不自主真的会死:供应链渗透,引来空前杀伤力

作者:陶短房 来源:瞭望智库 2024-09-30 295

在全球供应链岌岌可危的当下,将军事性致命恐怖危险无差别扩散至未知领域的大规模实施行为,可能加剧全球“断链”的担忧。

1

真真假假的电子产品爆炸

黎巴嫩当地时间9月17日15时30分左右,黎巴嫩各地突然传出阵阵奇怪的微小爆炸声,上千人痛苦地倒在血泊中,他们的伤多位于腰部、臀部或面部。爆炸持续了约1小时,造成至少12人死亡,2000多人受伤。

不自主真的会死:供应链渗透,引来空前杀伤力

2024年9月18日在黎巴嫩巴勒贝克拍摄的照片显示的是通信设备爆炸损毁的摩托车。新华社发(塔希尔·阿布·哈姆丹 摄)

当局很快查明,爆炸系由于受害者所携带的Bp机被统一引爆所致,这些Bp机当时突然发出刺耳的提示短音,一些使用者误以为收到特别紧急信息,将Bp机拿到眼前查看因而伤势较重,但无论作出何种反应或毫无反应,几秒后Bp机都会爆炸。

有消息称,发生爆炸的Bp机总数在3000部以上。

一波未平一波又起,仅1天后,黎巴嫩境内又普遍发生手持式对讲机集体被引爆的事件,此次事件造成至少25人死亡,450人受伤。

随后各种真真假假的“电子产品爆炸”消息铺天盖地,涉及范围蔓延到苹果手机、太阳能电池板、手提电脑等,但随后这些“周边消息”大多被证伪,如在X上瞬时浏览量突破80万的“黎巴嫩苹果手机被引爆”,被核实为移花接木的埃及新闻传媒Cairo24 2021年3月关于埃及马迪苹果手机过热引爆新闻的报道图片;某亲以色列社交账号“黎巴嫩社区太阳能电池板大爆炸导致500多人受伤”所配两张失火图片分别拍摄于2020年2月的美国和2020年12月的加拿大,且后者与太阳能电池板完全无关;X平台上另一则传播广泛、由一位一贯鼓吹“以色列国防军和摩萨德(Mossad)无所不能”用户发布的“笔记本电脑爆炸”信息,所配的图片是2021年由一名Reddit小众账号首发的。

多家国际传媒在几日喧嚣后得出几乎相同的结论:除了Bp机和手持式对讲机,目前尚未在黎巴嫩事件中发现其他被系统群发性引爆的电子产品,有关其他电子产品被引爆的信息有些是因恐惧而产生的误传,有些则是在中东冲突上支持这一方或那一方者有意无意地牵强附会,其中一些甚至明显带有特定军情部门“心理战”的痕迹,似乎意在用这种“真中有假,假中有真”的手法刻意制造“四两拨千斤”、扩大和蔓延恐慌情绪和爆炸连锁反应的“恐怖链条”。

发生爆炸的Bp机都是同一种型号,即由台湾金阿波罗公司(Gold Apollo)生产的Rugged Pager AR-924型坚固型寻呼机。意识到问题严重性后,金阿波罗9月18日发表声明,否认发生爆炸的Bp机由该公司在台湾制造,称系其长期合作对象匈牙利BAC Consulting KFT “制造和销售”,但当天稍晚,匈牙利BAC的CEO巴尔索尼-阿尔奇迪亚科诺(Cristiana Bársony-Arcidiacono)便发表紧急声明,坚称BAC“只是一家中间商,没有制造任何产品,你们肯定搞错了”。

匈牙利政府随后表示,该公司仅是“贸易中介”,在该国没有制造或经营地址。从前述该公司CEO在其Linktln账号上传的一份文件中可知,BAC2022年5月19日在匈牙利商业注册处注册成立,但有一名叫汉森(Eric Hansen)、自称住在丹麦的业务开发负责人似乎在这家公司还不存在时就获得该公司任职(2020年4月),而他当时仍在为一家位于美国迈阿密的公司工作,调查人员发现此人履历中许多公司“可疑或从未存在过”,一些在著名国际机构工作的履历可能系伪造,其宣称的学历也多有破绽,BAC注册地点位于匈牙利布达佩斯一个挤满“空壳公司”的不起眼住宅区,早已人去楼空,更离奇的是发布“澄清声明”的CEO(网络资料自称曾在联合国教科文组织“UNESCO”等多个机构工作过)也迅速处于失联状态。上述种种,均加剧了人们对这家公司、乃至此次事件性质的怀疑。

不自主真的会死:供应链渗透,引来空前杀伤力

2024年9月18日,在黎巴嫩贝鲁特的通信设备爆炸遇难者葬礼上,一名真主党成员手中的对讲机卸下电池。新华社发(比拉尔·贾维希摄)

爆炸的对讲机为日本Icom品牌的IC-V82式,Icom表示,这款对讲机及包括电池在内的零部件10年前即已停产,原装该型号2004-2014年期间大批发送中东,但此后再未发货。该公司表示,无法确认此次爆炸的IC-V82是直接从 Icom 发货,还是通过分销商发货。此外,面向海外市场的任何产品都只销售给该公司的授权分销商。该公司英国分支一位销售主管指出,在网上很容易找到该产品的山寨货,因此“情况比较复杂”。

有消息称,今年初,黎巴嫩真主党(Hezbollah)首领纳斯鲁拉(Hassan Nasrallah)鉴于手机通讯容易被以色列情报机构渗透,“手机比间谍更危险”,要求其成员把手机“砸碎、深埋或锁进箱子里”,但这则警告系其2月17日通过电视讲话公开发布。2月,真主党通过“人头”成批购买了5000部AR-924寻呼机,希望通过这种“通讯降级”规避信息和情报被渗透的风险,这批订货2-4月陆续到货(对讲机则是5个月前统一网购的),结果却人为给对手留下更危险的“空门”。

2

以色列脱不了干系

尽管在事发后遵循一贯在境外制造事端的惯例,以色列“不承认、不否认”,但以色列国防军(IDF)总参谋长随即发表“我们对真主党的手段还多得很”,随后以色列更对黎巴嫩境内进行了规模空前的空袭和炮击,这让几乎所有国际问题专家都相信,这是以色列针对黎巴嫩真主党的“定向攻击”。

不自主真的会死:供应链渗透,引来空前杀伤力

2024年9月17日,在黎巴嫩贝鲁特,人们为传呼设备爆炸事件伤者献血。新华社发(比拉尔·贾维希摄)

Axions援引未透露姓名的美国和以色列官员的话称,以色列原本希望借同时引爆Bp机制造真主党指挥系统大混乱,配合针对黎巴嫩的全面进攻,但事发前得知全面开战消息泄露,因此匆匆启动了“群爆”指令。

9月23日,以色列军方通过一个黎巴嫩号码向黎巴嫩南部和贝鲁特部分街区居民群发了“立即离开否则后果自负”的信息,以色列军方发言人哈加里(Daniel Hagari)随后证实这“确系以色列军方发出的信息和警告”。黎巴嫩国家通讯社称,甚至黎巴嫩信息部长马卡里(Ziad Makary)也接到了这样的警告。这似乎再一次证明,以色列和此次黎巴嫩事件脱不了干系。

长期为CIA工作、拥有28年间谍生涯的皮拉尔 (Paul Pillar) 表示:“这充分表明了以色列以极为戏剧性的方式渗透对手的能力。”

不自主真的会死:供应链渗透,引来空前杀伤力

2024年9月18日,在黎巴嫩贝鲁特,人们参加传呼设备爆炸死者的葬礼。新华社发(比拉尔·贾维希摄)

一些分析人士,包括英国籍化学武器专家戈登 (Hamish de Bretton-Gordon)认为,寻呼机和对讲机这些老式设备被真主党高层认为“更原始所以更安全”,这实际上是个误区:它的加密系统简陋,事实上较新式通讯手段更容易被监控和渗透,而使用较大型的集成电路板和电池也为植入“硬杀伤手段”提供更多方便,“3克炸药植入Bp机很难被察觉,只要伪装成集成线路板的一部分就可以,但如果是智能手机这几乎办不到”,调查显示,爆炸的设备中含有季戊四醇四硝酸酯(PETN)炸药,引爆原理可能系通过在供应链中篡改代码,引爆时通过群发无线电指令导致热失控爆炸。

TrustedSec安全情报主管佩雷斯 (Carlos Perez) 则认为可能是电池被动了手脚。

一名英国陆军前拆弹专家指出,爆炸装置主要由五个组成部分:容器、电池、引爆装置、雷管和炸药,“Bp机上本来已经有其中三样,再偷偷加上两样就是炸弹”。

资深退役英国军方拆弹专家穆尔豪斯 (Sean Moorhouse)和澳大利亚军备研究服务中心主任、军事武器专家简森-琼斯(NR Jenzen-Jones)均认为,引爆Bp机技术难度不高,但如此规模的群发式袭击“规模和复杂性都是惊人的,几乎无疑只能是国家行为,除了摩萨德不可能有别人”。

以色列并非没有这样做的“前科”:

早在1996年,他们就用远程操纵手机爆炸的方法,暗杀了哈马斯(Hamas)炸弹制造专家阿亚什 (Yahya Ayyash),2000年又如法炮制暗杀了一名法塔赫(Fatah)的著名人物。

2018年,黎巴嫩常驻联合国代表穆达拉利(Amal Mudallali)指责以色列在当年真主党与以色列关系紧张之际,窃听手机线路并向卡夫尔基拉村的平民发送录音信息,警告他们即将发生爆炸。

2021年,大赦国际(Amnesty International)、“禁忌故事”(Forbidden Stories)等多家机构发布联合调查报告,指出以色列公司NSO集团开发恶意软件Pegasus,用于入侵电子设备,非法监控用户并盗取其隐私。

比利时风险与冲突分析师马格尼耶(Elijah Magnier)指出,以色列针对周边国家的信息侦察和渗透行为由来已久,组织周密且设备先进,而黎巴嫩等国防范手段落后,防范意识过时,徒然扰民却仍旧被渗透得千疮百孔。

由于美国、欧盟及其许多贸易伙伴都将真主党列为“恐怖组组”,导致在这些国家和地区注册的公司,甚至与这些国家和地区进行贸易的公司都不便直接和真主党进行贸易,后者只能使用复杂的“人头交易”辗转购买,而交易环节的复杂无疑增加了被渗透的风险。尤其在购买时为绕开制裁,一般会由中间商持有,故意在港口仓库闲置三个月清关交货,“这无疑是开门揖盗”。

事发后,除极个别人,如英国右翼网络政论杂志《spiked》首席政治作家奥尼尔(Brendan O’Neill)和美国民主党籍联邦参议员、自称“我愿成为最后一个无条件支持以色列者”的著名亲以政治家费特曼(John Fetterman)外,即便以色列的铁杆支持者也纷纷“撇清”,惟恐成为此次事件“责任链条”的一环,甚至前CIA局长帕内塔(Leon Panetta)都直言不讳称此举为“恐怖主义行为”,

《国际人道主义法》(International humanitarian law)规定,“在任何情况下,禁止使用任何地雷、诱杀装置或其他旨在造成过分伤害或不必要痛苦的装置”。根据该法,“‘其他装置’是指手动埋设的弹药和装置,包括旨在造成杀伤或破坏的简易爆炸装置,这些装置可手动、遥控或在一段时间后自动启动”。

联合国人权事务高级专员图尔克指出,此举“违反国际法,将普通设备武器化”“国际法禁止在日常生活中使用装有炸弹的物品,实施旨在在平民中传播恐怖的暴力行为是战争罪”。

尽管以色列方面可将之辩解为“战争行为”甚至“反恐需要”,但毋庸置疑,不论寻呼机或对讲机都不是军用品,都可能流入民间。事实上从流传的视频可知,许多Bp机爆炸时是被老弱妇孺或一望而知的平民携带,在诸如便利店或街头小咖啡馆这种充斥平民的场合被引爆,不加辨别蓄意杀伤平民的指控根本无从洗刷。正因如此,墨西哥裔著名图书编辑兼犯罪问题作家费尔南德兹(Belén Fernández)将此次行为形容为“奥威尔式”,Orwellian,即试图利用恐怖手段营造一个类似英国作家奥威尔(George Orwell)在《一九八四》(Nineteen Eighty-four)中所勾勒出的面对无所不在监视随时随地人人自危的恐怖社会氛围,而一位留言者则在《POLITICO》上指出,越战时中情局(CIA)在越南布撒伪装成儿童玩具的诡雷杀伤儿童,“此次以色列的行为与之相比唯一的差异在于他们几乎毫不掩饰,而CIA至少还知道这件事上不得台面,此后很长时间都在竭力毁灭证据和矢口否认”。

3

断链的威胁

许多观察家都指出,此次事件虽然令人震惊,但直接军事价值有限:两次群发爆炸仅炸死37人,其中重要军政人物寥寥无几(相反此后直接针对真主党的公开空袭导致至少350人死亡,且死者中有多名真主党要人),而国际社会对Bp机事件和公开空袭的反应是大相径庭的,后者固然也受到争议,但前者则是几乎“没朋友”的存在。

更重要的是,在全球化和自由市场理论遭到空前质疑,全球供应链岌岌可危的当下,以色列用国家手段将军事性致命恐怖危险无差别扩散至未知领域的大规模实施行为,可能加剧“断链”的担忧。

美国哈佛大学肯尼迪学院安全技术问题专家施奈尔(Bruce Schneier)指出,此次事件“生动地说明了网络安全专家多年来一直在警告的威胁:我们的计算机设备国际供应链让我们处于脆弱之中。而且我们没有很好的手段来保护自己”。他表示,“虽然这些致命的行动令人震惊,但用于执行这些行动的任何元素都不是特别新颖的。以色列既未证实也未否认其所为,他们采用的手段是劫持国际供应链,并在真主党的装置中植入塑料炸药,这种手段已经使用多年。新奇之处在于,以色列竟然以如此毁灭性且公开的方式将这些手段结合在一起,突显出大国竞争的未来——无论是在和平时期、战时还是在两者之间不断扩大的灰色地带,普通人的电脑、汽车、冰箱、空调,以及我们生活日常中各种有用的东西也越来越容易受到攻击,危险无处不在”。

这位专家认为,自从“基地”组织恐怖分子里德 (Richard Reid)2001年试图用遥控鞋底炸弹炸毁飞机始,“在通讯设备中植入塑性炸药就一直是恐怖主义的常用手段,并催生了一代又一代安全扫描仪的出现,尽管实际发生的袭击极少,但事实证明正是极少的袭击可能性制造了极大且不可逆的麻烦”。

这位专家同样指出,此次事件的另一大焦点,即通过渗透供应链植入威胁也不是新鲜事,以色列利用这种手段多次破坏伊朗重要目标,而美国秘密拦截物流链上通讯设备动手脚也早已为世人所熟知,只是此前人们担心的更多为窃听和盗取个人隐私,而不是这种肉体杀伤罢了。

成立“人头公司”欺骗受害者同样不乏其例,几年前以色列就被揭露使用这种功能公司向真主党兜售假炸药,而美国联邦调查局2019年曾专门成立一家假代理行,向疑似犯罪分子出售动了手脚的“保密手机”,目的是监听这些人以便必要时将之一网打尽。

此次事件再次提醒世人,“我们的供应链很脆弱,这意味着我们也很脆弱。任何与高科技供应链互动的个人、国家或团体都可以破坏通过它的设备。它可以被破坏以进行窃听。它可以被破坏以降级或按命令失效。虽然这更难,但它可以被破坏以杀死人”。这种危险在先进电子设备普及率更高的国家更大。

警告早已不绝于耳:2007 年,美国爱达荷国家实验室证明,网络攻击可能导致高压发电机爆炸。2010 年,一种据信由美国和以色列开发的计算机病毒摧毁了伊朗核设施的离心机。2017 年,CIA一份文件被“维基解密”(WikiLeaks)泄露。这些文件包括关于远程入侵汽车的可能性的声明,维基解密声称这种入侵可用于实施“几乎无法察觉的暗杀”——而这种可能此前两年已被一名与黑客合作在自己汽车上实验的《连线》杂志记者证实是完全存在的,他们通过遥控成功关闭了正在高速公路上有人驾驶汽车的引擎。

必须警惕的是,一些西方国家朝野长期以来旨在抑制中国发展的“中国威胁论”渲染,早已渗透在这类警告之中,可以断言,中国绝不会置身“断链”危机之外,也总会有人蓄意将祸水往你身上引。

一些人认为“事发后会有大量海外用户转用中国设备”,也的确在一些地方出现了这样的消息,但9月23日,伊朗伊斯兰革命卫队(IRGC)在黎巴嫩事件后下令所有成员停止使用任何类型的通讯设备,一名匿名IRGC情报官员称,伊朗伊斯兰革命卫队正在进行大规模行动,检查所有设备,而不仅仅是通讯设备,尽管给出的理由是“担心以色列特工及其代理人的渗透”,但正如其所承认的,被停用的设备要么是从中、俄进口,要么是用包括中国在内零部件在伊朗国内组装的,“因为制裁伊朗只有这几个国家的进口货”。由此可见,即便在不受“中国威胁论”影响的第三方市场,黎巴嫩事件对中国制造和品牌的作用,也未必都是正面的。

当然,“断链”对工业化国家的伤害更大:无论怎样闪转腾挪,此次事件中工业化国家及其品牌的责任无疑是仅次于肇事者最大的,且对于欧美而言,“自营链条”的代价无疑是根本无法承受的,施奈尔称“我们无法想象华盛顿通过一项法律,要求 iPhone 完全在美国制造。劳动力成本太高,而我们国家没有国内生产这些东西的能力。我们的供应链是深刻的、不可阻挡的国际化,改变这一点需要让全球经济回到 20 世纪 80 年代”——当然,这番言论未免言之过早,几年前人们也无法想象美国会带头发起损人不利己的全球性贸易战,2008年目睹G20携手“救链”一幕的世人同样无法相信,仅仅十几年后西方政治家们就竞相对“全球化”和“自由贸易”概念避之唯恐不及,此次黎巴嫩事件后这种喧嚣势必更加高涨,会有越来越多的人开始认为,“断链”和“自成体系”是可以接受的,因为类似黎巴嫩的“群爆事件”如今不仅可能在战争时期对军事目标实施,也随时随地可能在和平时期对任何目标实施,且越发达的社会越容易受到袭击。

4

要“强链” 不要“断链”

事发后许多著名欧美安全问题专家,如加拿大卡尔加里大学安全与弹性网络物理系统加拿大研究主席卡里米普尔 (Hadis Karimipour)、美国东北大学电气与计算机工程学教授、该校无线物联网研究所(Institute for the Wireless Internet of Things)副主任乔奈特(Josep Jornet)等联名呼吁公众“不要杞人忧天,不要因噎废食”,因为“越是大公司和知名品牌生产的设备越安全,生产商承受不起品牌失信和断链的代价,且越精密的设备越难大规模动手脚而不被察觉,针对特定目标动手脚是可能的,但针对群体目标实施类似黎巴嫩事件的群发攻击得不偿失,不太可能发生”。

当然,在阐述合理论点之际偷偷植入“私货”也是不可免的:参与上述呼吁的美国马里兰大学巴尔的摩县网络安全中心助理主任福诺(Richard Forno)呼吁“更相信大公司和大品牌”,认为“它们的供应链和制造流程更安全”,却莫名其妙地举例称“譬如苹果,就不会把任何合同随便交给中国的任何公司”。可想而知,类似的小动作,今后会不断“弹窗”混淆视听。

《大西洋月刊》特约撰稿人博格斯特(Ian Bogost)则呼吁人们“不要被黎巴嫩事件所误导”“不要把你手中的智能手机视作定时炸弹”。

还应看到,仅从技术层面上,此次黎巴嫩事件也应打破此前弥漫的“技术退步对安全有利”的误区:事实证明,从智能手机退步到Bp机和对讲机并未能带来预期的安全,信息泄露变本加厉,更因此招致“硬杀伤”。

很显然,“断链”是不可取的,作为正在发展道路上的大国,作为制造业强国和“链式经济”的受益者,“强链”是必须的、必然的。

许多知情人指出,黎巴嫩基础设施和通信防范手段单薄,防范意识淡薄,几年前就爆出大量公私通信用户信息泄露的新闻(如2018年黎巴嫩大选前夕数千名在黎巴嫩驻海外大使馆登记投票的海外黎巴嫩公民个人数据被泄露),且黎巴嫩自己的某些官方机构也存在操作上的问题(如2018年据移动安全公司 Look Up 和数字权利组织“电子前沿基金会”(EFF)的研究人员称,黎巴嫩安全情报机构被发现自 2012 年以来进行了多次黑客活动,窃取了WhatsApp和Telegram等消息应用程序用户的数千 GB 数据。这些受国家支持的黑客被称为“Dark Caracal”),法律规定破绽百出(虽然 1999 年《电信法》保护人们免受监视和窃听(刑事调查除外),但 2013 年的一项指令还要求互联网服务提供商、咖啡馆和其他互联网服务商至少保留一年的用户数据),这给了觊觎者以可乘之机,应对类似的风险,“强链”的首选,是在监管和电信服务部门方面有所作为。

而普通用户能做到的,则是警惕莫名其妙的异地登录和可疑验证码认证要求,在力所能及范围内保障自己的隐私和“电磁信息安全”(有切实消息显示,黎巴嫩事件发生前,该国电子产品用户曾密集收到可疑的异地登录和验证码认证要求,但普遍遭到忽视,电信安全专家指出,“这种情况通常发生在另一个用户在尝试输入自己的号码进行注册时输错了您的号码,也可能发生在有人试图接管您的账号时”),定期更新手机上的软件并使用多因素身份验证等安全功能,采用多重身份验证等措施虽然麻烦,但仍然是必要的,同时,也不应忽视一些良好的使用习惯,如避免手机离身,以防他人对其实施物理操作或取出电池动手脚。

微信扫一扫|长按识别,进入读者交流群

0
0
0
3
0
0
0
0