Contents ...
udn網路城邦
《美國情報機構網路攻擊的歷史回顧》報告發佈
2023/04/12 07:39
瀏覽97
迴響0
推薦0
引用0

“斯諾登事件”迄今已近十年,伴隨著“棱鏡門”的曝光,國家級網路攻擊行為逐漸浮出水面。早在此前,已有多方資訊顯示,美相關機構利用其技術和先發優勢針對他國開展網路攻擊行為。為系統呈現美情報機構開展全球網路攻擊活動的情況,中國網路安全產業聯盟(CCIA)精心編制,並於今日發佈了《美國情報機構網路攻擊的歷史回顧——基於全球網路安全界披露資訊分析》(以下簡稱《報告》)。


《報告》立足網路安全專業視角,堅持科學、客觀、中立原則,基於全球數十家網路安全企業、研究機構及專家學者的近千份研究文獻,充分整合各方分析過程及研究成果,力求通過業界和學界的分析實證,努力呈現美相關機構對他國進行網路攻擊的情況,揭示網路霸權對全球網路空間秩序構成的重大破壞及嚴重威脅。


《報告》按照時間和事件脈絡,共分為13篇,主要包括美國情報機構網路攻擊他國關鍵基礎設施,進行無差別網路竊密與監控,植入後門污染標準及供應鏈源頭,開發網路攻擊武器並造成洩露,所售商用攻擊平臺失控而成為駭客利器,干擾和打壓正常的國際技術交流與合作,打造符合美國利益的標準及秩序,阻礙全球資訊技術發展,製造網路空間的分裂與對抗等。


報告全文如下:


《美國情報機構網路攻擊的歷史回顧——基於全球網路安全界披露資訊分析》


各篇概要如下:


第一篇 網路戰的開啟——對“震網”事件的分析


2010年美國情報機構使用“震網”病毒(Stuxnet)攻擊伊朗核設施,打開了網路戰的“潘朵拉魔盒”。在資訊技術發展歷史上,出現過大量網路病毒和攻擊事件,但“震網”事件是首個得到充分技術實證、對現實世界中的關鍵工業基礎設施造成了與傳統物理毀傷等效的網路攻擊行動。全球網路安全廠商與專家的接力分析,對這次攻擊行動進行了十分充分的畫像,逐步將幕後黑手鎖定美國情報機構。



2010年6月,白俄羅斯網路安全公司VirusBlokAda技術人員在伊朗客戶電腦中發現了一種新的蠕蟲病毒,根據代碼中出現的特徵字“stux”將其命名為“Stuxnet”;


2010年9月,美國網路安全廠商賽門鐵克披露“震網”病毒的基本情況、傳播方法、攻擊目標,及病毒演化過程;


俄羅斯網路安全廠商卡巴斯基針對“震網”病毒先後發表數十篇報告,從功能行為、攻擊目標、漏洞利用、規避對抗、命令和控制伺服器等多方面進行全面分析,尤其討論了“震網”病毒所利用的LNK漏洞和具有簽名的驅動程式,並指出如此複雜的攻擊只能在“國家支持下”才可進行;


中國網路安全廠商安天陸續發佈3篇報告,分析“震網”病毒的攻擊過程、傳播方式、攻擊意圖、檔衍生關係和利用的多個零日漏洞、更新方式及USB擺渡傳播條件的技術機理,總結其攻擊特點和對工業控制系統現場設備的影響過程,並推測可能的攻擊場景,搭建環境類比其對工控系統的攻擊過程;


2013年11月,德國IT安全專家拉爾夫·朗納(Ralph Langner)先後發表兩篇文章,將“震網”事件稱為“網路戰的教科書範例”,基於對“震網”病毒兩個版本及攻擊事件的跟蹤研究,概括性地勾畫了“網路戰產生物理性戰果”的具體實現方法和作戰流程。


第二篇 “震網”之後的連鎖反應——對“毒曲”“火焰”“高斯”的跟進分析


全球網路安全廠商逐步證實更加複雜的“毒曲”(Duqu)“火焰”(Flame)以及“高斯”(Gauss)等病毒與“震網”同源,與其同期甚至更早前就已經開始傳播。


2011年10月,匈牙利安全團隊CrySyS發現了一個與“震網”非常類似的病毒樣本,稱之為Duqu (“毒曲”),在與“震網”進行對比後,研究人員確定二者極具相似性;


2011年10月,賽門鐵克發佈報告,詳細分析了“毒曲”病毒的全球感染情況、安裝過程及載入邏輯;


卡巴斯基從2011年10月起,陸續發佈了關於“毒曲”病毒的十篇分析報告,認為“毒曲”是一個多功能框架,具有高度可定制性和通用性。2015年6月,卡巴斯基捕獲到了“毒曲”病毒對其進行的攻擊,分析認為攻擊者意圖監控並竊取其原始程式碼,只有國家支持的團隊才有能力做到;


2012年5月,安天發佈報告分析“毒曲”病毒的模組結構、編譯器架構、關鍵功能,指出“毒曲”與“震網”在結構和功能上具有一定的相似性,並根據編碼心理學,判斷二者具有同源性;


2012年4月,伊朗石油部和伊朗國家石油公司遭到“火焰”病毒攻擊。卡巴斯基分析認為“火焰”是當時攻擊機制最複雜、威脅程度最高的電腦病毒之一,結構複雜度是“震網”病毒的20倍,幕後團隊很可能由政府機構操縱;


2012年5月,安天發佈報告,分析了“火焰”病毒的運行邏輯、傳播機理和主要模組功能,認為“火焰”是一個比“震網”具有更多模組的複雜元件化木馬,其漏洞攻擊模組中包含曾被“震網”病毒使用過的USB攻擊模組,佐證了二者的同源關係;


2012年8月,卡巴斯基發現“高斯”病毒,稱有足夠證據表明“高斯”與“火焰”“震網”密切相關,由與“震網”“毒曲”“火焰”相關的組織創建;


2019年9月,安天經過持續跟蹤研究發佈報告“震網事件的九年再複盤與思考”,分析了“震網”各個版本的特點、產生原因、作用機理、相關高級惡意程式碼工程框架,以及“震網”“毒曲”“火焰”“高斯”“方程式組織”所使用惡意程式碼間的關聯。


第三篇 超級機器的全貌——斯諾登事件跟進分析


2013年6月5日,英國《衛報》率先報導美國中央情報局(CIA)情報職員斯諾登爆料的NSA代號為“棱鏡”(PRISM)秘密項目,曝光了包括微軟、雅虎、穀歌、蘋果等在內的9家國際網路巨頭配合美國政府秘密監聽通話記錄、電子郵件、視頻和照片等資訊,甚至入侵包括德國、韓國在內的多個國家的網路設備。隨著斯諾登洩露檔的逐步公開,全球網路安全廠商對於美國情報機構網路空間行動的相關工程體系、裝備體系有了更多可以分析的文獻資料,美國網路空間超級機器的全貌逐步顯現。


2013年7月,安天發佈分析文章,指出斯諾登事件暴露的重點內容主要包括:一是“棱鏡”專案作為NSA網路情報系統的一個組成部分,主要利用美國互聯網企業所提供的介面進行資料檢索、查詢和收集工作;二是穀歌、微軟、蘋果、臉譜等美國大型互聯網企業大多與此計畫有關聯;三是NSA下屬的特定入侵行動辦公室(TAO)對中國進行了長達15年的攻擊,相關行動得到了思科的幫助;


2017年12月安天發佈系列文章,深度解析斯諾登洩露檔中的“星風”計畫等,指出美國開展了以“棱鏡”為代表的大量網路情報竊聽專案和計畫,形成覆蓋全球的網路情報獲取能力,並在此基礎上,建立了以“湍流”(TURBULENCE)為代表的進攻性能力支撐體系,通過被動信號情報獲取、主動信號情報獲取、任務邏輯控制、情報擴散與聚合、定向定位等相關能力模組,實現完整的網路空間情報迴圈,再結合“監護”(TUTELAGE)、“量子”(QUANTUM)等網路空間攻防能力模組,進一步實現情報驅動的網路空間積極防禦和進攻行動;


2022年3月,中國網路安全廠商360發佈報告,披露NSA長達十餘年對全球發起的無差別攻擊,尤其對“量子”攻擊系統、“酸狐狸”(FOXACID)零日漏洞攻擊平臺、“驗證器”(VALIDATOR)和“聯合耙”(UNITEDRAKE)後門進行分析,分析表明全球受害單位感染量或達百萬級。


第四篇 後門的傳言—對美國污染加密通訊標準的揭露


全球網路安全業界和學術界通過不懈努力,證實了美國通過植入後門操縱國際資訊安全標準的行徑。其做法動搖了整個互聯網的技術信任基礎,對全球國際關係生態環境造成極為惡劣的影響。


2007年,微軟密碼學家從技術角度進行分析,說明美NIST在2006年通過SP 800-90A推薦的雙橢圓曲線(Dual EC)確定性隨機位元發生器(DRBG)演算法存在可植入後門的可能性;


2013年斯諾登洩露文檔不僅證實了此前的後門猜測,還曝光了NSA對密碼體系的長期、系統性的操控,利用加密標準漏洞對全球的監控;


2015年,美國“連線”雜誌披露了NSA對VPN通信攻擊的加密漏洞Logjam;


2020年,美國、德國和瑞士媒體聯合披露CIA通過操縱密碼機生產廠商Crypto AG,長期竊取全球多個國家政企使用者加密通訊內容。


第五篇 固件木馬的實證——“方程式組織”正式浮出水面


固件是寫入硬體的軟體,其比作業系統更底層,甚至先於作業系統載入。如果把病毒寫入固件中,就更隱蔽和難以發現。全球網路安全產業界和學術界逐步證實了美國利用硬碟固件完成“持久化”的攻擊活動。


2014年1月,專注研究BIOS安全的網路安全專家達爾馬萬·薩利亨(Darmawan Salihun)撰文,分析曝光NSA的BIOS後門DEITYBOUNCE、GODSURGE等,並將這些惡意軟體稱為“上帝模式”;


2015年2月至3月期間,卡巴斯基發佈系列報告,揭露名為“方程式組織”(Equation Group)的APT組織,稱其已活躍了近20年,是“震網”和“火焰”病毒的幕後操縱者,在攻擊複雜性和攻擊技巧方面超越了歷史上所有的網路攻擊組織。


2016年,卡巴斯基根據RC演算法的常量值,驗證了駭客組織“影子經紀人”洩露的NSA資料屬於“方程式組織”,指出“方程式組織”在高價值目標中針對硬碟固件實現攻擊持久化的植入;


2015年3月和4月,安天先後發佈兩篇報告,分析“方程式組織”主要攻擊平臺的組成結構、關聯關係、回傳資訊、指令分支、C2位址、外掛程式功能,並解析了關鍵外掛程式“硬碟重程式設計”模組的攻擊技術原理,以及多個元件的本地配置和網路通訊加密演算法和金鑰;


2022年2月,中國網路安全廠商奇安信發佈報告稱,通過“影子經紀人”與斯諾登洩露的資料驗證了Bvp47是屬於NSA“方程式組織”的頂級後門,並還原了Dewdrops、“飲茶”(Suctionchar_Agent)嗅探木馬與Bvp47後門程式等其他元件配合實施聯合攻擊的場景。


第六篇 覆蓋全平臺的網路攻擊——“方程式組織”Solaris和Linux樣本的曝光


網路安全研究人員發現,超級攻擊組織力圖將其載荷能力擴展到一切可以達成入侵和持久化的場景。在這些場景中,各種伺服器作業系統,如Linux、Solaris、FreeBSD等,更是其高度關注的目標。基於這樣的研判,對於“方程式組織”這一超級APT攻擊組織,網路安全廠商展開了細緻深入的跟蹤研究。


2015年2月,卡巴斯基提出“方程式組織”可能具有多平臺攻擊能力,有實例證明,“方程式組織”惡意軟體DOUBLEFANTASY存在Mac OS X版本;


2016年11月,安天發佈報告,分析了“方程式組織”針對多種架構和系統的攻擊樣本,全球首家通過真實樣本曝光該組織針對Solaris(SPARC架構)、Linux系統攻擊能力;


2017年1月,安天基於“影子經紀人”洩露的“方程式組織”樣本分析,繪製“方程式組織”作業模組積木圖,揭示了美國通過精細化模組實現前後場控制、按需投遞惡意程式碼的作業方式。


第七篇 洩露的軍火——美國網路武器管理失控成為網路犯罪的工具


2017年5月12日,WannaCry勒索軟體利用NSA網路武器中的“永恆之藍”(Eternalblue)漏洞,製造了一場遍及全球的巨大網路災難。超級大國無節制地發展網路軍備,但又不嚴格保管,嚴重危害全球網路安全。


微軟曾在2017年3月份發佈了“永恆之藍”漏洞的補丁,而“影子經紀人”在2017年4月公佈的“方程式組織”使用的網路武器中包含了該漏洞的利用程式,駭客正是運用了這一網路武器,針對所有未及時打補丁的Windows系統電腦實施了此次全球性大規模攻擊;


中國國家互聯網應急中心(CNCERT)確認WannaCry勒索軟體在傳播時基於445埠並利用SMB服務漏洞(MS17-010),總體可以判斷是由於此前“影子經紀人”披露漏洞攻擊工具而導致的黑產攻擊威脅;


卡巴斯基分析認為網路攻擊所用的駭客工具“永恆之藍”是由 “影子經紀人”此前在網上披露,來自NSA的網路武器庫;


安天對該勒索軟體利用的SMB漏洞MS17-010進行分析,將其定性為“軍火級攻擊裝備的非受控使用”,並隨後發佈了“關於系統化應對NSA網路軍火裝備的操作手冊”;


360檢測到該勒索軟體傳播後迅速發佈警報,呼籲民眾及時安裝系統補丁和安全軟體,並在獲取到樣本後,推出了系列解決方案。


美國網路武器庫中的其他“軍火”一旦洩露可能會被針對性地使用,其衍生的危害可能不低於“永恆之藍”,它們的存在和洩露更加令人擔憂。


第八篇 軍備的擴散——美國滲透測試平臺成為駭客普遍利用的工具


美國未對其銷售的自動化攻擊平臺進行有效約束管控,導致滲透攻擊測試平臺Cobalt Strike等成為駭客普遍利用的工具,不僅給全球網路空間埋下了安全隱患,而且對他國安全造成了無法預估的潛在影響。


2015年5月,安天發現在一例針對中國政府機構的准APT攻擊事件中,攻擊者依託Cobalt Strike平臺生成的、使用信標(Beacon)模式進行通信的Shellcode,實現對目標主機遠端控制。在2015年中國互聯網安全大會(ISC 2015)上,安天對Regin、Cobalt Strike等主要商業化網路武器進行了系統梳理,分析指出,Cobalt Strike創始人拉菲爾·穆奇在美軍現役和預備役網路部隊的服役和研發背景,清晰地反映了美軍事網路技術和能力的外溢及破壞性;


美國安全公司Proofpoint調查結果顯示,2020年威脅行為體對Cobalt Strike的運用較上一年增加了161%,2019年至2021年,濫用Cobalt Strike的攻擊中有15%與已知的駭客組織有關;


美國網路安全公司Sentinelone分析顯示,Egregor勒索軟體的主要分發方式是Cobalt Strike;


奇安信監測發現,威脅組織“Blue Mockingbird”利用Telerik UI漏洞(CVE-2019-18935)攻陷伺服器,進而安裝Cobalt Strike信標並劫持系統資源挖掘門羅幣。


第九篇 “拱形”計畫的曝光——應對美國對網路安全廠商的監控


2015年6月22日,斯諾登披露了美國、英國有關情報機構實施的“拱形”計畫(CamberDADA)。該計畫主要利用美國入侵全球運營商的流量獲取能力,對卡巴斯基等反病毒廠商和使用者間通訊進行監控,以獲取新的病毒樣本及其他資訊。該計畫後續目標包括歐洲和亞洲16個國家的23家全球重點網路安全廠商,其中包括中國網路安全廠商安天。


分析認為,“拱形”計畫的目的:一是捕獲全球使用者向反病毒廠商上報的樣本,二是為TAO提供可重用樣本資源,三是監測反病毒廠商的處理能力及是否放行某些惡意程式碼樣本。


美國“攔截者”刊文稱,“拱形”計畫顯示自2008年開始NSA就針對卡巴斯基和其他反病毒廠商的軟體展開了系統性的間諜活動;


美國“連線”刊文稱,“拱形”計畫描繪了一個系統性的軟體“逆向工程”活動,通過監控網路安全廠商發現軟體漏洞,以便説明情報機構繞過這些軟體;


美國“福布斯”刊文稱,“拱形”計畫監控名單是美國情報機構對“五眼聯盟”國家以外的、有能力發現和遏制其網路活動的安全廠商“黑名單”;


中國新華社刊文稱,被列入監控範圍的反病毒企業紛紛對此表示不安,同時均稱對其安全產品有信心,沒有發現產品受到削弱;


安天發佈聲明稱,洩密文檔披露的主要是相關情報機構在公網通道監聽獲取使用者上報給廠商的郵件,並非是對安全廠商自身的網路系統和產品進行的攻擊。此份監控“目標名單”的出臺,將使本已出現裂痕與猜忌的全球安全產業更趨割裂。


第十篇 破窗效應——對“影子經紀人”和維琪解密洩露資料進行反覆運算分析


“影子經紀人”和維琪解密洩露資料進一步揭示了美國NSA和CIA兩大情報機構網路軍火庫的真實面目。“影子經紀人”分批曝光了NSA針對網路安全設備的攻擊裝備、針對全球伺服器攻擊清單清單、入侵SWIFT機構資料、FuzzBunch(FB)漏洞攻擊平臺和DanderSpritz(DSZ)遠控平臺等網路武器裝備,並稱這些攻擊裝備與“方程式組織”有關。NSA針對的目標包括俄羅斯、日本、西班牙、德國、義大利等在內的超過45個國家的287個目標,持續時間長達十幾年。“維琪解密”曝光了8761份據稱是CIA網路攻擊活動的秘密檔,其中包含7818個網頁和943份附件。洩露的檔包含龐大攻擊裝備庫的文檔資訊,其平檯面覆蓋非常廣泛,不僅包括Windows、Linux、iOS、Android等常見的作業系統,也包括智慧電視、車載智慧系統、路由器等網路節點單元和智慧設備。


全球網路安全學術界和產業界在震驚之餘,紛紛開始對洩露的資料進行整理和分析。針對“影子經紀人”曝光的材料,梳理出了NSA網路作業體系中以FB、Operation Center(OC)和DSZ為代表的三大核心模組;而維琪解密曝光的“七號軍火庫”(Vault 7)包含的CIA網路作業15個工具(集)和5個框架,也得到較為全面的整理。


2017年12月至2018年11月,安天發佈“美國網路空間攻擊與主動防禦能力解析”系列報告,從情報迴圈、進攻性能力支撐、攻擊裝備和積極防禦等多角度對美國網路空間攻防能力進行了系統化梳理;


2018年10月,卡巴斯基對DSZ中的DarkPulsar後門進行了深度分析,其持久性和潛伏能力的研究結果表明,背後的開發者非常專業,針對的是具有長期監視和控制價值的目標;


2021年12月,以色列安全廠商Checkpoint分析DSZ中的Double Feature元件後得出結論,DSZ(以及FB和OC)都是“方程式組織”龐大的工具集;


2020年3月,360披露了CIA攻擊組織(APT-C-39)對中國航空航太、科研機構、石油行業、大型互聯網公司以及政府機構等關鍵領域長達十一年的網路滲透攻擊;2022年3月,360發佈關於NSA攻擊組織APT-C-40的分析報告稱,該組織早在2010年就開始了針對中國系列行業龍頭公司的攻擊;


2022年3月,中國國家電腦病毒應急處理中心(CVERC)正式公開發佈了對NSA使用“NOPEN”木馬的分析報告。2022年9月曝光的針對中國西北工業大學攻擊中,NSA使用了多達41種網路武器,其中就有“影子經紀人”洩露過的NOPEN。


第十一篇 首次完整的溯源——複盤“方程式組織”攻擊中東技術設施的完整過程


2017年4月14日,“影子經紀人”曝光的美國網路攻擊相關資料中包含一個名為SWIFT的資料夾,其中包含一起2012年7月至2013年9月期間,針對中東地區最大的SWIFT服務提供者EastNets發起的攻擊行動。該行動成功竊取了EastNets在比利時、約旦、埃及和阿聯酋的上千個雇員帳戶、主機資訊、登錄憑證及管理員帳號。


2019年6月,安天基於“影子經紀人”洩露資料與歷史捕獲分析成果進行關聯分析,完整複盤了“方程式組織”攻擊中東最大SWIFT金融服務提供者EastNets事件,還原美國攻擊跳板、作業路徑、裝備運用、戰術過程、場景環境和作業後果,總結了美國此次作業使用的攻擊裝備資訊,指出美國擁有覆蓋全平臺全系統的攻擊能力和大量的零日漏洞儲備。


第十二篇 國際論壇上的鬥爭——揭露美國對網路空間安全的操控


美國利用其在網路空間的話語權,干擾和打壓正常國際交流,阻撓資訊的傳播和共用,而全球網路安全廠商和學術人員在各種國際會議和論壇上持續努力,揭露美國網路行為、意圖和活動。


2015年,德國《明鏡週刊》披露了NSA通過侵入(並利用)協力廠商網路基礎設施,獲取情報或實施網路攻擊的“第四方情報收集”手法和項目。卡巴斯基公司研究人員在2017年的Virus Bulletin年度會議上分析了這一攻擊手法的隱蔽性和高度複雜性;


2016年,美國哥倫比亞大學國際與公共事務學院的高級研究人員傑森·希利(Jason Healey)撰文,深入分析了美國漏洞公平裁決程式(VEP)自2008到2016年的發展歷程,並對當前(2016年)美國可能囤積的零日漏洞軍火數量進行了謹慎的估算;


中國復旦大學沈逸教授在2013年“新時代網路威脅之路”研討會對美國國家監控行為進行歷史梳理;


安天在2015年“中俄網路空間發展與安全論壇”上,對美“方程式組織”的特點、能力及對中國重點基礎工業企業攻擊情況進行了分析。


第十三篇 限制和打壓——美國泛化安全概念制裁他國網路安全廠商


近年來,美國為了維護其政治霸權、經濟利益以及軍事技術和能力優勢,泛化“國家安全”概念,制裁具備技術競爭力的他國知名網路安全企業,不顧破壞國際秩序和市場規則,不惜損害包括美國在內的全球消費者利益。其主要做法包括:


禁用卡巴斯基的軟體產品。2017年9月13日,美國國土安全部以卡巴斯基可能威脅美國聯邦資訊系統安全為由,要求所有聯邦機構90天內卸載所使用的卡巴斯基軟體產品;


運用實體清單制約中國企業發展。2020年5月22日,網路安全企業——奇虎360被美國商務部列入“實體清單”;


對曝光美國網路攻擊行為的他國安全企業施壓。2016年12月22日,美國NetScout公司發文稱中國網路安全公司安天是“中國反APT”代言人;2022年2月17日,美國國會“美中經濟與安全審查委員會”(USCC)聽證會特別點名安天和奇虎360,因其公開發表了對NSA和CIA網路空間行動的分析。


對中國網安企業另冊排名並據此打壓。自2019年起,Cybersecurity Ventures的“網路安全500強”名單被“網路安全公司熱門150強名單”所取代,上榜的均為歐美廠商。2020年9月,Cybersecurity Ventures發佈中國最熱門、最具創新性的“中國網路安全公司”名單,包括安天、奇虎360、奇安信、山石網科、安恒、深信服、微步線上等20家企業,而2022年USCC聽證會專家正是依據此份名單,建議美商務部、財政部將其中企業列入實體名單、制裁名單