安天联合分析小组 安天垂直响应平台
01 事件概述
当地时间2024年9月17日下午,黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地发生大量寻呼机(BP机)爆炸事件。黎巴嫩真主党第一时间在其Telegram频道上发布消息称,爆炸发生在当地时间下午3时30分左右,影响了真主党各机构的“工作人员”,有“大量”人受伤。截至18日16时,以色列时报援引黎巴嫩公共卫生部门数据称,爆炸造成11人死亡,约4000人受伤,其中约500人双目失明。
基于本事件最初被多方报道为网络攻击触发的事件,为梳理实际情况,安天组成了由安天CERT、战略情报中心、无线安全技术研发组的混合分析团队进行如下分析。经综合研判,大家初步分析认为这是一起基于供应链(含配送物流)侧,将爆炸物和通讯设备相结合,利用远程信号激活控制电路,实现批量触发爆炸的严重事件。整体研判分析过程如下:
02 事件影响范围
根据媒体和网络信息,爆炸主要发生在黎巴嫩真主党势力强大的地区,特别是贝鲁特南部郊区和贝卡地区,导致此次爆炸事件发生的原因是使用特定品牌型号的寻呼机,根据目前采集信息来看包括了Gold Apollo Pager AP-900 GP和AR-924等型号,上述型号为中国台湾地区金阿波罗企业品牌的寻呼机。但也有未充分验证的消息说爆炸寻呼机也包括Motorola LX2、Teletrim等品牌。此次发生爆炸的通讯设备是在手机普及时代已被绝大多数人所弃用的寻呼机。但由于寻呼机有作为纯信号接受设备,不发射信号,难以被定位的优势。因此在地缘安全形势复杂的黎巴嫩,被黎巴嫩真主党成员以及黎政府重要岗位人员大量使用。网络信源称,真主党向金阿波罗企业订购了3,000多台寻呼机,分发给黎巴嫩各地的成员,以及伊朗和叙利亚的真主党盟友手中。事件发生后,真主党证实其大量成员受伤,另据伊朗国家媒体IRNA证实,伊朗驻黎巴嫩大使穆杰塔巴·阿马尼在寻呼机爆炸事件中受伤。
图2-1 scmp提供的Pager explosion地图
电子监控技术在以色列对黎巴嫩的袭击中发挥着重要作用。以色列国防军此前表示,以色列在真主党活动区域安装了监控摄像头和遥感系统,并定期派遣无人侦察机越过黎以边界监视真主党。此外,据消息透露,根据手机定位数据,以色列空袭行动已精准定点清除了数名真主党高级指挥官。因而,从2024年2月开始,真主党下令放弃使用手机等设备以避免以色列和美国间谍App的渗透,采用取技术含量更低的老式通讯手段,包括寻呼机和暗语口头传递等。可以判断,此次爆炸针对特定型号寻呼机发送特定信息编码,明显是一次主要针对黎巴嫩真主党的目标人群精准,通过供应链预置和网络攻击实现的定向攻击活动。
多年依赖,以色列与黎巴嫩持续发生军事冲突,就在爆炸发生的几个小时前,以色列安全机构表示,挫败了真主党企图使用可控远程引爆的爆炸装置暗害一名前以色列高级官员的行动。黎巴嫩记者、《大西洋月刊》特约撰稿人金·加塔斯17日在接受CNN采访时称,“这显然是以色列针对真主党特工的一次有针对性的袭击”,袭击目的可能有三种:一是显示情报掌控能力,二是进行威慑迫使真主党屈服,三是可能作为对黎发动大规模袭击的前奏,先制造真主党内部混乱。
03 寻呼机爆炸原因猜测
根据现场残骸照片,发生爆炸的寻呼机指向中国台湾金阿波罗企业(Gold Apollo)生产的AP-900 GP、AR-924两款寻呼机产品。但金阿波罗企业18日发布消息称,发生爆炸的寻呼机是由该企业品牌授权的一家欧洲代理商匈牙利BAC·CONSULTING·KFT企业制造的。3年前与这家欧洲代理商建立合作关系。整体上大家倾向即使寻呼机由BAC·CONSULTING·KFT制造,其整个工艺和规格应与金阿波罗企业同构,可以视为代工贴牌产品,在其机理上不应有较大差异。
图 3‑1 寻呼机相关图片
事件相关的寻呼机型号及参数如下表所示: 表3‑1 AP-900 寻呼机参数 产品外观 |
|
产品型号
|
AP-900
|
频率范围
|
UHF 450~470 MHz VHF 135~174 MHz
|
寻呼门限
|
1200bps-7μV/M 2400bps-9μV/M 512bps-5μV/M
|
POCSAG码速率
|
512 / 1200 / 2400bps
|
频道间隔
|
12.5KHz, 25KHz
|
编码格式
|
POCSAG
|
干扰抑制
|
40dB
|
警报音强度
|
87db @ 10 cm
|
电文代码
|
8
|
电池类型与数量
|
AAA碱性电池,随产品包含1块电池
| 尺寸 |
80.7毫米(长)55.4毫米(宽)20毫米(高)
|
重量
|
49.6克
|
表3‑2 AR-924寻呼机参数 产品外观 |
|
产品型号
|
AR-924
|
频率范围
|
UHF: 450~470MHz
|
寻呼门限
| 512bps:-110dBm1200bps:-108dBm2400bps:-106dBm |
POCSAG码速率
|
512/1200/2400bps for POCSAG
|
频道间隔
|
25KHz
|
编码格式
|
POCSAG
|
干扰抑制
|
>40dB
|
警报音强度
|
未知
|
电文代码
|
8, Frame independent
|
电池类型与数量
|
锂电池,最长可使用85天,电池充满电2.5小时,USB-C充电,保护电路模块(PCM)技术
|
尺寸
|
73(长)50(宽)27(高)毫米
| 重量 |
95克(含电池)
|
04 寻呼机工作过程
寻呼机是一种无线通讯设备,主要用于接收短消息或通知。它在发送端和接收端之间通过无线电信号传输信息,广泛应用于需要即时通信的场合,如医疗、服务业、紧急救援等。
寻呼系统由发送端(寻呼中心/基站)、寻呼发射机、控制系统、传输介质、接收端(寻呼机)组成,其工作过程如下图所示。
图 4‑1 寻呼系统工作原理图
寻呼系统工作时,用户首先通过寻呼机向控制站发送消息,并指定目标寻呼机的号码或地址,控制站对发送信息进行调制、编码后通过基站发送。寻呼机收到基站信号后,对信号进行解调、解码,判断自身号码或地址是否与消息中的一致,若一致,则向用户发出提示并显示消息内容。
05 爆炸物分析
本事件的初始报道中,不少描述为以色列通过网络攻击入侵寻呼机,通过让电池升温方式导致爆炸。根据后续综合信息分析和技术分析,明显可以认为相关报道不符合实际情况。
5.1 电池能量分析
以AP-900 GP使用的AAA碱性电池为例,可以计算其储存的总能量。
容量:AAA碱性电池的典型容量约为1000毫安时(mAh) 电压:标称电压为1.5伏特(V)
电池储存的总能量可以通过以下公式计算:能量(瓦特时)=电压(伏特)×容量(安时),将容量从毫安时转换为安时:1000 mAh=1 Ah,计算总能量:能量=1.5 V×1 Ah=1.5瓦特时(Wh),将能量转换为焦耳(J):1瓦特时等于3600焦耳,能量(焦耳)=1.5 Wh×3600 J/Wh=5400 J。电池的总能量储存约为5400焦耳。
然而,爆炸物的威力不在于总能量,而在于能量的释放速率,1kg TNT爆炸放出的总能量,不及1kg优质煤完全燃烧放出的总能量,但TNT等炸药能在数百万分之一秒的时间内释放出所有爆炸能量,这是爆炸物有着巨大破坏力等根本来源。无论是碱性电池或锂电池,都不具备瞬间释放的机理条件。因此从现场伤亡的情况看,电池短路即使引起起火,释放能量的速率也远不足以造成这样程度的杀伤威力。完全可以肯定爆炸是由高爆物产生的。
5.2 爆炸装药型号信息与猜测
从能量释放速率角度分析,明显均不可能达到目前已有信息中的视频、文字信息中的爆炸后果。目前技术专家已经普遍认为,根据强度和速度判断爆炸显然是由一种爆炸物引起的。从具体火炸药类型看,必然不是黑火药、烟火剂等一般爆炸物,只能是猛炸药。而事件中的猛炸药要稳定(寻呼机运输装卸过程中必然要稳定),又要容易起爆,在体积小的同时威力还要足够,雷酸银(雷银)等高感度起爆药,以及一般民间自制的TATP等不稳定过氧化物均不太可能,TNT等需要较多量起爆药才能起爆的不易起爆芳香族硝基化合物可能性也不大,相对容易起爆,威力(猛度)又大的PETN(季戊四醇四硝酸酯,戊四硝酯,又称太安,猛度高于TNT)等硝酸酯类炸药可能性比较大。整体来看,寻呼机本身在事件中所起到的是遥控触发器加爆炸物承载容器的作用。目前网络信息多半推断为PETN(季戊四醇四硝酸酯),关于爆炸装药在电池内部还是在寻呼机内部,目前信息尚不足以支撑判断,分析小组整体倾向爆炸装药在电池内部,这亦可说明出现目前未确定信源反馈的其他电子设备爆炸情况,是由于将带有爆炸物的电池装入其他电器的后果,但其他信息则目前难以判断。
06 寻呼机触发爆炸原理分析
从目前已发生爆炸的两款寻呼机型号分别为,Gold Apollo企业型号为AP-900 GP、AR-924的两款寻呼机产品,据BBC报道及一些资讯报道显示,爆炸是在寻呼机使用者在收到一串“字母数字”短信后发生爆炸,为此可推断,该设备在供应链环节被植入“爆炸物”,并对寻呼机触发机制进行了重新编码或植入引爆用传感器。对于第一种推断,大家推测该设备需要在供应链中进行两个步骤的操作,第一个步骤为对寻呼机设备进行编程配置,用户设备触发。第二个步骤为在寻呼机设备中预置爆炸物结合装置电路,改造引爆条件电路。对于第二种推断,该设备需要在供应链中预置爆炸物与写有引爆逻辑的传感器,并调整电路连接。大家分析了相关产品的资料包括App编程设置信息。绘制了多种路径的触发原理,但避免信息滥用,在公开版分析报告中屏蔽具体触发过程分析和图示等内容,仅在报送主管部门版本中保留了相关信息。
07 供应链预置分析
此次爆炸,外界普遍认为是基于供应链侧的通讯设备预置爆炸物。整体倾向预制过程应为仓储和物流环节,而非生产制造环节。如事件发生后,爱德华·斯诺登在X上发文称(见下图),该事件使他想起曾在2013年曝光大规模监控事件时披露,美国国家安全局(NSA)如何在机场拦截运往目标国家的计算机网络设备,安装植入物,然后重新包装发往目标,以渗透目标网络。斯诺登称,“十年过去了,(在此期间)运输安全从未得到改善”,暗指黎巴嫩寻呼机事件与美以情报机构的供应链预置不无关系。
图7-1 斯诺登张贴图片为NSA人员劫持配送中的路由设备替换固件照片
美国国家安全局(NSA)前情报分析员戴维·肯尼迪称,从网上分享的视频中看到的爆炸似乎“规模太大,不可能是远程直接黑客攻击,导致寻呼机超载并引起锂电池爆炸”,“更有可能的是,以色列在真主党中安插了人员,寻呼机中可能植入了炸药,只有收到特定信息时才会爆炸”。肯尼迪认为,“实现这一目标所需的复杂性令人难以置信,需要许多不同的情报组件和实行。人力情报(HUMINT)是实现这一目标的主要方法,同时拦截供应链以对寻呼机进行修改。”
特别需要关注排查分析的是如果确如金阿波罗企业生命所言,相关寻呼机由欧洲BAC·CONSULTING·KFT代工生产。这其中有令人费解之处,由于中国台湾地区的人力成本较低,而欧洲人力成本较高,寻呼机又是一种落后技术产品,而相关欧洲厂商提出将制造转移到欧洲本土,是不太寻常的事情,这是否实际是情报机构前置布局,仍需要深度观察。
08 结论
基于电信设备进行遥控爆炸暗害,并非罕见事件。国内外多起治安案件、以及国际大量恐怖主义案件中,都曾有寻呼机或手机出现,但本事件鲜明的差异为。
本事件寻呼机同时具有触发器和爆炸容器双重属性;历史事件多数以寻呼机作为触发器,但并不作为爆炸物容器。 本事件寻呼机有可能实现了基于特定信号触发,以实现统一触发;多数事件由寻呼机收到信号及触发,而非需要特定信号触发。 本事件是对精确群体的批量定向攻击;而历史事件或者为针对个体目标的定向攻击,或者针对群体目标的无差别攻击。
综上所有分析,大家研判该事件整体上是这是一起基于供应链侧作业,将爆炸物和通讯设备相结合,利用远程信号激活控制机理,实现批量触发爆炸的严重地缘安全事件,是组合了供应链预置、电磁频谱攻击、情报搜集、人力作业等在内复杂杀伤链过程,是精心策划的跨越物理域、网空和信号频谱域与认知域的联合作业。从作业过程来看,网络攻击作业在其中可能扮演了持续情报采集作用,如获取相关物流信息、摸排目标组织运行规律等,包括最终触发信号如果不是由电子战设备所释放,则也不排除其寻呼台设备遭遇网络入侵的情况。但整体来看,本事件的主导因素依然是物理、传统电磁频谱和人力作业。不应过度夸大网络攻击在其中的作用,而应基于客观严谨的分析,深入总结事件的规律性因素,包括:
- 网络装备的主导性在平时,物理装备的主导性在战时,依然是目前的基础战争逻辑。
- 对于低网络依赖的主体很难依赖网络作业达成关键效果,但集合物理、电磁、和认知频谱可能形成压倒性效能。
- 试图通过逆信息化的方式来实现自身安全可能将带来更大的安全被动。
面对这种复合作业方式,让大家必须走出窄带网络安全视角,从总体国家安全视角,以大网络安全看待未来的斗争与挑战。强化人防、物防、技防结合,将安全要素贯穿全生命周期中。
中东烽火,更让大家看到国家强大方能安宁。
|