中國網(wǎng)安企業(yè)曝光:當(dāng)年攻擊伊朗核設(shè)施前,美國準(zhǔn)備了4年多
【環(huán)球時報-環(huán)球網(wǎng)報道 記者郭媛丹】14日,國家電腦病毒應(yīng)急處理中心曝光了美國對外攻擊竊密所使用的主戰(zhàn)網(wǎng)路武“NOPEN”。持續(xù)多年跟蹤分析全球APT(高級持續(xù)性威脅)攻擊活動的安天科技集團15日接受《環(huán)球時報》記者採訪時進一步曝光了美國網(wǎng)路攻擊活動的十大作業(yè)特點,披露美方將網(wǎng)路空間僅視為達(dá)成竊密的通道之一,美方採用人力、電磁、網(wǎng)空作業(yè)三結(jié)合的方式,達(dá)到其最優(yōu)攻擊效果,面對美方攻擊能力,沒有安全的系統(tǒng)。
美國國家安全局(NSA)打造了體系化的網(wǎng)路攻擊平臺和制式化的攻擊裝備庫,美國國家安全局下的特別行動辦公室(TAO)是這些攻擊裝備的主要使用者,該辦公室下設(shè)5個部門,包括高級網(wǎng)路技術(shù)部門(ANT)、數(shù)據(jù)網(wǎng)路技術(shù)部門(DNT)等。安天科技集團副總工程師李柏松對《環(huán)球時報》表示,其中ANT部門擁有不少於48種網(wǎng)路攻擊裝備,“ANT攻擊裝備家族是美方在2008年前後陸續(xù)批量列裝的攻擊裝備體系,基本覆蓋了主流的桌面主機、伺服器、網(wǎng)路設(shè)備、網(wǎng)路安全設(shè)備、移動通訊設(shè)備等。裝備形態(tài)包括惡意代碼載荷、電腦外設(shè)、信號通訊設(shè)備等。這些裝備可以組合使用,以達(dá)成複雜攻擊作業(yè)目標(biāo)。其中,軟體裝備主要用於向各類IT設(shè)備系統(tǒng)中植入持久化後門,其目的以長期駐留潛伏、竊取資訊為主;硬體裝備有的偽裝成電腦外設(shè),有的以獨立的硬體設(shè)備形態(tài)出現(xiàn),用以進行惡意代碼注入、建立第二控制和資訊回傳信道等。”
另外一個部門DNT的攻擊裝備則包括Fuzzbunch漏洞攻擊平臺和DanderSpritz遠(yuǎn)控平臺,“這些攻擊裝備涉及大量系統(tǒng)級0day漏洞利用工具和先進的後門程式,體現(xiàn)了美方的超級0day漏洞儲備能力和攻擊技術(shù)水準(zhǔn)。”李柏松表示,“美方在網(wǎng)路攻擊裝備的上的優(yōu)勢,源自於其試圖覆蓋所有主流IT場景的作業(yè)目標(biāo),多年持續(xù)性巨量的資金投入,並獲得美主要IT企業(yè)的深度資訊共用支援。”
根據(jù)對美方相關(guān)武器和攻擊行動的分析,安天總結(jié)出美方網(wǎng)路攻擊作業(yè)的十大特點,就其中一些特點,李柏松進行了具體闡述。
首先,進行全面的前期偵查與資訊蒐集。例如在2010年7月“震網(wǎng)”(Stuxnet)蠕蟲攻擊事件中(Stuxnet是一個面向工業(yè)系統(tǒng)進行攻擊的病毒,採用構(gòu)造閥門超壓和改變轉(zhuǎn)速方式破壞鈾離心裝置系統(tǒng),是世界上首個網(wǎng)路“超級破壞性武器”,據(jù)稱造成了超過2/3的伊朗離心機損壞,後續(xù)還擴散感染了全球超過45000個網(wǎng)路端點),美方經(jīng)歷了超過4年的準(zhǔn)備過程,在攻擊伊朗核設(shè)施之前,美方已經(jīng)完全滲透了伊朗的基礎(chǔ)工業(yè)機構(gòu),包括設(shè)備生産商、供應(yīng)商、軟體開發(fā)商等,完整研究與模擬了伊朗核工業(yè)體系,知己知彼後才實施最後攻擊。
其次,超強的邊界突防能力,美方針對網(wǎng)路防火牆、路由器、交換機、VPN等網(wǎng)路設(shè)備0day漏洞儲備豐富,能隱蔽打入控制邊界和網(wǎng)路設(shè)備,進行流量轉(zhuǎn)發(fā),並將此作為持續(xù)攻擊內(nèi)網(wǎng)目標(biāo)的中繼站。例如在對中東最大SWIFT服務(wù)提供商EastNets攻擊中,美方就先後入侵了外層的VPN防火牆和內(nèi)層企業(yè)級防火牆,並在防火牆上安裝了木馬。)
第三,美方攻擊手段已經(jīng)實現(xiàn)人力、電磁、網(wǎng)空作業(yè)三結(jié)合,美方將網(wǎng)路空間僅視為達(dá)成竊密的通道之一,組合人力手段和電磁手段達(dá)到最優(yōu)攻擊效果。例如:代號為水蝮蛇I號的設(shè)備,就融合了基於USB介面的木馬注入和數(shù)據(jù)無線回傳機制,根據(jù)資料,最大通訊距離可達(dá)8英里。
第四,超強的突破物理隔離網(wǎng)路能力。美方基於物流鏈劫持、人工帶入等方式,借助外設(shè)和輔助信號裝置,實現(xiàn)建立橋頭堡、構(gòu)建第二電磁信道等方式,突破物理隔離網(wǎng)路。例如在震網(wǎng)攻擊中,根據(jù)相關(guān)資訊,由荷蘭情報機構(gòu)人員進入到現(xiàn)場,將帶有震網(wǎng)病毒的USB設(shè)備接入到隔離內(nèi)網(wǎng)發(fā)起攻擊。
第五,惡意代碼載荷基本覆蓋所有作業(yè)系統(tǒng)平臺。在已曝光的美方攻擊行動中,已發(fā)現(xiàn)各類作業(yè)系統(tǒng)平臺樣本,如Windows、Linux、Solaris、Android、OSX、iOS等。可以説面對美方攻擊能力,沒有安全的系統(tǒng)。
第六,廣泛採用無文件實體技術(shù),採用直接記憶體載入執(zhí)行或建立隱藏磁片存儲空間等方式隱蔽樣本,同時通過固件等方式實現(xiàn)更隱蔽的持久化。例如,DanderSprit木馬框架中就包括寫入硬碟固件的組件,在攻擊過程中,針對符合預(yù)設(shè)條件的主機,將木馬寫入到硬碟固件中。即使用戶重新安裝系統(tǒng),木馬依然能重新載入。
李柏松表示,網(wǎng)路安全防護工作必須正視威脅、直面對手,要充分認(rèn)識到網(wǎng)路安全所面臨風(fēng)險挑戰(zhàn)的高度嚴(yán)峻性,深入貫徹總體國家安全觀,以捍衛(wèi)國家主權(quán)、安全和發(fā)展利益的高度開展網(wǎng)路安全防禦工作。