巴以冲突：多方势力选边站队，网络空间博弈白热化

10月7日，伴随着数千枚火箭弹的发射，巴勒斯坦伊斯兰抵抗运动（哈马斯）宣布对以色列发动军事行动。

随着现实世界中的冲突爆发，多方势力的黑客行动主义（Hacktivism）组织开始在双方网络空间区域内进行持续的博弈。黑客组织来自多个国家，包括俄罗斯、印度、印度尼西亚、伊拉克等；攻击方式主要以DDoS为主，另外还包含数据窃取、网站污损等攻击手段。除了实施网络攻击，各方支持的黑客组织还通过文字、图片、视频来宣传对己方有利的言论，引导舆论导向。

根据绿盟科技伏影实验室全球威胁狩猎系统监测，截至当前共有55个团伙参与攻击，其中亲巴勒斯坦黑客组织占绝大多数，包括Killnet在内的43个亲巴勒斯坦网络犯罪团伙瞄准以色列关基网络设施进行攻击，包括政府、金融、通信等行业。亲以色列组织相对较少，共有12个，主要以India Cyber Force、UCC等组织为主，以巴勒斯坦关基为目标进行攻击。

2.1  针对以色列DDoS攻击总览

针对以色列的DDoS攻击从9月26日出现明显上升的趋势， 在28日达到顶峰，随后10月8日、9日哈马斯对以色列进行军事行动，亲巴勒斯坦黑客组织对以色列网站进行攻击，受攻击面增大。

图2.1 以色列受DDoS攻击趋势

9月26日DDoS攻击活动或与社区网络运营联盟机构（C.O.A）团体相关，其声称对多个以色列的网站进行DDoS攻击。10月8日、9日的攻击与Killnet在内的多个黑客团体相关。

图2.2 社区网络运营联盟机构（C.O.A ）9月26日攻击目标

2.2  针对巴勒斯坦DDoS攻击总览

针对巴勒斯坦的DDoS攻击在10月8日、9日明显上升，包括India Cyber Force、Garuna Ops等亲以色列组织宣称并对巴勒斯坦网络设施进行DDoS攻击。

图2.3 巴勒斯坦受DDoS攻击趋势

3.1 针对以色列攻击事件监测

在网络空间中，伏影实验室全球威胁狩猎系统异域监测到针对以色列的一系列DDoS攻击活动，其中，目标主要为政府、司法、军事、电力等关基网站。另外，还有邮件服务与DNS服务。

另外，根据监测，可以看出DDoS攻击方式有所提升，为了绕过或逃避DDoS防御设备检测，攻击目标端口不仅仅瞄准开放服务的端口，攻击时会使用随机高端口作为目标，端口范围在1024~65525之间。

3.1.1  针对以色列政府官方网站攻击

北京时间10月8日4时53秒、23时43分29秒，10月9日0时23分7秒，监测到以色列政府官方网站（www.gov.il）受到DDoS攻击，攻击主要目标为53（DNS服务）、443（Web服务）端口，为绕过检测，攻击还以随机高端口作为攻击目的端口，包括47884、33166、45224端口等。

这或与Killnet组织有关，其在10月8日22时59分宣称攻击该网站并使其瘫痪，与该组织攻击目标监测情况相符。

图3.1 Killnet攻击以色列政府官网使其瘫痪

3.1.2  针对以色列国防军邮件系统攻击

邮件系统在通信中起着重要的作用，尤其是重点单位的邮件系统，如果在战时，信息交换频繁且重要，邮件系统瘫痪更会造成不可估量的损失。

北京时间10月9日在0时36分11秒、12时18分4秒，监测到以色列国防军电子邮件系统遭受到两次DDoS攻击，第二次攻击一直持续到20时01分，且攻击具有极强的针对性，持续针对mail.idf.gov.il、mail1.idf.gov.il进行DDoS攻击，服务为SMTP服务（25/TCP），目的是在战时瘫痪对方通信系统，使对方暂时通信“致盲”。

图3.2 以色列国防军网站

3.1.3 针对以色列电力公司DNS服务攻击

该公司是以色列和巴勒斯坦领土最大的电力供应商。IEC在以色列建设、维护和运营发电站、变电站以及输配电网络，其发电装机容量约占全国发电总量的75%。它传输和分配以色列使用的几乎所有电力，包括其他生产商产生的电力。可见其重要程度。

另外DNS服务起着域名解析的作用，其瘫痪后影响巨大，会使所有使用该DNS的用户无法解析所有网站，会影响整个区域甚至是整个国家的网站访问。攻击该公司DNS会影响电力系统内部网络。

伏影实验室全球威胁狩猎系统通过监测印证了TEAM HEROX组织的攻击声明，该组织攻击了该公司网站，并使其瘫痪。

北京时间10月9日2时16分5秒，监测到攻击组织使用长度为79字节的UDP包利用全球节点攻击以色列电力公司DNS服务（ns1.iec.co.il）的53/UDP端口。

图3.3 TEAM HEROX攻击以色列电力公司使其瘫痪

3.1.4  针对以色列最高法院网站攻击

北京时间9月29日13时3分33秒，监测以色列最高法院网站（supreme.court.gov.il）443端口遭受DDoS攻击，攻击时间持续超过1小时。该网站10月7月也遭受了来自Team insane Pakistan的攻击。

以色列最高法院是以色列司法系统中最高一级的法院，位于耶路撒冷，最高法院曾经审理多宗涉及巴以冲突、阿拉伯裔以色列人权利及犹太人群体之间不同待遇的诉讼。此外，最高法院有权干预以色列国防军的军事行动。这可能也是导致该网站受攻击的原因。

图3.4 Team insane Pakistan攻击以色列最高法院网站使其瘫痪

3.1.5  针对耶路撒冷邮报网站攻击

新闻类网站是公众通过报道接收信息的重要渠道，尤其是发生重要事件时期，使用DDoS攻击该类网站会影响公众获取资讯，无法了解事件原貌。

耶路撒冷邮报（www.jpost.com）是以色列发行量最大的英文报纸，是向国际发声的重要媒介，更易受到DDoS攻击，北京时间10月9日1时35分25秒，该网站443端口受到DDoS攻击，攻击使用全球DDoS反射节点，攻击持续时间超过24小时，该网站在Twitter官方账号多次说明遭受DDoS攻击并停止服务，这与Anonymous Sudan组织在其Telegram上宣称攻击该网站的声明相符。

图3.5 Anonymous Sudan攻击耶路撒冷邮报网站

3.1.6  针对以色列银行攻击

北京时间10月9日0时4分30秒，监测到以色列银行网站（www.boi.org.il）443端口受到DDoS攻击，攻击时间1小时3分钟。 

该网站遭受多个黑客组织的攻击，包括Team Insane Pakistan、SYLHET GANG-SG、ACEH ABOUT HACKED WORLD、Ketapang Greyhat Team等组织，这与监测情况相符。

图3.6 多个黑客组织攻击以色列银行

以色列银行是以色列国的中央银行。该银行成立于1954年。位于耶路撒冷的本古里安镇，靠近议会（以色列议会）、最高法院和政府部门。该银行是独立的，其目标和运营方法在以色列银行法5770-2010中规定。其目标是维持价格稳定，支持政府的目标——特别是增长和就业，并支持金融体系的稳定。

3.1.7  针对以色列互联网协会网站攻击

北京时间10月9日5时18分37秒，监测到以色列互联网协会网站（register.isoc.org.il）443端口遭受DDoS攻击，为逃避检测，该攻击还将43端口作为攻击目标，攻击持续1小时10分钟。

以色列互联网协会致力于促进互联网及其融入以色列的技术、研究、教育、社会和商业基础设施，负责管理“.il”和“.ישראל”的注册域名，以及以色列互联网交换中心(IIX)的持续运营，允许随时随地安全、快速、不受限制地访问以色列和全球网站和在线服务。

图3.7 以色列互联网协会网站

3.2  针对巴勒斯坦攻击事件监测

在网络空间中，伏影实验室全球威胁狩猎系统监测到针对巴勒斯坦的一系列DDoS攻击活动，其中，目标主要为政府、电信等网站。

3.2.1  针对哈马斯组织官方网站攻击

作为冲突发起者，哈马斯组织相关网络设施必定在重点打击目标之内，伏影实验室全球威胁狩猎系统就监测到多起针对该组织官网的DDoS攻击，分别在北京时间10月8日5时34分44秒、10月9日0时34分57秒，哈马斯组织官方网站（hamas.ps）443端口遭受了攻击，攻击时每个攻击包都使用随机高端口，包括51204、27653、51207等，攻击时间持续25分钟。

这也与India Cyber Force组织在Telegram中的相关声明相印证，该组织在10月8日16时58分宣称已使该网站瘫痪。

图3.8 India Cyber Force攻击哈马斯组织官方网站使其瘫痪

3.2.2  针对巴勒斯坦电信公司网站攻击

电信公司起着通信的作用，在战时会受到重点关注，该公司停止服务，可能对全国业务都有所影响，India Cyber Force组织就瞄准该网站进行攻击并在10月9日12时5分宣称已使该网站瘫痪。

伏影实验室全球威胁狩猎系统在北京时间10月9日2时23分46秒，监测到该公司网站多个端口受到攻击，包括53、80、443等重要端口，攻击包目的端口按照53、443、80 的顺序进行变幻。

图3.9 India Cyber Force攻击巴勒斯坦电信公司网站使其瘫痪

伏影实验室全球威胁狩猎系统对巴以冲突网络空间博弈进行全程异域监测，在巴以冲突中，黑客行动主义参入网络攻击，双方网络空间的博弈分为两个阵营，分别为亲巴勒斯坦组织与亲以色列组织，均主要以DDoS攻击为主来瘫痪攻击目标，使目标无法正常提供服务。其攻击目标主要以政府网站为主，其中还涉及军事类、情报类、教育类、金融类等网站，如Anonymous Sudan发布声明称攻击了以色列铁穹系统（一套全天候的机动型防空系统，由以色列拉斐尔先进防御系统公司研发，主要用于拦截5至70公里范围内的火箭弹）。

截至当前，亲巴勒斯坦组织共有43个，亲以色列组织共有12个，这些组织来源多个国家。

4.1  亲巴勒斯坦组织概况与攻击目标

包括Killnet在内的多个黑客犯罪团伙公开支持哈马斯组织，以以色列政府网站为主要目标进行了DDoS攻击。

这些黑客团体主要包含两大团体，即Killnet黑客团体、社区网络运营联盟机构（C.O.A）团体。

• Killnet黑客团体：包括Killnet、Anonymous Sudan、ЛЕГИОН – КИБЕР СПЕЦНАЗ РФ V2（网络特种部队）组织。

• 社区网络运营联盟机构（C.O.A）团体：其主要由8个黑客组织组成。

图4.1 社区网络运营联盟机构（C.O.A ）成员

4.1.2  Killnet组织及攻击活动

Killnet是一个亲俄罗斯的黑客组织，因在2022 年俄罗斯入侵乌克兰期间对多个国家的政府机构和私营公司进行DoS（拒绝服务）和 DDoS（分布式拒绝服务）攻击而闻名。

在10月8日，Killnet通过Telegram社交平台中的账号发布将攻击以色列政府网站的言论，随后被ЛЕГИОН – КИБЕР СПЕЦНАЗ РФ V2（网络特种部队）Telegram频道转发，表明ЛЕГИОН – КИБЕР СПЕЦНАЗ РФ V2也将参与对以色列的攻击当中。

图 4.2 Killnet声称对以色列发动网络攻击

随后，又发布了攻陷目标后的截图，包括以色列政府官方网站。

图 4.3 Killnet攻击瘫痪以色列政府官网

在10月8日晚上23:13，Killnet发布将与Anonymus Sudan一同发动攻击，随后Anonymus Sudan在其Telegram频道将此消息进行转发。

10月9日凌晨，Killnet在发动网络攻击的同时，还发布一篇文章来引导舆论，声称自己是为了“和平”而发动攻击，并只针对以色列政府。并在攻陷网站后，发出停战的信息，引起公众关注。

图4.4 Killnet发表文章、通过网站污损引导舆论

10月9日03:55发动了针对以色列安全总局Shabak的袭击并成功。Shabak属于以色列情报系统，从事反情报活动和确保内部安全。其职能相当于FBI和FSB。

图 4.5 Killnet攻击Shabak

表4.1 Killnet攻击目标

4.1.3  Anonymous Sudan组织及攻击活动

“Anonymous Sudan”是一群自称来自苏丹，出于宗教和政治动机的黑客活动分子，自 2023年1月以来，他们一直对多个西方国家进行出于宗教动机的DDoS攻击。由于在一次袭击瑞典期间的共同目标，Killnet宣布将“Anonymous Sudan”作为其针对西方国家和反对俄罗斯的国家的黑客活动分子集群的正式成员。此后，“Anonymous Sudan”利用Killnet的声誉和影响力来发展其成员，并成为2023年最引人注目的黑客活动组织之一。

与Killnet组织一样，Anonymous Sudan在10月8日1时41分发动攻击，其主要目标瞄准以色列警报系统中的一些关键端点，并声称可能会影响铁穹。

图4.6 Anonymous Sudan宣称对以色列发动网络攻击

10小时后，该组织又攻击了耶路撒冷邮报并导致其瘫痪。随后，在10月9日又进行了多轮攻击，使其超过50小时无法提供正常服务。伏影实验室全球威胁狩猎系统监测到这一攻击活动。

图 4.7 Anonymous Sudan攻击耶路撒冷邮报

表4.2 Anonymous Sudan攻击目标

4.1.4  ЛЕГИОН – КИБЕР СПЕЦНАЗ РФ V2（网络特种部队）组织及攻击活动

该组织于2023年8月5日创建其Telegram频道并对外发声，宣称自己由俄罗斯人组成并发布公告招募新成员，其隶属于Killnet团体成员。其主要攻击方式为DDoS攻击。

在Killnet宣称对以色列攻击5分钟后，ЛЕГИОН – КИБЕР СПЕЦНАЗ РФ V2组织就转发了相关声明，并参与到对以色列的攻击中，该组织主要以银行网站为目标。

图 4.8 ЛЕГИОН – КИБЕР СПЕЦНАЗ РФ V2（网络特种部队）参入攻击

10月9日，该组织就攻击了多家银行网站，包括Bank Mercantile Discount Ltd（mercantile.co.il）、Discount Bank（discountbank.co.il）、

Bank of Jerusalem（bankjerusalem.co.il）。

图 4.9 ЛЕГИОН – КИБЕР СПЕЦНАЗ РФ V2（网络特种部队）攻击目标

表4.3 ЛЕГИОН – КИБЕР СПЕЦНАЗ РФ V2（网络特种部队）攻击目标

4.1.5  社区网络运营联盟机构（C.O.A）团体及攻击活动

社区网络运营联盟机构（C.O.A）团体于2023年9月24日由8个黑客组织组成，他们主要以印度为攻击目标进行DDoS攻击。在9月26日就开始针对以色列攻击，在10月8日正式宣称站队巴勒斯坦参与到对以色列的攻击中。

图4.10 社区网络运营联盟机构（C.O.A）宣称对以色列发动网络攻击

攻击目标涉及政府、医疗、教育等关基行业。

表4.4 社区网络运营联盟机构（C.O.A）攻击目标

4.2  亲以色列组织概况与攻击目标

包括India Cyber Force在内的多个黑客犯罪团伙公开支持以色列，10月8日，声称将对巴勒斯坦地区进行网络攻击。

4.2.1  India Cyber Force组织及攻击活动

India Cyber Force属于印度的黑客组织，其宣称自己为印度网络部队官方网络防御小组。

10月8日，声称将对巴勒斯坦地区进行网络攻击。

图4.11 India Cyber Force声称对巴勒斯坦发动网络攻击

随后在两天时间内，针对巴勒斯坦多个关基网站进行攻击并成功，包括政府、通信、金融等行业，其次该组织还攻陷了巴勒斯坦的200多个网络设备，其中还包含学校、医院等单位的设备。

表4.5 India Cyber Force攻击目标

4.2.2  Garuna Ops组织及攻击活动

10月8日，该组织发布声明警告其他国家支持巴勒斯坦并呼吁非穆斯林黑客攻击巴勒斯坦。

图4.12 Garuna Ops声称对巴勒斯坦发动网络攻击

该攻击组织主要以其他国家新闻网站为目标，包括巴厘岛新闻网站、孟加拉国国家信息广播网站，其目的在于引导当地民众舆论。

图4.13 Garuna Ops攻击巴厘岛新闻网站

表4.6 Garuna Ops攻击目标

4.2.3  UCC组织及攻击活动

10月8日，UCC组织在其Telegram频道转发了Garuna Ops组织发表的声明，10月9日正式针对巴勒斯坦进行网络攻击。

其中涉及巴勒斯坦多个目标，针对巴勒斯坦主要以DDoS攻击为主，目标为政府网站。

表4.7 UCC攻击目标

针对本次巴以冲突中各方势力黑客组织网络空间博弈，主要有以下启示。

5.1  通信服务与网络基础服务为DDoS主要攻击目标

从巴以冲突双方在网络空间的较量来看，DDoS攻击除了攻击Web服务器外，还将DNS服务、关键邮件服务列为攻击目标。相较于传统的攻击Web服务，攻击DNS服务、关键邮件服务这些基础服务影响更大。DNS服务一旦瘫痪，会影响整个区域内的域名解析，网站、电子邮件服务等多种服务无法访问，造成网络通信中断。关键邮件服务一旦瘫痪会造成通信中断，影响重要信息的传递，使通信暂时“致盲”。

5.2  网络空间博弈不只在交战双方，往往会引发连锁反应

网络空间博弈不受地域限制，随时随地都会发起攻击，这就导致网络空间博弈不止在交战双方，会有多方势力的黑客组织参与到网络攻击中，在此次冲突中，有俄罗斯、印度、巴基斯坦、印度尼西亚等多个国家的黑客组织参与到攻击中。随着各方势力的黑客组织“站队”后，除了攻击交战双方境内的网络设施外，网络攻击的“战火”还会蔓延至所属黑客组织的国家中，如Garuna Ops组织攻击巴厘岛与孟加拉相关网站，这会导致一连串的攻击响应，引发连锁反应，导致更大规模的攻击。

5.3  网络攻击与舆论战交织，正义与邪恶并存

支持双方的黑客组织在网络空间实施了一系列恶意的网络攻击，包括DDoS攻击、数据窃取、网站污损等，干扰和破坏对方网络设施，其目标还主要是政府、金融等重点行业的重要网站，可想而知，影响范围较广，甚至整个国家。但是除了网络攻击，这些攻击组织还通过发表文章、替换被攻击网站网页内容，引导舆论来宣称自己是正义的行为，自己进行“邪恶”的网络攻击是为了民众，为了“正义”。

5.4  黑客组织也非始终单体“作战”，“战时”会快速形成临时利益团体

从此次巴以冲突各个黑客组织在网络空间的博弈来看，各个黑客组织并非始终单体“作战”，具有相同利益的组织会相互示好并快速形成“战时”利益团体。这些组织平时独立行动，但由于“战时”具有相同利益，从而快速结合扩大攻击力量，如此次巴以冲突事件中的社区网络运营联盟机构（C.O.A）团体、Killnet与Anonymous Sudan等黑客团体，除此之外，很多黑客组织也会因为自己的利益诉求临时组建并加入攻击。