360安全：敘利亞電子軍揭秘： 管窺網絡攻擊在敘利亞內戰中的作用與影響(48頁)(48頁).pdf

1、 敘利亞電子軍揭秘： 管窺網絡攻擊在敘利亞內戰中的作用與影響 2019 年 09 月 20 日 目 錄 第一章 背景介紹 . 1 一、 敘利亞政權介紹 . 1 二、 內戰背景介紹 . 1 三、 敘利亞電子軍介紹 . 3 四、 反對派組織介紹 . 3 五、 其他組織介紹 . 5 第二章 敘利亞電子軍的歷史攻擊活動 . 7 一、 早期的破壞活動 . 7 二、 后期的監控活動 . 9 第三章 敘利亞電子軍在移動端的監控活動 . 10 一、 黃金鼠組織 . 10 二、 拍拍熊組織 . 17 第四章 敘利亞電子軍的技術特點總結 . 35 一、 載荷投遞 . 35 二、 攻擊武器 . 38 第五章 敘利亞

2、電子軍的作用與影響 . 45 360 烽火實驗室 . 46 1 第一章 背景介紹 一、 敘利亞政權介紹 阿拉伯敘利亞共和國，通稱為敘利亞，位于亞洲西部，地中海東岸，北與土耳其接 壤，東同伊拉克交界，南與約旦毗連，西南與黎巴嫩和巴勒斯坦為鄰，西與塞浦路斯隔地 中海相望，包括戈蘭高地，全國總面積為 185180 平方公里。1 敘利亞是世界最古老文明發源地之一，曾歷經羅馬帝國、阿拉伯帝國和奧斯曼帝國等 大國統治。在成為羅馬帝國疆域以前曾經經歷腓尼基、赫梯、米坦尼王國、亞述、古巴比 倫、古埃及、波斯帝國、馬其頓帝國和繼后的塞琉古帝國各個帝國時期。 633 年以前，敘利亞是基督教的發祥地和傳播中心；后阿

3、拉伯帝國在中東地區的擴 張，7 世紀到 16 世紀初葉一直是伊斯蘭教傳播中心之一，后成為法蒂瑪王朝、阿尤布王朝 和馬木留克王朝的一部分，蒙古第三次西征于此地擊敗了阿尤布王朝，后伊兒汗國于大馬 士革被馬木留克王朝擊敗，蒙古勢力退出敘利亞，被埃及統治；由于奧斯曼土耳其帝國的 擴張和十字軍的東征，后來奧斯曼土耳其擊敗馬木留克王朝，于到 1516 年成為奧斯曼帝 國的一部分；18 世紀法國侵入，法國宣稱其為保護地；第一次世界大戰以后，由法國委任 統治；1944 年從法國宣布獨立，但直到 1946 年正式獨立前一直有外國軍隊駐扎。 1958 年 2 月 1 日，敘利亞和埃及合并為阿拉伯聯合共和國（阿聯）

4、 。1961 年 9 月 28 日，敘利亞脫離阿聯，并重新建立阿拉伯敘利亞共和國。 1963 年，阿拉伯復興社會黨發動軍事政變取得政權，執政至今。1970 年，哈菲 茲阿薩德通過軍事政變上臺，此后直到 2000 年去世他統治的這 30 年里，他一直禁止任 何反對黨或非執政黨候選人參與任何選舉活動。 2000 年 6 月 9 日，掌權 30 年的哈菲茲阿薩德去世，由于他的遺愿，其未到法定總 統年齡的兒子巴沙爾阿薩德通過修改憲法繼任為總統。2005 年 4 月 26 日，敘利亞遵照 聯合國決議，自黎巴嫩撤軍，結束近三十年的直接干預。2007 年 5 月 27 日，敘利亞就巴 沙爾阿薩德繼續第二個為

5、期 7 年的總統任期問題舉行全民公決，結果以 97.62%確認他獲 得第二個總統任期，任期至 2014 年。2011 年 1 月 26 日，受阿拉伯之春運動的影響，敘利 亞亦開始出現反政府示威活動，但被政府軍鎮壓，但隨后反政府示威活動演變成敘利亞內 戰。2014 年，巴沙爾阿薩德再次成功連任總統至今。 二、 內戰背景介紹 中東地區多國接連爆發阿拉伯之春運動后的 2011 年 1 月 26 日，敘利亞亦開始出現反 政府示威活動，隨后反政府示威活動演變成了武裝沖突，并導致敘國內外多股勢力介入。2 敘利亞的反政府示威活動很快蔓延至全國多地，示威者與安全部隊的沖突逐漸升級。 在西方國家（特別是美國）和

6、遜尼派國家（以土耳其和以色列為代表）協助下，要求阿拉 維派總統巴沙爾阿薩德下臺的敘利亞反對派迅速壯大并建立自己的武裝力量，反政府沖 1 敘利亞:https:/zh.wikipedia.org/wiki/%E5%8F%99%E5%88%A9%E4%BA%9A 2 敘利亞內 戰:https:/zh.wikipedia.org/wiki/%E5%8F%99%E5%88%A9%E4%BA%9A%E5%86%85%E6%88%98 2 突最終演變成內戰，并一直持續至今。 敘利亞反對派的代表性政治組織主要有兩個，分別是敘利亞反對派和革命力量全國聯 盟，以及敘利亞臨時政府。敘利亞反對派的主要武裝組織為自由敘

7、利亞軍。阿拉伯聯盟和 海灣組織以及 57 國伊斯蘭世界組織相繼開除阿薩德政權成員資格，并承認敘利亞反對派 為合法代表。另一方面，宗教色彩強烈的伊斯蘭主義武裝組織，包括伊斯蘭國在內的伊斯 蘭恐怖組織以及尋求擺脫外族統治的庫爾德族武裝組織也趁機在敘利亞崛起。據 2013 年 12 月報道，相信有多達 1,000 個敘利亞反政府武裝團體存在。部分反政府武裝團體之間不 時發生武裝沖突，讓敘利亞局勢更加混亂。 反對派武裝力量獲得國外大量援助的同時，伊朗和俄羅斯則大力支援敘利亞政府，讓 敘利亞內戰成為遜尼派與什葉派之間，以及美國與俄羅斯之間的角力場。 敘利亞八年的內戰已造成 56 萬人死亡，2200 萬戰

8、前人口中有一半被迫離開家園，包 括 600 多萬難民逃往鄰國。近期敘利亞政府武裝在俄羅斯的協助下收復了大量的失地，根 據聯合國新聞報導，截止到 19 年 8 月初，敘利亞內戰主要發生在伊德利卜地區。下圖展 示了 2019 年 7 月 30 日俄羅斯及其敘利亞盟友對伊德利卜省西北部空襲所針對的區域和城 市以及各個勢力的分布3。 圖 1-1 2019 年 7 月 30 日敘利亞各組織勢力分布 3 2019 年 7 月 30 日敘利亞各組織勢力分布: 3 三、 敘利亞電子軍介紹 2011 年 4 月，在敘利亞反政府抗議活動升級的幾天后，敘利亞電子軍（Syrian Electronic Army，簡稱

9、 SEA）4出現在 Facebook 上，以支持政府的敘利亞總統巴沙爾阿 薩德。2011 年 5 月 5 日，敘利亞計算機協會注冊了敘利亞電子軍的網站（syrian-） 。 由于敘利亞的域名注冊機構注冊了黑客網站，一些安全專家認為，該組織由敘利亞國家監 管。而后敘利亞電子軍在其網頁上聲稱不是官方實體，而是一群熱愛自己國家的年輕人并 決定以電子方式反擊那些襲擊敘利亞網站的人和那些敵視敘利亞的人。直到 2011 年 5 月 27 日，陸軍用一個新的網頁取代了它的“關于”頁面。在新頁面上刪除了它“不是一個官 方實體”的描述，只說明了它是由一群年輕的敘利亞愛好者建立的，以打擊那些利用互聯 網，特別是利

10、用 Facebook 在敘利亞“散布仇恨”和“破壞安全”的人。 敘利亞電子軍利用垃圾郵件，網站污損，惡意軟件，網絡釣魚和拒絕服務攻擊，它針 對的是政治反對派團體，西方新聞機構，人權團體和對敘利亞沖突看似中立的網站。它還 攻擊了中東和歐洲的政府網站以及美國國防承包商。敘利亞電子軍是首個在其國家網絡上 設立公共互聯網軍隊以公開對其敵人發動網絡攻擊的阿拉伯國家組織。 四、 反對派組織介紹 目前活躍的反對派組織5主要包括，自由敘利亞軍、沙姆自由人伊斯蘭運動、沙姆解放 組織。 (一) 自由敘利亞軍 自由敘利亞軍隊（Free Syrian Army，簡稱 FSA）是敘利亞內戰的一個松散派，由敘利 亞武裝部

11、隊官員于 2011 年 7 月 29 日成立，他們的目標是推翻巴沙爾阿薩德政府，成為 “敘利亞反政府軍事機構” ，旨在通過武裝行動推翻政府，鼓勵軍隊內部分裂，并采取武 裝行動。由于敘利亞軍隊是有組織的，全副武裝的，因此 FSA 在農村和城市采取了游擊戰 術。FSA 的軍事戰略側重于全國各地的零星游擊戰，戰術重點是首都大馬士革的武裝行 動。該運動并非旨在奪取領土，而是驅散政府部隊及其后勤供應鏈，與城市中心作戰，造 成安全部隊自然減員，士氣低落，破壞政府中心大馬士革的穩定。 自由敘利亞軍最初只有 1,000 多名成員，截止 2012 年 3 月已有 70,000 名成員，2013 年 6 月有 1

12、20,000 成員（不含后來分出去的伊斯蘭軍） ，是主要的反對派軍事武裝之一。 有意見認為自由敘利亞軍到 2014 年已名存實亡，它無法約束屬下各大小武裝團體， 只不過其“溫和反對派武裝”形象仍有宣傳價值，所以仍有不少武裝分子打著自由敘利亞 軍旗號以提高自身的“正當性”和方便取得西方國家支援。 2016 年土耳其軍事干預敘利亞之后，土耳其支持的非官方阿拉伯人和土庫曼人組織以 “敘利亞自由軍”的名義成立，在土耳其和英國空軍支持的有組織軍隊的實地提供物質支 持。該小組與敘利亞的土耳其部隊密切合作。 4 敘利亞電子軍: https:/en.wikipedia.org/wiki/Syrian_Elec

13、tronic_Army 5 敘利亞內戰派系知多少: 4 (二) 沙姆自由人伊斯蘭運動 沙姆自由人伊斯蘭運動（Harakat Ahrar al-Sham al-Islamiyya，通常被稱為 Ahrar al- Sham）的核心是一群曾被敘利亞復興黨政權逮捕判刑的基地組織干部。這些人在 2011 年 35 月間被復興黨政權釋放后，即建立了該組織，2012 年之后更是在敘利亞北方不斷坐 大。此后，該組織曾長期在教權反對派聯軍伊斯蘭陣線和征服軍中相繼擔任副盟主的角 色，以比較溫和的立場積累了實力，還獲得了土耳其較大力度的支持。 2016 年 12 月，該運動聽從土耳其的命令，從阿勒頗撤退，保存了實力

14、，并且因此同 教權聯軍盟主努斯拉陣線產生分歧。2017 年 1 月，該運動因支持反對派同政權方的和談而 與努斯拉陣線徹底翻臉，雙方在伊德利卜大打出手。期間，該運動的眾多領導和麾下組織 紛紛叛逃到努斯拉陣線改組的沙姆解放組織，但該運動同時也在土耳其支持下收編了大量 被沙姆解放組織擊潰的主和教權派小團體殘部，因此實力不減反增，從而擴軍至近三萬 人。該組織也因此成為主和反對派勢力的盟主，得以在伊德利卜省建立了一個同沙姆解放 組織分庭抗禮的新聯軍。 這個新的教權反對派聯軍包括沙姆自由人伊斯蘭運動和穆兄會系統的沙姆軍團等教權 派組織，也包括了相當一部分前自由軍派系，如勝利軍、光榮軍、解放軍（Jaish

15、al- Tahrir，下轄自由軍第 46 師、第 312 師和第 9 旅等單位） 、自由軍第 13 師、第 16 師、第 30 師、第 101 師、海防第 1 師等，還有一些土庫曼部隊。 這一教權反對派聯軍目前盤踞在伊德利卜省和阿勒頗省西部的大片領土，主要跟同門 兄弟沙姆解放組織對峙。此外，盤踞在霍姆斯和大馬士革郊外的教權派團體，大部分也或 多或少地與該聯軍同氣連枝。聯軍的總體目標是同政權軍爭奪未來政治和解進程的主導 權，最低目標是要確立伊斯蘭教在敘利亞的特殊地位，將敘利亞變成一個實行沙利亞法的 國家。 (三) 沙姆解放組織 沙姆解放組織（Hayat Tahrir al-Sham，簡稱 HTS

16、）是由努斯拉陣線吸收其他主戰教權 反對派組織改組而來的。其特點是與基地組織關系密切，可視為基地組織的敘利亞分支。 反對者蔑稱之為哈泰什（Hetesh） 。 盡管受到美國的敵視，而且因所謂呼羅珊集團的原因而遭到美國轟炸，但憑借自己強 悍的戰斗力，努斯拉陣線還是通過征服軍（Jaish al-Fatah） 、馬賴阿聯合作戰指揮部、阿勒 頗征服軍（Fatah Halab）等聯合陣線的形式將伊斯蘭陣線（特別是其中沙姆自由人伊斯蘭 運動）的大部分派系、沙姆軍團等穆兄會教權勢力以及相當一部分活動在北方的自由軍派 系納入自己的麾下，形成了一個內部有分歧但對外比較一致的教權反對派聯軍。更得到了 土耳其、海灣國家

17、和以色列的支持。 然而，在遭到土耳其背叛后，教權派聯軍失去了阿勒頗。這導致其迅速產生了內部的 分化。以聯軍副盟主沙姆自由人伊斯蘭運動（Ahrar al-Sham）為首的主和派勢力在土耳其 支持下公開分裂出去，否認了努斯拉陣線的領導地位，在伊德利卜自行建政，還派人到阿 斯塔納參加反對派同政權方的對話。這引起被列強指名排斥在和談外的努斯拉陣線極大不 滿，于是雙方爆發內戰。 2017 年 1 月，努斯拉陣線為首的主戰教權派勢力同沙姆自由人伊斯蘭運動為首的主和 5 派勢力在伊德利卜省爆發內戰后，努斯拉陣線為團結諸將，在 1 月 28 日宣布改組為沙姆 解放組織。目前該組織控制了伊德利卜省中部以伊德利卜

18、市、南部以邁阿賴阿努曼市為中 心的大片領土，又在內戰中控制了整個伊德利卜省西北部同土耳其交界的地區、西部以戰 略要地吉斯舒古爾為中心的地區、阿勒頗省西部地區和哈馬省北部地區。在一系列軍事勝 利后，沙姆解放組織已從努斯拉時期的一萬多人擴大到兩三萬人，戰斗力也遠遠超過主和 教權派，還得到突厥斯坦伊斯蘭黨（Turkistan Islamic Party）等一些同樣被排斥在和談外 的主戰教權派鼎力支持。但由于得不到外國的鼎力支持，沙姆解放組織無法徹底消滅伊德 利卜省的主和教權派，同時又因控制了同政權軍交戰的前線而處于一種四面皆敵的狀態。 沙姆解放組織的主要目標是吞并其他教權派組織，重新贏得土耳其、沙特

19、等國支持， 迫使列強承認其為交戰團體，從而甩掉恐怖組織的帽子而加入敘利亞未來的政治進程。 2017 年 2 月，沙姆解放組織被迫將其內部同伊斯蘭國公開勾結的阿克薩戰士（Jund al- Aqsa）逐出伊德利卜省，以同主和教權派達成休戰。為了貫徹自己的主戰立場、重新贏得 土耳其等國的支持，沙姆解放組織又在 3 月冒險發動了對哈馬的攻勢。此戰得到了土耳其 在人力物力方面的支援，可見沙姆解放組織對土耳其國家來說仍有其存在價值。 五、 其他組織介紹 (一) 敘利亞民主力量 敘利亞民主力量（Syrian Democratic Forces，通?？s寫為 SDF，HSD 和 QSD）是一個 由敘利亞庫爾德人

20、、敘利亞阿拉伯人、敘利亞亞述人和敘利亞土耳其人武裝勢力在敘利亞 內戰中所建立的軍事同盟。聯盟成立于 2015 年 10 月，試圖將伊斯蘭國逐出敘利亞拉卡省 和其他區域。敘利亞民主力量號稱他們“團結了所有敘利亞人的武裝力量，包含庫爾德 族、阿拉伯人、亞述人和其他生活在敘利亞地區的所有人” 。此外，他們的目標是要建立 一個自治、包容、民主的敘利亞。 這個聯盟的建立奠基于幼發拉底火山聯合行動的成功，其中包含敘利亞庫爾德族的人 民保護部隊（YPG）和支援科巴尼防守的自由敘利亞軍（FSA） 。之后拉卡革命旅也加入幼 發拉底火山，參與進攻伊斯蘭國占據的泰勒艾卜耶德。擴增之后的敘利亞民主力量現在還 包括賈茲

21、拉州自治政府、敘利亞人軍事委員會（MFS） ，以及幫助人民保護部隊（YPG） 掃蕩哈塞克地區，親政府的阿拉伯部落薩那地力量（Jaysh al-Sanadid） 。 聯盟中擁有大約 4 千兵力的阿拉伯團體，將會在敘利亞阿拉伯聯軍的組織下運作，以 進攻幼發拉底河以東的伊斯蘭國首都拉卡。剩余一些由美國國防部訓練的反抗軍，任務將 會是“導引針對伊斯蘭國的空襲，和招募更多溫和派反抗軍” 。 與其他敘利亞非政府武裝力量不同的是，敘利亞民主軍盡可能避免與敘利亞政府軍對 抗，敘利亞民主軍主要對手為伊斯蘭國，敘國庫爾德族表示，他們追求的是在地方分權下 的自治，而并非獨立建國，敘利亞外交部長莫蘭則回應，敘利亞政府

22、對于庫爾德族自治保 持開放態度，不過前提是先消滅伊斯蘭國，之后雙方便可對于自治開始進行協商。 截至 2019 年 3 月，估計有 1 萬 1 千名敘利亞民主力量戰士在與伊斯蘭國的交戰中死 亡。 6 (二) 伊斯蘭國 伊斯蘭國（Islamic State，簡稱 IS） ，前稱“伊拉克和沙姆伊斯蘭國” （Islamic State of Iraq and al-Sham，簡稱 ISIS） ，是一個活躍在伊拉克和敘利亞的薩拉菲圣戰主義組織以及 未被世界廣泛認可的政治實體，奉行極端保守的伊斯蘭原教旨主義瓦哈比派，屬遜尼宗的 一脈。組織領袖巴格達迪自封為哈里發，定國號為“伊斯蘭國” ，宣稱自身對于整個穆

23、斯 林世界（包括全中東、非洲東部、中部、北部、黑海東部、南部、西部，亞洲中部和西 部、歐洲伊比利亞半島和巴爾干半島、印度幾乎全境、中國西北地區）擁有統治地位。周 邊阿拉伯國家以阿拉伯文縮寫稱其為“達伊沙” （DAESH） ，與阿拉伯語的“踩踏”諧音， 以示對其“伊斯蘭國”名稱的不承認及蔑視。中國大陸媒體有時則直接以“極端組織”或 ISIS 代指這一組織。 除了來自伊拉克和敘利亞的成員以外，這個組織也吸引了來自全球 81 個國家的超過 12,000 名圣戰者加入。他們主要經由土耳其邊境進入敘利亞和伊拉克。 在土耳其境內位于阿達納省因斯里克空軍基地附近，有個專門為圣戰者提供訓練的訓 練營。數千名圣

24、戰者已完成訓練并進入敘利亞和伊拉克協助“伊斯蘭國”建立“伊斯蘭 國” 。 2014 年 10 月 2 日美國副總統喬拜登指責土耳其資助“伊斯蘭國” 。土耳其否認了這 個指責并要求喬拜登道歉。其實土耳其想借助“伊斯蘭國”對付庫德族武裝和阿薩德政 府并不是什么秘密。2012 年年初或更早，美國中情局在約旦設立訓練營為敘利亞反對派提 供軍事訓練，多名完成訓練的敘反對派成員因受“伊斯蘭國”理念所吸引，結果加入了該 組織。2014 年 6 月美國向在“伊斯蘭國”敘利亞占領區內的難民提供人道援助。 2017 后隨著俄羅斯在敘利亞內戰的軍事介入與伊朗代表的泛什葉派力量大舉攻入伊拉 克和敘利亞戰場， “伊斯蘭

25、國”大舉潰敗，摩蘇爾與拉卡兩座大城市先后被攻陷，有形的 ISIS 領土幾乎消滅。 2019 年 3 月 23 日， “伊斯蘭國”最后據點被敘利亞民主力量解放，并宣布“伊斯蘭 國”組織完全瓦解，正式滅亡；但目前原“伊斯蘭國”領導人巴格達迪，依然行蹤成謎。 2019 年 4 月 21 日，斯里蘭卡共發生 8 起爆炸案，分布于首都科倫坡、附近的尼甘布 以及東部拜蒂克洛，涉及 3 個教堂及 4 家酒店。23 日， “伊斯蘭國”宣稱對爆炸案負責。 2019 年 4 月 29 日，一直行蹤成謎的“伊斯蘭國”領導人巴格達迪，在“伊斯蘭國” 組織滅亡后首次公開露面現身。 2019 年 5 月 11 日， “伊

26、斯蘭國”宣傳機構“阿瑪克通訊社” （Amaq News Agency）在 克什米爾（Kashmir）地區跟激進分子爆發沖突后，宣稱該組織在印度建立名為“印度 省” （Wilayah of Hind）的新省份。 7 第二章 敘利亞電子軍的歷史攻擊活動 敘利亞電子軍作為首個在其國家網絡上設立公共互聯網軍隊以公開對其敵人發動網絡 攻擊的阿拉伯國家組織，早期的攻擊活動主要以社交賬號竊取和網站破環為目的。而到了 2014 年以后，關于敘利亞電子軍攻擊活動的報道幾乎消失覓跡了6。 2018 年 360 ATA 團隊發現敘利亞電子軍從 2014 年 11 月起，使用 Android 和 PC 惡意 樣本針對

27、敘利亞地區進行了長期的，有針對性的攻擊活動。這表明敘利亞電子軍從早期對 媒體網站、社交賬號的破壞盜取行為，逐漸轉變為對特定目標的可持續的監控活動。 一、 早期的破壞活動 2011 年 7 月：加州大學洛杉磯分校的網站被敘利亞電子軍的黑客“The Pro”破壞。 2011 年 9 月：哈佛大學的網站被稱為“sophisticated group or individual”破壞。哈佛 大學的主頁被敘利亞總統巴沙爾阿薩德的圖片所取代，上面寫著“敘利亞電子軍在這 里”的信息。 2012 年 4 月：社交媒體網站 LinkedIn 的官方博客被重定向到支持巴沙爾阿薩德的 網站。 2012 年 8 月：

28、路透社新聞機構的 Twitter 賬戶發送了 22 條推文，其中包含有關敘利亞 沖突的虛假信息。路透社新聞網站遭到入侵，并在新聞博客上發布了有關沖突的虛假報 道。 2013 年 4 月 20 日：Team Gamerfood 主頁被遭到破壞。 2013 年 4 月 23 日：美聯社的 Twitter 賬戶錯誤地聲稱白宮被炸，巴拉克奧巴馬總統 受傷。這導致同一天標準普爾 500 指數下跌 1365 億美元。 2013 年 5 月：通過釣魚入侵 The Onion 員工的 Google Apps 帳戶，從而破壞了 The Onion 的 Twitter 帳戶。 2013 年 5 月 24 日：IT

29、V News London 的 Twitter 賬號遭到黑客入侵。 2013 年 5 月 26 日：英國廣播公司 Sky News 的 Android 應用程序在 Google Play 商店 被黑客入侵。 2013 年 7 月 17 日：TrueCaller 服務器被敘利亞電子軍入侵。該組織在 Twitter 聲稱其 恢復了 459GiB 數據庫，這主要是由于服務器上安裝了較舊版本的 Wordpress。黑客通過另 一條推文發布了 TrueCaller 所謂的數據庫主機 ID，用戶名和密碼。2013 年 7 月 18 日， TrueCaller 在其博客上確認只有他們的網站被黑，但聲稱攻擊沒

30、有透露任何密碼或信用卡 信息。 2013 年 7 月 23 日：Viber 服務器被黑客入侵，支持網頁被替換為在入侵期間獲得了數 據截圖。 2013 年 8 月 15 日：廣告服務 Outbrain 遭受魚叉式攻擊攻擊，并且敘利亞電子軍將其 6 敘利亞電子軍攻擊的時間表: https:/en.wikipedia.org/wiki/Syrian_Electronic_Army 8 重定向到華盛頓郵報 ， 時代和 CNN 的網站。 2013 年 8 月 27 日：NYT 將其 DNS 重定向到顯示“被敘利亞電子軍的黑客 攻擊”的消息的頁面，并更改了 Twitter 的域名注冊商。 2013 年 8

31、 月 28 日：Twitter 的 DNS 注冊顯示敘利亞電子軍是其管理員和技術聯系 人，并且一些用戶報告說該站點的層疊樣式表（CSS）已受到破壞。 2013 年 8 月 29 日至 30 日： 紐約時報 ， 赫芬頓郵報和 Twitter 被敘利亞電子軍攻 擊。一名聲稱為該組織發言的人挺身而出，將這些襲擊事件與美國采取化學武器回應阿薩 德的軍事行動的可能性聯系起來。一位自稱是敘利亞電子軍的人員在一封電子郵件交流中 告訴 ABC 新聞： “當我們攻擊媒體時，我們不會破壞網站，只會在可能的情況下發布，或 者發表一篇包含發生在敘利亞真相的文章.所以如果美國對敘利亞發動攻擊，我們可能 會使用對美國經濟

32、或其他方面造成傷害的方法。 ” 2013 年 9 月 2 日至 3 日：親敘利亞黑客入侵美國海軍陸戰隊的互聯網招募網站，發布 消息稱，如果華盛頓決定對敘利亞政府發動襲擊，美國士兵將拒絕接受命令。該網站 癱瘓了幾個小時，并被重定向為“由敘利亞電子軍提供”的七句話。 2013 年 9 月 30 日： 環球郵報的官方 Twitter 帳戶和網站遭到黑客入侵。敘利亞電 子軍通過他們的 Twitter 帳戶發布了“在您發布關于敘利亞電子軍的不實消息之前請三思 而后行”和“這次我們攻擊您的網站和您的 Twitter 帳戶，下次您將開始尋找新工作” 2013 年 10 月 28 日：通過“Organizin

33、g for Action”組織職員的 Gmail 帳戶，敘利亞電 子軍修改了奧巴馬總統的 Facebook 和 Twitter 帳戶的短網址，并指向其 YouTube 上的 24 分鐘宣傳視頻。 2013 年 11 月 9 日：敘利亞電子軍攻擊了 VICE 的網站，這是一個無關的新聞/紀錄片/ 博客網站，在敘利亞與反對派一起拍攝了多次。登錄 V 重定向到敘利亞電子軍的主 頁。 2013 年 11 月 12 日：敘利亞電子軍入侵了利比亞內戰退伍軍人和親反叛新聞記者 Matthew VanDyke 的 Facebook 頁面。 2014 年 1 月 1 日：敘利亞電子軍入侵了 Skype 的 Fa

34、cebook，Twitter 和博客，發布了 與其相關的圖片，并告訴用戶不要使用微軟的電子郵件服務 O（簡稱 Hotmail） 聲稱微軟向政府出售用戶信息。 2014 年 1 月 11 日：敘利亞電子軍攻擊了 Xbox 支持 Twitter 頁面并將推文重定向到該 組織的網站。 2014 年 1 月 22 日：敘利亞電子軍攻擊官方微軟 Office 博客，發布了幾張圖片并發布 了有關此次攻擊的推文。 2014 年 1 月 23 日：CNN 的 HURACANCAMPEN2014 官方 Twitter 賬號顯示兩條消 息，包括由二進制代碼組成的敘利亞國旗照片。CNN 在 10 分鐘內刪除了推文。

35、 2014 年 2 月 3 日：敘利亞電子軍攻擊了 eBay 和 PayPal UK 的網站。一位消息人士 稱，黑客目的只是為了炫耀而他們沒有采集任何數據。 2014 年 2 月 6 日：敘利亞電子軍攻擊了 Facebook 的 DNS。消息人士稱，注冊人的聯 9 系方式已經恢復，Facebook 確認沒有網站流量被劫持，社交網絡用戶也沒有受到影響。 2014 年 2 月 14 日：敘利亞電子軍攻擊了福布斯網站及其 Twitter 帳戶。 2014 年 4 月 26 日：敘利亞電子軍攻擊了與信息安全相關的 RSA 會議網站。 2014 年 6 月 18 日：敘利亞電子軍攻擊了英國報紙太陽報和星

36、期日泰晤士報 的網站。 2014 年 6 月 22 日：路透社網站遭到第二次黑客入侵，并顯示敘利亞電子軍譴責路透 社發布關于敘利亞的“虛假”文章的消息。黑客破壞了由 Taboola 投放的廣告。 2014 年 11 月 27 日：敘利亞電子軍通過劫持 Gigya 著名網站的評論系統入侵了數百個 站點，顯示“你被敘利亞電子軍攻擊了” 。 2015 年 1 月 21 日：法國報紙世界報寫道，敘利亞電子軍“在啟動拒絕服務之前 成功滲透到我們的發布工具中” 。 2018 年 5 月 17 日：美國以“陰謀”為由，指控兩名犯罪嫌疑人入侵了美國的幾個網 站。 二、 后期的監控活動 2014 年 11 月至

37、 2017 年底：敘利亞電子軍對使用 Android 和 PC 平臺的惡意樣本對敘 利亞地區展開了有組織、有計劃、有針對性的長時間不間斷攻擊。 2018 年 7 月：敘利亞電子軍使用新型 Android 跨越平臺攻擊木馬針對敘利亞及其周邊 軍事機構和政府展開了攻擊。 2018 年 12 月：360 CERT 捕獲到敘利亞電子軍針對敘利亞地區攻擊的最新 Android 樣 本。 2019 年 3 月：360 威脅情報中心發現并分析了敘利亞電子軍最新的攻擊樣本。 2019 年 3 月：360 烽火實驗室發現敘利亞電子軍針對伊斯蘭國的攻擊活動。 10 第三章 敘利亞電子軍在移動端的監控活動 根據我們

38、的發現，敘利亞電子軍下至少包含黃金鼠組織和拍拍熊組織兩個不同的分支 機構，對敘利亞地區展開了有組織、有計劃、有針對性的長時間不間斷攻擊活動。 一、 黃金鼠組織 (一) 攻擊活動 2014 年 11 月起，黃金鼠組織（APT-C-27）對敘利亞地區展開了有組織、有計劃、有 針對性的長時間不間斷攻擊7。平臺從開始的 Windows 平臺逐漸擴展至 Android 平臺。此 次攻擊活動中，Android 和 PC 平臺的惡意樣本主要偽裝成聊天軟件及一些特定領域常用軟 件，通過水坑攻擊方式配合社會工程學手段進行滲透，向特定目標人群進行攻擊。根據 PC 樣本中的 PDB 的作者信息，最終確定黃金鼠組織為

39、敘利亞電子軍的一個分支。 圖 3-1 黃金鼠相關重點事件時間軸 1. 載荷投遞 Android 端間諜軟件主要偽裝成“System Package Update”、 “Telegram Update”、 “ChatSecure Ultimate 2017”、 “Ms Office Update 2017”、 “WordActivation”、 “”_等軟件，這些軟件普遍為一些聊天軟件更新程序，并通過掛載在具有迷惑 性的下載網址上引誘目標下載安裝。 7 黃金鼠組織-敘利亞地區的定向攻擊活動: 動.html 11 圖 3-2 釣魚網站 2. 攻擊樣本分析 Android 端共使用到兩種 RAT，其

40、中一種是開源的 AndroRat，此 RAT 在早期的攻擊活 動中使用；另一種是定制的 SilverHawk8，此 RAT 在后期的攻擊活動中使用，并且經過多 次更新。 本次攻擊活動中使用的 Android 樣本的主要功能如下： 錄制音頻 使用設備相機拍照 心跳包 從外部存儲中檢索文件 復制，移動，重命名和刪除文件 下載攻擊者指定的文件 已安裝的應用程序，包括 安裝的日期和時間 嘗試使用 root 權限執行攻擊者指定的命令或二進制文件 檢索聯系人 短信 通話記錄 設備的位置，方向和加速度 8 Under the SEA - A Look at the Syrian Electronic Arm

41、ys Mobile Tooling: 18/Wed-Dec-5/eu-18-DelRosso-Under-the-SEA.pdf 12 可遠程更新的 C2 IP 和端口 隱藏圖標 設備信息 樣本核心功能代碼結構見下圖。 圖 3-3 樣本核心代碼的結構 (二) 跨平臺攻擊方式 2018 年 7 月，我們首次發現其新版本的移動端攻擊樣本具備了針對 PC 的誘導跨越攻 擊方式9。 1. 載荷投遞 此次共發現兩個相似名稱的攻擊樣本釣魚網站及下載地址，PC 端 RAT 的攻擊樣本 “hmzvbs”則直接嵌入在新版本的移動端攻擊樣本中。 9 移動端跨越攻擊預警：新型 APT 攻擊方式解析: 13 圖 3-

42、4 釣魚網站 2. 攻擊樣本分析 通過分析對比，我們發現新版本的移動端手機攻擊樣本除了保留原版的移動端 RAT 功 能之外，此次攻擊新增了移動存儲介質誘導攻擊的方式，首次實現了從移動端到 PC 端的攻 擊跨越，其攻擊細節如下： 第一步：移動端攻擊樣本攜帶針對 PC 的 PE 格式 RAT 攻擊文件“hmzvbs” 。 圖 3-5 攜帶的 PE RAT 攻擊文件 第二步：移動端手機攻擊樣本運行后，立即把該針對 PC 的 RAT 攻擊文件“hmzvbs” ， 釋放到指定好的移動端外置存儲設備中的圖片目錄下進行特殊名稱的偽裝。這個偽裝實現 了跨越攻擊前的特殊準備，該偽裝具有兩個特點：攻擊文件名稱偽裝成常見的圖片相關目 錄名；攻擊文件的擴展名為“.PIF” （該擴展名代表 MS-DOS 程序的快捷方式，意味著在 PC 上可直