暗网的定义总是让人们将其与犯罪活动联系在一起。但是,这种刻板印象有时可能被过分简化了。
尽管有一些客观明确的犯罪参数,但也有一个灰色地带 —— 由出于政治动机的特工组成,他们可能会或可能不会犯通常定义的罪行,但是,仍会采取有效的行动来影响和推进自己制定的议程。
这些团体,包括民族国家行动者 —— 具有网络战任务的国家资助的黑客 —— 值得研究。
为什么民族国家行为者转向暗网?
暗网提供了任何人都可以在其中操作的匿名环境。对于民族国家行为者来说,在这种匿名程度的掩盖下可以实现许多关键目标。
民族国家网络行为者将利用暗网进行情报收集和资源开发、针对政府和企业的间谍活动、漏洞获取和开发、地缘政治影响力的虚假信息战、基础设施破坏和财务收益。
1、情报和间谍活动 —— 基于网络的信息作战的早期工作是由美国政府的国家安全局(NSA)和中国人民解放军(PLA)进行的。
美国国家安全局使用信息行动来收集外国对手的秘密情报,中国则以其广泛的间谍活动和知识产权盗窃活动而闻名,并取得了巨大成功。
这包括监视其本国公民,人们使用暗网试图绕开国家控制。
2、基础设施破坏 —— 由国家资助的针对其他国家的网络战行动已经广泛传播,主要针对包含敏感政府或公司信息以及战略计划的网络。
2015年底,俄罗斯展示了对关键基础设施(例如 电信、公用事业等)和信息网点进行的攻击能力,这会破坏一个国家整体,并在克里米亚持续冲突期间对乌克兰进行黑客攻击。
不要错过《核武器和网络攻击究竟哪个更可怕?》
美国国土安全部和多位网络安全研究人员已经发现并报告了除俄罗斯之外的其他基于网络的渗透美国主要公用事业基础设施的尝试。
3、激进主义和政治宣传 —— 无论是中东的宗教分歧还是南中国海的意识形态差异,政治激进主义和宣传数十年来一直是民族国家的有效武器。
不要错过《如何从 Matrix 中醒来?》
《在线宣传战的结果》
更多内容!列表- 3 “斗智”
随着社会转向持续的数字通信,网络已成为此类信息战活动的首选媒介。
不论大小,所有民族国家都利用网络活动来做所有事,从宣传议程到在暗网中的活动、以及在整个社交媒体平台上鼓吹代理国。
4、漏洞获取和开发 —— 在暗网论坛和加密聊天中你经常能找到很多讨论黑帽漏洞的东东。
这些系统漏洞已针对所有类型的关键操作系统和UNIX发行版进行了详细说明和共享。暗网为匿名研究和测试源代码的需求提供了宝贵的资源。
5、盈利能力 —— 面临美国和联合国极端经济制裁的国家正在转向暗网谋求经济利益。
近年来,朝鲜已经成功地在整个东亚地区发起了全国性的银行系统黑客攻击活动。
在暗网中的民族国家行为者会怎么做?
在过去的几年中,DarkOwl 研究人员指出,民族国家越来越多地将暗网用作各种关键情报和网络军事战役的基于信息的战场。
在数字信息运营时代,有三个 *主要民族国家行为者*:美国、俄罗斯和中国。
尽管美国、俄罗斯和中国确实在以网络为中心的金融资源和人力方面仍然明显领先,但由于近年来泄漏的高级漏洞以及进行的逆向工程,已经出现了鲜为人知的民族国家的大量崛起。
分析:估算暗网上能力最强的民族国家行为者(按国家/地区)
全球网络战气候的背景
现代网络战的谱系远比人们所认为的来自一战期间的信息战和宣传战运动的谱系要古老得多。
信息战和宣传战是自第二次世界大战以来广泛使用的概念,美国人和英国人有效地利用宣传来影响世界各地的态度。
不要错过我们的专栏 “心理战和信息战”,它收集在 列表-3 “斗智” 中
从那时起,宣传战就一直秘密地和公开地用于影响地缘政治事件和人口。
不只俄罗斯的巨魔农场,美国政府也已经根据军事领域的手册和标准操作程序对数字领域的信息操作进行了精心设计和建立。
上面这本书在这里下载:https://t.me/iyouport/6745
上面这本书在这里下载:https://t.me/iyouport/6847
上面这本书在这里下载:https://t.me/iyouport/6854
建立网络超级大国:金钱、人力、技能和影响力
DarkOwl 已沿着上述轴线估计了暗网中国家行为者的相对能力。
分析师用来确定一个国家的网络力量程度的四个变量是:金钱、国际影响力、人力和技能 —— 美国、俄罗斯和中国在这四个类别中均处于领先地位。
这三个国家都拥有可支配的大量资本,以及支持网络相关研究的学术基础设施,并在经济世界舞台上拥有强大的影响力。
根据这四个变量评估另外的16个主要民族国家,可以洞悉它们在暗网中的存在,以及以网络为武器的优势。
但是,随着曾经完全属于美国国家安全局和中央情报局的网络间谍工具被曝光,以前实力较弱的国家现在也有能力把自己武装成强国,并获得它们以前无法获得的影响力。
不断变化的景象:民族国家行为者在暗网上使用的新工具
1、Shadow Brokers 和 Vault 7/8 的泄漏
2016年夏天,神秘的黑客组织 Shadow Brokers(影子经纪人)开始发布多套由美国国家安全局使用的 “ops磁盘”(工具包),自2013年以来,他们使用持久访问进行了恶意收集。
前所未有的数据使人们可以洞悉NSA的 TAO 这个世界上最复杂的黑客组织的内部运作情况。
这些磁盘包括 UNITEDRAKE的 “完全可扩展的远程收集系统”,爱德华·斯诺登(Edward Snowden)发布的数据中也提到了这些磁盘。
这种可自定义的恶意软件发音为 “United Rake”,支持间谍活动和大规模监视,具有捕获IP摄像机、麦克风输出、记录键盘输入、访问外部驱动器数据的功能。
该工具集还提供了独特的能力,可以掩盖攻击的源头,有效地将攻击归因于另一个国家或黑客组织。
此后不久,Wikileaks 发布了CIA臭名昭著的Vault 7和Vault 8,其中包括有史以来从CIA泄露的最大的机密文件之一。
其中 Vault 7 讨论了CIA 远程设备组 Remote Device Branch 的 UMBRAGE 项目中展示的复杂的假旗操作,该项目中收录了多种恶意软件攻击技术,以及 Weeping Angel —— 它利用了诸如智能电视之类的物联网设备作为间谍途径。
您以为电视机已经关上了,但事实上并没有,它在录音,永远监视你全家。更多详见《零日漏洞和 CIA 黑客工具》
CIA Vault 8最明显的泄漏是HIVE,这是一个多平台CIA恶意软件植入框架,带有其相关的控制软件。该项目为 Windows、MikroTik(用于互联网路由器),Sun Solaris 和 Linux 平台提供了隐藏的可定制 “植入物”。
HIVE 还包括一个全面的监听站(LP)和命令与控制(C2)基础结构,以与这些植入物进行通信,这些植入物已经被广泛研究,并且现在处于各种技术水平的各个国际黑客组织的武器库中,从业余黑客到高级网络战中的民族国家行为者。
“有了 UMBRAGE 和相关项目,中央情报局不仅可以增加其攻击类型的总数,而且,可以通过留下假旗来误导攻击归属。UMBRAGE 组件涵盖了键盘记录程序,密码收集,网络摄像头捕获,数据破坏,持久性,特权提升,隐身,避免防病毒软件(PSP)和调查技术。”
这些间谍工具泄漏如何重新定义了民族国家行为者的竞争环境
这些NSA和CIA的高端间谍工具的泄漏源码随时可用,并在暗网社区中进行了广泛的讨论。
YouTube 上的暗网爱好者发布了可下载的视频,引导观众了解这些高级漏洞利用的细节。
在美国、中国和俄罗斯继续开发新的甚至更先进的网络武器的同时,由于这些漏洞,具有新兴网络能力的其他民族国家行为者现在可以拥有攻击其他国家网络基础设施的丰富资源和知识。隐藏了攻击的真正来源。
此类工具的可用性使有关民族国家攻击归因的许多网络安全报告受到质疑。
例如,去年10月初,微软报告说,整个夏天他们目睹了针对现任和前任美国政府官员、报道全球政治的记者、以及居住在伊朗境外的著名伊朗人的 “重大” 攻击活动。
微软组织“ Phosophorous”进行了2700多次尝试试图识别基于特定目标人物的攻击。该组织据信来自伊朗,不分青红皂白地攻击了个人和工作电子邮件地址,攻击还包括企图渗入特朗普的竞选连任。
最近,国家安全局(NSA)透露,著名的俄罗斯黑客组织 Turla group 在最近几个月中采用了伊朗的工具,并对数十个国家的各种行业进行了多次攻击。
利用伊朗开发的 Nautilus 和 Neuron 恶意软件,以及俄罗斯自己的一个名为 Snake 的工具包,Turla 可以通过搜寻目标网络中伊朗黑客植入的后门来获取针对目标的访问权限。再次,进一步混淆了攻击归因。
在暗网上检测民族国家行为者
就像人们会怀疑的那样,民族国家行为者并没有立即在暗网上显现出来。当一个民族国家对实体发起攻击或窃取关键信息时,他们几乎不需要也不愿将该数据出售或通过匿名网络转储。
同样,除非出于心理疏导的唯一目的,否则政府不会说出情报收集行为或执法活动。
在花费了过去五年的时间来存档暗网匿名服务并与暗网社区进行交互之后,DarkOwl 分析师确定了许多民族国家行为者的 “指纹”。
上图中这本书在这里下载:https://t.me/iyouport/6857
研究将这些指纹视为既是与国家行为者使用匿名网络相关的迹象,也是其动机。
暗网民族国家行为者有一些关键指纹,与他们对暗网的积极使用相关。
a)民族国家行为者使用暗网购买和窃取网络漏洞
民族国家行为者从地下市场获取被公开的网络漏洞,以进行逆向工程 —— 经常成功构建间谍软件以应对针对政府或关键基础设施网络的任何攻击。
冒充漏洞买家的民族国家行为者的关键标志是,他们可获得大量预算和财政资源来购买所提供的商品。
常规的暗网用户会定期讨论“tells”,以检测网络上的警察和/或政府间谍。
b)民族国家行为者获得敌对政府和其他具有地缘政治或军事利益的实体的凭证。
例如,暗网上充斥着 US* .gov 电子邮件地址,可利用这些电子邮件地址进行暴力网络入侵或针对性的网络钓鱼活动。
目前为止 DarkOwl Vision 已经检测到超过 550000 个暗网网页,其凭据包括 .gov 电子邮件地址。
伊朗在泄漏凭证和网络信息方面在民族国家行为者中占很大比重,但是无法轻易辨别此信息是否已经被另一民族国家行为者或警惕性黑客团队泄漏。
c)精心设计的鱼叉式网络钓鱼攻击活动不仅被针对公司网络的犯罪分子所利用,而且民族国家行为者也将其用于政治和军事议程。
最近的报道表明,朝鲜利用中国的模式通过数字间谍活动来促进技术发展,从而成功地利用网络钓鱼攻击来获取众多学术研究组织和美国关键智囊团的访问权限。
在 STOLEN PENCIL 行动中,朝鲜针对斯坦福大学的核计划、核扩散和警察小组。攻击基础设施与朝鲜进行的其他活动重叠。此活动中使用的IP地址之一(157.7.184.15)还托管了 bigwnet [.] com 域,该域用作恶意软件 “ BabyShark” 的命令和控制基础结构。
今年早些时候,研究专家在有针对性的网络钓鱼活动中检测到一个位于伊朗的IP地址(5.160.246.99)与英国政府域的列表相关联,特别是涉及英国的税收与海关(HMRC)部门。
d)民族国家行为者利用暗网对对手的基础设施进行攻击
2017年,伊朗对沙特阿拉伯这个世界最大石油生产国之一的阿美公司(Aramco)的安全系统进行了网络攻击。
黑客使用 Triton 恶意软件来更改这些设施的安全控制器之一,从而导致该控制器关闭了未定义的工业流程。
2015年,俄罗斯在政治抗议活动中成功展示了关闭乌克兰电网的能力。俄罗斯还被认为是对爱尔兰能源网络的多次攻击的幕后黑手,这可能是计划用来对付更多强大对手的攻击开发的试验场。
美国 CYBERCOM 最近发布的消息显示,美国已成功在俄罗斯电网中植入了隐蔽恶意软件,以在未来发生袭击事件时动态中断俄罗斯的基础设施。
在2019年夏天,即 Black Hat 2019 即将发布之前,微软在4月报告称其威胁情报中心发现了针对物联网设备的针对性攻击,这些攻击包括IP语音电话(VOIP)、打印机和视频解码器。该攻击使用这些设备作为更广泛的公司网络的软访问点,攻击了多个位置。
三台设备中的两台仍具有出厂安全设置,而第三台设备的软件尚未更新。
微软将这次袭击归因于一个名为 Strontium 的俄罗斯组织,该组织名为 Fancy Bear。网络安全研究人员已将该组识别为APT28。
年底,同一个国家赞助的黑客组织据称由俄罗斯政府实施的黑客攻击有关。Fancy Bear 还是物联网黑客攻击的关键(根据 Microsoft)。
e)民族国家利用暗网通过消灭政治对手来获得政治影响力
根据 Mueller 的报告,Guccifer 2.0 在2016年竞选中成功曝光了DNC,并且所获得的信息已被发布以影响美国大选。
Tor的 DoxBin 上有许多重要国际人物的骗子。doxbwurbe475dm5i [.]onilon。同样,特朗普也被暗网服务 Cebolla 和 DoxBin 的众多泄露其信息的事件所困扰。
f)暗网政治宣传
有效使用宣传是成功开展信息战行动的关键特征。
有关政治或军事对手的恶意信息可能会在关键时刻泄露,从而影响结果和公众舆论。
暗网包含了无数实例,其中来自国家的政府数据已泄漏到隐藏的论坛和粘贴站点以获取政治利益和国际影响力。
同样,《卫报》报道说,这是沙特阿拉伯的一个网络安全部门,因《卫报》批评性地报道了KSA 谋杀华盛顿邮报记者贾迈勒·卡舒吉(Jamal Khashoggi)事件而被命令“入侵”卫报计算机网络。
g)暗网中民族国家行为者最基本的特征之一就是情报收集
以色列摩萨德和美国中央情报局(CIA)在暗网论坛、聊天室和互联网中继聊天室中进行了关键的人工情报 HUMINT 收集工作,这是众所周知的“秘密”。暗网中经常有人讽刺美国和以色列的情报人员。
美国的关键防御技术已经在暗网上被公开,可供外国对手用于情报收集和逆向工程。例如,去年,MQ-9 收割者无人机和其他军事文件出现在暗网上被出售,并且得到广泛传播。这些敏感信息是从美国空军上尉的计算机上被偷走的。
以色列的 Whatsapp 情报收集工具 Peagsus 已在45个不同的国家/地区部署,用于手机监控,甚至出售给沙特阿拉伯,以更隐蔽的情报收集方式监视该国的潜在异议人士。
上图中的文档在这里下载:https://t.me/iyouport/6379
俄罗斯承包商最近遭到黑客入侵,SyTech讨论了Tor去匿名化的工作,这可能揭示暗网中访问者和隐藏服务主机的真实身份。
《可怜正义没有钱》
民族国家代理与网络恐怖主义
随着暗网上不断变化的威胁形势,国家背景的攻击者正在转向利用代理(工具和人),并利用暗网上的“恐怖分子”部分发动攻击并避免归因。也就是选择利用私人“承包商”来代表他们进行攻击操作。
俄罗斯拥有最广泛的网络雇佣兵和私人承包商。10月下旬,来自英国的报告表明,国家网络安全中心发现,受俄罗斯政府保护的网络犯罪组织 Turla Group 劫持了一个据称由国家支持的伊朗黑客组织,称为 OilRig 或 APT34,随后对35个国家进行了袭击。
7月份,该黑客团队使用代码字符串 “TrumpTower” 针对了美国政治团体,再加上上面的情报,就可以推断他们可能与所谓的伊朗 Phosophorous 有关。
俄罗斯的承包商也活跃在Tor内部。去年早些时候,以ov1Ru $名义的黑客入侵了俄罗斯情报承包商,并窃取了7.5TB的FBS相关数据,暴露FBS以及承包商使用TOR网络进行的活动:针对Tor匿名程序的秘密程序,承包商的程序 Nautilus-S 伪装成Tor匿名网络中的恶意出口节点。
该承包商与俄罗斯空军和间谍部门 FSB 71330 密切合作,在2010年还推出了另一个名为 Nautilus 的程序,该程序从 Facebook、Twitter、LinkedIn 等平台的用户中获取社交媒体数据。
也许俄罗斯正在模仿美国国家安全局与其商业承包商的关系来模仿其行为。例如,博思艾伦 Booz Allen Hamiliton(BAH)与情报界有着不可或缺的联盟,其中包括数百名(如果不是数千名的话)情报和网络安全专家与NSA一起工作。
NSA在近代史上的大量情报泄漏都是由诸如 Edward Snowden 和 Reality Winner 之类的承包商推动的,这些承包商都有敏感的隔离信息访问权限,并且在 BAH 任职期间代表美国政府积极参与。
国家安全局和其他关键情报组织将继续寻求机构外部承包商的支持,以实现他们对国家威胁情报的总体目标。
恐怖分子暗网中技术的不断变化
全球恐怖主义经常在某些国家的财政和政治推动下,在暗网上不断变化,对地缘政治事件和政策以及不断变化的技术具有反应性。
ISIS,基地组织、黎巴嫩真主党等许多大型极端主义组织已宣布自己为 “民族国家”,并充斥着渴望完成其军事资源的项目‘,例如网络军队和战术黑客团队。
在西方,关于这种准民族国家在暗网上的真实活动,与公开报道存在很多矛盾。
几年前,ISIS被评估为广泛使用匿名网络来掩盖其成员和新兵的位置和身份。还用于访问许多隐藏服务,包括与 Daesh 相关的内容,即ISIS的阿拉伯语缩写,包括招募和恐怖主义宣传材料。
虽然使用Tor之类的匿名网络将来在公开招募恐怖分子和进行宣传方面将会受到限制,但是,恐怖分子非常偏爱加密移动应用程序来进行组织协调和沟通。
去年,威尔逊中心(Wilson Center)教授 Gabriel Weinmann 发表了一份详尽的报告,详细说明了恐怖分子继续使用暗网以及相关的加密通信协议和技术的原因。
[Excerpt from the report below]
1、恐怖分子使用暗网作为掩体 —— 社交媒体公司和安全官员对互联网的广泛监视,导致从社交媒体平台中删除极端主义内容的速度更快。与此相关的是,恐怖分子网络越来越多地使用暗网进行通信、激进化和计划攻击。
2、恐怖分子使用暗网进行招募:虽然可以在互联网网络平台上进行初步联系,但通常在端对端加密应用程序(如Telegram)上提供有关如何访问暗网上圣战组织附属网站的说明。
尽管如此,仍然观察到一些恐怖组织,例如Jaish-e-Mohammed在目睹ISIS成功地将 “圣战新娘” 用作伊拉克和叙利亚的战士后,利用暗网积极招募女性战士。
3、恐怖分子使用暗网作为宣传手段:从表面网上清除极端主义和恐怖主义内容的措施增加了恐怖组织的材料可能丢失的风险。大部分内容随后在暗网上重新出现。
4、恐怖分子使用加密货币来逃避检测和筹款:恐怖分子与罪犯一样,也使用加密货币,因为它可能提供一定程度上的匿名形式。
根据一个暗网新闻媒体报道,在2017年底,研究人员目睹了ISIS筹款活动的激增,特别是致力于比特币捐赠的专用站点,证实ISIS已经意识到金融交易监控的风险。目前,没有迹象表明与ISIS有关的恐怖分子有意洗钱。
在暗网上,只有非常有限的容易被发现是ISIS或将恐怖组织的隐藏服务。
当ISIS在Tor匿名网络上更加活跃时,例如,“ CyberKahilafah”(伊斯兰国有效的黑客组织)在2016年非常活跃,在暗网发布了ISIS相关内容,例如视频和宣传教育资料。一些暗网论坛认为这是西方国家政府经营的蜜罐。
由于国际联盟在 “反恐战争” 中做出了巨大努力,一些恐怖组织的基础设施和组织实力只能通过匿名网络进行广泛协调。
2016年,国际黑客组织 Anonymous 在暗网上对可疑的ISIS成员进行了攻击,发布了其成员的联系信息(电子邮件地址、社交媒体帐户)及其支持者特别是 Nasher 伊斯兰国(@nashirislamicstateEN)的公开网站。
直到2019年,针对ISIS的匿名攻击仍在继续,更多 Daesh / ISIS 成员的社交媒体和个人信息在多个深度Web粘贴服务之间被曝光。
这种将恐怖分子发布在暗网上的独立活动仍在继续,最近在2019年9月下旬发布的内容详细介绍了可疑的ISIS领导人阿布·巴克·巴格达迪(Abu Bakr al-Baghdadi)可能的地理位置坐标。
《ISIS简史》
该暗网帖子以 “ENJOY CIA” 关闭,好像这些信息随后可被美国情报界用于作战目标。
暗网张贴刚过去一个月,阿布·贝克尔·巴格达迪(Abu Bakral-Baghdadi)在美国领导的特种部队行动中被杀。粘贴到暗网上的坐标与 Idlib、ISIS领导人的住所所在位置、以及随后被美国安全部队杀死的位置均不相关。
随着叙利亚、伊拉克、阿富汗、也门和加沙地带等国家持续的反恐冲突,“分裂” 团体的数量正在增加,尤其是土耳其最近对叙利亚和土耳其边界沿线的库尔德人发动了有计划的攻击。
暗网上有关于恐怖组织的各种图像,包括ISIS士兵在也门进行的斩首和处决的视频。
这种曝光已导致大多数ISIS附属恐怖分子转向使用诸如 WhatsApp 和 Telegram 之类的加密通信协议。
从2019年7月开始的一篇深入网络帖子还暗示,ISIS的招募甚至是在私有 Discord 频道进行的; Discord 是受视频游戏社区和网络犯罪分子青睐的专有 VoIP 通信平台。
在 Facebook 收购了流行的移动应用程序 WhatsApp 之后,恐怖组织的使用习惯发生了向 telegram 的转移。
尽管认为 Telegram 严格遵守禁止儿童色情内容和恐怖分子的内容,但 ISIS 在 Telegram 上的常规视频、图片、链接和宣传内容越来越受欢迎。
总结
民族国家背景的网络威胁参与者都非常聪明,他们利用开源和暗网资产的混合来完成其关键的信息运营任务。
网络战斗人员、政府资助的代理人和雇佣军团队,利用暗网进行情报收集和资源开发、政府和企业间谍活动、网络漏洞利用开发和测试、针对地缘政治影响的虚假信息操作、基础设施破坏和财务收益等。
尽管在某些暗网使用案例中可以辨认出独特的国家 “指纹”,但以前仅属于美国国安局和中央情报局的网络武器的公开发布使以前实力较弱的国家也有能力重新塑造自己的力量,获得他们以前无法达到的影响力和技术能力。
全球恐怖主义经常由特定民族国家在财务和政治上支持,在暗网上具有不可预测的且往往是反应性的痕迹 —— 对地缘政治事件和政策以及不断变化的技术具有反应性。
恐怖分子的适应能力使他们从暗网转移到了端到端的加密专有协议(如 Whatsapp 和 Telegram),他们可以在其中匿名招募、策划和传播宣传。
随着民族国家背景的网络攻击者、网络代理和恐怖组织在使用暗网和匿名化技术方面能力的不断发展,网络安全社区必须保持警惕,以继续就其不断变化的策略、技术和手段进行识别和跟踪。
—— 附录 ——
DarkOwl 整理了以下分析,以帮助根据特定国家/地区的网络能力的排名来进行背景分析。
1、美国
美国拥有丰富的人力、技能、财政和国际影响力。
随着美国网络司令部(CYBERCOM)与国家安全局(NSA)脱钩,并建立其附属的国防部分支机构例如陆军网络(ARCYBER)和海军的FCC(舰队网络司令部),美国雇用的网络士兵总数已达到数以万计。
美国还有着高超的技术技能开发和国际影响力,在暗网中引领了众多全球网络计划。
据报道,美国已从黑山寻求帮助,部署了一支精英网络团队进行协作与协调行动,以预测俄罗斯即将对美国2020年总统大选产生的影响。
2、中国
中国广泛使用深层网络从事间谍活动和情报收集活动。
在中国禁止其公民使用Tor的同时,中国政府定期将该匿名技术用于其先进的 PLA 61398 部队,以瞄准美国军事防御技术和知识产权。
中国也足够聪明地确定了网络攻击的目标为关键军事国防工业承包商,以收集关键的出口管制技术的设计、文件和管理细节。
去年夏天,中国的黑客被发现组织了针对全球10个不同移动运营商的大规模网络间谍活动。
精心策划的攻击活动可能是为了报复正在进行的全球5G军备竞赛以及美国对中国电信提供商华为的压制。
自2015年以来,由国家资助的网络PLA部门78020还参与了资源丰富的南中国海地区的大规模军事、政治和经济网络间谍活动。
根据 Threat Connect 发布的深入情报,精心策划的间谍活动涉及一个复杂的资源域网络,其中包括位于科罗拉多州丹佛市的IP地址。
3、俄罗斯
近年来,从众多媒体和FBI的行动中可以明显看出,俄罗斯政府和情报部门已经深入渗透了暗网,开展了针对世界各地目标的众多大规模国家攻击活动。
攻击经常包括美国及其西方盟友,这可能被视为一场全面的网络战争,展示了各种各样的先进技术网络能力。
美国国防部网络战略部的研究人员正在努力确定可用于俄罗斯网络战役的网络专家的确切人数,但是有报道称,有许多精英部门组织了黑客行动包括26165及其姊妹单位74455。
俄罗斯擅长使用代理,它雇用了高级的非政府附属网络犯罪组织来代表他们进行APT攻击。
4、以色列
以色列是一个高度机密和有影响力的民族国家行为者。
以色列的精英网络间谍组织8200部队可以与NSA媲美,但其工作重点更加集中且计算得当。
8200部队补足了以色列国防军(IDF)的其他许多高科技部队。
由于部分攻击活动需要更多的法律自由和更少的国际审查,以色列网络公司也雇用了前8200部队人员,以实施以色列支持的在暗网中的秘密活动。
5、德国
德国、英国和法国都具有复杂的网络能力。
德国最近建立了自己的网络和信息空间司令部(CIR),分配了13000 多名人员来抵御网络入侵攻击和虚假信息宣传活动。
德国执法部门还破坏了多起暗网中违法活动。
6、英国
最近有报道称,来自英国的黑客入侵了俄罗斯的Turla组织,突显了英国强大的能力。
自2014年以来,英国顶级间谍机构 GHCQ 的能力翻了一番,提供了从战术到高端反国家进攻网络作战的全光谱功能。
由于英国的NHS在2017年成为 WannaCry 的主要受害者,因此英国不仅可以防御未来的袭击,而且可以在需要时进行反击。
7、乌克兰
乌克兰最初未被认为是值得重视的国家黑客组织。
过去,乌克兰的网络能力主要围绕有组织犯罪和暗网梳理为主。鉴于最近有关乌克兰政府和财团商人被媒体广泛报道以及他们在美国大选政治中的影响,乌克兰在国际舞台上的 “影响力” 是显而易见的。
这种 “影响” 再加上乌克兰因吞并克里米亚而与俄罗斯进行的持续战争,包括防御俄罗斯对乌克兰电力基础设施的网络攻击,使乌克兰在网络领域名列前十位。
8、法国
法国于2019年初发布了其新的军事网络战略,该战略包括两个单独的文件:防御性网络战的部长级政策和军事网络战学说的公开元素 。法国在欧盟和北约组织中具有重要影响力,弥补了该国缺乏人力资本的弱点。
9、伊朗
伊朗是主要的民族国家网络战参与者,在中东国家(以色列除外)中处于领先地位。
十多年来,针对各种西方国防和商业网络的伊朗网络军一直是一个巨大的威胁。在美国通过 Stuxnet (震网)病毒成功渗透并关闭了其核离心机系统之后,伊朗投入了巨资开发技能和资源,以保持自己在国际网络舞台上的地位。
它们还以 “代理” 配置大量运行,与其他较小的国家合作共享技术和资源。
据估计,伊朗的任何民族国家级网络攻击都可以在朝鲜、叙利亚和也门等国家的帮助下进行。
众所周知,伊朗还与真主党和私人黑客组织勾结。通过培训私人黑客和恐怖分子,伊朗可能成为策划下一次全球性网络战的关键。
10、朝鲜
朝鲜声称对多起针对国际基础设施的大规模攻击负责,这是对国际经济制裁的回应,因为他们拒绝停止核计划。
根据开源情报报告,朝鲜黑客已成功部署了一种新的名为 ATMTrack 的 ATM 恶意软件,该恶意软件可轻易窃取印度易受攻击的 ATM。
据估计,ATMDTrack 是 DTrack 恶意软件家族的组成部分,该家族不仅涉及命令和控制远程访问木马(RAT)软件,还涉及键盘记录、检索浏览器历史记录、收集主机IP地址、有关可用网络和活动连接的信息、列举所有正在运行的进程,并列出受害计算机的所有可用磁盘卷上的所有文件。
11、印度
2018年,印度建立了国家技术研究组织, 作为保护国家关键基础设施并处理该国关键部门的所有网络安全事件的主要机构。
除了来自巴基斯坦的网络攻击之外,印度还面临来自其他主要恶意民族国家行为者的攻击,正如前面提到的朝鲜对印度银行基础设施的攻击。
12、加拿大
2018年,加拿大通过了全面的立法机关,以授权加拿大的通信安全机构(CSE)进行有效的进攻性网络运营。
全面的 C-59 法案使 CSE(加拿大国家安全局)采取了更为 “主动的网络” 姿态,而不是之前的基本防御和被动反应立场。
立法要求 CSE “ 在全球信息基础架构之上或通过全球信息基础架构进行活动,以降低、破坏、影响、响应、干扰针对个人、国家、国际事务、国防或安全的组织或恐怖组织的能力、意图或活动。”
加拿大不会在网络世界舞台上独居,而是拥有资源和议会支持来影响、保护和捍卫加拿大基础设施免受敌对国家的袭击。⚪️