一场没有输家的战争:印巴冲突“双赢”背后的认知战较量 网络攻击战
333.81 KB
16 页
0 下载
35 浏览
0 评论
0 收藏
语言 | 格式 | 评分 |
---|---|---|
中文(简体) | .pdf | 3 |
概览 | ||
一场没有输家的战争:印巴冲突“双赢”背后的认知
战较量|网络攻击战
印巴冲突是两个战场协同作战,从现实战场的边境炮击、
空战升级、陆战对抗延展到网络空间和媒体舆论,军事对抗
和网络攻击、认知操纵、情报对抗协同推进。例如,超 50
个亲巴黑客组织结成阵营,以 DDoS 攻击(占比 50%)、网站
篡改和宣传战(36%)及数据泄露炒作(10%)为主要手段对
印发起攻击。印度观察家研究基金会安全、战略与技术中心
研究员苏米娅·阿瓦斯蒂等撰文称,网络战虽然位于军事战
边缘,但对实现国家的政治目标起着至关重要的作用;网络
战作为一种低强度、针锋相对的数字攻击模式,涉及网站网
页篡改、虚假信息传播、间谍窃取活动和数字破坏行动。伴
随网络战和舆论战日益融合,印巴尝试了一系列旨在激发本
国民众情绪、塑造认知观点、打击敌方士气、影响国际舆论
的认知战行动,双方竭力争夺网络空间和认知战场的主导权,
强化认知操纵和舆论对抗,把心理威慑与叙事争夺作为重点
作战任务。例如,亲巴黑客组织以#OpIndia 为行动代号,效
仿历史上针对以色列、美国的黑客运动,通过篡改政府网站、
炒作数据泄露等手段,将克什米尔议题与反殖民叙事捆绑传
播。具体而言,印巴冲突背后的认知战主要有三条战线。印巴认知战的第一条战线:网络攻击战。
来自世界各地的黑客组织基于亲巴或亲印立场,通过协
调一致的网络行动,瞄准印或巴的政府和通信、能源、金融
等网站及服务,极力瘫痪印或巴的关键基础设施,削弱对印
或巴的战时作战和社会动员能力,同时干扰印或巴的高层决
策,阻挠政府信息传播,影响经济社会运行,并给印或巴政
府和民众造成心理威慑、制造社会恐慌。从实际效果看,虽
然网络攻击并未对印或巴造成重大损失,但黑客攻击表明了
政治意图,实现了心里威慑。印巴冲突时间虽短,但网络攻
击战历经了三个时间阶段:
第一阶段(4 月 22 日至 5 月 6 日)。早在“朱砂行动”
之前,印巴网络攻击战早已悄然展开,包括定向攻击印或巴
政府网站和关键基础设施以及操控社交媒体舆论等。由于印
巴长期处于对峙和较量状态,网络暗战本就是常态。因此,
“4·22”袭击事件发生后双方就能迅速动员大量黑客组织
参战,DDoS 攻击、APT 攻击、舆论攻击等快速爆发。印方
的政府、电信、能源、国防等基础设施遭遇持续网络攻击,
巴方的商务部、紧急服务部、通信服务商等同样遭到攻击,
主要包括 DDoS 攻击、网页篡改以及数据泄露,目的是破坏
和削弱对方的关键基础设施。例如,袭击事件发生后,宗教黑客组织就开始进行小规模破坏攻击,针对印或巴的电子政
务系统发起 DDoS 攻击,有的还实施网络勒索和数据窃取。
以色列网络安全公司 Radware 监测显示,5 月之前印遭到的
网络攻击大多集中于地区竞争、宗教纠纷或社会纷争。
绿盟科技监测数据显示,袭击事件发生后 48 小时内,
针对印的网络攻击量激增 500%。4 月 23 日,印铁路电信网
站遭到 DDoS 攻击;4 月 25 日-26 日,印电信运营商 BSNL
(www.bsnl.co.in)遭受两轮 DDoS 攻击。BSNL 是印主要
互联网服务提供商,如果攻击造成服务中断,印指挥控制系
统、情报传递网络等通信设施将受到影响。4 月 26 日,印身
份识别机构 UIDAI(uidai.gov.in)突遭 DDoS 攻击。同日,
印政府规划与教育资讯发布平台 Nccc News(ncccnews.com)
遭到 DDoS 攻击。4 月 29 日,黑客组织“IOK Hacker”宣布
对印陆军公立学校(APS)官网、陆军福利住房组织(AWHO)
数据库以及空军安置组织门户网站实施攻击。5 月 2 日,印
电网有限公司 POWERGRID 官网(www.powergrid.in)遭
到 DDoS 攻击。与此同时,巴方也持续受到网络攻击。4 月
25 日,巴方商务部网站遭受 DDoS 攻击,黑客组织将其作为
目标旨在破坏巴经济稳定、干扰国际贸易甚至削弱巴政府公
信力。4 月 26 日,巴方紧急服务部网站突遭 DDoS 攻击,其
服务一旦中断将严重影响紧急求助、灾害预警发布及救援力量调度,同时造成民众恐慌。到 4 月 26 日,双方遭到的攻
击规模达到峰值,印境内的攻击量激增超 500%,巴境内的攻
击量暴涨 700%以上。4 月 27 日,
“印度网络力量”
(Indian Cyber
Force,@CyberForceX)发推文称,入侵了巴最大银行 HBL
(哈比卜)。5 月 1 日,巴方重要通信服务商 WTL 官网遭到
攻击。5 月 1 日之后,总体攻击量开始显著回落。5 月 8 日,
Radware 发布名为《印巴紧张局势加剧黑客攻击》的警报称,
“出于政治、社会和宗教动机的黑客行动组织正在加强协调,
加大针对共同对手的攻击力度。黑客行动分子正在使用混合
策略,都利用 Web DDoS 攻击、僵尸网络、数据泄露和破坏
等手段攻击关键基础设施,目的是破坏服务并削弱公众信
任。”
第二阶段(5 月 7 日至 12 日)。绿盟科技监测数据显示,
在印空袭当天(5 月 7 日),网络攻击量再次升至新峰值,同
时巴方遭受的网络攻击量飙升,出现军事打击与网络攻击同
步的混合战模式。Radware 监测发现,5 月 7 日前后网络攻
击数量激增,随后有所缓和,后续日均攻击量下降 60%。来
自孟加拉、埃及、印尼等国家和地区的 70 多个黑客组织参
与攻击行动。其中,神圣联盟、Keymous+等通过 Telegram
协调攻势,将攻击活动与军事作战高度协同。例如,Keymous+
在印空袭后立即对全印医学科学院(AIIMS)和萨夫达戎医院发起 DDoS 攻击,试图对印民众制造印医疗系统瘫痪的焦
虑。印度情报机构指出,APT36(Transparent Tribe,透明部
落)、巴基斯坦网络力量(Pakistan Cyber Force)、疯狂巴基
斯坦团队(Team Insane PK)、神秘孟加拉国(Mysterious
Bangladesh)、巴基斯坦网络部队(PAK CYBER TEAM)、
Indo Hacks Sec、Cyber Group HOAX 1337、RipperSe 等对
印发动网络攻击。印马哈拉施特拉邦网络部门透露,已确认
多个APT组织对印关键基础设施网站发动超150万次网络攻
击,但只有 150 次攻击成功。同时,印度网络力量(Indian
Cyber Force)、印度加密劫持者(Cryptojackers of India)、
Dex4o4 和幽灵部队(Ghost Force)针对巴进行攻击。网络
安全公司 Cyble 调查显示,Keymous+、AnonSec、救世主之
国(Nation of Saviors)和电子军特种部队(Electronic Army
Special Forces)等活跃,攻击以破坏性战术为主,旨在破坏
印或巴关键基础设施。其中,DDoS 攻击占到 52.5%,频繁
针对政府、医疗、教育和市政服务机构,成为破坏可用性和
造成声誉损害的主要方法;网站篡改占到 36.1%,篡改的内
容多为抗议声明、报复性言论和黑组组织品牌标识;数据泄
露攻击占到 8.2%,虽多数数据泄露事件缺乏验证性,但其主
要意在展示渗透能力并增加心理压力。例如,中巴经济走廊、
巴基斯坦穆斯林联盟官网被替换为黑客攻击宣言或象征性
符号(如印度国旗),凸显“地缘宣示”意味。ZoomEye 监测系统对空战爆发后前两日克什米尔地区
网络资产探测报告显示:印控克什米尔地区掉线率 62.06%,
这与高强度军事部署、关键电力节点损毁及通信管制强度提
升存在强相关性;巴控克什米尔地区掉线率 22.67%,设备在
线率维持相对高位运行,基础设施韧性特征显现。印控克什
米尔地区网络基础设施遭受到更为严重打击。印媒体报道称,
多个地区出现停电。《印度快报》报道,斯利那加机场、桑
巴等地附近传来爆炸声,边境地区出现停电。《印度时报》
发表题为《停电、警报器和巴基斯坦未遂无人机袭击:过去
36 小时内发生的 10 件事》的报道,称旁遮普邦、拉贾斯坦
邦和古吉拉特邦已实施夜间停电,医务和安保人员休假被大
规模取消。相比之下,巴控克什米尔地区网络状况相对稳定,
但仍有超五分之一的网络设施异常。5 月 8 日-10 日,网络威胁情报公司 DarkWebInformer
记录到 100 多起对印攻击事件,有超 20 个黑客组织参与,
攻击主要针对政府机构(包括总理办公室、文化部、旅游部、
选举委员会、边境邦(旁遮普邦、拉贾斯坦邦)、教育系统
(超 30 所院校网站遭篡改)、医疗体系(阿波罗医院等医疗
机构)以及关键基础设施(阿达尼机场、德里地铁等)。参
与组织包括 SYLHET GANG-SG、INDOHAXSEC 和电子军
特种部队。虽然 70%的攻击属于低危级别,但表明印面临严
重网络安全威胁。5 月 11 日,印网络安全服务公司 CloudSEK
发布报告称,5 月初网络攻击主要针对印政府和教育部门,
总计超过 100 起,攻击对象主要针对政府、教育、银行、金
融以及医疗、国防和 IT 等关键领域,但多数攻击影响较小,
未干扰到关键基础设施或其他服务。亲巴黑客组织攻击印方
关键基础设施,采用利用低技术工具(如短时 DDoS)攻击,意在扰乱、破坏和损害印重要机构和企业并制造恐慌。5 月
7 日-8 日,由电子军特种部队、Vulture(秃鹫)和迦楼罗错
误系统(GARUDA ERROR SYSTEM)等组成的黑客联盟
宣称,对印政府网站发起DDoS 攻击,包括总理办公室(PMO)、
总统府、内政部、国防部、外交部、卫生部等关键部委及执
法门户网站。尽管行动经过精心策划,但受攻击网站宕机时
间大多不超过 5 分钟,未造成重大或持续性影响。亲巴黑客
组织的 P@kistanCyberForce 账号频繁发布未经证实的攻击声
明,如攻击了马诺哈尔·帕里卡尔国防研究与分析学院
(idsa.in)、装甲车 Nigam 有限公司(avnl.co.in)、退伍军
人医疗网站(echs-pcmdb.sourceinfosys.com)、ECHS 医疗
保健门户网站(echs-pcmdb.sourceinfosys.com)。黑客组织
账号还夸大或捏造攻击事件,以利用民众对关键基础设施的
担忧而博取关注并施加威慑。Radware 统计,超 75%的攻击
是针对印政府机构,而金融和电信行业分别占 8.5%和 6.4%,
参与组织包括 AnonSec、Keymous+、Mr Hamza、Anonymous
VNLBN、Arabian Hosts、Islamic Hacker Army、Sylhet Gang、
Red Wolf Cyber 以及 Vulture。黑客组织还配合巴方军事行
动,篡改印度边境邦政府网站植入反印度标语,篡改印新闻
媒体 Balagam TV 网站等。
5 月 8 日-10 日,DarkWebInformer 记录到对巴网络攻击23 起,涉及政府、交通、能源等关键领域。其中数据泄露事
件占比 52%(12 起);DDoS 攻击占比 30%(7 起),导致民航
局(caapakistan.com.pk)、铁路系统(pakrail.gov.pk)等服
务中断;其余为网站篡改事件占比 18%(4 起)。主要参与组
织包括 HexaForce Alliance、夜间猎人等,其中亲印黑客组
织“Kerala Cyber Xtractors”入侵巴国家数据库注册局
(NADRA)。这暴露出巴关键基础设施防护的薄弱,特别是
政府系统加密和访问控制存有缺陷。瑞星威胁情报平台揭露
“蔓灵花”(Bitter)伪装成"巴反恐部门",以《安全简要报
告》(Security Brief Report)为主题向巴国家电信公司员工
投递钓鱼邮件,借此实施“病毒拼装”攻击,目标直指巴通
信命脉。另一亲印 APT 组织 SideWinder 伪造巴政府域名投
递诱饵文件,采用“视觉诱饵+静默执行”实施隐蔽攻击,
诱饵以《印度宗教基金法修正案威胁穆斯林遗产》为标题,
利用民众对政治和宗教的关注心理,诱导巴用户点击恶意程
序。这些攻击呈现出高强度、多手段、跨领域的特征,且攻
击者普遍通过 Telegram 等即时通信平台高调宣发成果,兼具
政治挑衅与经济勒索双重目的。公开宣称的攻击行为仅是一
个方面,攻击强度、损害、后果才是重要指标。
5 月 10,巴媒体称巴对印发动该地区史上规模最大最复
杂的网络攻击,摧毁印度关键基础设施。报道称,网络攻击是经过精心策划的,包括:印能源行业的十个数据采集与监
控系统被成功攻破,印 1744 台网络服务器被彻底摧毁,印
多个消费者电力门户网站无法访问,印铁路 ICT 基础设施、
德里天然气配电公司和克什米尔电力配电公司服务均遭到
破坏,印超过 120 台路由器和 1310 台 IP 摄像头遭到破坏,
印 13 个政府和 110 个企业网站被黑,印国防和敏感数据被
窃取和泄露,印境内超过 2500 个监控摄像头被攻破。印度
三大知名新闻频道也遭到破坏和中断,导致大量印度民众在
紧张局势下无法获取重要新闻和更新。这些攻击难以验证,
且多被夸大其词,实际影响可能较小,但却为虚假信息活动
提供了素材,目的是传播欺骗性、误导性或偏见性信息。黑
客组织通过网络喷子账号、自动机器人在 X、Facebook 和
WhatsApp 等上协调一致群发信息。例如,社交媒体账号
Taymiyyah
Umer ( @MAkhtar508 )、 @Mubashirbilal00 和
mirhakhan_99 一直在分享未经证实的攻击行动,暗示黑客已
经渗透印关键基础设施各个环节,包括民用系统和敏感地点,
具备监视和操纵信息流的能力。5 月 7 日,印度空军、陆军
和海军部署的超过 1000 个监控摄像头被入侵,监控摄像头
作为军事关键基础设施被攻破后会造成严重的安全威胁,影
响印军隐蔽性和作战能力,会削弱印军行动能力。
黑客组织夸大攻击成果,旨在制造公众困惑、混乱和焦虑。例如,亲巴黑客组织频频发布攻击战果,意在印民众中
制造混乱、焦虑和散播混乱来影响民众心理。由此,印度网
络安全公司 CloudSEK 对亲巴黑客组织攻击及成果常常予以
否 认 。 例 如 ,5 月 7 日 , “ 死 亡 天 使 团 队 ® ”( Team
Azrael--Angel Of Death®)称入侵并泄露印军人员数据,包
括印度调查分析局(RAW)及中央调查局(CBI)特工信息,
但数据与实际印陆军人员未有明显关联,姓名、邮箱和电话
号码不匹配。5 月 8 日,“死亡天使”称入侵印度选举委员会
(ECI),窃取超 100 万份公民记录,包含姓名、年龄、电话
号码和地址等个人信息,然而这些是 2023 年泄露的。这是
一种常见黑客策略:重新包装先前披露的数据,制造近期大
规模入侵假象。5 月 8 日,Vulture 和电子军特种部队声称对
印计算机应急响应小组(CERT-In)及国家测试局(NTA)
发起 DDoS 攻击。当时 NTA 正值关键考试期,若攻击成功
会造成重大社会影响,然而 CERT-In 和 NTA 网站未出现服
务中断或性能下降情况。5 月 8 日-9 日,KAL EGY 319 称
针对约 40 个印教育和医疗行业网站发起攻击,然而这些网
站仍在运行。SYLHET GANG-SG 和 DieNet 称从印国家信
息中心(NIC)窃取超 247GB 的数据,然而都是公开营销内
容和媒体文件。巴基斯坦网络部队声称,从马诺哈尔·帕里
卡国防分析研究所(MP-IDSA)和军事工程服务部门窃取
1600 名用户的 10GB 数据,MP-IDSA 予以否认。网络团队HOAX1337(Cyber Group HOAX1337)和国家网络小组
(National Cyber Crew)也参与其中。APT36 等黑客组织则
将目标锁定在印银行和支付系统,包括印国家支付公司
(NPCI),并散布消息称入侵印银行系统并造成停电。巴安
全部门和巴媒体配合称网络攻击导致印 70%的电网瘫痪,在
当时产生很大恐慌效应。印度新闻信息局(PIB)立刻反驳,
敦促民众保持警惕,避免被误导性信息所蒙蔽。PIB 的 X 帖
子表示,“注意:网上流传着虚假信息!社交媒体帖子声称
巴基斯坦的网络攻击已导致印度 70%的电网瘫痪。”面对印方
否认,亲巴黑客组织又称,有些攻击行动未造成可见干扰,
是因为经过精心策划,主要是展示先进能力和战略克制。
第三阶段(5 月 13 日后)。印巴宣布停火后,印仍面临
来自巴基斯坦、土耳其、伊朗和朝鲜、孟加拉国、印度尼西
亚、摩洛哥和中东地区国家的网络攻击,包括恶意软件攻击、
分布式拒绝服务(DDoS)攻击和 GPS 欺骗,导致一些网站
瘫痪,但印关键基础设施基本正常运行。攻击主要包括:网
站页面篡改(Defacement),带有强烈政治宣传色彩,旨在羞
辱印方或表达特定立场;网络钓鱼(Phishing),以窃取敏感
信息(如登录凭证或情报)为主要目的;DDoS 攻击,通过
大量垃圾流量拥塞目标服务器,旨在破坏民众信任和干扰正
常运作;渗透关键系统,入侵印方关键基础设施(如能源、金融、电信等)以获取控制权或进行破坏。这些攻击附带的
心理影响不容忽视,攻击者意在以网络手段进行心理施压和
情绪挑衅。
对于印巴网络攻击战,Cyberknow 统计显示有 70 多个黑
客组织活跃参与攻击行动。其中,18 个组织倾向支持印方,
53 个组织倾向支持巴方。启明星辰 ADLab 监测发现,2025
年 4 月后,印巴网络空间活跃的攻击组织超过 70 余个,攻
击目标涵盖双方的军队、政府、电信、能源设施、金融网络
及舆论平台等。其中,部分具有国家背景的 APT 组织表现活
跃:如亲印的 Bitter 持续渗透巴电信公司(PTCL);亲巴的
APT36 针对印军展开定向钓鱼攻击等。随着局势持续发展,
将有更多黑客组织介入,进一步加剧区域网络安全态势的复
杂性。由此,印巴冲突成为网络威胁行为者参战的新的地区
冲突。俄乌战争爆发前,全球范围的网络攻击就已发生并加
剧,亲乌亲俄黑客组织活跃。新一轮以巴冲突的网络攻击也
十分复杂,包括以色列的寻呼机攻击和伊朗在全球不断增加
攻击。俄乌遭到严重的协同网络攻击,这些攻击与军事目标
紧密结合,而印巴冲突和以巴冲突的网络攻击状况更为相似。
“4·22”袭击事件后,印巴双方都及时采取预防措施
来保护关键基础设施。印财政部召集金融部门的利益相关者举行高层会议,根据印国家计算机应急响应小组(CERT-In)
建议紧急屏蔽境外 IP,限制外国地址访问金融系统(如孟买
证券交易所与印度国家证券交易所);印医疗与电信行业启
用云弹性扩展与流量清洗中心,使得全印医学科学院(AIIMS)
在遭受攻击后 2 小时内能够恢复服务。印许多银行加强网络
安全防御,预测到现金短缺并在边境城镇的 ATM 机
|
下载文档到本地,方便使用
共 16 页, 还有
1 页可预览,
继续阅读
文档评分