斯安那州巴克斯代尔空军基地的第二轰炸联队与北达科他州迈诺特空军基地第五轰炸联队的成员，但他们似乎并没有参与美国与ISIS的对抗行动当中。

对ISIS网络作战能力的认知存在争议

国际情报领域对于ISIS的网络作战能力认知结论分为两大派别，一方认为ISIS应该拥有较强的网络能力与技术储备，但另一方则认为这样的结论夸大了ISIS的实际水平。

F-Secure公司首席研究官、网络安全专家Mikko Hyppönen对此表示高度关注。他指出，他担心网络极端分子可能突破关键性基础设施并借此造成严重危害。这位专家解释称，ISIS很可能成为历史上第一股有能力针对政府基础设施组织攻击威胁的恐怖主义势力，而这种状况亦在逐步恶化——因为该集团已经越来越多地意识到网络层面攻击性活动的实际效果。

“ISIS是第一个拥有专业网络进攻能力的极端主义集团，”F-Secure公司首席研究官Hyppönen在上周于加利福尼亚州拉古纳海滩召开的《华尔街日报》WSJDLive会议上指出。“很明显，这种状况不可能自行好转，而只会越来越糟糕。”

网络上的众多网络安全专家已经加入ISIS，而且网络攻击活动所需要投入的资源量要远低于传统恐怖主义袭击。

另外，网络恐怖攻击难于追踪，这意味着情报机构很难像发现炸弹袭击那样对其做好预先准备。Hyppönen发出警告称，网络攻击活动可能源自世界任何位置；黑客们可以从欧洲转移至叙利亚，并在这里针对任意关键性基础设施组织攻击并导致其停运。

在被问及“糟糕的后果”会有哪些时，Hyppönen毫不犹豫地指出，网络恐怖分子能够将矛头指向SCADA系统，从而对西方世界的基础设施核心进行破坏并造成严重后果——事实上，世界范围内超过50%的工厂在利用西门子系统实现设备操控。

Hyppönen表示，极端分子可能会倾向于组织这样的攻击活动。

几周之前，美国当局证实称，来自ISIS的黑客曾尝试对美国的多家电力供应企业进行入侵。

执法部门官员是在一次由美国多家能源企业联合参与的国土安全会议上披露上述消息的。ISIS方面确实拥有针对美国国内关键性基础设施发动网络攻击的技术能力，而美国情报机构也意识到了这一风险的存在。

就在上周，自称“伊斯兰国黑客部”的亲ISIS黑客组织曾经发布一份“格杀令”，其中包含数十位曾参与叙利亚与伊拉克无人机打击行动的美国军方人员。

这群黑客在网络上公布了超过70名美国公民的个人信息细节。

“无论他们身在何处，杀掉他们！敲开他们的门，砍下他们的头，向他们射或者把他们炸死。”

情报专家们对ISIS黑客部发布的这份格杀令进行了分析，并确认其中包含的信息来自公开来源，而非安全入侵的结果。

ISIS黑客部的黑客们宣称，他们已经渗透到英国国防部当中，并扬言将要披露众多“秘密情报”信息。

“在我们的下一次披露行动中，我们可能会公开由英国兄弟们带来的秘密情报。他们花了不少时间入侵伦敦国防部，这正是我们对英国及美国逐步渗透所换来的结果。”ISIS集团在一条推文当中表示。

“不过我们并不会对网络威胁言论予以回应。英国是全球网络安全领域的领先国家，我们也在不断加大投入以保证英国有能力保证国家利益。我们持续增长的防御预算意味着我们能够在网络领域领先于对手，而传统防御能力亦得到了同步强化。”英国国防部的一位发言人指出。

2015年5月，隶属于联合网络哈里发黑客团队的亲ISIS黑客威胁对美国及欧洲开展“电子战”。

美国国土安全部基础设施保护部长助理Caitlin Durkovich指出，ISIS正开始组织网络攻击活动。

调查人员向CNN财经透露称，ISIS方面已经发动了一系列未能成功的网络攻击活动。他们并没有提供更多与攻击内容相关的信息，或者援引特定事件证据。

根据专家们的描述，这些攻击活动复杂度并不高。尽管如此，其仍然意味着美国国土安全工作正面临着严重威胁。安全专家认为，ISIS成员并不会自行开发定制化恶意软件——相反，他们会从黑市上直接购买成品。

“他们的意图非常明确且强烈。值得庆幸的是，其执行能力比较低下，”FBI网络事业部科室主管John Riggi表示。“但需要强调的是，他们能够购买到这种执行能力。”

而谈到ISIS与黑客，我们无法回避朱奈德·侯赛因这位黑客——他是极端组织当中最具人气的网络安全专家之一。

2015年夏季，一架美国无人机在叙利亚将圣战组织黑客朱奈德·侯赛因击毙。他一直在积极为ISIS招募新成员，而且根据美国情报部门的调查，这名圣战组织黑客亦组织过一系列网络攻击，其中包括一起针对美国中央司令部网站及其Twitter账户的攻击活动。

不过朱奈德·侯赛因仅仅只是联合网络哈里发组织中的黑客之一，作为又名“伊斯兰国互联网防御者”的组织，该黑客集团被广泛视为ISIS的官方网络部队。

联合网络哈里发曾参与过对美国中央司令部社交媒体账户的劫持行动，其成功还曾发布录像，威胁通过互联网进行恐怖主义活动。

“赞美真主，今天我们将疆土延伸到了互联网当中。我们将这封邮件发送至美国与欧洲。我们是伊斯兰国的黑客，而真正的电子战尚未全面启动，”视频中一位声音与图像皆经过处理的匿名成员陈述道。“你所看到的仅仅是未来的序幕。我们现在已经能够入侵美国领导层网站、澳大利亚机场网站以及其它众多站点。”

2015年9月，英国情报机构GCHQ的专家透露称，ISIS黑客截获了英国政府的绝密电子邮件。

来自GCHQ的特工们发现了一起严重的信息泄露事故；ISIS成员将目标指向卡梅伦政府内资格最老的几位部长的邮箱账户，其中包括内政部大臣特里萨·梅。

黑客可能披露一些与英国政府及皇室成员有关的机密信息。

“据本周发布的总理作战行动报告，该集团内的至少一位首要分子在无人机袭击中被击毙。”《明镜》周刊报道称。

ISIS网络作战能力分析

几周之前，来自情报企业Flashpoint的研究人员发布了一份报告，题为《ISIS黑客行动：新兴网络威胁态势》，其中详尽披露了ISIS组织的网络能力细节。

图四——题为《ISIS黑客行动：新兴网络威胁态势》的报告

安全专家认为，由ISIS成员组织的黑客攻击将成为一项相当具体的威胁因素。尽管此前由其分支势力及同情者组织的黑客攻击所在多有，但其整体技术水平并不先进。专家们推测，在短期之内ISIS成员将很难快速提升攻击活动的复杂程度。

这份报告指出，尽管该组织的整体技术水平既不先进也无法展示复杂的指向入侵能力，但在网络攻击活动的支持之下，ISIS将很可能造成严重的破坏性后果。

过去几年以来，ISIS已经显著拓展了黑客活动的实施途径，而且至少有五个亲ISIS黑客集团以伊斯兰国之名发动了网络攻击。在大多数情况下，同一拨黑客在不同集团之内执行各类攻击任务。

根据Techworm网站的报道，2016年4月4号，网络哈里发军（简称CCA）作为ISIS的主要黑客总该，联合哈里发军之子（简称SCA）与Kalacnikov.TN（简称KTN）等亲ISIS组织并共同建立起联合网络哈里发（简称UCC）。

专家们同时强调称，亲ISIS黑客组织的活动在组织层面仍然比较松散，这可能是由于能够支配的资源较为有限。另外，其技术水平也达不到ISIS自身宣传的高度。

图五——各亲ISIS黑客组织共同建立联合网络哈里发集团

大部分由亲ISIS黑客集团发起的网络攻击只达到初学者水平，包括利用已知漏洞对网站进行入侵。

亲ISIS黑客们会从公开来源处下载黑客工具，而非自行开发定制化黑客工具与恶意软件。

研究人员们还报告称，亲ISIS集团成员曾于2014年年末使用过一款定制化恶意软件，其被伪装成演示文稿并通过Twitter传播。经专家检测得出的分析结论表明，这款定制化恶意软件只是一套非常简单的样本。

“尽管其并不复杂也不精巧，但仍然足以识别并定位受感染设备及其持有者。换句话来说，亲ISIS网络威胁行动者们已经开始通过社交媒体散布恶意软件，”这份报告指出。

过去，亲ISIS黑客们还曾对政府、银行业及媒体目标发动攻击，不过Flashpoint的研究人员预计随着成熟程度的逐步提高，他们将更多地着眼点放在金融领域。

ISIS并没有明确的高级黑客招募单身，但其追随者能够通过黑客课程、工具及指导资料从深网及暗网论坛当中获取能够提升自身知识及技能水平的信息。亲ISIS黑客们可能会从公开来源处下载黑客工具，同时利用现成及定制化恶意软件实现企图。

“亲ISIS黑客们的网络技术水平在很大程度上取决于组织内部是否拥有高级技术人员。作为ISIS组织之内的高水平黑客之一，曾参与TeaMp0isoN的朱奈德·侯赛因就是一个很好的例子，”这份报告指出。

ISIS成员技能短缺

安全专家们认为，ISIS将通过付费招募网络雇佣军或吸纳年轻黑客的方式快速提升其网络技术能力。

2016年年初，情报专家们报告称，ISIS成员有计划向印度黑客支付佣金以入侵政府网站并窃取敏感文件。ISIS的成员们希望通过社交媒体建立一套潜在印度技术人才数据库，而成功入侵政府网站的黑客将能够收到最高每次1万美元的报酬。

“世界上存在着各种各样的地下社区，网络上的黑客们经常在这里进行互动。我们的调查显示，过去6个月当中，黑客们已经通过窃取政府数据获得了丰厚的经济回报。这样的报酬对于印度黑客来说可谓前所未见。我们发现，可观的薪酬已经成为ISIS在印度拓展影响的主要手段，”网络犯罪专家专家Kislay Choudhary表示。

针对政府系统的入侵行为可能允许恐怖分子收集与其目标相关的信息；目前情报机构已经意识到，极端主义分子开始积极在印度黑客社区中招募人才；相当一部分黑客来自印度南部，包括克什米尔、马哈拉施特拉邦以及拉贾斯坦邦。

“印度的极端分子们正在网络上积极传播各类宣传资料，包括印地文、泰米尔语、古吉拉特语、乌尔都语及其它语种的版本。过去，他们也曾利用孟加拉语资料向孟加拉国及印度的弱势青年散布ISIS的仇恨理念，”《每日邮报》撰文指出。

情报机构目前已经在印度逮捕了12名犯罪嫌疑人，其中一部分曾与叙利亚ISIS活跃分子接触并计划在共和国日之前组织攻击活动。

“印度国内极端分子的任务在于通过推文或者媒体共享内容寻找亲ISIS及反西方世界的用户，而这些用户正是ISIS的潜在招募对象。他们会通过社交媒体与此类用户接触，并与其进行宗教对话。在对其心态进行评估后，再逐步向其提供亲ISIS的内容与视频。如果对方表现出兴趣，即会被吸纳到恐怖组织当中，”中央安全机构的一位高级官员指出。

很明显，ISIS正在积极将年轻黑客招募进来以推动其所谓“圣战”活动。

“他们利用流行的关键字与#标签传播消息，从而将其传达给更为广泛的受众，”一位安全官员表示。

为了应对印度国内的在线恐怖活动，安全机构已经对互联网上的伊斯兰国相关内容进行了撤除，目前已经有94个与ISIL相关的网站被停运，马哈拉施特拉邦情报部门指出。

结语

尽管目前ISIS的网络技术能力尚不先进，但这种落后现状很可能在不久的未来出现快速转变。

Alkhouri在接受采访时指出，“有明确的证据表示，ISIS黑客数量呈现增长态势，各组织间相互合并并开始将目标集中在美国及众多其它西方目标身上。”

在短期内，网络上其他黑客很可能会陆续加入ISIS，其中包括网络雇佣军，这也将带来更为激进的针对哈里发敌对国家的网络攻击活动。

尽管来自FlashPoint公司的专家们对于亲ISIS黑客群体的网络技术能力评价不高，但笔者认为如果不抢先做好应对准备，其仍然足以针对西方目标实施可能造成严重后果的极端行动。

E安全/文 转载请注明E安全

E安全——全球网络安全新传媒