文│ 中国现代国际关系研究院博士研究生 杨溪;中国现代国际关系研究院研究员 李伟

恐怖主义对网络的利用,使国际社会认识到网络恐怖主义所带来的新威胁。网络空间的低准入、低代价、匿名性和脆弱性等特点大大缩小了行为体之间的能力差异,意味着较小的行为体可以在网络空间施展更多的软实力和硬实力,这也为恐怖组织提供了可乘之机。网络能力成为衡量恐怖组织威胁的指标之一。对主要恐怖组织的网络能力进行分析,梳理国际社会防范和打击恐怖组织网络能力的经验做法,可以为网络反恐工作提供参考。

一、恐怖组织网络能力的内涵及表现

与国家政府和跨国企业相比,恐怖组织所拥有的网络资源并不足以构成系统、庞大的网络实力,但是依然具备利用网络手段和信息资源,实现其政治、意识形态目标的能力。美国和平研究所报告《当代恐怖主义如何使用互联网》(How ModernTerrorism Uses the Internet)指出,当前恐怖组织利用互联网的方式主要有八种,包括心理战、舆论战、数据挖掘、网络融资、招募和动员、信息共享、规划和协调现实攻击、群体网络,其中最突出的是煽动民意、招募人员、激进分子培训、网络融资、恐怖行动和网络攻击。本文将恐怖组织的网络能力定义为:以实现组织的网络安全为目标,以组织所占有的网络资源为基础,与国际社会和国家行为体之间进行网络互动的能力。这种能力主要表现在以下三个方面。

一是谋求生存的网络能力。网络的全球性和匿名性,为恐怖组织逃避国际社会打击、谋求生存创造了条件,主要表现在:使用加密通信招募恐怖分子、策划恐怖活动,增加通联的隐蔽性,维系组织活动能力;采取网络安全策略,维系恐怖组织在网络空间的生存和活动能力;利用数字金融筹集资金,开辟恐怖融资新的渠道,维系组织生存能力。

二是运用网络宣传的软实力。恐怖组织不断通过传播极端意识形态和暴力行径,制造社会恐慌,从而招募更多恐怖分子加入“圣战”。此前,恐怖分子的激进化、暴力化都是通过“精神导师”直接接触,或者在恐怖分子集中的地区进行实地“培训”实现的。网络改变了恐怖组织的宣传和活动方式,线上宣传、培训、发展也成为恐怖组织最为常用的手段,主要表现为利用社交媒体等平台在全球传播暴力极端主义行为、思想和施暴方法,制造社会恐慌,并招募潜在的暴力极端分子。“独狼式”恐怖袭击频发,进一步印证了这种成本低廉的宣传模式的现实效果。

三是开展网络攻击的硬实力。政府在网络空间拥有资源的绝对优势,但国家运转高度依赖复杂系统,带来了不对称的脆弱性。国际社会一直担忧恐怖组织运用分布式拒绝服务攻击、插入恶意软件等方法,对网络空间和网络基础设施开展攻击,从而干扰工业和公共事业使用的计算机系统正常运作。目前来看,恐怖组织开展网络攻击的能力是有限的,但恐怖组织意图发展网络攻击能力的意愿十分明显。已有证据表明,“基地”等恐怖组织已经知晓如何运用网络攻击工具,并且招募部分具有信息技术、网络安全学科背景的人员,提高进行网络攻击的能力。

二、部分恐怖组织网络能力现状及特点

20 世纪 90 年代后期开始,陆续有恐怖组织利用网站宣传和募集资金。2000 年至 2005 年,极端主义网站和论坛数量成倍增加。已故“基地”组织阿拉伯半岛分支头目安瓦尔·奥拉基被认为是“网络圣战”的“鼻祖”,又被称为“互联网的本·拉登”。他最早提出,建立专门的网站传播所谓的“圣战”活动和“圣战文学”文章,敦促追随者成为“互联网圣战者”。可以说,“网络圣战”是恐怖组织的“虚拟全球化”,全球各地恐怖分子为了所谓的“数字化的乌玛”(Digital Ummah 或 VirtualUmmah),在网络空间激化和联结,给恐怖组织的宣传、招募和培训方式带来了彻底转变。英国社会凝聚力研究中心(Centre for Social Cohesion)的报告《虚拟哈里发:伊斯兰极端分子及其网站》(VirtualCaliphate:Islamic Extremists and Their Websites)指出,网络对恐怖组织成员来说,既是线上的“圣战图书馆”,也是传教平台,更是激进分子集合交流的平台。2000 年,全球仅有 20 个宣扬圣战的网站。五年之后,这一数字上升到 4800 个。如今,恐怖分子所使用的社交网络账号数量呈指数级增长,恐怖组织的网络能力,特别是网络宣传能力较之前也有了明显的提高。“基地”组织(Al Qaeda)、“伊斯兰国”(ISIS)组织作为恐怖组织代表,其网络能力发展具有一定代表性。此外,以白人至上为代表的极右翼恐怖主义、无政府恐怖主义、新纳粹恐怖主义也都不同程度发展了网络能力。

(一)“基地”组织的网络能力

“基地”组织是较早运用网络的恐怖组织之一。2004 年,“基地”组织三号头目扎卡维在网络上公布了斩首美国人质的血腥影像,网络开始成为“基地”组织“圣战宣传”的重要工具。2005 年,“基地”组织头目扎瓦希里公开表示,媒体是战场的一部分,公开鼓动“网络圣战”,将其作为每个穆斯林的“神圣职责”,呼吁其追随者入侵西方网站。2009 年 1 月,安瓦尔·奥拉基在网站上发布了“44种支持圣战的方法”,称“圣战是每个有能力的穆斯林必须做的事情”,其中包括“网络圣战”(InternetMujahideen)。网络通联、网络宣传、网络攻击共同构成了基地组织网络活动最常见的方式。随着互联网金融行业的发展,利用网络融资,也成为基地组织增加资金来源的方式之一。

一是利用网络策划恐怖袭击活动与筹集资金的能力。“9·11”事件之后,各国加强了对“基地”组织在当地传教网络的打击,“基地”组织在现实空间的活动陷入低潮,行动和沟通多转入地下。互联网成为“基地”组织跨国圣战者后勤活动的主要平台。有资料显示,“基地”组织成员在个人和基层组织层面,利用互联网通信策划和控制具体的恐怖袭击。2015 年 1 月,在巴黎发起恐怖袭击的恐怖分子就是通过网络,听从“基地”组织头目的行动指示。网络成为“基地”组织指挥全球恐怖分子的重要渠道。同时,国际社会对“基地”组织资产的打击行动,促使其转向其他途径获取、传递资金,网络融资的便捷性和匿名性吸引了“基地”组织的关注,但这并不是其获取资金的主要来源。“基地”组织赞助的网站不断向同情者出售宣传作品、录音带、视频、CD 等材料,以获取资金。2018年,美国《国家恐怖融资风险评估报告》(NationalTerrorist Financing Risk Assessment)显示,“基地”组织阿拉伯半岛分支等组织利用比特币等虚拟货币募集资金、转移资产或者消费。2020 年 1 月,联合国安理会 1267 委员会在文号为 S/2020/5 的向安理会主席致信中提到,“基地”组织叙利亚分支使用Telegram 和 WhatsApp 募集资金。

二是利用宣传刊物建立网络软实力。网络对招募圣战分子起到了催化作用。早期,“基地”组织主要利用网站发布资料,宣扬极端思想和所谓的“圣战文学”,煽动暴力,并成立“全球伊斯兰媒体阵线”(Global Islamic Media Front)等机构,负责制作宣传素材。2010 年,安瓦尔·奥拉基创建并发布了首份英文版网络刊物《激励》(Inspire),由“基地”组织阿拉伯半岛分支负责运营,向全球输出“圣战”思想和暴恐技能。《激励》不仅宣扬“基地”组织的意识形态和活动信息,甚至开辟了专栏“开源圣战”,非常详细地介绍武器处理、炸弹制造的各种技能,对英国、法国、美国城市特定目标开展炸弹袭击进行详细指导,为网络空间潜在的武装分子提供了极端思想依据、武器制造、操作指南和规避安全风险的系列培训。2015 年 4 月,在波士顿马拉松比赛中的袭击者,就是通过《激励》学习并制造了两枚炸弹,最终造成 3 人死亡、300 人受伤的惨剧。

三是发动网络攻击的硬实力。“9·11 事件”发生后,陆续有支持“基地”组织的团队对网站发动攻击,例如“基地”组织网络联盟(Al QaedaAlliance Online)、“基地”组织电子分支(AlQaeda Electronic)等,但是目前来看,其攻击的能力有限。“基地”组织网络联盟前身是巴基斯坦网络组织 G 力量(GForce Pakistan),是在其入侵美国国家海洋和大气管理局一台网络服务器后,在网站宣布对本·拉登效忠而成立的。“基地”组织电子分支开始出现在 2013 年被黑的网站和社交媒体上,2015 年 1 月正式发布视频宣布成立,号称将从事“网络战”。“基地”组织电子分支侧重于分布式拒绝服务(DDoS)攻击和窃取数据,攻击手法主要依赖漏洞扫描器寻找渗透点。此外,还有部分黑客个人宣誓对“基地”组织效忠,例如尤尼·特苏利斯开发了多个网络论坛,支持“基地”组织隐蔽的宣传活动。虽然目前“基地”组织的网络攻击能力并未表现出突出的威胁,但有诸多迹象表明,“基地”组织具有明确地对基础设施发动网络攻击的意向。美国和平研究所《网络上的恐怖主义:问题与答案》(Terror on the Internet:Questions andAnswers)报告指出,2004 年,“基地”组织的“网络专家”被抓获时,电脑里装满了美国建筑物的照片和图纸。“基地”组织头目本·拉登被击毙后,美国在其电脑硬盘数据中发现,“基地”组织对美国铁路交会点、大型天然气储藏库、互联网主干光纤等关键基础设施所处位置信息开展了网络侦察,收集了美国电力和水力公司常使用的监控与数据采集系统(SCADA)的编程信息和漏洞。2012 年,“基地”组织发布视频煽动支持者攻击美国的网络基础设施。2019 年 9 月 11 日起,“基地”组织发行了多期英文杂志《一个乌玛》(One Ummah),敦促追随者“为现代战争做准备”。“基地”组织称,“美西方对互联网的依赖,特别是互联网、金融和安全系统的整合是一个弱点,必须无情地加以利用”。同时,“基地”组织借此刊物招募具有金融、信息技术、软件工程师背景的黑客加入“圣战”,鼓励黑客对金融部门和航空、应急和水利等系统的网络进行渗透,意图提高网络攻击能力,威胁不容忽视。

(二)“伊斯兰国”组织的网络能力

在 2014 年成立时,“伊斯兰国”组织就提出了“网络哈里发”(Cyber Caliphate)构想,吸引多个亲“伊斯兰国”组织的黑客组织加入。2016 年,集合“网络哈里发”“黑客技术部门”“伊斯兰网络军”和“哈里发军之子”等,形成“联合网络哈里发”(United Cyber Caliphate)。与“基地”组织不同,“伊斯兰国”组织采用了一种更具进攻性的网络战略,通过制作精良的资料进行高调宣传,广泛吸纳潜在对象。在 2014 年宣布“建国”后,“伊斯兰国”组织通过社交媒体的宣传动员,在当年就怂恿了 12000 名圣战者前往叙利亚参战,其中 2500人来自欧盟、美国、加拿大、新西兰等西方国家。

一是利用网络维系组织生存活动。网络为“伊斯兰国”征募和发展带来的放大效应,促使“伊斯兰国”十分关注在网络空间活动的安全性。在各国加强网络监管和打压态势之下,如何维系组织的网络安全成为“伊斯兰国”组织最为关注的议题。“伊斯兰国”组织从 2015 年起陆续创建了《网络开放式安全平台指南》(ISIS OPSEC Manual)、《网络安全资讯》(Cyber Security News Bulletin)、《支持者的安全》(The Supporter”s Security)等刊物,并不定期更新,有时甚至在一个月内更新两次,为组织成员“安全用网”、维系网络生存空间提供建议。“伊斯兰国”组织成员持续对开放式安全平台(OPSEC)的最新进展跟踪关注,通常会利用Telegram 等社交媒体平台发布网络安全培训文件。面对推特、Telegram 等主流社交媒体大量删除“伊斯兰国”组织账号的情况,一方面,“伊斯兰国”组织发动网络力量申请注册社交媒体、邮箱、VPN账号,并向支持者分发。长期追踪恐怖组织网络活动的“国际恐怖实体追踪”机构(SITE Institute)动态信息显示,仅 2020 年 4 月至 8 月,“伊斯兰国”组织就分发了超过 7790 个社交媒体账号。同时,“伊斯兰国”组织支持者还在优兔发布视频,指导成员如何运用技术手段和身份欺骗恢复账号。另一方面,“伊斯兰国”组织及其支持者也不断挖掘可以替 代 Telegram 的 新 平 台, 如 Hoop、WhatsApp、Gajim、Threema 等,并对其安全性进行详细考察,还通过发布安全威胁报告的形式指导成员使用。

二是扩展网络软实力。“伊斯兰国”组织使用类似营销的手段对外输出极端意识形态,利用多层面、多平台进行宣传,对象直接瞄准个人,增强信息传递的范围和针对性。“伊斯兰国”组织拥有多语种的官方网站,在推特、脸书等社交媒体平台拥有大量账号,不定期发布年度报告,展示其极端意识形态、暴力活动和“统治”成果。同时,“伊斯兰国”组织在宣传素材的制作方面也投入大量精力,制作精良的宣传品进一步扩大了在线宣传效果。乔治华盛顿大学极端主义研究项目(Programon Extremism at George Washington University)发现,在“伊斯兰国”组织活动猖獗时期,其宣传人员能够在 30 天内创建并传播 1146 个独立的宣传产品,用六种语言同时出版了摄影、录像、音频、广播公报、文学综述、杂志、海报、小册子、宗教文章等素材。“伊斯兰国”组织的媒体中心运用专业摄像机和无人机拍摄,每周发布和更新纯军事主题宣传材料,将展示其“实力”和暴力的视频与在其控制区内所谓的“和平、幸福和繁荣”进行对比,制作具有一定的专业性。其刊物《达比克》(Dabiq)甚至曾在多国亚马逊网站上销售。“伊斯兰国”组织的宣传方式和产品在网络中博取了大量关注。美国智库布鲁金斯学会(Brookings)报告《“伊斯兰国”组织推特统计》(The ISIS Twitter Census)指出,仅在 2015年 9 月,就有 46000 个到 70000 个推特账户与“伊斯兰国”组织有关,其中一个推特账号的关注者甚至超过 9 万人。2020 年 9 月,亲“伊斯兰国”组织的团体通过社交媒体发布视频,教授如何制作炸弹。美国多名被煽动的极端分子自称受到了“伊斯兰国”组织制作精良的宣传片的激化,不仅主动为其视频编制脚本,还发誓要“在白宫升起圣战黑旗”。此外,“伊斯兰国”还经常利用网络电子游戏、自制应用软件来传播极端思想。例如,对射击类或者博弈类网络游戏进行改编,加入“伊斯兰国”组织模式和所谓的“圣战”精神、“圣战者的日常”等内容模块,加大对青年群体的吸引力。“伊斯兰国”组织还推出自制的安卓应用程序,自动推送与“伊斯兰国”组织有关的消息,在谷歌商店申请这一应用的用户数最高达到每天 4 万人次。

三是发展网络硬实力。“伊斯兰国”组织发动网络攻击主要是通过“联合网络哈里发”实施的,主要目标是政府官方网站和社交媒体账号。虽然攻击的整体水平不高,但具有较强烈的发展意愿。2015 年 1 月,“联合网络哈里发”对美国中央司令部推特页面发起攻击。2018 年,“联合网络哈里发”发表声明,称发动 DDoS 攻击入侵了印度尼西亚、韩国、泰国和菲律宾的 213 个网站。2016 年时,全球风险情报分析公司闪点(Flashpoint)在报告《“伊斯兰国”组织的黑客攻击:新兴的网络威胁格局》(Hacking for ISIS:The Emergent CyberThreat Landscape)中指出,“联合网络哈里发整体技术能力相对较低,尚不具备发动大型网络攻击的能力。“伊斯兰国”组织媒体机构负责人分别在 2019 和 2020 年表示,“黑客攻击是最好的网络圣战方式”,而且“一个黑客抵得上数百次爆炸袭击”。对此,“伊斯兰国”组织不仅号召支持者学习网络技术,还广泛招募网络安全人才。2020 年,“伊斯兰国”组织向其支持者发出号召,呼吁其学习计算机网络技术。2021 年 3 月,“ 伊 斯 兰 国”组织宣传机构负责人招募具有多领域专业技能的“圣战者”,包括黑客技术和编程。

(三)其他恐怖组织的网络能力

“基地”组织和“伊斯兰国”组织的网络能力是恐怖势力的典型代表。除此之外,极右翼恐怖势力、极端民族组织也大肆利用网络的便利性开展宣传、加密通信,甚至进行网络攻击。2019 年,在新西兰克莱斯特彻奇清真寺枪击案中,枪手通过社交媒体脸书直播作案过程,随后视频被分享至推特、优兔、WhatsApp、Instagram 等网络平台,直到新西兰警方通知脸书后才被中断。“杀人直播”突显白人至上恐怖分子对网络的应用,给国际社会带来难以弥合的伤害。伦敦战略对话研究所(Institute forStrategic Dialogue)报告《仇恨的安全空间:白人至上分子在 Telegram 上的动员》(A Safe Space toHate:White Supremacist Mobilisation on Telegram)称,白人至上主义和反政府极端分子利用 Telegram发布大量散播仇恨、鼓吹恐怖主义和大规模枪击的宣传资料,传播通过 3D 打印等方式自制枪支的方法。同时,为了维系组织生存,他们也在不断寻找能够用于安全通讯和资料分发的应用程序。2020 年7 月,极右翼恐怖组织在 Telegram 频道运营 Bot 账号,通过用户的关注、投稿并定期更新将信息分发给潜在的受众。部分无政府主义恐怖分子还拥有网络攻击的能力,分别于 2019 年 12 月入侵了德国贸易联盟网站、2020 年 8 月入侵了瑞典一家安全公司。2021 年 3 月,极右翼恐怖组织推广一键通对讲机类应用 Zello 用于直播。

三、国际社会打击恐怖组织网络能力的主要举措

互联网成为极端意识形态宣传的助推剂,恐怖组织策划、协调、执行恐怖袭击都具有了任意性,增大了执法机构打击恐怖主义的难度。2010 年以来,网络恐怖主义的威胁得到国际社会更多关注,多国政府通过加强立法、深化执法、加强与网络企业合作、动员社会参与等多种方式,对恐怖组织的网络能力予以打击,对遏制网络恐怖主义发展起到一定作用。然而,在面对网络恐怖主义问题时,政府的反制经常面临技术滞后等问题的掣肘,被迫适应新技术发展的速度和恐怖分子灵活的网络宣传策略,消耗大量公共资源。对此,多国执法部门采取集中行动对恐怖组织的网络能力予以打击,这种主动出击的方式成效显著。

(一)打击恐怖组织借网求生的能力

包括 Signal、Telegram 等端到端加密程序的推出,受到恐怖组织的欢迎,为恐怖分子在网络空间活动提供了“避难所”。他们借助网络进行加密通联,幕后煽动、操纵暴恐事件,给各国执法和网络反恐工作带来了新的挑战。目前,国际社会从几个方面尝试应对。

一是推动政府设立相关法规,以国家强制力的形式要求网络服务提供商为执法部门进行解密授权。任何针对恐怖分子通信的立法解决方案都会影响数亿使用该技术的普通民众,因此这一方法在多国遇到阻碍。美国时任总统奥巴马在 2015 年完成了对加密政策的内部审查,最终选择不寻求立法。巴黎袭击事件发生后,法国于当年 7 月通过了《情报法》(Law on Intelligence),允许法国情报机构使用新型的情报技术,可以对电子通信进行安全拦截,并获取元数据。2016 年,英国《调查权力法案》(Investigatory Powers Act)规定,政府在签发截获通信的许可或关于通信数据的授权后,可以提前送达“技术能力通知”,以确保以“可理解的形式”接收信息,要求企业向政府提供“技术上可行”的援助。

二是运用黑客技术获取端到端加密数据。政府机构授权“合法黑客”,渗透到恐怖分子使用的网络设备和服务器中,通过安装软件等方式获取端到端加密通信数据。但是,“合法黑客”攻击并不是万能的,只有当用户仍然在使用该服务并且下载监视软件时才能实现。“合法黑客”为了进行攻击而囤积软件漏洞,对整个网络的安全性都造成了威胁,只能够在少数案件中加以使用。

三是在现场执法过程中设法获取加密证据。对计划抓捕的涉恐犯罪嫌疑人,执法机构可以在抓捕过程中分散被捕者注意力,使其无法在警方扣押设备之前锁定,或者强迫嫌疑人利用面部或者指纹解锁手机设备,从而获取设备中的信息。此外,还可以通过获取云备份的方式绕过加密设备解锁,以这些方式获取的数据可以得到法院判决支持。

四是动员网络应用提供商进行行业自律,自主抵制平台的恐怖主义内容。Telegram 作为被恐怖组织大量使用的通信应用,在社会舆论和政府执法压力下,自发对平台的涉恐信息和通信进行处置。在2015 年的巴黎恐怖袭击之后,Telegram 开始采用敏感词监督的模式过滤平台的涉恐内容,关闭了数百个频道。2018 年,Telegram 再度更新了隐私政策,称必要时会将用户资料提交给政府。2020 年 6 月,“伊斯兰国”组织媒体机构呼吁支持者对网络删除行动保持“坚定”,并宣布由于大量 Telegram 账号被删,将宣传活动转移到加拿大公司运营的 HoopMessenger 应用程序上,利用 Vault 加密程序保护存储聊天、文件、图片等内容。

此外,国际社会加强了对恐怖组织利用虚拟货币、社交媒体、公益众筹等信息技术进行融资的打击力度。一方面,政府执法机构大力查处、打击特定组织融资能力。2020 年 8 月,美国国土安全部、财政部和司法部联合开展了“有史以来最大规模”的执法行动,查获了“基地”组织和“伊斯兰国”组织等美国政府认定的恐怖组织利用网络募集到的数百万美元资金,以及与犯罪企业有关的 300 多个加密货币账户、3 个网站和 4 个脸书页面。“基地”组织及其附属组织在 Telegram 和其他社交媒体平台,利用慈善机构的名义构建一个比特币洗钱网络,公开为暴恐袭击募集资金。与“伊斯兰国”组织有关的网站公开销售假的个人防护装备筹集资金,也同时被查封。另一方面,多国政府也针对社交媒体平台的金融服务提出更严格的监管举措,要求其高度认识打击恐怖组织利用网络融资的重要性,对政府提供的、可实际操作的指定实体进行严格控制。例如,2019 年,欧盟金融行动特别工作组将网络金融服务提供商纳入有义务遵守金融机构报告制度的实体,要求其必须按照规定对客户履行审查程序,建立身份识别和验证机制。然而,全球数字金融行业的认识不足、监管框架不均衡,为应对恐怖分子网上融资带来了诸多挑战。虚拟交易的跨国性使部分监管机构缺乏管辖权,尽管发现有人企图资助恐怖主义,却无法停止交易或者冻结资产。虽然国际社会合力打击恐怖组织的资金渠道已历时多年,而且网络融资并不是恐怖组织主要的资金来源,但跨境网络融资依然需要国际社会进一步完善协作机制,防范网络融资成为维系恐怖主义生存能力的新渠道。

(二)打击恐怖组织在线宣传招募能力

面对恐怖组织大肆利用社交媒体工具宣传极端思想的行径,国际社会主要采取两种方法予以应对:一是以打击网络暴力极端主义和恐怖主义内容为基础,在国际社会合作下,采取立法、过滤和删除网络极端内容等方式,破坏暴力极端和恐怖主义宣传的可用性和可及性;二是政府通过自身以及所支持的民间组织进行线上线下的战略宣传和舆论塑造,展示另一种视角的故事和叙事,进而削弱暴力极端主义和恐怖主义宣传的吸引力。打击网络恐怖主义内容是目前国际社会最常用的反恐措施,主要是指通过政府的立法、执法和网络服务提供商的行业自律在网络恐怖主义内容的发现、过滤、删除等方面进行管控,拔除恐怖组织在网络空间的“据点”。

从政府层面看,多国相继出台了社交媒体管控和网络数据共享的相关法案,为政府对网络涉恐内容监管提供法理依据,例如,美国出台的《2015 年美国国土安全部社交媒体改进法案》(DHS SocialMedia Improvement Act of 2015)、《2018 年网络安全和基础设施安全代理法案》(Cybersecurityand Infrastructure Security Agency Act of 2018)、2017 年欧洲议会和欧盟理事会通过的关于打击恐怖主义的指令(Directive 2017/541)、2018 年德国出台的《改善社交媒体执法法案》(Act to ImproveEnforcement of the Law in Social Networks)、2019年欧洲议会通过的《关于解决在线传播恐怖主义内容的规则》(Tackling the dissemination of terroristcontent online)以及正在讨论的《欧洲议会和理事会关于防止在网上传播恐怖主义内容的条例》(Regulation of the European Parliament And of theCouncil on Preventing the Dissemination of TerroristContent Online)等。在这些法案的支持下,美国国土安全部下设的科学技术局、欧洲刑警组织的欧洲反恐中心、英国内政部安全和反恐办公室、澳大利亚国防科技小组、加拿大社会参与和预防暴力中心等多个机构,也加强执行打击网络恐怖主义任务。他们利用监测工具和人工审核相结合的方式,对网络内容进行定期监测,并将敏感内容提交网络公司删除。2019 年 11 月,在欧洲转送小组(InternetReferral Units)协调下,12 个欧洲刑警组织成员国相关机构和 9 家网络服务商联手对“伊斯兰国”组织的网络媒体进行打击,清理 2.6 万余项相关内容。然而,由于网络数据体量庞大,仅仅依靠执法机构的监管资源难以及时、准确、高效地对涉恐信息进行处理,需要进一步动员全社会的力量。

在企业层面,国际大型互联网服务提供商充分发挥行业自律精神和技术优势,投入大量人才和资金清除平台的涉恐内容。2017 年 6 月,美国脸书、微软、推特和优兔四家公司宣布成立全球网络反恐论坛(Global Internet Forum to CounterTerrorism),共同抵制恐怖分子利用网络平台宣传暴力极端主义和恐怖主义,恶意美化现实中的暴恐行为。如今,该论坛的成员公司数量已经发展到 13家。全球网络反恐论坛对极端分子发布的违禁内容建立“数字指纹”,帮助不同的公司快速有效地识别这些内容,并将其从平台上删除或第一时间阻止发布,从而切断涉恐内容的传播渠道。新西兰克莱斯特彻奇恐怖袭击事件后,2019 年 5 月,全球网络反恐论坛建立突发事件的联合响应机制,在事件发生后快速有效分享相关信息,由所有成员公司同时采取行动。同时,全球网络反恐论坛还通过联合国下属机构为小型网络公司举办处理恐怖主义内容的培训,避免小众网络平台成为恐怖分子规避监管的藏身地。优兔公司统计称,2019 年一季度,公司利用标记程序处理的视频共计 140 万个,远超过政府提供标记的数百倍。全社会的合力打击有力地遏制了网络恐怖主义的传播空间,进一步净化了网络环境。网络技术日新月异的发展却让网络反恐长期处于被牵着走的窘境,消耗了大量政府资源。

提高网络上暴力极端信息的获取难度,可能会减少被招募者的人数,但只要这些信息持续传播并产生共鸣,仍然会成为国际社会的威胁。因此,各国将战略宣传作为网络反恐的重要手段,与网络用户建立强大的互信关系,力图消灭网络恐怖主义的受众基础。2011 年,美国务院成立战略反恐通信中心(Center for Strategic CounterterrorismCommunications),并在 2016 年整合成立“全球参与中心”(Global Engagement Center),在社交媒体迎战“基地”组织、“伊斯兰国”组织及其同情支持者。美国国防部也开展过类似的网络作战计划,希望通过揭露“伊斯兰国”组织的暴行和虚假宣传,降低其支持率。但是,这些举措在实践中举步维艰,最主要的原因是从事战略宣传的人员在语言、思想、文化、传统、历史和伊斯兰教方面的了解不足,对“伊斯兰国”组织的线上招募潜在用户不具备吸引力,甚至产生负面效果。

(三)全面打击恐怖组织网络能力

网络空间被恐怖组织认为是另一个战场,他们将网络本身变为武器,妄图将线上的活动转化为实际的胜利。对此,美国、英国、澳大利亚等国政府发动网军力量对恐怖组织的网络能力展开攻击,极大地削弱了他们的网络攻击、宣传和招募的能力。其中,以 2016年美国针对“伊斯兰国”组织发起的“光辉交响乐”(Operation Glowing Symphony)行动、英国“进入灰色空间”(Into the Grey Zone)行动最为引人关注。

部分解密资料显示,“光辉交响乐”行动是由美国网络司令部(USCYBERCOM)统筹指挥,美国司法部、联邦调查局、中央情报局、国家安全局等机构协同合作,由以色列、荷兰、五眼联盟国家配合完成的。“光辉交响乐”行动的目标是为了支持对“伊斯兰国”组织的地面行动,破坏“伊斯兰国”组织策划和实施针对美国及其盟友的恐怖袭击能力,打击“伊斯兰国”组织利用社交媒体煽动“独狼式”恐怖袭击、散布极端意识形态和发布个人敏感信息。此次行动前,美军主要做了三方面准备,包括网络情报和监控侦查体系、网络运营环境(包括无人机空中组网、区域网关等)、进攻性网络空间作战准备。同时,网络司令部指示专门机构负责研发并使用恶意软件和其他网络工具,破坏和摧毁“伊斯兰国”组织成员使用的网络、计算机和移动电话。在行动中,将“伊斯兰国”组织的网络媒体机构根据制作、分发、传播、维护网络宣传材料的职能分为四个部分,有针对性地开展攻击。对于不同的打击目标,协调伙伴国家共同协作。据美军网络司令部行动评估,认为行动完成了既定目标,并且网络司令部与其他机构之间的沟通协调机制也得到了完善。乔治华盛顿大学追踪恐怖分子网络活动的研究人员的文章《数字衰变》(Digital Decay)指出,2016 年 2 月至 2017 年 4 月,“伊斯兰国”组织活动量呈下降趋势且没有回升,侧面印证了“光辉交响乐”行动成效。

在 2016 年至 2017 年间,英国情报机构政府通讯总部和英国战略司令部联合开展了针对“伊斯兰国”组织网上宣传、指挥、控制能力的“进入灰色空间”行动。“进入灰色空间”行动的目标是破坏“伊斯兰国”组织的意识形态,削弱其战场上战斗人员的秘密行动、联络网络,将“伊斯兰国”组织对网络的依赖变为弱点,破坏他们在信息战争中的可信度。2021 年 1 月,英国战略司令部司令帕特里克·桑德斯和英国情报机构政府通讯总部负责人杰里米·弗莱明,对行动的部分细节和主要做法进行了披露,包括此次行动的主要做法。一是中断、破坏“伊斯兰国”组织战斗人员在战场上的通信系统,阻挠其协同攻击的能力,通过欺骗和误导使他们不相信上级下达的命令,降低攻击的效率和团队凝聚力,挫伤士气。二是采取新技术破坏“伊斯兰国”组织的无人机技术,并试图远程入侵“伊斯兰国”组织服务器获取情报,切断极端主义思想传播渠道。2020 年底,英国首相约翰逊正式宣布成立一支由军方和情报机构联合管理的“网络部队”,对英国网络防御力量进行整合,共同应对网络领域的敌人。

美、英等国对“伊斯兰国”组织的网络打击展现了可行的两种渠道,一是配合地面行动,打击恐怖组织协同作战能力。美、英通过提前部署当地网络运营环境,对远在伊拉克、叙利亚的恐怖组织开展网络攻击,准确掌握恐怖组织的网络活动习惯,备好网络攻击工具,在战场上将敌方网络能力变为战斗劣势,配合地面部队协同作战。二是对恐怖组织在全球网络宣传,执法机构需要与网络服务提供商进行合作,集中打击一批恐怖组织的网络资源,降低网络能力恢复速度。

此外,2019 年 11 月 25 日,欧洲刑警组织和比利时司法机构与 9 个网络服务提供商合作,在应用程序开发人员的帮助下,一起对“伊斯兰国”组织的网络宣传活动实施网络攻击。行动成功冻结了“伊斯兰国”组织经营的大量账户和网站,共有约 2.6万个网上项目被下线,其中包含大量网上通信渠道账号。

四、结语

恐怖组织的网络能力,是用以维系恐怖组织在网络和现实空间生存的基本能力,是用于宣传极端意识形态,蛊惑民众,煽动暴力的软实力,也是恐怖组织以网络实施暴力行为,制造恐慌、胁迫国家的硬实力。虽然“基地”组织、“伊斯兰国”组织等恐怖组织目前的网络能力主要集中于宣传能力,但仍然有强烈的发展网络攻击能力的意愿。网络反恐不仅需要国家与国家之间、政府与网络服务提供商之间的通力合作,更需要全社会的广泛参与。全民反恐是消灭恐怖主义的重要社会基础。社交媒体和加密通信网络只是恐怖分子传播思想的渠道,思想最终会引发共鸣还是排斥,是决定受众是否会受到极端思想影响的关键。因此,网络反恐的根本还是去极端化。没有了受众,恐怖组织的网络宣传和招募都将形同虚设。标本兼治才是消灭网络恐怖主义和极端思想的根本之道。

(本文刊登于《中国信息安全》杂志2021年第4期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。