首度揭秘叙利亚网络部队:如何穿梭在战乱中获取情报?

 

网络战可获取真实战场情报先机,叙利亚政府将网络战的作用发挥的淋漓尽致。

中东地区似乎历来都不太平,内战中的叙利亚局势更加跌宕起伏:

两天前的10月7日,美国总统特朗普公开回应让美军从叙利亚边境撤出。

https://mmbiz.qpic.cn/mmbiz_jpg/RjjALhP73GVyTnzqK0LGB2EB3oGX3q1ZAwBqEGu6Bicx4kCiacxbYjMTq9J35YUwmcSr96oELiaXiaKQnuKLUeZsbA/640?wx_fmt=jpeg

视频显示:美军在叙军事基地空无一人

图片来源:俄罗斯RT视频机构获取的视频

四天前的10月5日,土耳其总统埃尔多安表示,土耳其可能对叙利亚东北部地区发起空中和地面军事行动。

https://mmbiz.qpic.cn/mmbiz_jpg/RjjALhP73GVyTnzqK0LGB2EB3oGX3q1ZuaBiaOjo5iaQBNP99mUYMx8K5U1cBKQib4BVFaTGzGNaQZXNwqjViaKBKA/640?wx_fmt=jpeg

图片来源:CCTV 13新闻视频截图

而就在上个月26日,美国国家公共电台NPR新闻还发布了一则《美国如何入侵ISIS》的文章,公然向大众讲述他们如何利用网络武器掀起一场“兵不血刃”的战争。

https://mmbiz.qpic.cn/mmbiz_png/RjjALhP73GVyTnzqK0LGB2EB3oGX3q1ZLb1ibeXy8dEkhFFMXzICy0nSE2Se0xic0ia2KqJZqQDVvWpkTGTX3UILQ/640?wx_fmt=png

图片来源:NPR 官网截图

身处战争的“风暴眼”,叙利亚这一文明古国可以说是一念天堂,一念地狱,明天它的走向将如何,成为多方势力与众多军事、安全专家学者重点关注的国度。

透过这些新闻,被战争阴云笼罩下的叙利亚政府如何在国内外的势力裹挟中而不倒?今天,我们就将目光聚焦在这个战争“风暴眼”的国家以及其神秘的叙利亚网络部队。在逐层披露中,智库发现叙利亚政府可谓是将网络战中情报收集的手段发挥的淋漓尽致,同时也再次感受到“网络战可获取真实战场的情报先机”这一论断。

岂止于一场内战国内外多股势力纷纷入场

故事的起因还要回溯到九年前,当时中东地区多国接连爆发阿拉伯之春运动。受其影响,2011年1月26日,叙利亚爆发大规模反政府示威,继而叙政府军和反对派武装爆发军事冲突,引发大规模内战。

据2013年12月报道,有多达1,000个叙利亚反政府武装团体存在。其一为叙利亚反对派和革命力量全国联盟,及其临时政府。另一个为有着强烈宗教色彩的伊斯兰主义武装组织,包括伊斯兰国在内的伊斯兰恐怖组织以及寻求摆脱外族统治的库尔德族武装组织。

为了更方便的理解后续文章,这里对两大组织进行简单介绍:

根据维基百科介绍,叙利亚反对派和革命力量全国联盟是叙利亚内战中“自由全国变革运动”、“伊斯兰祖国运动”、“解放和发展集团”、“土库曼全国集团”和“库尔德新生活运动”组建的联盟,成立于 2012年11月11日。

伊斯兰国(Islamic State,简称IS),前称“伊拉克和沙姆伊斯兰国”(Islamic State of Iraq and al-Sham,简称ISIS),是一个活跃在伊拉克和叙利亚的萨拉菲圣战主义组织以及未被世界广泛认可的政治实体,奉行极端保守的伊斯兰原教旨主义瓦哈比派,属逊尼宗的一脉。

同时,反对派武装力量还获得国外大量援助:西方国家(特别是美国)和逊尼派国家(以土耳其和以色列为代表),支持叙利亚反对派;伊朗和俄罗斯则大力支援叙利亚政府。大国的介入让叙利亚这场内战,成为逊尼派与什叶派之间,以及美国与俄罗斯之间的新的角力场。

https://mmbiz.qpic.cn/mmbiz_jpg/RjjALhP73GVyTnzqK0LGB2EB3oGX3q1ZROsyDvSn9nfWCQYXKKGysK4IC6Qxu2xicicxXYglO4mLGWqxUSlR80IQ/640?wx_fmt=jpeg

2019年7月30日叙利亚各组织势力分布

 

首个设立公共互联网并发动网络攻击的国家组织叙利亚网络部队在忧患中诞生

面对如此棘手又强大的内忧外患,您或许也要发问:

岌岌可危的叙利亚政府该如何谋得“生存”,又如何在八年内战中一点点求取胜利?

2014年4月,在一次叙利亚反政府抗议活动升级后,一个名为Syrian Electronic Army,简称SEA的组织出现在Facebook上,以支持政府的叙利亚总统巴沙尔·阿萨德。从这天起,声名赫赫的叙利亚网络部队诞生。

https://mmbiz.qpic.cn/mmbiz_jpg/RjjALhP73GVyTnzqK0LGB2EB3oGX3q1Zwhtg1N3va3ybSicwhpaHZMcaljMNhA25butGqtjPI6V40WfXH5T7lFQ/640?wx_fmt=jpeg

值得注意的是,2011年5月5日,叙利亚计算机协会注册了叙利亚网络部队的网站(syrian-es.com)。由于叙利亚的域名注册机构注册了黑客网站,一些安全专家推测,该组织由叙利亚国家监管。虽然,当时的叙利亚网络部队在其网页上声称其不是官方实体,而是一群热爱自己国家的年轻人并决定以电子方式反击那些袭击叙利亚网站的人和那些敌视叙利亚的人。

但,随即在22天后的5月27日,一个“新页面”取代了原来的“旧页面”。在“新页面”上删除了它“不是一个官方实体”的描述,只说明了它是由一群年轻的叙利亚爱好者建立的,以打击那些利用互联网,特别是利用Facebook在叙利亚“散布仇恨”和“破坏安全”的人。

从这个转变上来看,可以说,叙利亚网络部队不仅是首个在其国家网络上设立公共互联网军队以公开对其敌人发动网络攻击的阿拉伯国家组织。同时,它的定位标签已经注定自成立起,它便发挥起网络监控与攻击的作用,承担为叙利亚政府收取重要的战争信息情报,威慑西方国家的职责。

 

持续发动APT攻击叙网络部队为政府获取实战情报

事实上,叙利亚网络部队的种种表现不曾让人失望。经360烽火实验室捕获发现,叙利亚网络部队旗下拥有两大网络部队组织并发动过两起攻击:黄金鼠组织(APT-C-27)和拍拍熊组织(APT-C-37)。这两大组织通过对叙利亚国内反对派组织有计划、有针对性的长时间不间断的监控攻击活动,让叙利亚政府军掌握了敌对势力大量一手的重要军事情报,具体包括以下重要信息:

1重磅情报:自由叙利亚作战军队信息

此为自由叙利亚军队第一军团13师133旅Excel表记录,其中包括了部分城镇的指挥、总部、营地、特殊建筑的航点号码和航点图像等重要信息。此表格令叙利亚政府掌握敌人部分军情。该表格最后保存日期为2019年7月14日。

https://mmbiz.qpic.cn/mmbiz_png/RjjALhP73GVyTnzqK0LGB2EB3oGX3q1Z6pRpjc1ccovc72ga2lQGuG8mVprSQgm9qIudhsMz3nKSYFEvybp1Hg/640?wx_fmt=png

  第一军团第13师133旅部分航点数据和文档属性

2重磅情报:包含经纬度的交战区图

从经纬度可以发现其指向了叙利亚反对派与政府军作战区域伊德利卜附近。从图片的清晰度来看,该图足可以令叙利亚政府推断出反动派在使用无人机拍摄来获取情报。

https://mmbiz.qpic.cn/mmbiz_png/RjjALhP73GVyTnzqK0LGB2EB3oGX3q1ZavuEzXDQkcUD4HZe6We7b7hcE5DZ9mQEwjQLVHDj9MxNNsYCat3TVQ/640?wx_fmt=png

左边为泄露图片,右边为同样坐标的google地图

3重磅情报:俄罗斯驻拉塔基亚空军基地

下图坐标位置为巴塞勒·阿萨德国际机场,该机场坐落在距地中海城市拉塔基亚20余公里的小镇赫梅明,被称为拉塔基亚空军基地,或赫梅明空军基地。这里正是俄罗斯驻拉塔基亚空军基地。可见,叙利亚反动派可能已经盯上该空军基地,叙利亚政府军及时获取此图能及早做好军事防备。

https://mmbiz.qpic.cn/mmbiz_png/RjjALhP73GVyTnzqK0LGB2EB3oGX3q1ZDEgQZc2tyw8Gl48uNGp0wk5IicSESHc4aswJFBsiczhjkYoRfibpuDK9g/640?wx_fmt=png

左边为泄露图片,右边为同坐标的google地图

4重磅情报:大量手持证件照

在叙利亚网络部队获取的信息中,有大量手持证件照,若这些照片为叙利亚反对派士兵照片,那它无疑将是一张张最为准确无误的通缉画像,为叙利亚政府精准捕获敌对士兵,起到重要作用。

https://mmbiz.qpic.cn/mmbiz_png/RjjALhP73GVyTnzqK0LGB2EB3oGX3q1ZfI1JXPopY2oEYICC4sfpHVXmO3ic6icHRibYUicBNDed1KElPTICVlcUVQ/640?wx_fmt=png

手持证件照

5其他情报:

https://mmbiz.qpic.cn/mmbiz_jpg/RjjALhP73GVyTnzqK0LGB2EB3oGX3q1ZXgPWOq5edBEF7veKp6jV8tLiaibkgTQwbWdSg76EUjbAh7Zia4ia3Quiblw/640?wx_fmt=jpeg

https://mmbiz.qpic.cn/mmbiz_jpg/RjjALhP73GVyTnzqK0LGB2EB3oGX3q1ZMoOibSZtgaSMQQHIvUMCSMYylk3C2wvaSjNGXT2kpc09GqfSYNrrfkg/640?wx_fmt=jpeg

无人机侦察拍摄图

https://mmbiz.qpic.cn/mmbiz_jpg/RjjALhP73GVyTnzqK0LGB2EB3oGX3q1ZRYHUYsibIsuraOKy9icgLUPa3l5eML6pibSTqhUsZbesYRTnyWjC34f0Q/640?wx_fmt=jpeg

https://mmbiz.qpic.cn/mmbiz_jpg/RjjALhP73GVyTnzqK0LGB2EB3oGX3q1Zph25y0LvbpTiaRggJrx3icXgibkibWpLIDLicAYiahiaab7XdXBltbI6naHVg/640?wx_fmt=jpeg

https://mmbiz.qpic.cn/mmbiz_jpg/RjjALhP73GVyTnzqK0LGB2EB3oGX3q1ZlKMazm7C4MvjXkIgarF3zvibIdxCDibU1SoeRd8vFgKeCpXEbVWtKKSw/640?wx_fmt=jpeg

https://mmbiz.qpic.cn/mmbiz_jpg/RjjALhP73GVyTnzqK0LGB2EB3oGX3q1Zq73DXqpgEmlic5Uic2AeteyMWw12RZHQRJfTDBqP8fiaaBb4UuFrsWYtg/640?wx_fmt=jpeg

战后废墟图

(备注:以上图片信息均是从2019年7月下旬到9月初,叙利亚网络部队泄露的近3GB数据所得。泄露数据是由360安全大脑对拍拍熊组织FTP服务器信息的分析时观察发现所得。)

兵法有言,知己知彼,百战不殆。在战场上,谁能优先掌握敌人的信息资料,谁就拥有了天然优势。

叙利亚网络部队在初期以开源的RAT、中后期则使用定制化RAT等网络攻击形式,持续在移动端对敌对势力发动监控活动(包括但不限于攻陷网站、社交网络、钓鱼网站、伪装客户端等),从而获取敌人设备的重要军事情报,第一时间掌握敌人动态,并根据情报信息及时调整在实战中的军事战略战术。

(备注:RAT(Remote Access Trojan)是一种特洛伊木马病毒的变体,可以在目标计算机上安装服务器组件的恶意代码。当计算机被感染后,攻击者便可以使用一个简单的客户程序访问目标计算机。)

 

网络战成实战前锋网络部队为其实战胜利打下基础

事实上,在叙利亚网络部队进行网络战的同时,叙利亚政府也进行了一系列军事行动:

  • 2017年开始,叙利亚网络部队针对“伊斯兰国”Al Swarm新闻社网站发动水坑攻击,同年叙利亚政府军联合俄罗斯和伊朗大举攻入伊拉克和叙利亚的战场。被“伊斯兰国”占领的摩苏尔与拉卡两座大城市先后被攻陷,有形的“伊斯兰国”领土几乎消灭。
  • 2019年2月,360烽火实验室发现叙利亚网络部队针对“伊斯兰国”的攻击样本。同年3月23日,“伊斯兰国”在叙利亚国内的最后据点被叙利亚民主力量解放,并宣布伊斯兰国组织完全瓦解,正式灭亡。
  • 2019年7月,叙利亚网络部队针对伊德利卜区域的反对派的网络间谍活动。(位于叙利亚西北部的伊德利卜省,是叙利亚反对派武装和极端组织“征服阵线”在叙境内的最后盘踞之地。)2019年7月至9月期间,政府军也针对伊德利卜区域发起多起军事行动,这在国际上引起了广泛关注。

如上一连串战果再次表明,网络战争可为实战获取情报先机,从而赢得在真实军事战场的进一步胜利。可以说,网络战早已与实战相融合,二者相辅相成,成为新战争形态。

在混乱的内战及各种势力的裹挟中,叙利亚政府针对不同反政府武装组织采取长期的网络攻击活动以获取情报,再配合武力打击,使其在真实战场中得到有效成果。同时,由于获取的情报中包含大量的反政府武装人员信息,这也为今后叙利亚统一后的社会稳定发挥着巨大作用。可以说,叙利亚政府将网络战的作用发挥的淋漓尽致。这或许这也是八年内外夹击中,叙利亚政府仍能“坚守”阵地的一个重要原因。

然而,以上所发现的网络攻击活动,也只是众多网络攻击活动中的冰山一角。如今,网络战在各国博弈中的重要性越发凸显。伴随技术的发展,当数以百亿计的物联网设备、新技术、芯片、云端成为攻击的切入点;国家关键基础设施首当其冲,成为重要攻击目标时,网络战与网络攻击的价值与威力,将远比我们预估的要重要与险峻的多。如何保护网络世界和现实世界的和平与安全,将成为全球国家、组织以及个人共同思考的命题。

 

文章后续补充:

本文重点披露了叙利亚获取网络部队获取的一些情报以及配合网络战叙利亚政府取得了真实世界中军事战争的胜利,这其中叙利亚的两大APT组织——黄金鼠组织与拍拍熊组织,发挥了重要作用。

2018年1月,360威胁情报中心发布了黄金鼠组织(APT-C-27)APT研究报告。报告显示:从2014年11月起,黄金鼠组织就针对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台也从开始的攻击Windows平台逐渐扩展至Android平台。同时,在此次攻击活动中,Android和PC平台的恶意样本主要伪装成聊天软件及一些特定领域常用软件,通过水坑攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。根据PC样本中的PDB的作者信息,最终确定黄金鼠组织为叙利亚网络部队的一个分支。

尤其是在PDB路径中,发现了如“Th3ProSyria”、“aboomar”、“abo moaaz”等名称。在针对PDB路径中相关名称进一步关联,发现FBI网站上曾发布一则针对Ahmed AlAgha因涉嫌参与叙利亚网络部队而被通缉的悬赏公告(如下图9),其常用昵称正是“Th3 Pr0”和“The Pro”。

https://mmbiz.qpic.cn/mmbiz_png/RjjALhP73GVyTnzqK0LGB2EB3oGX3q1ZEDOmKab4ibjJkRj6UUUlxGR8Xgc7T5Q1hwqnGItWgaCr69RkYhvaW2A/640?wx_fmt=png

 FBI针对Ahmed Al Agha的通缉悬赏公告

此外,黄金鼠组织与拍拍熊组织如何在移动端发起监控活动,它们的技术特点有哪些,以及又是如何判定这两大组织隶属于叙利亚网络部队的。更多详细内容,请下载《叙利亚电子军揭秘:管窥网络攻击在叙利亚内战中的作用与影响》报告。

(完)