随着以色列和哈马斯武装分子之间的致命暴力继续上演,大部分战斗仍然是激烈的军事行动。但自10月7日战斗开始以来,冲突双方的一系列神秘“黑客行动主义”团体通过分布式拒绝服务攻击使网站离线,破坏了一些网站,并在手机应用程序上触发了虚假警报,警告即将到来的攻击。国家支持的黑客组织、黑客行动、亲伊朗信息行动以及有关信息行动的存在表明,以色列和哈马斯之间的冲突可能会引起全球黑客组织和情报机构的关注。一个涉嫌与以色列政府有联系的强大黑客组织10月9日在网上重新出现,这表明随着以色列和哈马斯之间的冲突持续下去,数字参与者可能会发挥更大的作用。
目前已知的是大约60个网络犯罪和黑客活动团体在冲突双方都参与了进攻性网络行动。
著名组织包括“匿名苏丹”和Killnet,还有Predatory Sparrow组织的复出,它们已公开宣布他们打算针对以色列政府系统。以色列网络部队也登场了!支持哈马斯的威胁行为者以以色列政府站点为目标并进行DDoS攻击,而印度网络部队等亲以色列组织则对巴勒斯坦目标发起了网络攻击。这场网络上的混战同时也带来了错误信息传播的风险,专家警告称,冲突可能升级为网络战争,网络和地面军事行动可能同步。据Cyberknow20的统计,目前已有58个组织参与到本次网络大战(支持以色列的10支,支持巴勒斯但的48支)。此前的数字是39。除了选边站队的黑客组织外,也有保持中立的,同时对两方开打的组织。一个名为ThreatSec的组织已宣布自己“中立”,但该组织表示将针对以色列和巴勒斯坦目标。该组织还声称已经入侵了巴勒斯坦最大的互联网服务提供商(ISP)AlfaNext。
新近复出的“掠夺性麻雀”从未声称与任何政府有联系,但匿名的美国国防官员告诉《纽约时报》,此前针对伊朗加油站的行动是由以色列实施的。还有其他迹象表明与以色列政府有联系。伊朗政府认为掠夺性麻雀是以色列的行动。工业系统成为目标:SCADA和其他工业控制系统恐成为双方黑客组织的重点攻击目标Cybernews研究团队负责 Mantas Sasnauskas强调,许多黑客活动分子追踪各种ICS,试图破坏关键基础设施并引起国际关注。由于对关键基础设施的网络攻击可能会产生严重影响,包括运营中断、安全隐患、经济成本和声誉损害,因此网络安全应该成为管理这些基础设施的组织的首要任务。不幸的是,现实情况确实不容乐观。Cybernews研究团队的分析表明,许多ICS都处于暴露状态,威胁行为者可以轻松利用草率的安全实践。ICS用于监控和管理工业中的机械和流程,确保它们有效、安全地工作。SCADA代表监督控制和数据采集,是一种能够远距离收集数据和应用操作控制的ICS。根据Cybernews的调查结果,一些以色列组织正在公开他们的Modbus(一种SCADA通信协议)。研究人员发现了 400起此类事件。研究人员还发现,近150个消息队列遥测传输(MQTT)端口保持开放状态——该系统负责MES(制造执行系统)和SCADA之间的通信。
就巴勒斯坦而言,其组织还公开了Modbus和MQTT,以及西门子自动化的系统。公共设施恐成攻击重点:以巴双方暴露的安全摄像头构成重大风险在以色列和巴勒斯坦,许多配置不当的安全摄像头都暴露给黑客活动分子,使使用它们的所有者及其周围的人面临巨大风险。Cybernews研究团队在以色列发现了至少165个暴露的联网RTSP摄像头,在巴勒斯坦发现了29个暴露的RTSP摄像头,这些摄像头对任何人都是开放的。更多的人可能会受到影响。RTSP代表实时流协议。虽然这种通信系统对于传输实时数据很有用,但它既不提供加密也不提供针对密码猜测的锁定机制。“不良行为者只需要基本技能就可以找到摄像头并暴力破解登录凭据,因为众所周知的软件工具和基本教程早已存在。研究人员警告说,暴露的RTSP摄像头可能会在网络战争场景中带来多种风险和危险。
特拉维夫至少有37个暴露的RTSP摄像机,Potah Tiqva有16 个,里雄莱锡安有13个。在巴勒斯坦,曝光的摄像头大部分位于约旦河西岸,这可能与以色列对加沙地带的电力封锁有关。
暴露的IP摄像机的第一个也是最重要的风险是黑客获取访问权限。这将使他们能够查看实时直播并记录镜头,这些镜头可用于监视、侦察或收集敏感信息。“如果暴露的摄像头位于私人或敏感区域,它们可能会侵犯人们的隐私。个人信息、日常生活或机密对话可能会被记录和滥用。这些信息可用于情报收集、间谍活动或勒索,”研究人员写道。虽然个人面临风险,但网络对手主要感兴趣的是组织甚至政府设施。对其RTSP 摄像头的访问可能为攻击者渗透摄像头所连接的网络提供了立足点。一旦进入网络,他们就可以横向移动以危害其他系统或窃取数据。“攻击者可能会操纵摄像头反馈来显示误导性信息,造成混乱或恐慌。例如,改变安全摄像头的镜头来隐藏闯入事件,或者让事情看起来好像发生了,但实际上并没有发生,”研究人员警告说。此外,与任何其他智能设备一样,暴露的摄像头可能会被网络犯罪分子利用构建僵尸网络进行拒绝服务(DDoS)攻击或任何其他恶意活动。因此,暴露设备的所有者不仅要承担自身安全的责任,还要承担保护社区的责任。认知战开打:以虚拟信息和错误信息为主的认知战同步展开由于如此多的直接网络攻击来回发生,人们很容易忘记威胁行为者也试图使用错误信息作为武器。社交媒体威胁情报提供商Cyabra与Techopedia分享的研究表明,哈马斯一直在使用X和Tiktok等平台进行宣传。 Cyabra分析了超过100万条帖子、图片和视频,发现了哈马斯控制的虚假在线帐户,这些帐户是为了传播虚假信息或收集有关目标的信息而创建的。 该公司发现,参与在线对话的社交媒体帐户中有五分之一实际上是假的,其中假帐户在X和Tiktok上最积极地传播虚假信息。 这凸显出网络战不仅仅是破坏,更是传播一种叙事。俄罗斯-乌克兰战争也证明了这一点,俄罗斯资助的行为者使用虚假社交媒体账户、伪造文件、篡改视频和图像来破坏对乌克兰的支持。 随着以色列-巴勒斯坦冲突加剧,虽然组织不要惊慌很重要,但认识到威胁形势有可能迅速变化也很重要。在志愿者可以为他们想要的任何事业拿起数字武器的世界中,组织无法预期这些实体会就集中的参与规则达成一致。 尽管以巴冲突在物理空间的暴力程度较高,但双方的恶意网络活动似乎基本得到遏制。美国国家安全局高级网络安全顾问罗布·乔伊斯9日在佐治亚州海岛举行的安全会议上解释道:“当然,最大的担忧之一是:目前是否存在网络组件?我想说还没有。” 话虽如此,乔伊斯确实承认美国观察到了“小型拒绝服务”攻击,并警告说,他预计未来会发生“重大事件”。 以巴网络战争升级为一场全球全面网络战的担忧也并非空穴来风。乔伊斯并不是唯一一个预计冲突会恶化的人,普华永道风险咨询、市场和新兴业务负责人Siddharth Vishwanath 也警告称,这场战争正在“在现实世界中不断升级,并且很可能升级为一场全面的网络战。” 虽然以色列和巴勒斯坦以外的组织不应惊慌,但必须为分散的威胁行为者活动的增加做好准备。 例如,安全研究员Will Thomas注意到DDoS雇佣或初始访问代理服务的帖子有所增加,这将使第三方能够使用另一个实体来瞄准以色列和巴勒斯坦目标。这些服务的利润越高,其倍增的潜力就越大。10月10日,一个与HTTP/2相关的最新零日漏洞导致了互联网上有史以来最大规模的分布式拒绝服务攻击。Cloudflare认为该漏洞(CVE-2023-44487)漏洞利用了HTTP/2使用的流取消功能,尚未将其利用归因于任何特定参与者。该大约60%的浏览器流量使用该功能。 料定此漏洞将成为以巴黑客组织的DDoS利器。另一个主要风险是网络战争和地面行动的同步。MDR提供商Critical Start的网络威胁研究高级经理Callie Guenther表示,迄今为止网络行动带来的主要风险因素是它们是否与军事目标同步。Guenther说:“虽然大量的黑客行动主义攻击都是象征性的,旨在引起关注或发表政治声明,但匿名苏丹组织和Killnet等涉嫌与国家有联系的组织的参与改变了这种说法。”“他们的行动可以从象征性姿态转变为战略上一致的进攻,以补充、协助地面军事行动。” 因此,Guenther强调,重要的是不要仅仅认为这些组织采取了象征性行动,而是认为他们的行动可以提供战术优势或提供战略情报收集。 无论如何,鉴于冲突的严重性,与以色列或巴勒斯坦或这两个地区的盟国有联系的组织应该对潜在的黑客活动保持警惕。毕竟,威胁分析师已经发现针对印度和法国等国家的黑客活动组织。1、https://www.techopedia.com/israel-hamas-cyber-war2、https://cybernews.com/security/exposed-security-cameras-pose-risk-in-israel-palestine/3、https://cybernews.com/cyber-war/palestine-israel-scada-under-attack/4、https://cyberscoop.com/predatory-sparrow-israel-gaza-cyber/