以色列军事行事或将引发伊朗报复性网络行动

编者按

英国网络威胁情报分析师里亚姆·金-麦克劳德6月13日发表文章，探讨伊朗网络行动的关键驱动因素、伊朗国家支持的网络机构结构，以及以色列与伊朗之间实体冲突和网络冲突升级的更广泛全球影响。

文章称，以色列6月13日凌晨对伊朗核目标发动了一系列军事打击，并导致伊朗军方多名高级将领死亡，此次升级将两国冲突从代理对抗和隐蔽破坏推向公开敌对状态；以色列的军事行动预示着伊朗即将展开网络行动，这既是伊朗报复的工具，也是更广泛战略竞争的幌子；伊朗和以色列间的网络冲突由来已久，两国在过去十年来都参与了网络间谍活动、破坏活动、影响力行动以及对关键基础设施的攻击；以色列的军事打击加剧了冲突的紧张局势，也增强了伊朗在军事上和在数字领域做出回应的动机，因为网络攻击为伊朗提供了一种无需承担进一步直接军事升级风险的反击手段；随着国际社会持续关注空袭后果，网络领域势必成为一个更加突出的战场，引发该地区以外各国政府、企业和普通民众的担忧。

文章称，伊朗网络行动的关键驱动因素包括五个方面：一是维护统治政权，对反对派团体和外国目标开展网络行动，以收集战略情报；二是促进经济增长，通过网络攻击窃取数据、知识产权和技术知识，以推动伊朗的科学和工业发展；三是维护意识形态安全，使用监控、间谍软件和数据窃取等网络工具来监视和压制内部异见，并打击其认为具有文化或道德颠覆性的活动；四是对抗以色列，通过网络攻击对以色列开展间谍活动、基础设施破坏以及影响力活动；五是扩大区域影响力，通过网络活动与沙特阿拉伯等逊尼派占多数的国家争夺在中东地区的影响力。

文章称，伊朗的网络活动由多个相互关联的机构和委员会负责，上述机构和委员会向不同的政府部门汇报，包括总统、最高领导人和最高国家安全委员会秘书，其中最引人注目的是伊朗情报和国家安全部以及伊斯兰革命卫队。伊朗情报和国家安全部是民事情报机构，负责国内外情报收集、反间谍以及监视国内反对派，所属网络威胁组织包括：专注于网络间谍活动的MuddyWater；因使用破坏性恶意数据擦除软件而闻名的APT34；因部署勒索软件和破坏性恶意数据擦除软件而闻名的Agrius；曾使用破坏性恶意数据擦除软件攻击以色列实体的Void Manticore。伊斯兰革命卫队肩负着保卫革命免受国内外威胁的广泛职责，并经常参与更具全球影响力的行动，其所属网络部门包括：擅长长期情报收集和有针对性的网络钓鱼活动的Charming Kitten （APT35、APT42）；针对关键基础设施开展网络间谍活动并开展与选举相关的影响力活动的APT33；因间谍活动、“黑客攻击和泄密”计划和勒索软件部署而闻名的Fox Kitten；与破坏性攻击和针对运营技术系统攻击相关的Storm-0784（CyberAv3ngers/Soldiers of Solomon）；针对外国受众开展影响力行动的Emennet Pasargad。

文章认为，以色列空袭标志着持续冲突的显著升级，此类行动在网络领域可能引发更激烈的报复循环；伊朗的网络攻击有时具有干扰性或破坏性，但通常遵循“针锋相对”的逻辑，即对察觉到的侵略行为进行报复，而非纯粹的“先发制人”；预计伊朗将加强其网络行动，特别是针对以色列关键基础设施、政府实体、私营部门组织和公众舆论，此类行动还可能扩展到以色列的盟友或被视为支持以色列的西方利益集团；虽然直接针对西方组织的可能性极小，但如果以色列的国家紧急状态和随后的军事预备役动员影响到以色列公司提供的网络安全服务，全球组织也可能会受到连锁反应。

奇安网情局编译有关情况，供读者参考。

6月13日凌晨，以色列对伊朗发动了一系列军事打击，目标是核设施，并导致伊朗军方多名高级将领死亡。此次升级标志着两国长期竞争关系的关键时刻，进一步将冲突从代理对抗和隐蔽破坏稳定推向公开且高度可见的敌对状态。虽然以色列袭击造成的实际后果占据了新闻头条，但这些事件也预示着伊朗即将展开网络行动，这既是伊朗报复的工具，也是更广泛战略竞争的幌子。

伊朗和以色列之间的网络冲突由来已久；过去十年来，两国都参与了网络间谍活动、破坏活动、影响力行动以及对关键基础设施的攻击。然而，这些袭击加剧了冲突的紧张局势，也增强了伊朗不仅在军事上，而且在数字领域做出回应的动机——因为网络攻击为伊朗提供了一种反击手段，而无需承担进一步直接军事升级的风险。随着国际社会持续关注空袭后果，网络领域势必成为一个更加突出的战场，引发该地区以外各国政府、企业和普通民众的担忧。

在此背景下，了解伊朗的网络战略有助于分析应对冲突的可能措施。下文将探讨伊朗网络行动的关键驱动因素、其国家支持的网络机构结构，以及以色列与伊朗之间实体冲突和网络冲突升级的更广泛的全球影响。‍

伊朗网络行动背后的关键战略驱动力

1、维护政权

自1979年伊斯兰革命以来，伊朗政府一直致力于维护其统治政权。这种防御机制延伸至对抗来自西方政府、地区对手、国内异见人士以及伊朗侨民（其中许多人反对该政权）的威胁。因此，伊朗的网络攻击活动频繁以反对派团体和外国为目标，以收集战略情报。这一动机也支撑了该政权推行核计划，这使得伊朗既成为网络攻击的目标，也成为报复性网络行动的实施者。

2、促进经济增长

由于西方制裁限制了贸易和国际合作，伊朗经济发展面临巨大障碍。为此，伊朗网络攻击者窃取数据、知识产权和技术知识，以推动伊朗的科学和工业发展。

3、维护意识形态安全

维护伊斯兰革命的原则仍然是伊朗政权的核心。因此，伊朗政府使用网络工具（例如监控、间谍软件和数据窃取）来监视和压制内部异见，并打击其认为具有文化或道德颠覆性的活动，正如2022年大规模抗议活动期间所见。

4、对抗以色列

自1979年以来，伊朗与以色列的关系愈发紧张。这场冲突的根源在于意识形态、宗教和地缘政治因素，以及与以色列的核能力和正在进行的以色列与哈马斯冲突有关的问题。两国持续进行网络和代理人战争，并在2024年4月空袭交锋后升级为直接对抗。伊朗针对以色列实体的网络攻击活动主要集中在间谍活动、基础设施破坏以及试图影响以色列和全球舆论。

5、扩大区域影响力

伊朗作为什叶派神权国家，与沙特阿拉伯等逊尼派占多数的国家争夺在中东地区的影响力。伊朗的网络活动针对的是什叶派人口众多的国家（包括伊拉克、叙利亚、黎巴嫩、巴林、也门，以及一定程度上的阿塞拜疆）的逊尼派对手及其支持的政治代理人。这种网络活动延伸到与这些组织相关的网络行为体的合作。

‍

伊朗网络机构的组织结构

伊朗的网络活动由多个相互关联的机构和委员会负责，这些机构和委员会向不同的政府部门汇报，包括总统、最高领导人和最高国家安全委员会秘书（SNSC）。其中最引人注目的是伊朗情报与国家安全部（MOIS）和伊斯兰革命卫队（IRGC）。伊朗为应对不断升级的冲突而开展的网络活动很可能与其中一个或两个组织有关。

1、情报和国家安全部（MOIS）

伊朗情报和国家安全部（MOIS）是伊朗的民事情报机构，负责国内外情报收集、反间谍以及对国内反对派的监视。值得注意的相关网络威胁组织包括：

MuddyWater：专注于网络间谍活动，主要在中东和非洲，但与以色列政府的勒索软件部署有关。
APT34：因使用破坏性恶意数据擦除软件而闻名。
Agrius：因部署勒索软件和破坏性恶意数据擦除软件而闻名，尤其是针对以色列实体。
Void Manticore：经常伪装成黑客组织，使用破坏性恶意数据擦除软件攻击以色列实体，并参与扩大攻击叙事。

2、伊斯兰革命卫队（IRGC）

伊斯兰革命卫队肩负着保卫革命免受国内外威胁的广泛职责。与与伊朗情报和国家安全部相关的行动相比，伊斯兰革命卫队经常参与更具全球影响力的行动。其值得关注的网络部门包括：

Charming Kitten （APT35、APT42）：分别擅长长期情报收集和有针对性的网络钓鱼活动。
APT33：针对关键基础设施开展网络间谍活动，并准备开展与选举相关的影响活动。
Fox Kitten：因间谍活动、“黑客攻击和泄密”计划和勒索软件部署而闻名。
Storm-0784（CyberAv3ngers/Soldiers of Solomon）：伪装成黑客行动主义者的行为者，与破坏性攻击和针对运营技术（OT）系统的攻击有关。
Emennet Pasargad：开展影响行动，旨在影响外国人的看法，并可能进行选举干预。

以色列近期袭击的影响

以色列空袭标志着持续冲突的显著升级。在网络领域，此类行动可能引发更激烈的报复循环。伊朗的网络攻击有时具有干扰性或破坏性，但通常遵循“针锋相对”的逻辑——它通常会对察觉到的侵略行为进行报复，而非纯粹的先发制人。

因此，预计伊朗将加强其网络行动，特别是针对以色列关键基础设施、政府实体、私营部门组织和公众舆论。这些行动还可能扩展到以色列的盟友或被视为支持以色列的西方利益集团。虽然直接针对西方组织的可能性极小，但如果以色列的国家紧急状态和随后的军事预备役动员影响到以色列公司提供的网络安全服务，全球组织也可能会受到连锁反应。

虽然伊朗的技术资源不如俄罗斯，但它始终致力于利用网络行动来抵消其军事、外交和经济孤立。随着数字威胁与地缘政治紧张局势日益交织，了解伊朗的网络战略对于各国政府、组织和个人而言，在防范和应对政治动机的网络威胁方面都至关重要。

网络国防知识库

产业发展前哨站

开源情报信息源

奇安网情局