在印度和巴基斯坦之间的紧张局势再度紧张之后,黑客组织的网络攻击不断升级。
2025 年 5 月 7 日,印度对巴基斯坦和巴基斯坦控制的克什米尔地区的 9 个被描述为“恐怖主义基础设施”的地点进行了 24 次导弹袭击,为期 25 分钟。据印度当局称,这次行动是对 4 月 22 日在克什米尔大规模杀害 26 名印度游客的回应。虽然印度声称空袭造成 70 多名武装分子死亡并避开了平民区,但巴基斯坦声称至少有 26 名平民伤亡,发誓要做出回应,并报告称击落了五架印度飞机。据报道,随后在控制线沿线发生了炮火交火,关闭了领空,国际行为者呼吁保持克制。
为了防止网络报复,印度采取行动暂时阻止海外用户访问国家证券交易所和 BSE 的网站。官员们将网络威胁担忧列为此举的原因,并确认交易业务不受影响,但在评估风险的同时,访问受到控制。印度媒体报道了与巴基斯坦有关的黑客指控有所增加,巴基斯坦网络响应机构 PKCERT 警告说,敌对行为者正在利用升级来传播虚假信息并攻击关键系统。
Radware 汇编的报告显示,在整个 2025 年,印度一直是黑客活动的常见目标,自 1 月以来,有 26 个不同的组织针对 100 个组织,并造成了 256 次分布式拒绝服务 (DDoS) 攻击。大多数攻击集中在 1 月份,但随着地缘政治紧张局势的加剧,5 月的前一周,活动加速。
根据 Radware 的数据,今年 RipperSec 负责针对印度目标的 DDoS 索赔的 30% 以上,其次是 AnonSec (16.8%)、Keymous+ (10.2%)、Sylhet Gang (9%) 和 Hamza 先生 (4.7%)。匿名 VNLBN、孟加拉国民兵部队、SPIDER-X、RuskiNet、Arabian Ghosts、AnonPioneers、Rabbit Cyber Team、Red Wolf Cyber、Nation of Saviors 等团体也声称对此负责。双方的黑客活动家都在采用各种方法,从 DDoS 攻击和僵尸网络到网站污损和数据泄露,目的是破坏服务并破坏公众信心。
在声称的 DDoS 攻击中,超过一半以政府机构为目标,其他重要目标包括教育 (8.3%)、金融 (7.4%)、制造业 (6.5%) 和电信 (6.5%) 等实体。
自 5 月 7 日事件以来,针对印度的 DDoS 攻击活动愈演愈烈。Radware 的分析指出,在 UTC 时间下午 4 点(印度标准时间晚上 9:30)出现峰值,每小时声称的攻击多达 7 次。参与这些攻击的威胁行为者包括 AnonSec、Keymous+、Mr Hamza、Anonymous VNLBN、Arabian Hosts、Islamic Hacker Army、Sylhet Gang、Red Wolf Cyber 和伊朗组织 Vulture。
在 Sindoor 行动后的这些攻击中,超过 75% 的事件是针对政府机构的,而金融和电信部门分别占 8.5% 和 6.4%,构成了观察到的活动的大部分。
“出于政治、社会和宗教动机的黑客行动主义团体正在日益协调努力,扩大他们对共同对手的攻击,”Radware 在其最新警报中表示。“黑客活动家正在使用混合策略,利用应用层和容量耗尽 DDoS 攻击,使防御复杂化。”
Radware 警报继续说道:“双方的黑客活动家都在使用 Web DDoS 攻击、僵尸网络、数据泄露和污损来攻击关键基础设施,旨在破坏服务并削弱公众信任。
最近的事态发展显示,包括 Sylhet Gang、Mysterious Team 和 Red Wolf Cyber 在内的几个组织宣布支持巴基斯坦并威胁要扩大对印度系统的攻击。Radware 观察到,自 2024 年以来,具有不同意识形态动机的团体之间的合作模式越来越多。“正如《Radware 2025 年全球威胁分析报告》所述,2024 年是黑客行动主义联盟的重要转折点,因为在不同政治、社会和宗教动机的驱动下,这些团体联合起来开展协调一致的活动,以针对共同的感知对手。到 2025 年,这一趋势势头强劲,越来越多的黑客活动者为彼此的行动和活动提供相互支持,放大他们的信息并提高他们的知名度。
警报进一步指出:“在 Sindoor 行动之后,东南亚黑客之间正在出现新的联盟。其中一些联盟甚至延伸到传统上反对以色列的团体,例如伊朗黑客组织 Vulture。
正如 Radware 所描述的那样,情况仍然不稳定。“截至目前,印巴之间的升级还不到 24 小时,局势仍然高度不稳定。几个著名的政治团体,如 RipperSec 和 Mysterious Team Pakistan,已公开承诺采取行动,但尚未声称对任何袭击负责。他们即将的参与可能会大大增加赌注。
预计总部位于印度的黑客活动组织也将加剧活动,这引发了人们对巴基斯坦基础设施遭到相互网络攻击的担忧。“与此同时,支持印度的黑客组织,如印度网络力量、印度加密劫持者、Dex4o4 和 Ghost Force,预计将加大针对巴基斯坦组织的努力。这可能会造成危险的报复循环,增加进一步网络攻击的风险,可能针对双方的关键基础设施。
黑客活动家使用的策略多种多样。“黑客活动家经常部署应用层 DDoS 攻击,以特定服务器资源为目标,通常不会产生压倒性的流量。这些攻击更难检测和缓解,因为它们会模仿合法的用户交互。常见技术包括 HTTPS 加密的泛洪和表单 POST,它们使在线服务及其后端系统不堪重负。这可能会导致严重的服务中断甚至完全中断,尤其是对于政府门户网站、金融机构或新闻媒体等关键网站。
“容量耗尽攻击虽然通常不太复杂,但仍然是黑客组织用来压垮网络基础设施的常见策略。这些攻击通常涉及直接路径 UDP 泛洪或反射和放大攻击等策略,其中目标被大量 UDP 数据包淹没。这会消耗大量带宽和网络资源,这可能会导致在线服务中断或影响连接。
“鉴于黑客组织之间的复杂性和协调性日益增加,可以观察到结合了多种技术的混合 DDoS 攻击。这些攻击可以同时以容量耗尽方法针对网络基础设施,同时执行应用层攻击。这些策略使检测和缓解工作复杂化。
Radware 强调 DDoS 工具的可访问性是一个促成因素,并指出:“许多组织可能会使用公开可用的 DDoS 工具来发动攻击。例如,RipperSec 成员维护和共享一个名为 MegaMedusa 的工具。MegaMedusa 使用 Node.js 构建,利用其异步和非阻塞 I/O 功能来高效管理多个网络连接,使其适合编排广泛的 DDoS 活动。该工具可通过 GitHub 公开访问,允许用户以最少的技术专业知识安装和作它。其用户友好的安装过程涉及执行一些命令,即使是技术背景有限的个人也可以使用它。这些工具的可用性使具有不同技术专业知识水平的团队更容易发起有影响力的攻击。
“黑客组织还可能利用僵尸网络(受感染设备的网络,通常是 IoT 设备)来发起大规模 DDoS 攻击。这些僵尸网络可以租用或通过使用恶意软件创建,使攻击者能够在各种设备上分配流量。一些黑客组织已经从出于政治和宗教动机的攻击者演变为 DDoS 即服务提供商,提供这些服务要么收费,要么换取其 Telegram 频道上的广告。
“一些黑客活动家还可能参与网站污损并声称对数据泄露负责,这是他们制造混乱和削弱公众对机构信任的策略的一部分。这些行动通常旨在破坏目标组织的信誉并传播意识形态信息。
发表评论
您还未登录,请先登录。
登录