随着2025年6月中东地区冲突加剧,网络行动的强度和范围也同步扩大。Group-IB威胁情报部门最新报告揭示了一幅复杂的图景:黑客活动浪潮、针对性网络攻击和电子战交织——其中部分行动已对关键基础设施和民众安全造成实质性影响。
报告指出:"虽然黑客组织制造了大量干扰...但冲突升级的第一周已暴露出更具技术含量的网络行动,这些行动产生了直接作战影响。"
黑客活动呈现规律性爆发
6月13日至20日期间,Group-IB监测到超过250起黑客攻击事件,包括DDoS攻击、网站篡改和回收利用的历史数据泄露,主要针对政府、金融、媒体、能源、教育和电信部门。
报告描述了这类攻击的典型生命周期:"爆发式启动→短暂平稳期→地缘政治事件引发的二次高峰→迅速衰退"。值得注意的是,6月13日受监控的Telegram频道信息流量激增46%,一周内发布超5800条消息,主要由松散协调的网络组织传播。"约16%内容为转发扩散,84%为原创内容,反映出广泛的去中心化参与特征。"
电子战与物理世界的危险交集
比数字破坏更令人担忧的是那些模糊网络战与物理战界限的高影响事件。6月14日至20日,大范围GPS欺骗干扰了以色列、伊朗、黎巴嫩及海湾合作委员会国家的航空与航海导航。数据显示:"6月15日至18日期间,平均每天有972艘船只遭遇GPS干扰,峰值达1155艘。"
航空领域同样受到影响。国际航空运输协会(IATA)报告称,2021至2024年GPS信号丢失事件增加220%。欧洲航空安全局(EASA)发布安全警告,部分海湾地区机场提醒飞行员做好应对信号干扰准备。这些电子战手段蓄意制造混乱,可能误导飞行员、改变船只航向,在紧张局势中制造危及生命的不确定因素。
虚假警报与加密货币攻击
6月16日,以色列公民收到伪装成国家应急警报系统"OREFAlert"的虚假短信,谎称避难所内存在恐怖袭击和燃气泄漏风险,诱导民众错误撤离。Group-IB指出:"这些信息看似来自'OREFAlert'...引用虚构的'避难所内可能发生恐怖袭击'警告。"此类虚假警报可能在导弹袭击活跃期危及生命,将可信通信系统变为制造混乱的工具。
6月18日,伊朗加密货币交易所Nobitex遭黑客组织"掠食麻雀"入侵。攻击者指控该平台协助规避制裁和恐怖融资,不仅窃取数据,还"销毁"了价值9000万美元的加密货币使其永久退出流通。该组织威胁24小时内公开平台源代码和内部数据——次日即兑现承诺。泄露内容包括5000多个目录和2万份源代码文件、钱包管理系统、KYC流程及与伊朗金融机构的对接信息。报告强调:"此次高度详细的入侵实质上提供了该交易所的完整运作蓝图。"
IP摄像头沦为情报工具
6月20日,彭博社与Group-IB联合披露,伊朗关联网络组织利用以色列未加密的IP摄像头收集导弹袭击后的毁伤评估。超过3万台摄像头被确认为暴露状态,实时画面甚至出现在Twitch和YouTube等平台。"开源情报分析师等各方利用这些画面进行实时冲突监控...显示出其重要的情报价值。"虽然这种手法并非首创,但由国家网络部门大规模公开承认尚属罕见。
同日,伊朗国家电视台IRIB遭劫持播放反政府内容和亲以色列信息,2022年"女性、生命、自由"抗议画面与"雄狮崛起行动"标志同时出现。尽管伊朗当局指责以色列,但此次入侵与黑客组织Adalat Ali在2022年的操作如出一辙。
虚假信息与行业警示
Group-IB研究人员还揭露了多个黑客组织编造的虚假声明:
- Shadow Unit声称泄露埃及大学凭证,实为回收利用的历史数据组合
- RuskiNet宣称曝光3.8万名SAP以色列员工数据,实为2023年某无关支付平台泄露信息
报告揭示了黑客组织、APT(高级持续性威胁)行为者和国家支持团体如何将网络行动与现实混乱相结合。从GPS干扰到短信欺骗,这些战术反映了一种新型升级——数字侵略为物理战略提供支持。Group-IB评估认为:"未来活动可能转向与地缘政治事件相关的短期反应式爆发,而非持续行动。"报告最后强烈呼吁提高警惕、强化防御协议并建立实时情报体系,以应对这种网络-物理冲突的新时代。
