中國網安企業曝光:當年攻擊伊朗核設施前,美國準備了4年多
【環球時報-環球網報道 記者郭媛丹】14日,國家電腦病毒應急處理中心曝光了美國對外攻擊竊密所使用的主戰網路武“NOPEN”。持續多年跟蹤分析全球APT(高級持續性威脅)攻擊活動的安天科技集團15日接受《環球時報》記者採訪時進一步曝光了美國網路攻擊活動的十大作業特點,披露美方將網路空間僅視為達成竊密的通道之一,美方採用人力、電磁、網空作業三結合的方式,達到其最優攻擊效果,面對美方攻擊能力,沒有安全的系統。
美國國家安全局(NSA)打造了體系化的網路攻擊平臺和制式化的攻擊裝備庫,美國國家安全局下的特別行動辦公室(TAO)是這些攻擊裝備的主要使用者,該辦公室下設5個部門,包括高級網路技術部門(ANT)、數據網路技術部門(DNT)等。安天科技集團副總工程師李柏松對《環球時報》表示,其中ANT部門擁有不少於48種網路攻擊裝備,“ANT攻擊裝備家族是美方在2008年前後陸續批量列裝的攻擊裝備體系,基本覆蓋了主流的桌面主機、伺服器、網路設備、網路安全設備、移動通訊設備等。裝備形態包括惡意代碼載荷、電腦外設、信號通訊設備等。這些裝備可以組合使用,以達成複雜攻擊作業目標。其中,軟體裝備主要用於向各類IT設備系統中植入持久化後門,其目的以長期駐留潛伏、竊取資訊為主;硬體裝備有的偽裝成電腦外設,有的以獨立的硬體設備形態出現,用以進行惡意代碼注入、建立第二控制和資訊回傳信道等。”
另外一個部門DNT的攻擊裝備則包括Fuzzbunch漏洞攻擊平臺和DanderSpritz遠控平臺,“這些攻擊裝備涉及大量系統級0day漏洞利用工具和先進的後門程式,體現了美方的超級0day漏洞儲備能力和攻擊技術水準。”李柏松表示,“美方在網路攻擊裝備的上的優勢,源自於其試圖覆蓋所有主流IT場景的作業目標,多年持續性巨量的資金投入,並獲得美主要IT企業的深度資訊共用支援。”
根據對美方相關武器和攻擊行動的分析,安天總結出美方網路攻擊作業的十大特點,就其中一些特點,李柏松進行了具體闡述。
首先,進行全面的前期偵查與資訊蒐集。例如在2010年7月“震網”(Stuxnet)蠕蟲攻擊事件中(Stuxnet是一個面向工業系統進行攻擊的病毒,採用構造閥門超壓和改變轉速方式破壞鈾離心裝置系統,是世界上首個網路“超級破壞性武器”,據稱造成了超過2/3的伊朗離心機損壞,後續還擴散感染了全球超過45000個網路端點),美方經歷了超過4年的準備過程,在攻擊伊朗核設施之前,美方已經完全滲透了伊朗的基礎工業機構,包括設備生產商、供應商、軟體開發商等,完整研究與模擬了伊朗核工業體系,知己知彼後才實施最後攻擊。
其次,超強的邊界突防能力,美方針對網路防火牆、路由器、交換機、VPN等網路設備0day漏洞儲備豐富,能隱蔽打入控制邊界和網路設備,進行流量轉發,並將此作為持續攻擊內網目標的中繼站。例如在對中東最大SWIFT服務提供商EastNets攻擊中,美方就先後入侵了外層的VPN防火牆和內層企業級防火牆,並在防火牆上安裝了木馬。)
第三,美方攻擊手段已經實現人力、電磁、網空作業三結合,美方將網路空間僅視為達成竊密的通道之一,組合人力手段和電磁手段達到最優攻擊效果。例如:代號為水蝮蛇I號的設備,就融合了基於USB介面的木馬注入和數據無線回傳機制,根據資料,最大通訊距離可達8英里。
第四,超強的突破物理隔離網路能力。美方基於物流鏈劫持、人工帶入等方式,借助外設和輔助信號裝置,實現建立橋頭堡、構建第二電磁信道等方式,突破物理隔離網路。例如在震網攻擊中,根據相關資訊,由荷蘭情報機構人員進入到現場,將帶有震網病毒的USB設備接入到隔離內網發起攻擊。
第五,惡意代碼載荷基本覆蓋所有作業系統平臺。在已曝光的美方攻擊行動中,已發現各類作業系統平臺樣本,如Windows、Linux、Solaris、Android、OSX、iOS等。可以說面對美方攻擊能力,沒有安全的系統。
第六,廣泛採用無文件實體技術,採用直接記憶體載入執行或建立隱藏磁片存儲空間等方式隱蔽樣本,同時通過固件等方式實現更隱蔽的持久化。例如,DanderSprit木馬框架中就包括寫入硬碟固件的組件,在攻擊過程中,針對符合預設條件的主機,將木馬寫入到硬碟固件中。即使用戶重新安裝系統,木馬依然能重新載入。
李柏松表示,網路安全防護工作必須正視威脅、直面對手,要充分認識到網路安全所面臨風險挑戰的高度嚴峻性,深入貫徹總體國家安全觀,以捍衛國家主權、安全和發展利益的高度開展網路安全防禦工作。