◎安天研究院
上一期中,我們關(guān)注了美國(guó)網(wǎng)絡(luò)空間進(jìn)攻性能力的支撐體系,對(duì)以“湍流”(TURBULENCE)為代表的進(jìn)攻性能力支撐框架進(jìn)行了介紹。在這樣的支撐體系下,美國(guó)得以開展大量的進(jìn)攻性網(wǎng)空行動(dòng),包括網(wǎng)空情報(bào)、網(wǎng)空軍事行動(dòng)和網(wǎng)空積極防御中的反制與反擊行動(dòng)等。
2013年,《華盛頓郵報(bào)》披露了美國(guó)情報(bào)機(jī)構(gòu)進(jìn)行攻擊性網(wǎng)空行動(dòng)的能力。據(jù)稱,單是2011年就進(jìn)行了231起,其中3/4針對(duì)被美列為“頂級(jí)優(yōu)先目標(biāo)”的中、俄、伊朗、朝鮮等。自2008年以來美軍已經(jīng)實(shí)施了多次的進(jìn)攻性網(wǎng)空行動(dòng),如積極防御行動(dòng)“揚(yáng)基鹿彈”(Buckshot Yankee),是對(duì)美國(guó)中央司令部網(wǎng)絡(luò)所遭受一次非常嚴(yán)重病毒感染事件的響應(yīng)行動(dòng);針對(duì)全球手機(jī)監(jiān)聽的“金色極光”(AURORAGOLD)行動(dòng),通過收集關(guān)于全球移動(dòng)通訊運(yùn)營(yíng)商內(nèi)部系統(tǒng)的信息,以找到其漏洞,供NSA隨后的黑客攻擊使用,該計(jì)劃為美國(guó)2011年對(duì)利比亞進(jìn)行軍事干預(yù)提供了利方重要人物的通信信息;針對(duì)ISIS的“發(fā)光交響樂”(Glowing Symphony)行動(dòng),主要目標(biāo)是通過關(guān)閉、篡改ISIS的服務(wù)器來控制ISIS的網(wǎng)絡(luò)宣傳能力;針對(duì)伊朗核設(shè)施的“奧運(yùn)會(huì)”(Olympic Game)行動(dòng),最終通過“震網(wǎng)”(Stuxnet)蠕蟲,成功入侵并破壞伊朗核設(shè)施,嚴(yán)重遲滯了伊朗核計(jì)劃,成為首個(gè)利用惡意代碼對(duì)實(shí)體設(shè)施造成重大不可逆損壞的事件。這些行動(dòng)展現(xiàn)了美國(guó)在情報(bào)作業(yè)、進(jìn)攻行動(dòng)和積極防御的反制與反擊等方面的能力,這些進(jìn)攻性能力不僅來自于完善的后端支撐體系,更來自于其強(qiáng)大的網(wǎng)空攻擊裝備體系。美國(guó)的網(wǎng)空攻擊裝備體系以全平臺(tái)、全功能為發(fā)展目標(biāo),并具有模塊化特點(diǎn),使得其能夠適應(yīng)于各種網(wǎng)絡(luò)環(huán)境下的行動(dòng)作業(yè)要求。
自2009年正式成立網(wǎng)絡(luò)司令部以來,美國(guó)始終致力于發(fā)展一支以全面防御為基礎(chǔ)的進(jìn)攻性網(wǎng)絡(luò)部隊(duì)。在這種思想的引導(dǎo)下,NSA、CIA極其重視網(wǎng)空攻擊裝備的研發(fā)。自2013年“斯諾登”事件開始,以及“維基解密”和黑客組織“影子經(jīng)紀(jì)人”(Shadow Brokers)的不斷曝光,NSA與CIA的網(wǎng)空攻擊裝備體系逐漸浮出水面。
2014年《明鏡》周刊揭秘NSA旗下高級(jí)網(wǎng)絡(luò)技術(shù)部門(ANT),文章披露軟、硬件共48種攻擊裝備資料,能夠?qū)崿F(xiàn)植入、竊取、監(jiān)聽、攔截等多種目的。之后,包括“影子經(jīng)紀(jì)人”在內(nèi)的其他渠道又進(jìn)行了多次披露,總共披露的NSA網(wǎng)空攻擊工具、組件數(shù)量已過百。其中,一個(gè)名為“IRATEMONK”的裝備,該裝備的描述與“方程式”組織(Equation Group)的固件修改能力非常相似,懷疑“IRATEMONK”就是“方程式”所采用的固件修改裝備。此外,還有一系列針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊工具,例如針對(duì)思科、Juniper防火墻名為“BANANAGLEE”的攻擊工具;針對(duì)Juniper(J、M和T系列)路由器分別名為“SCHOOLMONTANA”、“SIERR A MON TANA”、“STUCCOMONTANA”的植入程序,能夠?qū)W(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程控制;針對(duì)華為路由器名為“HEADWATER”的植入程序,也用于對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程控制。
2017年5月12日,全球爆發(fā)大規(guī)模的勒索蠕蟲“魔窟”(WannaCry) 感 染 事件,我國(guó)大量行業(yè)企業(yè)內(nèi)網(wǎng)遭受大規(guī)模感染,包括醫(yī)療、電力、能源、銀行、交通等多個(gè)行業(yè)均受到不同程度的影響?!澳Э摺崩昧嘶?45端口的SMB漏洞MS17-010(永恒之藍(lán)),而2017年 4月14日“影子經(jīng)紀(jì)人”公布的NSA“網(wǎng)絡(luò)軍火”中就包含了該漏洞的“武器級(jí)(漏洞利用過程具有高穩(wěn)定性與高可靠性)”利用程序,這是“魔窟”能夠迅速感染全球大量主機(jī)的重要原因,而“影子經(jīng)紀(jì)人”曝光的“網(wǎng)絡(luò)軍火”系列中還有大量的其他漏洞及其利用工具。
泄露的NSA網(wǎng)絡(luò)軍火裝備與相關(guān)漏洞、系統(tǒng)版本關(guān)系圖
2017年3月7日,“維基解密”曝光了8761份據(jù)稱是CIA網(wǎng)絡(luò)攻擊活動(dòng)的秘密文件。這份數(shù)據(jù)庫的代號(hào)為“7號(hào)軍火庫”(Vault 7),泄露的文件包含7818個(gè)網(wǎng)頁和943份附件。在之后的一段時(shí)間內(nèi),“維基解密”每隔一段時(shí)間就放出一組CIA網(wǎng)絡(luò)攻擊武器相關(guān)文檔。本次泄漏事件據(jù)稱是CIA最大規(guī)模的機(jī)密文檔泄漏事件,涉及到的代碼有數(shù)億行。
“7號(hào)軍火庫”所泄露的文件包含了一個(gè)龐大的攻擊裝備庫,其平臺(tái)面覆蓋非常廣泛,支持的操作系統(tǒng)不僅包 括 了 Windows、Linux( 含 Debian、RHEL、CentOS等發(fā)行版)、OSX、iOS、Android等常見的操作系統(tǒng),還包括了基于POSIX的操作系統(tǒng)如Solaris與FreeBSD等;支持的設(shè)備不僅包括個(gè)人電腦、服務(wù)器、路由器、交換機(jī)等傳統(tǒng)網(wǎng)絡(luò)和終端設(shè)備,也包括智能電視、手機(jī)、平板電腦等智能設(shè)備。裝備功能包括了突破物理隔離、信息獲取、武器定制、遠(yuǎn)程控制、監(jiān)聽、欺騙等可以與CIA人力情報(bào)作業(yè)緊密結(jié)合的攻擊作業(yè)能力,也包括了代碼混淆、痕跡清除、文檔追蹤等作業(yè)支撐與行動(dòng)安全保障能力。
利用全平臺(tái)、全功能的網(wǎng)空攻擊裝備體系,美國(guó)能夠通過物流鏈劫持、運(yùn)營(yíng)商劫持、源代碼污染等實(shí)現(xiàn)戰(zhàn)場(chǎng)預(yù)制;通過大規(guī)模信息采集形成終端、設(shè)備、軟件、用戶身份的信息庫,繪制網(wǎng)絡(luò)地形、尋找關(guān)鍵目標(biāo);通過移動(dòng)介質(zhì)擺渡攻擊、物流鏈劫持、近場(chǎng)作業(yè)等方式突破物理隔離防線;在內(nèi)網(wǎng)橫向移動(dòng),建立持久化據(jù)點(diǎn),投遞載荷;通過擺渡攻擊、開辟側(cè)信道、隱信道等方式實(shí)現(xiàn)遠(yuǎn)程控制,最終實(shí)現(xiàn)目標(biāo)。在針對(duì)伊朗核設(shè)施的“震網(wǎng)”事件中,攻擊伊朗核工業(yè)網(wǎng)絡(luò)之前,美國(guó)已經(jīng)完全滲透了伊朗的核工業(yè)體系,包括設(shè)備生產(chǎn)商、供應(yīng)商、軟件開發(fā)商等,完整研究與模擬了伊朗核工業(yè)體系之后才進(jìn)行載荷投遞并最終對(duì)伊朗核設(shè)施進(jìn)行破壞的。
今天的網(wǎng)絡(luò)攻防處于一種防御方更加透明、攻擊者更加隱蔽的狀態(tài)。具有國(guó)家行為體為背景的攻擊者可以無節(jié)制承擔(dān)攻擊成本和動(dòng)用資源,攻防雙方進(jìn)一步朝著不對(duì)等化發(fā)展;而且,一旦國(guó)家行為體的網(wǎng)空進(jìn)攻性能力向恐怖組織等非國(guó)家行為體擴(kuò)散,可能會(huì)造成災(zāi)難性的現(xiàn)實(shí)后果。面對(duì)國(guó)家級(jí)攻擊行為體,應(yīng)當(dāng)以敵情想定為前提,一方面持續(xù)分析國(guó)外網(wǎng)絡(luò)空間能力進(jìn)展,充分了解對(duì)手;另一方面,我們也應(yīng)意識(shí)到只有采取系統(tǒng)化的應(yīng)對(duì)策略建立有效的能力體系才能應(yīng)對(duì)系統(tǒng)化的進(jìn)攻,所以必須積極推進(jìn)軍民融合,整合產(chǎn)業(yè)先進(jìn)有效的技術(shù)能力,建立國(guó)家級(jí)防御體系。
那么,美國(guó)的網(wǎng)空攻擊裝備具體有哪些功能?裝備的模塊化組合有哪些優(yōu)勢(shì)?應(yīng)該如何防御?從下一期開始,我們將對(duì)美國(guó)NSA、CIA具有代表性的網(wǎng)空攻擊裝備進(jìn)行介紹,并探討可能針對(duì)哪些環(huán)節(jié)展開有效防御,敬請(qǐng)期待。