14日,国家计算机病毒应急处理中心曝光了美国对外攻击窃密所使用的主战网络武器“NOPEN”。持续多年跟踪分析全球APT(高级持续性威胁)攻击活动的安天科技集团15日接受《环球时报》记者采访时进一步曝光了美国网络攻击活动的十大作业特点,披露美方将网络空间仅视为达成窃密的通道之一,美方采用人力、电磁、网空作业三结合的方式,达到其最优攻击效果,面对美方攻击能力,没有安全的系统。
美国国家安全局(NSA)打造了体系化的网络攻击平台和制式化的攻击装备库,美国国家安全局下的特别行动办公室(TAO)是这些攻击装备的主要使用者,该办公室下设5个部门,包括高级网络技术部门(ANT)、数据网络技术部门(DNT)等。安天科技集团副总工程师李柏松对《环球时报》表示,其中ANT部门拥有不少于48种网络攻击装备,“ANT攻击装备家族是美方在2008年前后陆续批量列装的攻击装备体系,基本覆盖了主流的桌面主机、服务器、网络设备、网络安全设备、移动通讯设备等。装备形态包括恶意代码载荷、计算机外设、信号通讯设备等。这些装备可以组合使用,以达成复杂攻击作业目标。其中,软件装备主要用于向各类IT设备系统中植入持久化后门,其目的以长期驻留潜伏、窃取信息为主;硬件装备有的伪装成计算机外设,有的以独立的硬件设备形态出现,用以进行恶意代码注入、建立第二控制和信息回传信道等。”
另外一个部门DNT的攻击装备则包括Fuzzbunch漏洞攻击平台和DanderSpritz远控平台,“这些攻击装备涉及大量系统级0day漏洞利用工具和先进的后门程序,体现了美方的超级0day漏洞储备能力和攻击技术水平。”李柏松表示,“美方在网络攻击装备上的优势,源自于其试图覆盖所有主流IT场景的作业目标,多年持续性巨量的资金投入,并获得美主要IT企业的深度信息共享支持。”
根据对美方相关武器和攻击行动的分析,安天总结出美方网络攻击作业的十大特点,就其中一些特点,李柏松进行了具体阐述。
首先,进行全面的前期侦查与信息搜集。例如在2010年7月“震网”(Stuxnet)蠕虫攻击事件中(Stuxnet是一个面向工业系统进行攻击的病毒,采用构造阀门超压和改变转速方式破坏铀离心装置系统,是世界上首个网络“超级破坏性武器”,据称造成了超过2/3的伊朗离心机损坏,后续还扩散感染了全球超过45000个网络端点),美方经历了超过4年的准备过程,在攻击伊朗核设施之前,美方已经完全渗透了伊朗的基础工业机构,包括设备生产商、供应商、软件开发商等,完整研究与模拟了伊朗核工业体系,知己知彼后才实施最后攻击。
其次,超强的边界突防能力,美方针对网络防火墙、路由器、交换机、VPN等网络设备0day漏洞储备丰富,能隐蔽打入控制边界和网络设备,进行流量转发,并将此作为持续攻击内网目标的中继站。(例如在对中东最大SWIFT服务提供商EastNets攻击中,美方就先后入侵了外层的VPN防火墙和内层企业级防火墙,并在防火墙上安装了木马。)
第三,美方攻击手段已经实现人力、电磁、网空作业三结合,美方将网络空间仅视为达成窃密的通道之一,组合人力手段和电磁手段达到最优攻击效果。例如:代号为水蝮蛇I号的设备,就融合了基于USB接口的木马注入和数据无线回传机制,根据资料,最大通讯距离可达8英里。
第四,超强的突破物理隔离网络能力。美方基于物流链劫持、人工带入等方式,借助外设和辅助信号装置,实现建立桥头堡、构建第二电磁信道等方式,突破物理隔离网络。例如在震网攻击中,根据相关信息,由荷兰情报机构人员进入到现场,将带有震网病毒的USB设备接入到隔离内网发起攻击。
第五,恶意代码载荷基本覆盖所有操作系统平台。在已曝光的美方攻击行动中,已发现各类操作系统平台样本,如Windows、Linux、Solaris、Android、OSX、iOS等。可以说面对美方攻击能力,没有安全的系统。
第六,广泛采用无文件实体技术,采用直接内存加载执行或建立隐藏磁盘存储空间等方式隐蔽样本,同时通过固件等方式实现更隐蔽的持久化。例如,DanderSprit木马框架中就包括写入硬盘固件的组件,在攻击过程中,针对符合预设条件的主机,将木马写入到硬盘固件中。即使用户重新安装系统,木马依然能重新加载。
李柏松表示,网络安全防护工作必须正视威胁、直面对手,要充分认识到网络安全所面临风险挑战的高度严峻性,深入贯彻总体国家安全观,以捍卫国家主权、安全和发展利益的高度开展网络安全防御工作。
(来源:环球时报-环球网 记者 郭媛丹)
