打开“潘多拉盒子”,展现攻击新形态,“供应链攻击”让全球担心不已

【环球时报特约记者 晨阳】以色列国防军22日凌晨称,以军21日打击了黎巴嫩真主党武装约300个目标。路透社称,这是自去年10月7日新一轮巴以冲突爆发以来,以军连续第二天对黎巴嫩发动“最猛烈空袭”。值得注意的是,以军对真主党武装发动大规模空袭之前,黎巴嫩刚刚爆发了大规模通信设备连环爆炸事件,导致真主党武装的指挥链路严重失灵。不少西方媒体猜测,黎巴嫩的连环爆炸事件,正是意图为以军的大规模空袭铺平道路。而这种全新的攻击模式背后,隐藏着让全球担心不已的“供应链攻击”。

真主党的寻呼机如何被“攻破”

黎巴嫩多地17、18日接连发生寻呼机和对讲机等通信设备同时爆炸事件,造成至少37人死亡、约3000人受伤。初步调查显示,发生爆炸的寻呼机和对讲机内部填装有少量炸药,通过特定指令远程引爆。真主党此前为防备以色列通过智能手机实施监控,要求其成员放弃手机,改用技术更原始、但相对保密程度更高的寻呼机和对讲机作为联络工具。外界普遍认为,这次黎巴嫩的连环爆炸事件与以色列有关。美国《纽约时报》称这次行动是“以色列制造的现代特洛伊木马”。目前西方媒体普遍采信的说法认为,以色列从这些通信产品还在生产线时就高度介入,直接将军用高性能炸药装到寻呼机和对讲机等通信设备的电池中,待真主党批量采购并分发使用之后,再择机通过远程遥控提高电池温度的方式进行引爆。

外媒报道称,爆炸涉及一款台湾地区生产的寻呼机。

《环球时报》记者从360高级威胁研究中心获悉,通过对发生爆炸的台湾金阿波罗公司品牌的Rugged Pager AR924型寻呼机的全面分析,证明其软硬件层面都存在可能被动手脚的安全弱点。在软件层面,该寻呼机支持使用专门的软件通过USB-C接口连接传呼机,快速地配置和修改设备,所以在电脑上大规模修改此款传呼机设备的软件系统并不是难事。该系统“解锁”使用默认密码0000,USB软件编程解锁密码为AC5678,解锁后可以在硬件界面和官方软件辅助下对寻呼机功能进行自定义编程配置。官方的编程接口可以详细设置设备的各项参数,如接收频率、报警设置、显示语言、警报音量等,专业的黑客不难进一步针对寻呼机的系统固件和软件进行全面破解,植入后门进行控制并非难事。

在硬件层面,该寻呼机有内置但可更换的电池,因此攻击者在电池中放入爆炸性材料后进行替换是非常容易实施的。寻呼机电板背面有三个调节电位器电容以及编程触点,这里可能涉及设备的工作参数调节,一般这些触点通常用于通过外部设备(如编程器或调试工具)对寻呼机进行硬件编程或调试。在某些特定情况下,如果电位器与电源部分相关联,调整它可能会改变电源电压或电流。因此如果攻击者通过控制电流、电压或变相控制电池温度,理论上可以引爆电池中的敏感爆炸性材料。

“供应链攻击”的“新”与“不新”

美国广播公司的报道称,黎巴嫩发生的通信设备连环爆炸属于典型的“供应链攻击”。简单地说,“供应链攻击”就是通过对产品的生产和流通环节进行干预或篡改以达到攻击目的。接受《环球时报》采访的专家表示,想要实施“供应链攻击”,需要深度介入相关产业链。美国广播公司称,这次袭击涉及空壳公司、多个层级的以色列情报官员以及一家作了身份掩护的生产寻呼机的合法公司,其中至少有一些参与者并不知道他们实际上是在为谁工作。报道称,该行动的组织复杂度非常高,据称预谋了至少15年。

但专家表示,单就利用常见民用设备实施大规模破坏行动的思路而言,“供应链攻击”对于某些国家来说并不算新鲜。美国情报界消息人士告诉美国广播公司,美国中情局早就考虑采用这种策略,迟迟没有投入实用是因为“对无辜者来说风险太高”。

专家提醒说,这次黎巴嫩连环爆炸的重要特征之一,还包括将网络攻击转化为实体破坏。此前以色列情报机构曾使用“震网”病毒破坏了伊朗用于铀浓缩的高速离心机,但这样的破坏模式仅限于少数工业化部门。以前也出现过使用电子设备和笔记本电脑作为武器,例如1996年以色列暗杀哈马斯炸弹制造者叶海亚·阿亚什时,就用了遥控手机爆炸的手法。但这些案例只是针对具体对象使用的电子产品进行的小规模改装,像黎巴嫩这次大规模改装民用设备为爆炸装置的案例此前还从未发生,而且针对的是日常生活中关系密切的电子产品,由此产生的社会影响非常深远,同时也开启了一种全新的攻击模式。

特别是随着数字化时代的到来,各类设备如智能手机、智能家居等均可通过互联网连接至云端服务器获取服务与支持,它们通常具备开放接口以便用户接入各类应用和服务,也因此增加了遭受外界非法侵入的可能性。专家举例称,攻击者通过网络攻击,理论上可以让各种电子设备超负荷运转,即便它们没有安装炸药不会发生黎巴嫩这样的剧烈爆炸,仍有可能导致设备过热自燃。考虑到智能设备的全球联网总数高达数十亿计,哪怕是其中极少比例会自燃,所引起的火灾威胁仍令人忧虑。

360集团创始人周鸿祎表示,黎巴嫩连环爆炸事件展示了一种新型的网络攻击手段,即不再局限于信息窃取、系统瘫痪、攻击智能设备,还能通过控制物理设备直接引发物理伤害和人员伤亡。“随着无人驾驶汽车的普及,只要入侵车企的网络就能远程让你的车在公路上停下,或在停车场里启动,横冲直撞不听指挥。”周鸿祎认为,随着AI的发展,智能终端越来越多,被植入和渗透的风险加大,所有系统都可能成为攻击目标。网络安全防御压力增大,轻则被窃听或数据被窃取,重则产生爆炸等物理破坏。这样的担忧并非空穴来风。车臣领导人卡德罗夫在社交平台发文称,他的特斯拉卡车被马斯克远程禁用。

警惕“无差别攻击”

专家认为,这次黎巴嫩连环爆炸事件另一个令人忧虑的特点是“无差别攻击”。尽管外界认为,该事件针对的目标是真主党成员,但实际受害者大部分都是无辜平民甚至是孩子。“供应链攻击”自身特性就决定了它的攻击缺乏针对性,谁也不能保证这些被动了手脚的电子设备会不会流向无辜民众甚至第三国。美国人权律师胡瓦伊达·阿拉夫表示,黎巴嫩的这些爆炸在发生之前没有任何预警,且发生在公共场合,“事实上符合对国家恐怖主义”的定义。总部位于华盛顿的人权组织“现在为阿拉伯世界民主”主任惠特森表示,“你不应该在平民可能捡起和使用的物品上设置陷阱”,“这正是我们在黎巴嫩看到如此惨烈灾难的原因”。惠特森表示,大量人员的伤亡表明,这些袭击“本质上是无差别的”。

外界普遍担忧的是,“无差别攻击”模式一旦扩散,无疑是打开了“潘多拉盒子”,将威胁全球所有人。美国Axios新闻网评论称,“从寻呼机、对讲机到太阳能系统爆炸的报道,都预示着未来战争的战线可能无限延伸,甚至连基本的日用品也不可信。”周鸿祎表示,“我们现在每个终端产品都依赖全球供应链,由大量的供应商来完成。如何确保生产、运输、仓储过程中每个环节都可控,安全尤为重要,尤其是对关乎国家安全的设备和技术,应该加速自主研发和生产,确保设备的可信性和安全性,避免被外部力量动手脚”,“所以加强供应链的安全管理势在必行”。

据中国常驻联合国代表团网站9月20日报道,中国常驻联合国代表傅聪大使在安理会紧急审议黎以局势时发言表示,中方对黎巴嫩境内数千台寻呼机、对讲机等通讯设备被远程操纵同时发生爆炸,造成数千民众伤亡深感震惊、深表关切。在街头玩耍的孩子失去眼睛,在超市购物的母亲手脚致残,在上班途中的医生身负重伤,这种惨状让人不忍想象。通过远程操纵通讯工具,发动无差别袭击,造成大规模平民伤亡,制造社会恐慌,这样的事情在历史上闻所未闻。这种行为无疑是对一国主权和安全的严重侵犯,是对国际法特别是国际人道法的公然违反,是对生命的漠视和践踏。袭击事件手段之残忍、性质之恶劣令人发指,必须予以最强烈的谴责。

打开APP阅读更多精彩内容