freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

公开披露:美国如何联合作战并入侵ISIS网络
2019-09-29 10:45:28
所属地 天津

前言:从本文可以窥探老美的网络作战能力,以及一些攻击细节。


『背景研判』


NPR(美国国家公共电台)新闻,是美国最大的公共广播电台,原本26号报道了一篇关于,美国如何入侵ISIS的文章,乍一看像是假新闻一样的标题,因此黑鸟便很不在意的忽略了。

image.png

而过一日后,黑鸟忽然看见,美国国家安全局NSA官方推特居然转发了这条报道后,黑鸟便不得不重新审视此消息的重要性,而当黑鸟重新看完后这篇报道后,不得不对这份漫画这份报道正式起来,虽说通篇屁话,但仍有可取之处。

image.png

上图@的号为美国网络司令部的官方推特

为避嫌,本号仅取精华部分,若有需要全阅读,请直接拉到文末自取。

首先,上来就是一个敏感介绍,取自百度百科,接下来的内容均以ISIS称呼。

image.png

紧接着,祭出封面图,展示灵魂,脑补李云龙场景。

『作战人员配置』

下图则是今日的主题,就在这个作战室里,联合特遣部队ARES的军事网络作战人员站在一个房间里,发起了一项行动,名为发光的交响乐行动,该行动将成为美国军事史上规模最大,最长的进攻性网络行动之一。这起联合部队包含了美国网络司令部和国家安全局,也被认为是史上最大规模的合作,这也就解释了,为何这NSA会@网络司令部。

image.png

▲图片来源原文


根据接线员回顾,房间一共有80多人,而且接线员接的电话对面不知道还有多人在听着,而房间里的人一直在等待着攻击行动的开始,也就是从电话那头的老大的老大发出的那一声“Fire”,


就像上面那张图一样,黑鸟灵魂作画了一番,人员配比以及职能大致如下。

image.png

其中作战室大致如下

image.png

image.png


而根据接线员当时的回顾,现场的操作员电脑均显示半球外的ISIS成员的实际登录屏幕,可想而知,都控了。每个人都经过认真的预先选择,并列出了目标清单,而清单已经在距离行动日很长时间便已经挂在墙上,

它看起来像一张巨大的宾果卡。每个数字代表ISIS的不同成员。例如,一个数字代表一位编辑者,以及与他相关联的所有帐户和IP地址。当恐怖组织成员入睡时,位于巴尔的摩附近的马里兰州米德堡的一个充满军事网络作战人员的房间随时准备接管账户并将其摧毁。

image.png

网络bingo卡,类似的作战表

根据公开资料显示,ISIS拥有世界一流的网络攻击能力,曾数次攻击或入侵过西方国家的要害部门的网络,窃取机密甚至发言挑衅。他们精心拍摄的Youtube视频,专业制作的杂志,吸引人的Facebook和推特活动,以及利用社交平台做的精心策划,足以与许多老牌美国公司媲美。他们激进、招聘、培训,散布恐惧和不满,并且在世界范围内进行网络集资。

更多关于ISIS曾经的网络作战能力的案例,可见Freebuf的ISIS在网络战场是怎样一种存在?https://www.freebuf.com/news/85645.html

因此,为了应对ISIS,因此NSA和美国网络司令部成立了一个秘密特遣部队,一个名为发光的交响乐行动,该行动将成为美国军事历史上规模最大,最长的进攻性网络行动之一,也就是上面那张图片中的行动,下面文章大部分是为了进行这次行动而进行的前期准备活动介绍。

关于联合特遣部队ARES和 Operation Glowing Symphony(发光的交响乐)的细节很少公开。此处黑鸟建议做备忘录,记住名字在库里搜,也许都搜到相关网络攻击能力的评估资料。

而该次行动还召回了大批已经退伍的黑客精英以及专业的反恐人才,比如专攻密码学和网络入侵的网络安全初创公司老板,了解ISIS的反恐专家,数字取证专家,专业的可入侵ISIS网络中关键服务器的人才,恶意软件专家,安全分析人员等。

除了部分为社会招募,其中大部分人员都是从佐治亚州陆军网络行动联合部队总部挑选人员加入。

而佐治亚州这个名词,也要记笔记,因为。佐治亚州戈登堡便是网络司令部总部,内设美军网络司令部和网络联合部队总部。戈登堡目前是美军卓越网络中心、美军网络学院和第7信号指挥部所在地,同时建有美国国家安全局相关设施。

其实这就有种国安与军队体系合作的感觉,建议国内也可以参考该作战模式,他们之间就是建立了一个通用作战态势图,供美军和所有政府部门使用。该态势图的建立将使美军能够同步协调网络作战行动,掌握敌对双方攻防作战的实时变化,更加有利于指挥决策和协同行动。

『前期作战准备

据公开资料显示,当时刚刚被晋升为作战司令部的美国网络司令部于2016年2月发动第一波攻击,通过针对性DDOS拒绝服务攻击及其它网络行动在夺取叙利亚城市萨达达作战期间阻止ISIS进行正常的网络通信。

而这篇文章中描述称,这场网络战斗异常激烈,美国网络司令部一直在对该组织发起网络攻击,但每当ISIS的一台服务器被DDOS或者网络攻击手段给宕机成功后,新的通讯中心又会重新出现,而ISIS目标一直在移动。就好比红蓝对抗中你刚把人IP封掉,人另一个资产又搞了过来,换作真实战争中,人家就是只为了破坏你通信而使用,届时所有的dos漏洞将会是比网络入侵更为重要的武器。

而美国作战队伍起初的做法便是以破坏ISIS通信为主,这也是传统的电子信息战的套路。就好比勒索软件为什么风靡全球,其破坏性又能敛财的属性是无人能比,仅此于他的便是ddos攻击加勒索钱财,这些属性从朝鲜Wannacry勒索战争,乌克兰的电网系统因dos漏洞使得断电器系统宕机事件中可以参其一面。

然而,只从物理层面进行资产破坏是不够的,这里相关人士又抛出了他们的新招,社会工程学。通过对ISIS成员的习惯,入侵方式,给自己电脑账户的命名习惯和方式,以及他们的手机上拥有哪些类型的APP程序,包括收件箱使用是否严格,这些都是他们关注的,而不仅仅只是从系统层面进行入侵。

据相关人士称,他们呆在国家安全局NSA的地下室,思考攻击方案。 他几个月来一直在追踪ISIS的宣传部门,即从那些上传的宣传视频和杂志追溯到其源头,寻找可以揭示其分发视频方式或发布者的方法。然后,他发现了以前从未见过的东西:ISIS仅使用10个核心帐户和服务器来管理其内容在世界范围内的分发。


从而根据该线索,作战人员发现了ISIS的每个帐户,每个IP,每个域名,每个财务帐户,每个电子邮件帐户等等。由此可见ISIS小组的网络管理员并没有那么的谨慎。ISIS为了图省事,使用相同的帐户来管理整个ISIS媒体网络。

image.png

通过溯源发现,ISIS利用这些网络节点做了如下事项:

1、通过这些节点在线购买商品

2、上传信息至ISIS媒体

3、金融交易

4、使用ip资产共享文件(这个心太大了)

作战人员笑着表示,如果他们能接管那些,他们将赢得一切。

侧面反应出,在老美那用社交媒体,就要接受被老美通过登陆IP进行监控并视奸的威胁。

而发现ISIS用相同的网络节点进行活动的海军陆战队员尼尔,冲入了国家安全局领导层的办公室,并抓住了一个记号笔,开始在白板上疯狂的绘制圆圈和线进行关联分析和描述。随后领导听懂了,然后行动开始了。

image.png

▲网图


而根据这些新发现的资产进行的作战,Operation Glowing Symphony(发光的交响乐团)作战开始成形。目标是建立一支能够攻陷,降低危害和破坏ISIS媒体运营的团队的行动。


发光的交响乐行动

本章节的作战。。有个地方,挺有趣的,就看你看的仔细不仔细了。

在2016年的春季和夏季,ARES作战团队花费了很多时间来准备进攻。尽管他们没有透露入侵ISIS网络的一切工作,但他们早期的攻击主要使用电子邮件钓鱼攻击。

从中可以明确,通过邮件检测老美的攻击还是有必要的!

指挥官表示,理想的做法是获得管理员帐户,从而使得您看起来像是普通的IT人员,从而可以在内网自由活动。(ISIS不仅拥有IT人员,而且拥有整个IT部门。)

一旦ARES作战成员进入ISIS网络,他们便开始运行后门,并将恶意软件放到服务器上,同时寻找包含以后可能有用的东西的文件夹,例如加密密钥或带密码的文件夹。而当ARES入侵ISIS网络的深度越深,越发的证明ISIS拥有的10个网络节点理论。

但有一个问题。这些节点不在叙利亚和伊拉克。它们无处不在,位于世界各地的服务器上,并且紧邻民用设施。此外,在每台服务器上,可能会有其他商业公司的东西。大概是类似域名空间一样的东西。

如果ISIS已将某物存储在法国的云服务器上,则ARES必须向国防部官员和国会议员展示美国的作战团队有能力攻击ISIS并将服务器上的相关数据取走,但不取走服务器上其他正常用户的数据。

他们花了几个月的时间执行小型任务,表明他们可以在服务器上攻击ISIS的资产,该服务器还包含诸如医院记录之类的重要信息。最终目的是为了拆除ISIS的媒体业务,即关闭他们的宣传网站

到2016年秋季,有一个由ARES联合特遣部队组成的小组,即上文提到的发光的交响乐行动开始,他们经过几个月的静态网页浏览找到了ISIS目标网络,专案组开始以敌人的身份登录。他们删除了文件并更改密码。一位数字取证专家说:“点击那里。” “我们进去了。”行动人员回答。


有趣的是,当时放炮行动开始后,在六分钟内几乎没有发生任何事情。尼尔(上一个章节发现10个ISIS网络节点的人)说:“互联网有点慢。” 而十分钟后,网络才开始重新运行。

作战人员开始浏览已经绘制了几个月的ISIS网络,并按照上文提到的宾果表登陆指定账户的系统,结果,在登陆时遇到了一个障碍,一个安全问题。类似QQ的找回密码的问题。

问题是:“你的宠物叫什么名字?

房间安静了下来。

尼尔说:“我们陷入了僵局。” “我们都互相看,我们想,我们能做什么?我们无法进入。如果无法进入这将导致之后的20或30个目标攻破计划流产。

然后,一位分析师站在房间的后面。

“先生,1-2-5-7,”他说。

“你在想啥呢?” 尼尔说。

“先生,1-2-5-7。”

“你怎么知道的?”

“我追踪这个人一年了,他干任何事情都使用这个编号。”

“好吧……您最喜欢的宠物1-2-5-7。”

“牛逼,我们登进来了。”

事实证明情报收集的重要性,老板还不转发本文推荐其他人关注黑鸟公众号!

此后,攻击势头开始增强。一个团队负责截取屏幕截图以收集情报,以便以后使用,并将ISIS的摄像师账号锁定除外(大概登进去的账号是管理员账号)。

一个屏幕显示账户“重置成功”。(这里需要注意的是,账户包括社交账户,媒体网站账户,管理后台账户,此处是为了后期迷惑敌人而做的准备)

另一人作战人员说:“文件夹目录已删除。”

这也就意味着,之后叙利亚人若看到宣传网站只会看到:404 error: Destination unreadable。

image.png


紧接着,他们把所有入侵的账户删除掉,并把IP清单也清除掉,之后他们控制了10个网络节点,并将关键人物从他们的帐户中锁定,ARES运营商就一直在节点中寻找目标清单。接下来,就是瓮中捉鳖了。

以上为作战第一晚发生的事情。在第一天晚上之后,任务转移到第二阶段,该阶段的目标是通过五项工作向ISIS施加压力:

1、保持针对ISIS媒体宣传的压力

2、使ISIS难以更广泛地在Web上运行

3、使用网络帮助地面部队与ISIS作战

4、削弱其筹集资金的能力

5、与美国其他机构和国外盟友合作。

image.png

发光交响乐行动的第二阶段着眼于制造ISIS内部混乱。由于接管了10个网络节点,而这些节点也是ISIS成员每日在使用的节点,因此联合特遣部队ARES作战人员努力使攻击看起来像日常生活IT问题,在ISIS成员的设备上就会演变成类似电池没电,下载缓慢,还有忘记了密码这类操作。

大概意思例如,昨天我可以进入我的Instagram帐户,而今天我居然不能进入的想法。或者是我登陆不进账户,再或者干扰一些网络流量,或者在网络节点中下发一些新的视频使得手机没电,从而使得内部网络混乱等等,他们称之为具有高科技特色的Psy-op。

该作战也直接导致ISIS的媒体宣传效果也越来越差,间接的打击了恐怖概念宣传,主要原因在于要在叙利亚内战区的中间安装一台新服务器并不容易。ISIS拥有大量现金,但***,银行帐户或有良好信誉的电子邮件很少,因此无法从国外订购新服务器。购买用于标识IP地址的新域名也很复杂。

ISIS受欢迎的在线杂志Dabiq也因此无法进行正常运营最后关停。该组织的外语网站(从孟加拉语到乌尔都语的所有内容)也从未恢复。该组织的官方新闻服务Amaq Agency的移动应用消失了。

文章也表示,在尼尔说出开炮的三年后,也就是今天,ARES仍在ISIS网络中。Matthew Glavy将军现在是ARES联合特遣部队司令。他说,他的作战团队仍然对ISIS的媒体运营进行限制活动。该小组仍无法在网上自由操作,并且他们很难确定为什么会这样。当ARES入侵网络空间中的ISIS时,实地军方力量已将该组织赶出了叙利亚和伊拉克的大部分地区。

总结

若本文的细节属实,那么美国在那起行动中肯定已经掌握了所有正在行动的ISIS目标清单,而且也掌握了大量的线索,而从本文文字来看肯定还原不了当时作战人员在发现目标并且成功进入目标账户的喜悦之情,同时也从中窥得美方的网络作战能力,再次证明了,“内网”防护的重要性。

640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy

# 网络战 # 美国 # ISIS # 社交媒体
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者