1、 叙利亚电子军揭秘： 管窥网络攻击在叙利亚内战中的作用与影响 2019 年 09 月 20 日 目 录 第一章 背景介绍 . 1 一、 叙利亚政权介绍 . 1 二、 内战背景介绍 . 1 三、 叙利亚电子军介绍 . 3 四、 反对派组织介绍 . 3 五、 其他组织介绍 . 5 第二章 叙利亚电子军的历史攻击活动 . 7 一、 早期的破坏活动 . 7 二、 后期的监控活动 . 9 第三章 叙利亚电子军在移动端的监控活动 . 10 一、 黄金鼠组织 . 10 二、 拍拍熊组织 . 17 第四章 叙利亚电子军的技术特点总结 . 35 一、 载荷投递 . 35 二、 攻击武器 . 38 第五章 叙利亚

2、电子军的作用与影响 . 45 360 烽火实验室 . 46 1 第一章 背景介绍 一、 叙利亚政权介绍 阿拉伯叙利亚共和国，通称为叙利亚，位于亚洲西部，地中海东岸，北与土耳其接 壤，东同伊拉克交界，南与约旦毗连，西南与黎巴嫩和巴勒斯坦为邻，西与塞浦路斯隔地 中海相望，包括戈兰高地，全国总面积为 185180 平方公里。1 叙利亚是世界最古老文明发源地之一，曾历经罗马帝国、阿拉伯帝国和奥斯曼帝国等 大国统治。在成为罗马帝国疆域以前曾经经历腓尼基、赫梯、米坦尼王国、亚述、古巴比 伦、古埃及、波斯帝国、马其顿帝国和继后的塞琉古帝国各个帝国时期。 633 年以前，叙利亚是基督教的发祥地和传播中心；后阿

3、拉伯帝国在中东地区的扩 张，7 世纪到 16 世纪初叶一直是伊斯兰教传播中心之一，后成为法蒂玛王朝、阿尤布王朝 和马木留克王朝的一部分，蒙古第三次西征于此地击败了阿尤布王朝，后伊儿汗国于大马 士革被马木留克王朝击败，蒙古势力退出叙利亚，被埃及统治；由于奥斯曼土耳其帝国的 扩张和十字军的东征，后来奥斯曼土耳其击败马木留克王朝，于到 1516 年成为奥斯曼帝 国的一部分；18 世纪法国侵入，法国宣称其为保护地；第一次世界大战以后，由法国委任 统治；1944 年从法国宣布独立，但直到 1946 年正式独立前一直有外国军队驻扎。 1958 年 2 月 1 日，叙利亚和埃及合并为阿拉伯联合共和国（阿联）

4、 。1961 年 9 月 28 日，叙利亚脱离阿联，并重新建立阿拉伯叙利亚共和国。 1963 年，阿拉伯复兴社会党发动军事政变取得政权，执政至今。1970 年，哈菲 兹阿萨德通过军事政变上台，此后直到 2000 年去世他统治的这 30 年里，他一直禁止任 何反对党或非执政党候选人参与任何选举活动。 2000 年 6 月 9 日，掌权 30 年的哈菲兹阿萨德去世，由于他的遗愿，其未到法定总 统年龄的儿子巴沙尔阿萨德通过修改宪法继任为总统。2005 年 4 月 26 日，叙利亚遵照 联合国决议，自黎巴嫩撤军，结束近三十年的直接干预。2007 年 5 月 27 日，叙利亚就巴 沙尔阿萨德继续第二个为

5、期 7 年的总统任期问题举行全民公决，结果以 97.62%确认他获 得第二个总统任期，任期至 2014 年。2011 年 1 月 26 日，受阿拉伯之春运动的影响，叙利 亚亦开始出现反政府示威活动，但被政府军镇压，但随后反政府示威活动演变成叙利亚内 战。2014 年，巴沙尔阿萨德再次成功连任总统至今。 二、 内战背景介绍 中东地区多国接连爆发阿拉伯之春运动后的 2011 年 1 月 26 日，叙利亚亦开始出现反 政府示威活动，随后反政府示威活动演变成了武装冲突，并导致叙国内外多股势力介入。2 叙利亚的反政府示威活动很快蔓延至全国多地，示威者与安全部队的冲突逐渐升级。 在西方国家（特别是美国）和

6、逊尼派国家（以土耳其和以色列为代表）协助下，要求阿拉 维派总统巴沙尔阿萨德下台的叙利亚反对派迅速壮大并建立自己的武装力量，反政府冲 1 叙利亚:https:/zh.wikipedia.org/wiki/%E5%8F%99%E5%88%A9%E4%BA%9A 2 叙利亚内 战:https:/zh.wikipedia.org/wiki/%E5%8F%99%E5%88%A9%E4%BA%9A%E5%86%85%E6%88%98 2 突最终演变成内战，并一直持续至今。 叙利亚反对派的代表性政治组织主要有两个，分别是叙利亚反对派和革命力量全国联 盟，以及叙利亚临时政府。叙利亚反对派的主要武装组织为自由叙

7、利亚军。阿拉伯联盟和 海湾组织以及 57 国伊斯兰世界组织相继开除阿萨德政权成员资格，并承认叙利亚反对派 为合法代表。另一方面，宗教色彩强烈的伊斯兰主义武装组织，包括伊斯兰国在内的伊斯 兰恐怖组织以及寻求摆脱外族统治的库尔德族武装组织也趁机在叙利亚崛起。据 2013 年 12 月报道，相信有多达 1,000 个叙利亚反政府武装团体存在。部分反政府武装团体之间不 时发生武装冲突，让叙利亚局势更加混乱。 反对派武装力量获得国外大量援助的同时，伊朗和俄罗斯则大力支援叙利亚政府，让 叙利亚内战成为逊尼派与什叶派之间，以及美国与俄罗斯之间的角力场。 叙利亚八年的内战已造成 56 万人死亡，2200 万战

8、前人口中有一半被迫离开家园，包 括 600 多万难民逃往邻国。近期叙利亚政府武装在俄罗斯的协助下收复了大量的失地，根 据联合国新闻报导，截止到 19 年 8 月初，叙利亚内战主要发生在伊德利卜地区。下图展 示了 2019 年 7 月 30 日俄罗斯及其叙利亚盟友对伊德利卜省西北部空袭所针对的区域和城 市以及各个势力的分布3。 图 1-1 2019 年 7 月 30 日叙利亚各组织势力分布 3 2019 年 7 月 30 日叙利亚各组织势力分布: 3 三、 叙利亚电子军介绍 2011 年 4 月，在叙利亚反政府抗议活动升级的几天后，叙利亚电子军（Syrian Electronic Army，简称

9、 SEA）4出现在 Facebook 上，以支持政府的叙利亚总统巴沙尔阿 萨德。2011 年 5 月 5 日，叙利亚计算机协会注册了叙利亚电子军的网站（syrian-） 。 由于叙利亚的域名注册机构注册了黑客网站，一些安全专家认为，该组织由叙利亚国家监 管。而后叙利亚电子军在其网页上声称不是官方实体，而是一群热爱自己国家的年轻人并 决定以电子方式反击那些袭击叙利亚网站的人和那些敌视叙利亚的人。直到 2011 年 5 月 27 日，陆军用一个新的网页取代了它的“关于”页面。在新页面上删除了它“不是一个官 方实体”的描述，只说明了它是由一群年轻的叙利亚爱好者建立的，以打击那些利用互联 网，特别是利

10、用 Facebook 在叙利亚“散布仇恨”和“破坏安全”的人。 叙利亚电子军利用垃圾邮件，网站污损，恶意软件，网络钓鱼和拒绝服务攻击，它针 对的是政治反对派团体，西方新闻机构，人权团体和对叙利亚冲突看似中立的网站。它还 攻击了中东和欧洲的政府网站以及美国国防承包商。叙利亚电子军是首个在其国家网络上 设立公共互联网军队以公开对其敌人发动网络攻击的阿拉伯国家组织。 四、 反对派组织介绍 目前活跃的反对派组织5主要包括，自由叙利亚军、沙姆自由人伊斯兰运动、沙姆解放 组织。 (一) 自由叙利亚军 自由叙利亚军队（Free Syrian Army，简称 FSA）是叙利亚内战的一个松散派，由叙利 亚武装部

11、队官员于 2011 年 7 月 29 日成立，他们的目标是推翻巴沙尔阿萨德政府，成为 “叙利亚反政府军事机构” ，旨在通过武装行动推翻政府，鼓励军队内部分裂，并采取武 装行动。由于叙利亚军队是有组织的，全副武装的，因此 FSA 在农村和城市采取了游击战 术。FSA 的军事战略侧重于全国各地的零星游击战，战术重点是首都大马士革的武装行 动。该运动并非旨在夺取领土，而是驱散政府部队及其后勤供应链，与城市中心作战，造 成安全部队自然减员，士气低落，破坏政府中心大马士革的稳定。 自由叙利亚军最初只有 1,000 多名成员，截止 2012 年 3 月已有 70,000 名成员，2013 年 6 月有 1

12、20,000 成员（不含后来分出去的伊斯兰军） ，是主要的反对派军事武装之一。 有意见认为自由叙利亚军到 2014 年已名存实亡，它无法约束属下各大小武装团体， 只不过其“温和反对派武装”形象仍有宣传价值，所以仍有不少武装分子打着自由叙利亚 军旗号以提高自身的“正当性”和方便取得西方国家支援。 2016 年土耳其军事干预叙利亚之后，土耳其支持的非官方阿拉伯人和土库曼人组织以 “叙利亚自由军”的名义成立，在土耳其和英国空军支持的有组织军队的实地提供物质支 持。该小组与叙利亚的土耳其部队密切合作。 4 叙利亚电子军: https:/en.wikipedia.org/wiki/Syrian_Elec

13、tronic_Army 5 叙利亚内战派系知多少: 4 (二) 沙姆自由人伊斯兰运动 沙姆自由人伊斯兰运动（Harakat Ahrar al-Sham al-Islamiyya，通常被称为 Ahrar al- Sham）的核心是一群曾被叙利亚复兴党政权逮捕判刑的基地组织干部。这些人在 2011 年 35 月间被复兴党政权释放后，即建立了该组织，2012 年之后更是在叙利亚北方不断坐 大。此后，该组织曾长期在教权反对派联军伊斯兰阵线和征服军中相继担任副盟主的角 色，以比较温和的立场积累了实力，还获得了土耳其较大力度的支持。 2016 年 12 月，该运动听从土耳其的命令，从阿勒颇撤退，保存了实力

14、，并且因此同 教权联军盟主努斯拉阵线产生分歧。2017 年 1 月，该运动因支持反对派同政权方的和谈而 与努斯拉阵线彻底翻脸，双方在伊德利卜大打出手。期间，该运动的众多领导和麾下组织 纷纷叛逃到努斯拉阵线改组的沙姆解放组织，但该运动同时也在土耳其支持下收编了大量 被沙姆解放组织击溃的主和教权派小团体残部，因此实力不减反增，从而扩军至近三万 人。该组织也因此成为主和反对派势力的盟主，得以在伊德利卜省建立了一个同沙姆解放 组织分庭抗礼的新联军。 这个新的教权反对派联军包括沙姆自由人伊斯兰运动和穆兄会系统的沙姆军团等教权 派组织，也包括了相当一部分前自由军派系，如胜利军、光荣军、解放军（Jaish

15、al- Tahrir，下辖自由军第 46 师、第 312 师和第 9 旅等单位） 、自由军第 13 师、第 16 师、第 30 师、第 101 师、海防第 1 师等，还有一些土库曼部队。 这一教权反对派联军目前盘踞在伊德利卜省和阿勒颇省西部的大片领土，主要跟同门 兄弟沙姆解放组织对峙。此外，盘踞在霍姆斯和大马士革郊外的教权派团体，大部分也或 多或少地与该联军同气连枝。联军的总体目标是同政权军争夺未来政治和解进程的主导 权，最低目标是要确立伊斯兰教在叙利亚的特殊地位，将叙利亚变成一个实行沙利亚法的 国家。 (三) 沙姆解放组织 沙姆解放组织（Hayat Tahrir al-Sham，简称 HTS

16、）是由努斯拉阵线吸收其他主战教权 反对派组织改组而来的。其特点是与基地组织关系密切，可视为基地组织的叙利亚分支。 反对者蔑称之为哈泰什（Hetesh） 。 尽管受到美国的敌视，而且因所谓呼罗珊集团的原因而遭到美国轰炸，但凭借自己强 悍的战斗力，努斯拉阵线还是通过征服军（Jaish al-Fatah） 、马赖阿联合作战指挥部、阿勒 颇征服军（Fatah Halab）等联合阵线的形式将伊斯兰阵线（特别是其中沙姆自由人伊斯兰 运动）的大部分派系、沙姆军团等穆兄会教权势力以及相当一部分活动在北方的自由军派 系纳入自己的麾下，形成了一个内部有分歧但对外比较一致的教权反对派联军。更得到了 土耳其、海湾国家

17、和以色列的支持。 然而，在遭到土耳其背叛后，教权派联军失去了阿勒颇。这导致其迅速产生了内部的 分化。以联军副盟主沙姆自由人伊斯兰运动（Ahrar al-Sham）为首的主和派势力在土耳其 支持下公开分裂出去，否认了努斯拉阵线的领导地位，在伊德利卜自行建政，还派人到阿 斯塔纳参加反对派同政权方的对话。这引起被列强指名排斥在和谈外的努斯拉阵线极大不 满，于是双方爆发内战。 2017 年 1 月，努斯拉阵线为首的主战教权派势力同沙姆自由人伊斯兰运动为首的主和 5 派势力在伊德利卜省爆发内战后，努斯拉阵线为团结诸将，在 1 月 28 日宣布改组为沙姆 解放组织。目前该组织控制了伊德利卜省中部以伊德利卜

18、市、南部以迈阿赖阿努曼市为中 心的大片领土，又在内战中控制了整个伊德利卜省西北部同土耳其交界的地区、西部以战 略要地吉斯舒古尔为中心的地区、阿勒颇省西部地区和哈马省北部地区。在一系列军事胜 利后，沙姆解放组织已从努斯拉时期的一万多人扩大到两三万人，战斗力也远远超过主和 教权派，还得到突厥斯坦伊斯兰党（Turkistan Islamic Party）等一些同样被排斥在和谈外 的主战教权派鼎力支持。但由于得不到外国的鼎力支持，沙姆解放组织无法彻底消灭伊德 利卜省的主和教权派，同时又因控制了同政权军交战的前线而处于一种四面皆敌的状态。 沙姆解放组织的主要目标是吞并其他教权派组织，重新赢得土耳其、沙特

19、等国支持， 迫使列强承认其为交战团体，从而甩掉恐怖组织的帽子而加入叙利亚未来的政治进程。 2017 年 2 月，沙姆解放组织被迫将其内部同伊斯兰国公开勾结的阿克萨战士（Jund al- Aqsa）逐出伊德利卜省，以同主和教权派达成休战。为了贯彻自己的主战立场、重新赢得 土耳其等国的支持，沙姆解放组织又在 3 月冒险发动了对哈马的攻势。此战得到了土耳其 在人力物力方面的支援，可见沙姆解放组织对土耳其国家来说仍有其存在价值。 五、 其他组织介绍 (一) 叙利亚民主力量 叙利亚民主力量（Syrian Democratic Forces，通常缩写为 SDF，HSD 和 QSD）是一个 由叙利亚库尔德人

20、、叙利亚阿拉伯人、叙利亚亚述人和叙利亚土耳其人武装势力在叙利亚 内战中所建立的军事同盟。联盟成立于 2015 年 10 月，试图将伊斯兰国逐出叙利亚拉卡省 和其他区域。叙利亚民主力量号称他们“团结了所有叙利亚人的武装力量，包含库尔德 族、阿拉伯人、亚述人和其他生活在叙利亚地区的所有人” 。此外，他们的目标是要建立 一个自治、包容、民主的叙利亚。 这个联盟的建立奠基于幼发拉底火山联合行动的成功，其中包含叙利亚库尔德族的人 民保护部队（YPG）和支援科巴尼防守的自由叙利亚军（FSA） 。之后拉卡革命旅也加入幼 发拉底火山，参与进攻伊斯兰国占据的泰勒艾卜耶德。扩增之后的叙利亚民主力量现在还 包括贾兹

21、拉州自治政府、叙利亚人军事委员会（MFS） ，以及帮助人民保护部队（YPG） 扫荡哈塞克地区，亲政府的阿拉伯部落萨那地力量（Jaysh al-Sanadid） 。 联盟中拥有大约 4 千兵力的阿拉伯团体，将会在叙利亚阿拉伯联军的组织下运作，以 进攻幼发拉底河以东的伊斯兰国首都拉卡。剩余一些由美国国防部训练的反抗军，任务将 会是“导引针对伊斯兰国的空袭，和招募更多温和派反抗军” 。 与其他叙利亚非政府武装力量不同的是，叙利亚民主军尽可能避免与叙利亚政府军对 抗，叙利亚民主军主要对手为伊斯兰国，叙国库尔德族表示，他们追求的是在地方分权下 的自治，而并非独立建国，叙利亚外交部长莫兰则回应，叙利亚政府

22、对于库尔德族自治保 持开放态度，不过前提是先消灭伊斯兰国，之后双方便可对于自治开始进行协商。 截至 2019 年 3 月，估计有 1 万 1 千名叙利亚民主力量战士在与伊斯兰国的交战中死 亡。 6 (二) 伊斯兰国 伊斯兰国（Islamic State，简称 IS） ，前称“伊拉克和沙姆伊斯兰国” （Islamic State of Iraq and al-Sham，简称 ISIS） ，是一个活跃在伊拉克和叙利亚的萨拉菲圣战主义组织以及 未被世界广泛认可的政治实体，奉行极端保守的伊斯兰原教旨主义瓦哈比派，属逊尼宗的 一脉。组织领袖巴格达迪自封为哈里发，定国号为“伊斯兰国” ，宣称自身对于整个穆

23、斯 林世界（包括全中东、非洲东部、中部、北部、黑海东部、南部、西部，亚洲中部和西 部、欧洲伊比利亚半岛和巴尔干半岛、印度几乎全境、中国西北地区）拥有统治地位。周 边阿拉伯国家以阿拉伯文缩写称其为“达伊沙” （DAESH） ，与阿拉伯语的“踩踏”谐音， 以示对其“伊斯兰国”名称的不承认及蔑视。中国大陆媒体有时则直接以“极端组织”或 ISIS 代指这一组织。 除了来自伊拉克和叙利亚的成员以外，这个组织也吸引了来自全球 81 个国家的超过 12,000 名圣战者加入。他们主要经由土耳其边境进入叙利亚和伊拉克。 在土耳其境内位于阿达纳省因斯里克空军基地附近，有个专门为圣战者提供训练的训 练营。数千名圣

24、战者已完成训练并进入叙利亚和伊拉克协助“伊斯兰国”建立“伊斯兰 国” 。 2014 年 10 月 2 日美国副总统乔拜登指责土耳其资助“伊斯兰国” 。土耳其否认了这 个指责并要求乔拜登道歉。其实土耳其想借助“伊斯兰国”对付库德族武装和阿萨德政 府并不是什么秘密。2012 年年初或更早，美国中情局在约旦设立训练营为叙利亚反对派提 供军事训练，多名完成训练的叙反对派成员因受“伊斯兰国”理念所吸引，结果加入了该 组织。2014 年 6 月美国向在“伊斯兰国”叙利亚占领区内的难民提供人道援助。 2017 后随着俄罗斯在叙利亚内战的军事介入与伊朗代表的泛什叶派力量大举攻入伊拉 克和叙利亚战场， “伊斯兰

25、国”大举溃败，摩苏尔与拉卡两座大城市先后被攻陷，有形的 ISIS 领土几乎消灭。 2019 年 3 月 23 日， “伊斯兰国”最后据点被叙利亚民主力量解放，并宣布“伊斯兰 国”组织完全瓦解，正式灭亡；但目前原“伊斯兰国”领导人巴格达迪，依然行踪成谜。 2019 年 4 月 21 日，斯里兰卡共发生 8 起爆炸案，分布于首都科伦坡、附近的尼甘布 以及东部拜蒂克洛，涉及 3 个教堂及 4 家酒店。23 日， “伊斯兰国”宣称对爆炸案负责。 2019 年 4 月 29 日，一直行踪成谜的“伊斯兰国”领导人巴格达迪，在“伊斯兰国” 组织灭亡后首次公开露面现身。 2019 年 5 月 11 日， “伊

26、斯兰国”宣传机构“阿玛克通讯社” （Amaq News Agency）在 克什米尔（Kashmir）地区跟激进分子爆发冲突后，宣称该组织在印度建立名为“印度 省” （Wilayah of Hind）的新省份。 7 第二章 叙利亚电子军的历史攻击活动 叙利亚电子军作为首个在其国家网络上设立公共互联网军队以公开对其敌人发动网络 攻击的阿拉伯国家组织，早期的攻击活动主要以社交账号窃取和网站破环为目的。而到了 2014 年以后，关于叙利亚电子军攻击活动的报道几乎消失觅迹了6。 2018 年 360 ATA 团队发现叙利亚电子军从 2014 年 11 月起，使用 Android 和 PC 恶意 样本针对

27、叙利亚地区进行了长期的，有针对性的攻击活动。这表明叙利亚电子军从早期对 媒体网站、社交账号的破坏盗取行为，逐渐转变为对特定目标的可持续的监控活动。 一、 早期的破坏活动 2011 年 7 月：加州大学洛杉矶分校的网站被叙利亚电子军的黑客“The Pro”破坏。 2011 年 9 月：哈佛大学的网站被称为“sophisticated group or individual”破坏。哈佛 大学的主页被叙利亚总统巴沙尔阿萨德的图片所取代，上面写着“叙利亚电子军在这 里”的信息。 2012 年 4 月：社交媒体网站 LinkedIn 的官方博客被重定向到支持巴沙尔阿萨德的 网站。 2012 年 8 月：

28、路透社新闻机构的 Twitter 账户发送了 22 条推文，其中包含有关叙利亚 冲突的虚假信息。路透社新闻网站遭到入侵，并在新闻博客上发布了有关冲突的虚假报 道。 2013 年 4 月 20 日：Team Gamerfood 主页被遭到破坏。 2013 年 4 月 23 日：美联社的 Twitter 账户错误地声称白宫被炸，巴拉克奥巴马总统 受伤。这导致同一天标准普尔 500 指数下跌 1365 亿美元。 2013 年 5 月：通过钓鱼入侵 The Onion 员工的 Google Apps 帐户，从而破坏了 The Onion 的 Twitter 帐户。 2013 年 5 月 24 日：IT

29、V News London 的 Twitter 账号遭到黑客入侵。 2013 年 5 月 26 日：英国广播公司 Sky News 的 Android 应用程序在 Google Play 商店 被黑客入侵。 2013 年 7 月 17 日：TrueCaller 服务器被叙利亚电子军入侵。该组织在 Twitter 声称其 恢复了 459GiB 数据库，这主要是由于服务器上安装了较旧版本的 Wordpress。黑客通过另 一条推文发布了 TrueCaller 所谓的数据库主机 ID，用户名和密码。2013 年 7 月 18 日， TrueCaller 在其博客上确认只有他们的网站被黑，但声称攻击没

30、有透露任何密码或信用卡 信息。 2013 年 7 月 23 日：Viber 服务器被黑客入侵，支持网页被替换为在入侵期间获得了数 据截图。 2013 年 8 月 15 日：广告服务 Outbrain 遭受鱼叉式攻击攻击，并且叙利亚电子军将其 6 叙利亚电子军攻击的时间表: https:/en.wikipedia.org/wiki/Syrian_Electronic_Army 8 重定向到华盛顿邮报 ， 时代和 CNN 的网站。 2013 年 8 月 27 日：NYT 将其 DNS 重定向到显示“被叙利亚电子军的黑客 攻击”的消息的页面，并更改了 Twitter 的域名注册商。 2013 年 8

31、 月 28 日：Twitter 的 DNS 注册显示叙利亚电子军是其管理员和技术联系 人，并且一些用户报告说该站点的层叠样式表（CSS）已受到破坏。 2013 年 8 月 29 日至 30 日： 纽约时报 ， 赫芬顿邮报和 Twitter 被叙利亚电子军攻 击。一名声称为该组织发言的人挺身而出，将这些袭击事件与美国采取化学武器回应阿萨 德的军事行动的可能性联系起来。一位自称是叙利亚电子军的人员在一封电子邮件交流中 告诉 ABC 新闻： “当我们攻击媒体时，我们不会破坏网站，只会在可能的情况下发布，或 者发表一篇包含发生在叙利亚真相的文章.所以如果美国对叙利亚发动攻击，我们可能 会使用对美国经济

32、或其他方面造成伤害的方法。 ” 2013 年 9 月 2 日至 3 日：亲叙利亚黑客入侵美国海军陆战队的互联网招募网站，发布 消息称，如果华盛顿决定对叙利亚政府发动袭击，美国士兵将拒绝接受命令。该网站 瘫痪了几个小时，并被重定向为“由叙利亚电子军提供”的七句话。 2013 年 9 月 30 日： 环球邮报的官方 Twitter 帐户和网站遭到黑客入侵。叙利亚电 子军通过他们的 Twitter 帐户发布了“在您发布关于叙利亚电子军的不实消息之前请三思 而后行”和“这次我们攻击您的网站和您的 Twitter 帐户，下次您将开始寻找新工作” 2013 年 10 月 28 日：通过“Organizin

33、g for Action”组织职员的 Gmail 帐户，叙利亚电 子军修改了奥巴马总统的 Facebook 和 Twitter 帐户的短网址，并指向其 YouTube 上的 24 分钟宣传视频。 2013 年 11 月 9 日：叙利亚电子军攻击了 VICE 的网站，这是一个无关的新闻/纪录片/ 博客网站，在叙利亚与反对派一起拍摄了多次。登录 V 重定向到叙利亚电子军的主 页。 2013 年 11 月 12 日：叙利亚电子军入侵了利比亚内战退伍军人和亲反叛新闻记者 Matthew VanDyke 的 Facebook 页面。 2014 年 1 月 1 日：叙利亚电子军入侵了 Skype 的 Fa

34、cebook，Twitter 和博客，发布了 与其相关的图片，并告诉用户不要使用微软的电子邮件服务 O（简称 Hotmail） 声称微软向政府出售用户信息。 2014 年 1 月 11 日：叙利亚电子军攻击了 Xbox 支持 Twitter 页面并将推文重定向到该 组织的网站。 2014 年 1 月 22 日：叙利亚电子军攻击官方微软 Office 博客，发布了几张图片并发布 了有关此次攻击的推文。 2014 年 1 月 23 日：CNN 的 HURACANCAMPEN2014 官方 Twitter 账号显示两条消 息，包括由二进制代码组成的叙利亚国旗照片。CNN 在 10 分钟内删除了推文。

35、 2014 年 2 月 3 日：叙利亚电子军攻击了 eBay 和 PayPal UK 的网站。一位消息人士 称，黑客目的只是为了炫耀而他们没有采集任何数据。 2014 年 2 月 6 日：叙利亚电子军攻击了 Facebook 的 DNS。消息人士称，注册人的联 9 系方式已经恢复，Facebook 确认没有网站流量被劫持，社交网络用户也没有受到影响。 2014 年 2 月 14 日：叙利亚电子军攻击了福布斯网站及其 Twitter 帐户。 2014 年 4 月 26 日：叙利亚电子军攻击了与信息安全相关的 RSA 会议网站。 2014 年 6 月 18 日：叙利亚电子军攻击了英国报纸太阳报和星

36、期日泰晤士报 的网站。 2014 年 6 月 22 日：路透社网站遭到第二次黑客入侵，并显示叙利亚电子军谴责路透 社发布关于叙利亚的“虚假”文章的消息。黑客破坏了由 Taboola 投放的广告。 2014 年 11 月 27 日：叙利亚电子军通过劫持 Gigya 著名网站的评论系统入侵了数百个 站点，显示“你被叙利亚电子军攻击了” 。 2015 年 1 月 21 日：法国报纸世界报写道，叙利亚电子军“在启动拒绝服务之前 成功渗透到我们的发布工具中” 。 2018 年 5 月 17 日：美国以“阴谋”为由，指控两名犯罪嫌疑人入侵了美国的几个网 站。 二、 后期的监控活动 2014 年 11 月至

37、 2017 年底：叙利亚电子军对使用 Android 和 PC 平台的恶意样本对叙 利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击。 2018 年 7 月：叙利亚电子军使用新型 Android 跨越平台攻击木马针对叙利亚及其周边 军事机构和政府展开了攻击。 2018 年 12 月：360 CERT 捕获到叙利亚电子军针对叙利亚地区攻击的最新 Android 样 本。 2019 年 3 月：360 威胁情报中心发现并分析了叙利亚电子军最新的攻击样本。 2019 年 3 月：360 烽火实验室发现叙利亚电子军针对伊斯兰国的攻击活动。 10 第三章 叙利亚电子军在移动端的监控活动 根据我们

38、的发现，叙利亚电子军下至少包含黄金鼠组织和拍拍熊组织两个不同的分支 机构，对叙利亚地区展开了有组织、有计划、有针对性的长时间不间断攻击活动。 一、 黄金鼠组织 (一) 攻击活动 2014 年 11 月起，黄金鼠组织（APT-C-27）对叙利亚地区展开了有组织、有计划、有 针对性的长时间不间断攻击7。平台从开始的 Windows 平台逐渐扩展至 Android 平台。此 次攻击活动中，Android 和 PC 平台的恶意样本主要伪装成聊天软件及一些特定领域常用软 件，通过水坑攻击方式配合社会工程学手段进行渗透，向特定目标人群进行攻击。根据 PC 样本中的 PDB 的作者信息，最终确定黄金鼠组织为

39、叙利亚电子军的一个分支。 图 3-1 黄金鼠相关重点事件时间轴 1. 载荷投递 Android 端间谍软件主要伪装成“System Package Update”、 “Telegram Update”、 “ChatSecure Ultimate 2017”、 “Ms Office Update 2017”、 “WordActivation”、 “”_等软件，这些软件普遍为一些聊天软件更新程序，并通过挂载在具有迷惑 性的下载网址上引诱目标下载安装。 7 黄金鼠组织-叙利亚地区的定向攻击活动: 动.html 11 图 3-2 钓鱼网站 2. 攻击样本分析 Android 端共使用到两种 RAT，其

40、中一种是开源的 AndroRat，此 RAT 在早期的攻击活 动中使用；另一种是定制的 SilverHawk8，此 RAT 在后期的攻击活动中使用，并且经过多 次更新。 本次攻击活动中使用的 Android 样本的主要功能如下： 录制音频 使用设备相机拍照 心跳包 从外部存储中检索文件 复制，移动，重命名和删除文件 下载攻击者指定的文件 已安装的应用程序，包括 安装的日期和时间 尝试使用 root 权限执行攻击者指定的命令或二进制文件 检索联系人 短信 通话记录 设备的位置，方向和加速度 8 Under the SEA - A Look at the Syrian Electronic Arm

41、ys Mobile Tooling: 18/Wed-Dec-5/eu-18-DelRosso-Under-the-SEA.pdf 12 可远程更新的 C2 IP 和端口 隐藏图标 设备信息 样本核心功能代码结构见下图。 图 3-3 样本核心代码的结构 (二) 跨平台攻击方式 2018 年 7 月，我们首次发现其新版本的移动端攻击样本具备了针对 PC 的诱导跨越攻 击方式9。 1. 载荷投递 此次共发现两个相似名称的攻击样本钓鱼网站及下载地址，PC 端 RAT 的攻击样本 “hmzvbs”则直接嵌入在新版本的移动端攻击样本中。 9 移动端跨越攻击预警：新型 APT 攻击方式解析: 13 图 3-

42、4 钓鱼网站 2. 攻击样本分析 通过分析对比，我们发现新版本的移动端手机攻击样本除了保留原版的移动端 RAT 功 能之外，此次攻击新增了移动存储介质诱导攻击的方式，首次实现了从移动端到 PC 端的攻 击跨越，其攻击细节如下： 第一步：移动端攻击样本携带针对 PC 的 PE 格式 RAT 攻击文件“hmzvbs” 。 图 3-5 携带的 PE RAT 攻击文件 第二步：移动端手机攻击样本运行后，立即把该针对 PC 的 RAT 攻击文件“hmzvbs” ， 释放到指定好的移动端外置存储设备中的图片目录下进行特殊名称的伪装。这个伪装实现 了跨越攻击前的特殊准备，该伪装具有两个特点：攻击文件名称伪装成常见的图片相关目 录名；攻击文件的扩展名为“.PIF” （该扩展名代表 MS-DOS 程序的快捷方式，意味着在 PC 上可直