首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?

360安全衛士 發表於 2019-10-09

網路戰可獲取真實戰場情報先機,敘利亞政府將網路戰的作用發揮的淋漓盡致。


中東地區似乎歷來都不太平,內戰中的敘利亞局勢更加跌宕起伏:


兩天前的10月7日,美國總統川普公開回應讓美軍從敘利亞邊境撤出。


首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?

視訊顯示:美軍在敘軍事基地空無一人

圖片來源:俄羅斯RT視訊機構獲取的視訊


四天前的10月5日,土耳其總統埃爾多安表示,土耳其可能對敘利亞東北部地區發起空中和地面軍事行動。

首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?

圖片來源:CCTV 13新聞視訊截圖


而就在上個月26日,美國國家公共電臺NPR新聞還發布了一則《美國如何入侵ISIS》的文章,公然向大眾講述他們如何利用網路武器掀起一場“兵不血刃”的戰爭。


首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?

圖片來源:NPR 官網截圖


身處戰爭的“風暴眼”,敘利亞這一文明古國可以說是一念天堂,一念地獄,明天它的走向將如何,成為多方勢力與眾多軍事、安全專家學者重點關注的國度。

透過這些新聞,被戰爭陰雲籠罩下的敘利亞政府如何在國內外的勢力裹挾中而不倒?今天,我們就將目光聚焦在這個戰爭“風暴眼”的國家以及其神祕的敘利亞網路部隊。在逐層披露中,智庫發現敘利亞政府可謂是將網路戰中情報收集的手段發揮的淋漓盡致,同時也再次感受到“網路戰可獲取真實戰場的情報先機”這一論斷。

首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?


豈止於一場內戰  國內外多股勢力紛紛入場


故事的起因還要回溯到九年前,當時中東地區多國接連爆發阿拉伯之春運動。受其影響,2011年1月26日,敘利亞爆發大規模反政府示威,繼而敘政府軍和反對派武裝爆發軍事衝突,引發大規模內戰。

據2013年12月報導,有多達1,000個敘利亞反政府武裝團體存在。其一為敘利亞反對派和革命力量全國聯盟,及其臨時政府。另一個為有著強烈宗教色彩的伊斯蘭主義武裝組織,包括伊斯蘭國在內的伊斯蘭恐怖組織以及尋求擺脫外族統治的庫爾德族武裝組織。


為了更方便的理解後續文章,這裡對兩大組織進行簡單介紹:根據維基百科介紹,敘利亞反對派和革命力量全國聯盟是敘利亞內戰中“自由全國變革運動”、“伊斯蘭祖國運動”、“解放和發展集團”、“土庫曼全國集團”和“庫爾德新生活運動”組建的聯盟,成立於 2012年11月11日。伊斯蘭國(Islamic State,簡稱IS),前稱“伊拉克和沙姆伊斯蘭國”(Islamic State of Iraq and al-Sham,簡稱ISIS),是一個活躍在伊拉克和敘利亞的薩拉菲聖戰主義組織以及未被世界廣泛認可的政治實體,奉行極端保守的伊斯蘭原教旨主義瓦哈比派,屬遜尼宗的一脈。


同時,反對派武裝力量還獲得國外大量援助:西方國家(特別是美國)和遜尼派國家(以土耳其和以色列為代表),支援敘利亞反對派;伊朗和俄羅斯則大力支援敘利亞政府。大國的介入讓敘利亞這場內戰,成為遜尼派與什葉派之間,以及美國與俄羅斯之間的新的角力場。


首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?

2019年7月30日敘利亞各組織勢力分佈


首個設立公共網際網路並發動網路攻擊的國家組織

敘利亞網路部隊在憂患中誕生


面對如此棘手又強大的內憂外患,您或許也要發問:

岌岌可危的敘利亞政府該如何謀得“生存”,又如何在八年內戰中一點點求取勝利?


2014年4月,在一次敘利亞反政府抗議活動升級後,一個名為Syrian Electronic Army,簡稱SEA的組織出現在Facebook上,以支援政府的敘利亞總統巴沙爾·阿薩德。從這天起,聲名赫赫的敘利亞網路部隊誕生。


首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?


值得注意的是,2011年5月5日,敘利亞計算機協會註冊了敘利亞網路部隊的網站(syrian-es.com)。由於敘利亞的域名序號產生器構註冊了黑客網站,一些安全專家推測,該組織由敘利亞國家監管。雖然,當時的敘利亞網路部隊在其網頁上聲稱其不是官方實體,而是一群熱愛自己國家的年輕人並決定以電子方式反擊那些襲擊敘利亞網站的人和那些敵視敘利亞的人。


但,隨即在22天后的5月27日,一個“新頁面”取代了原來的“舊頁面”。在“新頁面”上刪除了它“不是一個官方實體”的描述,只說明瞭它是由一群年輕的敘利亞愛好者建立的,以打擊那些利用網際網路,特別是利用Facebook在敘利亞“散佈仇恨”和“破壞安全”的人。


從這個轉變上來看,可以說,敘利亞網路部隊不僅是首個在其國家網路上設立公共網際網路軍隊以公開對其敵人發動網路攻擊的阿拉伯國家組織。同時,它的定位標籤已經註定自成立起,它便發揮起網路監控與攻擊的作用,承擔為敘利亞政府收取重要的戰爭資訊情報,威懾西方國家的職責。


持續發動APT攻擊   敘網路部隊為政府獲取實戰情報


事實上,敘利亞網路部隊的種種表現不曾讓人失望。經360烽火實驗室捕獲發現,敘利亞網路部隊旗下擁有兩大網路部隊組織並發動過兩起攻擊:黃金鼠組織(APT-C-27)和拍拍熊組織(APT-C-37)。這兩大組織通過對敘利亞國內反對派組織有計劃、有針對性的長時間不間斷的監控攻擊活動,讓敘利亞政府軍掌握了敵對勢力大量一手的重要軍事情報,具體包括以下重要資訊:


1、重磅情報:自由敘利亞作戰軍隊資訊


此為自由敘利亞軍隊第一軍團13師133旅Excel表記錄,其中包括了部分城鎮的指揮、總部、營地、特殊建築的航點號碼和航點影象等重要資訊。此表格令敘利亞政府掌握敵人部分軍情。該表格最後儲存日期為2019年7月14日。


首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?

第一軍團第13師133旅部分航點資料和文件屬性



2、重磅情報:包含經緯度的交戰區圖


從經緯度可以發現其指向了敘利亞反對派與政府軍作戰區域伊德利卜附近。從圖片的清晰度來看,該圖足可以令敘利亞政府推斷出反動派在使用無人機拍攝來獲取情報。


首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?

左邊為洩露圖片,右邊為同樣座標的google地圖


3、重磅情報:


俄羅斯駐拉塔基亞空軍基地下圖座標位置為巴塞勒·阿薩德國際機場,該機場坐落在距地中海城市拉塔基亞20餘公里的小鎮赫梅明,被稱為拉塔基亞空軍基地,或赫梅明空軍基地。這裡正是俄羅斯駐拉塔基亞空軍基地。可見,敘利亞反動派可能已經盯上該空軍基地,敘利亞政府軍及時獲取此圖能及早做好軍事防備。

首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?

左邊為洩露圖片,右邊為同坐標的google地圖


4、重磅情報:大量手持證件照


在敘利亞網路部隊獲取的資訊中,有大量手持證件照,若這些照片為敘利亞反對派士兵照片,那它無疑將是一張張最為準確無誤的通緝畫像,為敘利亞政府精準捕獲敵對士兵,起到重要作用。


首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?

手持證件照


5、其他情報:


首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?

首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?

無人機偵察拍攝圖


首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?

首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?

首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?

首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?

戰後廢墟圖


(備註:以上圖片資訊均是從2019年7月下旬到9月初,敘利亞網路部隊洩露的近3GB資料所得。洩露資料是由360安全大腦對拍拍熊組織FTP伺服器資訊的分析時觀察發現所得。)


兵法有言,知己知彼,百戰不殆。在戰場上,誰能優先掌握敵人的資訊資料,誰就擁有了天然優勢。


敘利亞網路部隊在初期以開源的RAT、中後期則使用定製化RAT等網路攻擊形式,持續在移動端對敵對勢力發動監控活動(包括但不限於攻陷網站、社交網路、釣魚網站、偽裝客戶端等),從而獲取敵人裝置的重要軍事情報,第一時間掌握敵人動態,並根據情報資訊及時調整在實戰中的軍事戰略戰術。


(備註:RAT(Remote Access Trojan)是一種特洛伊木馬病毒的變體,可以在目標計算機上安裝伺服器元件的惡意程式碼。當計算機被感染後,攻擊者便可以使用一個簡單的客戶程式訪問目標計算機。)


網路戰成實戰前鋒  網路部隊為其實戰勝利打下基礎


事實上,在敘利亞網路部隊進行網路戰的同時,敘利亞政府也進行了一系列軍事行動:


  • 2017年開始,敘利亞網路部隊針對“伊斯蘭國”Al Swarm新聞社網站發動水坑攻擊,同年敘利亞政府軍聯合俄羅斯和伊朗大舉攻入伊拉克和敘利亞的戰場。被“伊斯蘭國”佔領的摩蘇爾與拉卡兩座大城市先後被攻陷,有形的“伊斯蘭國”領土幾乎消滅。


  • 2019年2月,360烽火實驗室發現敘利亞網路部隊針對“伊斯蘭國”的攻擊樣本。同年3月23日,“伊斯蘭國”在敘利亞國內的最後據點被敘利亞民主力量解放,並宣佈伊斯蘭國組織完全瓦解,正式滅亡。


  • 2019年7月,敘利亞網路部隊針對伊德利卜區域的反對派的網路間諜活動。(位於敘利亞西北部的伊德利卜省,是敘利亞反對派武裝和極端組織“征服陣線”在敘境內的最後盤踞之地。)2019年7月至9月期間,政府軍也針對伊德利卜區域發起多起軍事行動,這在國際上引起了廣泛關注。


如上一連串戰果再次表明,網路戰爭可為實戰獲取情報先機,從而贏得在真實軍事戰場的進一步勝利。可以說,網路戰早已與實戰相融合,二者相輔相成,成為新戰爭形態。


在混亂的內戰及各種勢力的裹挾中,敘利亞政府針對不同反政府武裝組織採取長期的網路攻擊活動以獲取情報,再配合武力打擊,使其在真實戰場中得到有效成果。同時,由於獲取的情報中包含大量的反政府武裝人員資訊,這也為今後敘利亞統一後的社會穩定發揮著巨大作用。可以說,敘利亞政府將網路戰的作用發揮的淋漓盡致。這或許這也是八年內外夾擊中,敘利亞政府仍能“堅守”陣地的一個重要原因。 


然而,以上所發現的網路攻擊活動,也只是眾多網路攻擊活動中的冰山一角。如今,網路戰在各國博弈中的重要性越發凸顯。伴隨技術的發展,當數以百億計的物聯網裝置、新技術、晶片、雲端成為攻擊的切入點;國家關鍵基礎設施首當其衝,成為重要攻擊目標時,網路戰與網路攻擊的價值與威力,將遠比我們預估的要重要與險峻的多。如何保護網路世界和現實世界的和平與安全,將成為全球國家、組織以及個人共同思考的命題。


文章後續補充:


本文重點披露了敘利亞獲取網路部隊獲取的一些情報以及配合網路戰敘利亞政府取得了真實世界中軍事戰爭的勝利,這其中敘利亞的兩大APT組織——黃金鼠組織與拍拍熊組織,發揮了重要作用。


2018年1月,360威脅情報中心釋出了黃金鼠組織(APT-C-27)APT研究報告。報告顯示:從2014年11月起,黃金鼠組織就針對敘利亞地區展開了有組織、有計劃、有針對性的長時間不間斷攻擊。攻擊平臺也從開始的攻擊Windows平臺逐漸擴充套件至Android平臺。同時,在此次攻擊活動中,Android和PC平臺的惡意樣本主要偽裝成聊天軟體及一些特定領域常用軟體,通過水坑攻擊方式配合社會工程學手段進行滲透,向特定目標人群進行攻擊。根據PC樣本中的PDB的作者資訊,最終確定黃金鼠組織為敘利亞網路部隊的一個分支。


尤其是在PDB路徑中,發現瞭如“Th3ProSyria”、“aboomar”、“abo moaaz”等名稱。在針對PDB路徑中相關名稱進一步關聯,發現FBI網站上曾釋出一則針對Ahmed AlAgha因涉嫌參與敘利亞網路部隊而被通緝的懸賞公告(如下圖9),其常用暱稱正是“Th3 Pr0”和“The Pro”。


首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?

 FBI針對Ahmed Al Agha的通緝懸賞公告


此外,黃金鼠組織與拍拍熊組織如何在移動端發起監控活動,它們的技術特點有哪些,以及又是如何判定這兩大組織隸屬於敘利亞網路部隊的。更多詳細內容,請點選http://zt.360.cn/1101061855.php?dtid=1101062514&did=610327354下載《敘利亞電子軍揭祕:管窺網路攻擊在敘利亞內戰中的作用與影響》原文。



關注“國際安全智庫”公共號

瞭解更多國內外網路空間安全資訊


首度揭祕敘利亞網路部隊:如何穿梭在戰亂中獲取情報?