伊朗與美國之網路衝突
2019.10.18
瀏覽數
160
壹、新聞重點
2019年10月4日微軟(Microsoft)揭露,在8月至9月為期30天的時間內,由國家支持的伊朗駭客團體「磷光」(Phosphorous)對241個帳號發動超過2,700次的攻擊,這些帳號包括現任及已去職的美國政府官員、採訪總統選舉的記者、以及與某選舉陣營相關的帳號。微軟指出,有4個帳號的電子郵件信箱被成功侵入,但這些帳號並不屬於特定選舉陣營。
擔任過美國參謀首長聯席會議主席(Chairman of the Joint Chiefs of Staff)特別助理的資安專家貝特曼(Jon Bateman)指出,伊朗駭客攻擊美國政府官員的帳號並非偶一為之,而是例行活動。[1] 事實上,自2009年以來,伊朗與美國一直都在網路空間交鋒,此波對於美國2020年總統選舉相關帳號的網路攻擊,也應將其置於美伊兩國長期網路衝突的脈絡下來理解。
貳、安全意涵
一、伊朗積極發展網路力量
2006年伊朗重啟核計畫,此舉將破壞中東地區和平並加速核武器的擴散。為阻撓伊朗發展核武,美國與以色列決定以電腦病毒破壞伊朗的核設施,兩國共同發展出名為「震網」(Stuxnet)的電腦病毒,並由特工潛入伊朗位於納坦茲(Natanz)的核設施植入。「震網」病毒透過變更工業控制程序,讓生產濃縮鈾的離心機異常加速,在2009年的上半年造成納坦茲1,000部離心機損毀,伊朗核計畫受到重挫。「震網」病毒在2010年6月首次被網路安全公司發現,伊朗才恍然大悟其核設施是如何被破壞的。
在受到「震網」事件的刺激,也見識到網路武器的強大威力之後,伊朗更是大力發展網路力量,在短短數年內,伊朗的網路實力大幅躍進。從2011年12月到2013年5月,伊朗駭客攻擊美國46家金融機構,造成數千萬美元損失,並意圖控制紐約市鮑曼水壩(Bowman Dam)的電腦系統,因此,美國司法部於2016年3月將7名伊朗駭客起訴。除了美國以外,中東地區也是伊朗駭客攻擊的主要目標,在2012年,沙烏地阿拉伯國家石油公司(Saudi Aramco)便遭到伊朗駭客以「沙姆」(Shamoon)電腦病毒攻擊,造成該公司3萬台電腦的資料被破壞,嚴重影響世界能源安全。由於伊朗駭客不斷侵襲美國與中東,在美國於2018年9月發布關於網路戰略的兩份重要文獻中,〈2018國防部網路戰略摘要〉(Summary of the 2018 Department of Defense Cyber Strategy)點名伊朗威脅美國利益;《美國國家網路戰略》(National Cyber Strategy of the United States of America)更將伊朗與北韓稱為流氓國家(rogue state)。 [2]
二、伊朗此波網攻疑似刺探美國外交政策走向
資安專家貝特曼指出,伊朗駭客此波攻擊美國政府官員以及與總統選舉有關人士的帳號,或許有影響2020年美國總統選舉的意圖,但主要目的應該是想要瞭解美國未來外交政策的可能走向。美國在2018年5月退出〈伊朗核協議〉(Joint Comprehensive Plan of Action, JCPOA)之後,隨即恢復對伊朗的經濟制裁,在2019年更加大制裁力道,5月3日起全面禁止世界各國對伊朗採購石油,6月28日更宣布會對任何進口伊朗石油的國家進行制裁,且不會有豁免機制。美國的制裁切斷伊朗石油收益,致其經濟嚴重衰退,因此伊朗駭客在8月至9月進行的網攻,很有可能是為了探知美國總統選舉各方陣營對於核協議、經濟制裁、伊朗與沙烏地阿拉伯的衝突、以及中東其他國家如敘利亞、葉門等議題的態度。這些議題對於伊朗至為重要,伊朗必須瞭解2020年以後美國對這些問題的可能處理方式,以預作準備。 [3]
參、趨勢研判
一、伊朗的網路攻擊行為將持續進行
在伊朗大力發展網路力量之後,伊朗網軍已經頗具規模。目前已知的數個伊朗駭客團體會彼此分工,例如APT33與APT35主要針對工業設施進行破壞性攻擊;APT34與APT39則是多以竊取個資方式進行間諜活動。資安專家指出,伊朗駭客團體的技術屬於中段水準,通常使用可以公開取得的網路工具和已知的系統漏洞進行攻擊,所以較難被辨識出來。雖然伊朗駭客的技術並非頂尖,只要電腦系統有定期更新或是以防毒軟體保護就可以抵擋,但其攻擊仍有一定的成功率,過去也曾造成重大損失。可以預判,在伊朗的軍事力量無法與美國抗衡之下,網路攻擊仍是伊朗必須仰賴的手段,伊朗將會持續以網路攻擊的方式襲擊美國與中東地區。[4]
二、美國將以網攻報復伊朗
伊朗於2019年6月13日在阿曼灣(Gulf of Aman)襲擊兩艘油輪,6月20日在波斯灣以防空飛彈擊落美軍無人偵察機RQ-4A「全球鷹」(Global Hawk),這些攻擊行動讓美國忍無可忍。在美軍無人偵察機被擊落後,川普同意美國網路司令部(USCYBERCOM)在6月20日對伊朗情治單位及飛彈發射系統進行網攻,唯伊朗宣稱此次攻擊行動並未成功。[5] 另外,川普也批准在6月20日對伊朗實施報復性軍事攻擊,當時執行任務的戰機已升空,水面艦艇也已就位,但川普最後撤銷此次行動。川普6月21日表示,他在攻擊發起前10分鐘得知,攻擊行動可能造成150人死亡,與美國損失一架無人機相較,並不符合比例原則,因此決定撤銷攻擊命令。
伊朗在2019年9月14日又以無人機攻擊沙烏地阿拉伯國家石油公司兩處油田及石油設施,再次踩到美國紅線。10月10日一艘伊朗油輪在沙烏地阿拉伯外海遭到兩枚飛彈擊中,外媒猜測此乃沙國所為,若此攻擊非由美國發動,則美國自從6月20日以後,尚未對伊朗採取反擊行動。如果要符合川普所強調的比例原則,合理的推測是美國將會再次以網路攻擊進行報復,美國這段時間的沉默很可能是在為接下來的網路攻擊做準備,包括選定攻擊目標、調查系統漏洞、以及規劃甚至開發所要使用的網路工具等。一旦美國做好網攻準備,類似「震網」的事件或許會在伊朗再度發生。
[1]Nicole Perlroth and David E. Sanger, “Iranian Hackers Target Trump Campaign as Threats to 2020 Mount,” New York Times, October 4, 2019, https://reurl.cc/ObvEMD; Andrew Eversden, “Iran-backed hack attempt on government officials ‘completely routine activity’,” Fifth Domain, October 5, 2019, https://reurl.cc/lLDZQq.
[2]關於「震網」病毒,請見〈「震網」病毒的震撼〉,《每日頭條》,2016年11月29日, https://kknews.cc/zh-tw/news/89ly2le.html。關於伊朗駭客對於美國及中東的攻擊,請見 Eric Chabrow, “7 Iranians Indicted for DDoS Attacks Against U.S. Banks,” Bank Info Security, March 24, 2016, https://reurl.cc/1Q10bm,以及Kate Fazzini, “The Saudi oil attacks could be a precursor to widespread cyberwarfare - with collateral damage for companies in the region,” CNBC, September 21, 2019, https://reurl.cc/b69GY3.
[3]Andrew Eversden, “Iran-backed hack attempt on government officials ‘completely routine activity’,” Fifth Domain, October 5, 2019, https://reurl.cc/VaLRMZ.
[4] Kelly Jackson Higgins, “Iran Ups its Traditional Cyber Espionage Tradecraft,” Dark Reading, January 30, 2019, https://reurl.cc/RdzOex; Jai Vijayan, “Iranian Hacker Group Waging Widespread Espionage Campaign in Middle East,” Dark Reading, July 25, 2018, https://reurl.cc/pD6Z9Z.
[5]Julian E. Barnes and Thomas Gibbons-Neff, “U.S. Carried Out Cyberattacks on Iran,” New York Times, June 22, 2019, https://reurl.cc/D1AXKE; Bozorgmehr Sharafedin, “U.S. cyber attacks on Iranian targets not successful, Iran minister says,” Reuters, June 24, 2019, https://reurl.cc/Na0Gbk.