阿拉伯叙利亚共和国,通称为叙利亚,位于亚洲西部,地中海东岸,北与土耳其接壤,东同伊拉克交界,南与约旦毗连,西南与黎巴嫩和巴勒斯坦为邻,西与塞浦路斯隔地中海相望,包括戈兰高地,全国总面积为185180平方公里。
叙利亚是世界最古老文明发源地之一,曾历经罗马帝国、阿拉伯帝国和奥斯曼帝国等大国统治。在成为罗马帝国疆域以前曾经经历腓尼基、赫梯、米坦尼王国、亚述、古巴比伦、古埃及、波斯帝国、马其顿帝国和继后的塞琉古帝国各个帝国时期。
2011年1月26日,受阿拉伯之春运动的影响,叙利亚亦开始出现反政府示威活动,但被政府军镇压,但随后反政府示威活动演变成叙利亚内战。2014年,巴沙尔·阿萨德再次成功连任总统至今。
中东地区多国接连爆发阿拉伯之春运动后的2011年1月26日,叙利亚亦开始出现反政府示威活动,随后反政府示威活动演变成了武装冲突,并导致叙国内外多股势力介入。
叙利亚的反政府示威活动很快蔓延至全国多地,示威者与安全部队的冲突逐渐升级。在西方国家(特别是美国)和逊尼派国家(以土耳其和以色列为代表)协助下,要求阿拉维派总统巴沙尔·阿萨德下台的叙利亚反对派迅速壮大并建立自己的武装力量,反政府冲突最终演变成内战,并一直持续至今。
叙利亚反对派的代表性政治组织主要有两个,分别是叙利亚反对派和革命力量全国联盟,以及叙利亚临时政府。叙利亚反对派的主要武装组织为自由叙利亚军。阿拉伯联盟和海湾组织以及57国伊斯兰世界组织相继开除阿萨德政权成员资格,并承认叙利亚反对派为合法代表。另一方面,宗教色彩强烈的伊斯兰主义武装组织,包括伊斯兰国在内的伊斯兰恐怖组织以及寻求摆脱外族统治的库尔德族武装组织也趁机在叙利亚崛起。据2013年12月报道,相信有多达1,000个叙利亚反政府武装团体存在。部分反政府武装团体之间不时发生武装冲突,让叙利亚局势更加混乱。
2011年4月,在叙利亚反政府抗议活动升级的几天后,叙利亚电子军(Syrian Electronic Army,简称SEA)出现在Facebook上,以支持政府的叙利亚总统巴沙尔·阿萨德。2011年5月5日,叙利亚计算机协会注册了叙利亚电子军的网站(syrian-es.com)。由于叙利亚的域名注册机构注册了黑客网站,一些安全专家认为,该组织由叙利亚国家监管。而后叙利亚电子军在其网页上声称不是官方实体,而是一群热爱自己国家的年轻人并决定以电子方式反击那些袭击叙利亚网站的人和那些敌视叙利亚的人。直到2011年5月27日,陆军用一个新的网页取代了它的“关于”页面。在新页面上删除了它“不是一个官方实体”的描述,只说明了它是由一群年轻的叙利亚爱好者建立的,以打击那些利用互联网,特别是利用Facebook在叙利亚“散布仇恨”和“破坏安全”的人。
叙利亚电子军利用垃圾邮件,网站污损,恶意软件,网络钓鱼和拒绝服务攻击,它针对的是政治反对派团体,西方新闻机构,人权团体和对叙利亚冲突看似中立的网站。它还攻击了中东和欧洲的政府网站以及美国国防承包商。
叙利亚电子军作为首个在其国家网络上设立公共互联网军队以公开对其敌人发动网络攻击的阿拉伯国家组织,早期的攻击活动主要以社交账号窃取和网站破环为目的。而到了2014年以后,关于叙利亚电子军攻击活动的报道几乎消失觅迹了。
2018年360 ATA团队发现叙利亚电子军从2014年11月起,使用Android和PC恶意样本针对叙利亚地区进行了长期的,有针对性的攻击活动。这表明叙利亚电子军从早期对媒体网站、社交账号的破坏盗取行为,逐渐转变为对特定目标的可持续的监控活动。
2014年11月至2017年底:叙利亚电子军对使用Android和PC平台的恶意样本对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击。
2018年7月:叙利亚电子军使用新型Android跨越平台攻击木马针对叙利亚及其周边军事机构和政府展开了攻击。
2018年12月:360 CERT捕获到叙利亚电子军针对叙利亚地区攻击的最新Android样本。
2019年3月:360威胁情报中心发现并分析了叙利亚电子军最新的攻击样本。
根据我们的发现,叙利亚电子军下至少包含黄金鼠组织和拍拍熊组织两个不同的分支机构,对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击活动。
2014年11月起,黄金鼠组织(APT-C-27)对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击。平台从开始的Windows平台逐渐扩展至Android平台。此次攻击活动中,Android和PC平台的恶意样本主要伪装成聊天软件及一些特定领域常用软件,通过水坑攻击方式配合社会工程学手段进行渗透,向特定目标人群进行攻击。根据PC样本中的PDB的作者信息,最终确定黄金鼠组织为叙利亚电子军的一个分支。
2015年10月起,拍拍熊组织(APT-C-37)针对极端组织“伊斯兰国”展开了有组织、有计划、针对性的长期不间断攻击。此次攻击中使用了水坑攻击投递样本,恶意样本主要伪装成聊天软件及一些特定领域常用软件。此木马具有窃取短信、通讯录、WhatsApp和Telegram数据、使用FTP进行上传文件等多种功能。经过溯源和关联,我们发现拍拍熊组织与黄金鼠组织存在较强的关联性,因此将此攻击活动归属为叙利亚电子军的另一个分支。
叙利亚政府针对不同反政府武装组织都采取了长期的网络攻击活动以获取情报。通过网络攻击获取的情报再配合武力打击,在真实战场中得到了有效的成果,叙利亚政府将网络战的作用发挥的淋漓尽致。同时由于获取的情报中包含大量的反政府武装人员信息,也为今后叙利亚统一后的社会稳定发挥着巨大作用。我们所发现的种种网络攻击活动,也许只是其众多活动中的一小部分。背后可能还有更多的活动我们并未发现,网络攻击的价值体现,也许比我们预估的更加重要。我们大胆猜测,叙利亚政府这一系列网络攻击,配合真实武器打击的活动,可以堪称网络活动价值体现的典范。
除部分战略边缘地区、争议地区或敏感地区外,和平与发展仍是当今国际局势的主题。也许真实的武器战争并不会出现,而在没有武器战争的时代,网络战的重要性更加凸显。战争从未远离,只是形式不同,网络战已经成为国家博弈的重要手段,伴随互联网、物联网的高速发展,网络战低成本、少伤亡、对方无知觉、政治收益大等特点更加显著。数以百亿计的物联网设备、新技术、芯片、云端都会成为攻击的切入点;国家关键基础设施更是首当其冲,成为重要攻击目标。如何保护网络世界和现实世界的和平将成为全球国家、组织以及个人共同思考的命题。
360 烽火实验室
致力于Android病毒分析、移动黑产研究、移动威胁预警以及Android漏洞挖掘等移动安全领域及Android安全生态的深度研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内首发了多篇具备国际影响力的Android木马分析报告和Android木马黑色产业链研究报告。实验室在为360手机卫士、360手机急救箱、360手机助手等提供核心安全数据和顽固木马清除解决方案的同时,也为上百家国内外厂商、应用商店等合作伙伴提供了移动应用安全检测服务,全方位守护移动安全。