以色列崛起之狮行动后，网络战威胁急剧升级

2025年6月13日，以色列对伊朗核设施和军事基地发动“崛起之狮”（Operation Rising Lion）先发制人打击，标志着两国冲突进入新阶段。此次军事行动不仅造成伊朗多名高级指挥官伤亡，也重创了其关键基础设施，随即引发外界对报复性网络攻击的大规模担忧。网络战专家和威胁分析人士表示，人们普遍预计伊朗将通过网络行动对以色列的导弹袭击进行报复——而且报复范围可能会扩大到美国目标。尽管网络间谍活动早在以色列6月13日袭击伊朗核设施和军事指挥官之前就已开始，但人们担心，由于伊朗的军事能力遭受了严重打击，它可能会发动破坏性的网络攻击。勿容置疑，网络空间正在成为两国博弈的重要战场——从国家支持的高级持续性威胁（APT）到松散的黑客团体，报复与反报复的网络攻防正全面展开。

一、冲突背景：从“震网”到“崛起之狮”

历史渊源

以色列与伊朗的网络对抗，可追溯至2010年伊朗遭受Stuxnet蠕虫攻击，后者专门针对伊朗铀浓缩设施的PLC设备，导致离心机失速损毁，严重拖延伊朗核计划（参考材料1）。Stuxnet之后，伊朗大力发展本国网络战能力，组建了多个政府支持的黑客组织，并对西方和海湾地区的能源、金融等关键基础设施发起攻击。

“崛起之狮”行动

2025年6月13日下午，以色列空军与摩萨德联合实施打击，摧毁伊朗导弹库、燃料仓储及核计划关键节点，并造成包括空军与核计划高级官员在内约20人死亡。此举意在动摇伊朗核武能力，却也暴露出以方更倾向于以网络与情报优势弥补军事局限（参考材料1）。

网络报复的必然性

伊朗常规军事手段已难以有效回应先发制人的精确打击，网络反击因其门槛相对较低、效果可观而成为主要选项（参考材料1）。在国家安全受到重大威胁之际，网络手段不仅可针对军事与政府目标，也可冲击经济与民生领域，达到威慑与报复并重的效果。

二、专家研判：更广泛的网络反击风险

报复范围或将跨越中东，直指美国

英国《Register》引述前白宫网络安全顾问Michael Daniel认为，以色列与伊朗间的报复将包含网络元素，且行动范围可能扩大至美国目标（参考材料2）。谷歌威胁情报主管John Hultquist也警告，伊朗已针对美国政府与政治实体展开持续网络间谍，而在军事能力受创后，他们更可能转向破坏性攻击，甚至针对私营关键基础设施（参考材料2）。

多样化攻击手段

间谍与信息窃取：APT35（Charming Kitten）、MuddyWater、CyberAv3ngers等组织，已在过去数年发动针对以色列水务、医疗及交通系统的侦察与渗透，未来或继续深化情报窃取。

DDoS与勒索软件：伊朗曾使用DDoS攻击瘫痪美国金融网络；在未来冲突中，分布式拒绝服务、勒索软件及“擦除器”恶意代码将成为常见报复工具。

供应链与社会工程：通过受感染第三方供应商或钓鱼邮件传播零日漏洞，进一步扩大入侵链条。

信息战与虚假宣传：AI驱动的僵尸群与假账号，将在Telegram、X、TikTok等平台散布虚假舆论，动摇以色列民众信心。

非国家与盟友力量介入

除官方力量，亲伊黑客团体如“Arabian Ghost”、神秘小组“孟加拉国”等亦已在Telegram上宣称针对以色列公共广播与网站发动攻击（参考材料1、图示）。此外，伊朗与俄罗斯、中国结盟，盟友网络部队随时可能参与多国协同攻击（参考材料2）。

三、已观察到的网络攻击活动

针对以色列关键服务的DDoS

6月14日，名为，显示民众疏散指令与导弹预警受阻（参考材料1，图1）。

供水与燃料系统渗透

2023年“网络复仇者”曾利用PLC默认密码侵入美国多个水务系统；同年与伊朗革命卫队有关联的团体，通过定制恶意软件远控美伊供水与燃料管理系统，却未对所获访问权限进行实质破坏（参考材料2）。

APT组织针对政府和产业间谍活动

APT39（Remix Kitten）等对美国政府、金融机构展开凭证窃取和细分DDoS；

APT34（OilRig）利用SQL注入与远程服务漏洞持续渗透中东及欧美能源、电信领域。

黑客宣称大规模破坏

“Arabian Ghost”声称关闭以色列广播电台，“孟加拉国”组织威胁对约旦与沙特基础设施发动报复性攻击（参考材料1，图2–4）。这些声明多带舆论动员意义，但未必反映真实破坏程度。

GhostSec组织准备发动更大规模对以攻击

GhostSec组织最近还电报频道发消息称，他们正瞄准以色列的关键基础设施，并展示了Modbus、Unitronics和VSAT攻击的截图。他们声称在过去一年中关闭了500多个网站，并入侵了700多台设备，其中包括100多个Modbus PLC工业和OT系统、40台“宙斯盾”2水务设备（部分遭到破坏，部分瘫痪）、8台Unitronics设备（被操控后关闭），以及10台与以色列军方相关的VSAT卫星设备。

四、防御与缓解建议

全面风险监控与情报共享

加强与国际网络威胁联盟、跨国CERT机构的信息交流，及时获取与伊朗相关APT组织（APT35、APT34、APT39等）的IoC与TTP。

部署基于AI的安全态势感知系统，实时监控BGP路由异常、DDoS流量峰值与未知可疑行为。

强化关键基础设施防护

对供水、能源、交通和医疗等运营技术（OT）系统进行隔离与分区，应用严格的访问控制与多因素认证，杜绝默认凭据和未授权远程访问。

定期对边界网关协议（BGP）进行源地址验证（RPKI/ROA），防止流量劫持与重定向。

修补老旧协议与系统漏洞

尽快修复已知零日与历史漏洞（如BGP缺陷、PLC默认口令），并对高危系统进行脱机测试与演练。

对互联网暴露的管理接口（如WebDAV、RDP等）实施最小化暴露原则，仅对经授权IP和VPN用户开放。

增强员工钓鱼防御与应急响应

定期开展针对高级干部的网络钓鱼演练，提高识别社会工程攻击与伪装邮件的能力；

更新并演练应急预案，包括网络隔离、备份恢复与跨部门协同响应流程，确保在遭遇勒索或擦除攻击时勒令备份系统迅速启用。

公众信息战防护

与主要社交媒体平台（Telegram、X、TikTok）合作，及时识别并下架恶意宣传账号与虚假信息；

通过官方渠道及时通报真相，缓解虚假舆论对民众心理的负面影响。

五、结语

以色列“崛起之狮”军事行动后，网络报复的威胁已迅速从中东蔓延至全球关键基础设施。伊朗及其盟友黑客组织正伺机发动多载体、高强度的网络攻击，既有国家级APT，也有松散的意识形态团体。对于以色列及其盟友而言，唯有将网络安全纳入国家与经济安全的核心战略，以跨部门、跨国协作为前提，才能在这场军事与网络交织的混合战争中保持韧性。主动防御、情报共享与公众心理抗压能力，将成为抵御下一波网络风暴的关键。

参考资源

1、https://www.radware.com/security/threat-advisories-and-attack-reports/heightened-cyberthreat-amidst-israel-iran-conflict/

2、https://www.theregister.com/2025/06/13/cyber_weapons_israel_iran/

3、https://www.govinfosecurity.com/israeli-strikes-raise-fears-cyberattacks-retaliation-a-28701