勒索軟件攻擊事件或?qū)⒁l(fā)網(wǎng)絡(luò)軍備競賽升級

劉權(quán) 王超

摘 要：2017年5月12日，全球爆發(fā)了大規(guī)模的勒索軟件攻擊事件，包括英國、俄羅斯、中國、美國等在內(nèi)的 150 個國家超過 30 萬臺電腦受到勒索軟件 WannaCry 攻擊， 對能源、電力、交通、醫(yī)療等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施造成嚴(yán)重影響。鑒于此次事件對全球網(wǎng)絡(luò)空間造成嚴(yán)重危害，有必要對其根源進行深入分析，研判“后WannaCry”時期的網(wǎng)絡(luò)安全形勢，并提出針對性的措施建議。

關(guān)鍵詞：勒索軟件；WannaCry；關(guān)鍵信息基礎(chǔ)設(shè)施；網(wǎng)絡(luò)安全形勢

中圖分類號：TP393 文獻標(biāo)識碼：A

The ransomware attacks may lead to the escalation

of the cyberspace arms race

Abstract： In May 12， 2017， massive ransomware attacks broke out around the world， UK，Britain， Russia， China， the United States and other 150 countriess more than 300 thousand computers suffered WannaCry ransomware attacks， the impact range affects critical information infrastructure in the fields of energy， electricity， transportation ，healthcare and other fields. Considering the incident has caused serious damage to the global cyberspace， it is necessary to make an in-depth analysis of its root causes， study the cyberspace security situation during the post WannaCry era， and put forward specific measures and suggestions.

Key words： ransomware； WannaCry， critical information infrastructure， cyberspace security situation

1 引言

2017 年 5 月 12 日，全球爆發(fā)大規(guī)模勒索軟件 WannaCry 攻擊事件，超過 30 萬臺電腦受到攻擊，波及包括英國、俄羅斯、中國、美國等在內(nèi)的 150 個國家，涉及能源、電力、交通、醫(yī)療、 教育等多個重點行業(yè)領(lǐng)域。作為 NSA 網(wǎng)絡(luò)軍火民用化的全球第一例， WannaCry 勒索軟件利用微軟 SMB 遠程代碼執(zhí)行漏洞 MSl7-010，并基于 445 端口迅速傳播擴散，無需用戶任何操作，即可實現(xiàn)系統(tǒng)入侵，對用戶主機系統(tǒng)內(nèi)的照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件實施加密，并向用戶勒索比特幣“贖金”。 此次事件給全球網(wǎng)絡(luò)安全造成嚴(yán)重危害，有必要對其根源進行深入分析， 并研判“后WannaCry”時期的網(wǎng)絡(luò)安全形勢， 以便為我國網(wǎng)絡(luò)空間防御能力建設(shè)提供借鑒與參考。

2 勒索軟件WannaCry肆虐全球的原因

2.1 NSA 網(wǎng)絡(luò)武器被公開，點燃攻擊事件導(dǎo)火索

2017 年 4 月 14 日，黑客組織 Shadow Brokers （影子經(jīng)紀(jì)人）公布了 NSA（美國國家安全局）旗下 Equation Group（方程式組織）使用的網(wǎng)絡(luò)武器庫，涉及多個 Windows 系統(tǒng)服務(wù)（SMB、RDP、 IIS）的遠程命令執(zhí)行工具。事件發(fā)生不足一個月，泄露的網(wǎng)絡(luò)武器引發(fā)全球規(guī)模的勒索軟件攻擊。據(jù)安天實驗室、 360追日團隊、卡巴斯基等國內(nèi)外網(wǎng)絡(luò)安全研究機構(gòu)分析，作為此次攻擊事件的主角，勒索軟件 WannaCry 利用微軟 SMB 遠程代碼執(zhí)行漏洞 MSl7-010，并基于 445 端口實施攻擊，其攻擊原理與 Shadow Brokers 公布的名為“永恒之藍”（EtemalBlue）的漏洞利用工具的實現(xiàn)原理極為相似。據(jù)推測，攻擊發(fā)起者在借鑒 NSA網(wǎng)絡(luò)武器攻擊原理的基礎(chǔ)上，研發(fā)形成了新的勒索軟件WannaCry，并借此發(fā)動了此次大規(guī)模網(wǎng)絡(luò)攻擊

2.2 系統(tǒng)漏洞修復(fù)不及時，為勒索軟件傳播留下了通道

網(wǎng)絡(luò)安全研究機構(gòu)分析顯示， WannaCry 利用了微軟操作系統(tǒng) SMB 遠程代碼執(zhí)行漏洞 MSl7-010， 其攻擊范圍覆蓋了Windows 10 之外的幾乎所有 Windows 操作系統(tǒng)，過低的操作系統(tǒng)漏洞修復(fù)率為此次全球規(guī)模的勒索襲擊提供了可乘之機。雖然，微軟已于 2017 年 3 月發(fā)布了 MSl7-010 漏洞的補丁，但是廣大企業(yè)和個人用戶沒有及時升級 Windows 7 系統(tǒng)，加之Windows XP、 Windows 8、 Windows Server 2003 等無法獲得漏洞補丁的操作系統(tǒng)仍在廣泛使用，導(dǎo)致全球存在大量的可攻擊目標(biāo)。據(jù)安全評級公司 BitSight 的調(diào)查數(shù)據(jù)顯示，全球約 67%的被感染電腦都是基于 Windows 7 操作系統(tǒng)運行的。

2.3 網(wǎng)絡(luò)安全防護不到位，加劇了勒索軟件的全球蔓延

較弱的網(wǎng)絡(luò)安全防護能力在客觀上加劇了勒索軟件在全球的蔓延。 WannaCry 屬于“蠕蟲式”勒索軟件，對于企業(yè)局域網(wǎng)或內(nèi)網(wǎng)的主機系統(tǒng)破壞性尤其嚴(yán)重，然而，包括我國在內(nèi)的全球諸多國家在架構(gòu)安全和被動防御層面，目前仍存在嚴(yán)重的先天基礎(chǔ)不足，過份重視網(wǎng)絡(luò)邊界防御而輕視內(nèi)網(wǎng)防護，終端準(zhǔn)入控制、終端主動防御、終端安全審計能力普遍不強。 一旦勒索軟件通過釣魚郵件、網(wǎng)頁掛馬等方式突破網(wǎng)絡(luò)防御邊界進入內(nèi)網(wǎng)， 就極易造成應(yīng)用單位“一點攻破、全線失守” 的局面。

2.4 威懾全球的霸權(quán)主義是引發(fā)事件的罪魁禍?zhǔn)?/p>

美國一貫堅持威懾全球的網(wǎng)絡(luò)空間安全戰(zhàn)略，為了鞏固其網(wǎng)絡(luò)空間的霸主地位，高度重視研發(fā)進攻性網(wǎng)絡(luò)武器來威懾可能對美產(chǎn)生重大威脅的網(wǎng)絡(luò)攻擊，或其它惡意網(wǎng)絡(luò)活動。 NSA 的高級官員曾透露，美國聯(lián)邦政府九成以上的網(wǎng)絡(luò)項目經(jīng)費用于攻擊性項目，如挖掘操作系統(tǒng)、數(shù)據(jù)庫、路由器等基礎(chǔ)軟硬件漏洞，研發(fā)針對性的軍火級攻擊平臺、漏洞利用工具和惡意代碼、監(jiān)聽通訊網(wǎng)絡(luò)等。早在 2013 年，美國網(wǎng)絡(luò)武器就已超過 2000 種，部分網(wǎng)絡(luò)武器無需用戶任何操作，即可入侵聯(lián)網(wǎng)電腦，像沖擊波、震蕩波等著名蠕蟲一樣瞬間血洗互聯(lián)網(wǎng)。美國奉行的網(wǎng)絡(luò)威懾戰(zhàn)略，使其囤積了大量高危網(wǎng)絡(luò)漏洞和強大網(wǎng)絡(luò)武器，不僅刺激了全球國家開展網(wǎng)絡(luò)軍備，大大提升了網(wǎng)絡(luò)戰(zhàn)局部爆發(fā)的風(fēng)險，也最終導(dǎo)致了此次全球規(guī)模的勒索軟件攻擊事件。

3 勒索軟件 WannaCry 網(wǎng)絡(luò)攻擊潛在影響巨大

3.1 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風(fēng)險居高不下

此次勒索軟件 WannaCry 攻擊事件的波及范圍十分廣泛，包括西班牙電力公司 Iberdrola、天然氣公司 Gas Natural， 德國德累斯頓火車站，以及俄羅斯內(nèi)政部及其第二大電信運營商 Megafon等在內(nèi)的多個國家的電力、石油、交通運輸?shù)阮I(lǐng)域，關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域也受到影響。盡管 WannaCry 的傳播速度已大為放緩，但考慮到關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的工業(yè)主機（如操作站、工程師站、歷史服務(wù)器等）仍在廣泛使用通用 Windows 操作系統(tǒng)，尤其是默認開放 445 端口的 Windows 2000 和 Windows XP 系統(tǒng)大量存在，極有可能被 WannaCry 利用漏洞進行入侵攻擊，并迅速蔓延至企業(yè)內(nèi)網(wǎng)甚至工業(yè)控制網(wǎng)絡(luò)，導(dǎo)致企業(yè)重要文件被加密、生產(chǎn)、運行等敏感數(shù)據(jù)無法正常采集和讀取，造成整個企業(yè)內(nèi)網(wǎng)的癱瘓。這不僅會對工業(yè)生產(chǎn)造成嚴(yán)重經(jīng)濟損失，還可能嚴(yán)重影響人民群眾的財產(chǎn)安全。由于關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域使用的通用Windows 操作系統(tǒng)，在補丁升級、防護更新方面技術(shù)難度和資金成本較高，在未來相當(dāng)長的一段時間內(nèi)，關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的安全風(fēng)險仍將居高不下。

3.2 網(wǎng)絡(luò)攻擊產(chǎn)生的“破窗效應(yīng)”進一步顯現(xiàn)

一方面，美國國家安全局（NSA）、中央情報局（CIA）等網(wǎng)絡(luò)安全機構(gòu)泄露了包括 Android、 iPhone、 Windows PC、 Mac、三星電視等設(shè)備的安全漏洞和利用工具，以及感染 USB 閃存盤的惡意軟件等一大批網(wǎng)絡(luò)武器?！?影子經(jīng)紀(jì)人”還宣布， 將從 6月份開始，每月出售 NSA 的 Web 瀏覽器、路由器和手機漏洞和相應(yīng)的攻擊工具，以及針對 Windows 10 的 0 day 漏洞和相應(yīng)利用技術(shù)?？紤]到網(wǎng)絡(luò)武器復(fù)制成本幾乎為零的特點，以及美國情報機構(gòu)網(wǎng)絡(luò)武器的強大攻擊力，泄露的網(wǎng)絡(luò)武器能滿足絕大多數(shù)個人、組織甚至國家實施高破壞性、強針對性網(wǎng)絡(luò)攻擊的需求，使得發(fā)起國家級網(wǎng)絡(luò)攻擊的門檻大幅降低。

另一方面，美國研發(fā)的網(wǎng)絡(luò)武器為了避免追蹤，多采取高度“模塊化”的工具編寫方式，模糊了攻擊者的攻擊特點；其具備的“防追溯”、“嫁禍”等功能，也大大增加了成功追溯到攻擊發(fā)動者的難度，從而進一步減小了攻擊者的后顧之憂，WannaCry 網(wǎng)絡(luò)攻擊發(fā)動者能躲過英、美等國家的重重網(wǎng)絡(luò)追捕即是例證。在強大的“網(wǎng)絡(luò)軍火”支持和“無責(zé)任”網(wǎng)絡(luò)攻擊的刺激下，各種以情報獲取、資金攫取等為目的規(guī)?；?、針對性的網(wǎng)絡(luò)攻擊，必將顯著增多。

3.3 全球新一輪網(wǎng)絡(luò)軍備競賽恐將上演

當(dāng)前，美國聯(lián)邦政府將九成以上的網(wǎng)絡(luò)項目經(jīng)費用于提升網(wǎng)絡(luò)攻擊能力， NSA、 CIA等國家網(wǎng)絡(luò)安全機構(gòu)更是無節(jié)制地研發(fā)各類進攻性網(wǎng)絡(luò)武器。然而，美國政府沒能有效履行妥善管理網(wǎng)絡(luò)武器的國際義務(wù)，其泄露的軍火級攻擊平臺、漏洞利用工具和惡意代碼，以及攻擊思路，已成為威脅全球基礎(chǔ)互聯(lián)網(wǎng)安全、破壞網(wǎng)絡(luò)空間安全穩(wěn)定的重要因素?？紤]到 NSA 泄露的一種網(wǎng)絡(luò)武器就能產(chǎn)生全球規(guī)模的網(wǎng)絡(luò)攻擊后果，世界各國為了提升網(wǎng)絡(luò)空間話語權(quán)、避免重蹈覆轍，勢必會加強網(wǎng)絡(luò)安全領(lǐng)域的資金、人力投入，著力推進針對 NSA、 CIA 泄露的網(wǎng)絡(luò)武器的分析工作，研究針對性的抵御方法和網(wǎng)絡(luò)防御武器，甚至以泄露的網(wǎng)絡(luò)武器為基礎(chǔ)，研發(fā)形成新的網(wǎng)絡(luò)攻擊“殺手锏”，構(gòu)建特定國家專屬的網(wǎng)絡(luò)武器庫，新一輪恐慌性全球網(wǎng)絡(luò)軍備競賽恐難避免。

4 應(yīng)對之策

4.1 重技術(shù)，強化網(wǎng)絡(luò)空間安全防御能力建設(shè)

面對將來可能集中爆發(fā)的高破壞性、強針對性網(wǎng)絡(luò)攻擊，我們應(yīng)重點提升國家網(wǎng)絡(luò)空間安全防御能力。

一是強化網(wǎng)絡(luò)漏洞發(fā)現(xiàn)能力。支持網(wǎng)絡(luò)安全企業(yè)和科研院所創(chuàng)新漏洞挖掘技術(shù)，鼓勵網(wǎng)絡(luò)安全研究機構(gòu)、白帽子黑客等加大針對操作系統(tǒng)、數(shù)據(jù)庫、信息系統(tǒng)、通信協(xié)議等的漏洞挖掘工作，對發(fā)現(xiàn)的漏洞進行快速定位和風(fēng)險評估，研究形成解決方案。

二是加強網(wǎng)絡(luò)武器攻擊應(yīng)對能力。支持國內(nèi)網(wǎng)絡(luò)安全研究機構(gòu)加大對美國泄露網(wǎng)絡(luò)武器的跟蹤研究，分析網(wǎng)絡(luò)武器的攻擊思路、攻擊目標(biāo)、攻擊過程、攻擊效果，加強對其衍生武器的模擬分析，盡快研究形成針對美國系列網(wǎng)絡(luò)武器的應(yīng)對方案。

三是提升網(wǎng)絡(luò)攻擊溯源能力。組織國內(nèi)網(wǎng)絡(luò)安全研究機構(gòu)開展基于匿名網(wǎng)絡(luò)的惡意代碼追蹤、網(wǎng)絡(luò)攻擊溯源和阻斷等技術(shù)難題的聯(lián)合攻關(guān)，推動網(wǎng)絡(luò)攻擊溯源技術(shù)盡快實現(xiàn)突破，強化打擊網(wǎng)絡(luò)犯罪的支撐能力。

4.2 嚴(yán)監(jiān)管，消減關(guān)鍵信息基礎(chǔ)設(shè)施安全隱患

沒有及時對系統(tǒng)漏洞進行補丁升級，是我國各領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施遭受勒索攻擊的重要原因。面對居高不下的網(wǎng)絡(luò)安全風(fēng)險，我國應(yīng)進一步落實關(guān)鍵信息基礎(chǔ)設(shè)施的安全監(jiān)管工作。

一是在全國范圍內(nèi)對關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查形成常態(tài)化，通過指導(dǎo)并監(jiān)督地方開展安全自查，組織專業(yè)隊伍對重點系統(tǒng)開展安全抽查等方式，排查關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全風(fēng)險隱患，督促運營單位及時處置系統(tǒng)漏洞，強化系統(tǒng)安全防護，消減安全風(fēng)險。

二是建立健全關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急機制，推動關(guān)鍵信息基礎(chǔ)設(shè)施運營單位制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，定期組織開展網(wǎng)絡(luò)安全應(yīng)急演練，及時總結(jié)攻防演練情況，加強落實整改，變被動防御為主動防御，提高突發(fā)網(wǎng)絡(luò)安全事件的應(yīng)對能力。

4.3 謀合作，共建網(wǎng)絡(luò)空間國際新秩序

面對日益泛濫的網(wǎng)絡(luò)武器和日益囂張的網(wǎng)絡(luò)犯罪，我國應(yīng)著力加強與各國的網(wǎng)絡(luò)安全合作，協(xié)同應(yīng)對，形成合力。

一是推動在聯(lián)合國框架下制定各國普遍接受的防范網(wǎng)絡(luò)武器擴散的國際公約，確立國家及各行為體在防范網(wǎng)絡(luò)武器擴散方面的基本準(zhǔn)則，明確國際禁運、禁用的網(wǎng)絡(luò)武器清單。

二是積極開展雙邊、多邊對話，謀求制定符合各國利益的網(wǎng)絡(luò)空間武器使用規(guī)范，不率先利用網(wǎng)絡(luò)武器攻擊關(guān)鍵信息基礎(chǔ)設(shè)施。

三是支持并推動聯(lián)合國開展打擊網(wǎng)絡(luò)犯罪的工作，參與聯(lián)合國預(yù)防犯罪和刑事司法委員會、 聯(lián)合國網(wǎng)絡(luò)犯罪問題政府專家組等機構(gòu)的工作，推動在聯(lián)合國框架下討論并制定打擊網(wǎng)絡(luò)犯罪的全球性國際法律文書，明確網(wǎng)絡(luò)犯罪的懲罰條款，強化對網(wǎng)絡(luò)犯罪的懲治力度，提高網(wǎng)絡(luò)罪犯的違法成本。

5 結(jié)束語

本文重點分析了勒索軟件WannaCry攻擊事件的原因，研判了“后WannaCry”時期的全球網(wǎng)絡(luò)安全形勢，并提出了幾點針對性的措施建議，即強化網(wǎng)絡(luò)空間安全防御能力建設(shè)，消減關(guān)鍵信息基礎(chǔ)設(shè)施安全隱患，共建網(wǎng)絡(luò)空間國際新秩序。

參考文獻

[1] 沈逸.武器級勒索軟件催生全球網(wǎng)絡(luò)空間防擴散機制建設(shè)契機[J]. 信息安全與通信保密， 2017（9）：33-39.

[2] 徐金偉，郝軍雷，劉權(quán)峰，等.智能制造企業(yè)應(yīng)對新型安全威脅“勒索軟件”探討[J].信息安全與技術(shù)， 2017， 8（8）：6-11.

[3] 黃道麗，何治樂，原浩.打擊勒索軟件的法律思考[J].中國信息安全， 2017（4）：70-72.

[4] 于世梁.警惕網(wǎng)絡(luò)軍備競賽 維護網(wǎng)絡(luò)空間安全——由勒索病毒W(wǎng)annaCry肆虐引發(fā)的思考[J]. 湖北行政學(xué)院學(xué)報， 2017（4）：49-53.

[5] 周宏仁.共同構(gòu)建網(wǎng)絡(luò)空間命運共同體[J].信息安全與通信保密， 2017（10）：9-9.

[6] 閆曉麗.關(guān)鍵信息基礎(chǔ)設(shè)施安全保護應(yīng)把握幾個要點[J].中國信息安全， 2017（8）：39-40.