中國(guó)網(wǎng)安企業(yè)曝光美方網(wǎng)絡(luò)攻擊特點(diǎn) ：當(dāng)年攻擊伊朗核設(shè)施前，美國(guó)曾準(zhǔn)備了4年多

【環(huán)球時(shí)報(bào)-環(huán)球網(wǎng)報(bào)道 記者郭媛丹】14日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心曝光了美國(guó)對(duì)外攻擊竊密所使用的主戰(zhàn)網(wǎng)絡(luò)武器“NOPEN”。持續(xù)多年跟蹤分析全球APT(高級(jí)持續(xù)性威脅)攻擊活動(dòng)的安天科技集團(tuán)15日接受《環(huán)球時(shí)報(bào)》記者采訪時(shí)進(jìn)一步曝光了美國(guó)網(wǎng)絡(luò)攻擊活動(dòng)的十大作業(yè)特點(diǎn)，披露美方將網(wǎng)絡(luò)空間僅視為達(dá)成竊密的通道之一，美方采用人力、電磁、網(wǎng)空作業(yè)三結(jié)合的方式，達(dá)到其最優(yōu)攻擊效果，面對(duì)美方攻擊能力，沒(méi)有安全的系統(tǒng)。 美國(guó)國(guó)家安全局(NSA)打造了體系化的網(wǎng)絡(luò)攻擊平臺(tái)和制式化的攻擊裝備庫(kù)，美國(guó)國(guó)家安全局下的特別行動(dòng)辦公室(TAO)是這些攻擊裝備的主要使用者，該辦公室下設(shè)5個(gè)部門(mén)，包括高級(jí)網(wǎng)絡(luò)技術(shù)部門(mén)(ANT)、數(shù)據(jù)網(wǎng)絡(luò)技術(shù)部門(mén)(DNT)等。安天科技集團(tuán)副總工程師李柏松對(duì)《環(huán)球時(shí)報(bào)》表示，其中ANT部門(mén)擁有不少于48種網(wǎng)絡(luò)攻擊裝備，“ANT攻擊裝備家族是美方在2008年前后陸續(xù)批量列裝的攻擊裝備體系，基本覆蓋了主流的桌面主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、移動(dòng)通訊設(shè)備等。裝備形態(tài)包括惡意代碼載荷、計(jì)算機(jī)外設(shè)、信號(hào)通訊設(shè)備等。這些裝備可以組合使用，以達(dá)成復(fù)雜攻擊作業(yè)目標(biāo)。其中，軟件裝備主要用于向各類(lèi)IT設(shè)備系統(tǒng)中植入持久化后門(mén)，其目的以長(zhǎng)期駐留潛伏、竊取信息為主；硬件裝備有的偽裝成計(jì)算機(jī)外設(shè)，有的以獨(dú)立的硬件設(shè)備形態(tài)出現(xiàn)，用以進(jìn)行惡意代碼注入、建立第二控制和信息回傳信道等。” 另外一個(gè)部門(mén)DNT的攻擊裝備則包括Fuzzbunch漏洞攻擊平臺(tái)和DanderSpritz遠(yuǎn)控平臺(tái)，“這些攻擊裝備涉及大量系統(tǒng)級(jí)0day漏洞利用工具和先進(jìn)的后門(mén)程序，體現(xiàn)了美方的超級(jí)0day漏洞儲(chǔ)備能力和攻擊技術(shù)水平?！崩畎厮杀硎?，“美方在網(wǎng)絡(luò)攻擊裝備上的優(yōu)勢(shì)，源自于其試圖覆蓋所有主流IT場(chǎng)景的作業(yè)目標(biāo)，多年持續(xù)性巨量的資金投入，并獲得美主要IT企業(yè)的深度信息共享支持?！? 根據(jù)對(duì)美方相關(guān)武器和攻擊行動(dòng)的分析，安天總結(jié)出美方網(wǎng)絡(luò)攻擊作業(yè)的十大特點(diǎn)，就其中一些特點(diǎn)，李柏松進(jìn)行了具體闡述。 首先，進(jìn)行全面的前期偵查與信息搜集。例如在2010年7月“震網(wǎng)”(Stuxnet)蠕蟲(chóng)攻擊事件中(Stuxnet是一個(gè)面向工業(yè)系統(tǒng)進(jìn)行攻擊的病毒，采用構(gòu)造閥門(mén)超壓和改變轉(zhuǎn)速方式破壞鈾離心裝置系統(tǒng)，是世界上首個(gè)網(wǎng)絡(luò)“超級(jí)破壞性武器”，據(jù)稱(chēng)造成了超過(guò)2/3的伊朗離心機(jī)損壞，后續(xù)還擴(kuò)散感染了全球超過(guò)45000個(gè)網(wǎng)絡(luò)端點(diǎn))，美方經(jīng)歷了超過(guò)4年的準(zhǔn)備過(guò)程，在攻擊伊朗核設(shè)施之前，美方已經(jīng)完全滲透了伊朗的基礎(chǔ)工業(yè)機(jī)構(gòu)，包括設(shè)備生產(chǎn)商、供應(yīng)商、軟件開(kāi)發(fā)商等，完整研究與模擬了伊朗核工業(yè)體系，知己知彼后才實(shí)施最后攻擊。 其次，超強(qiáng)的邊界突防能力，美方針對(duì)網(wǎng)絡(luò)防火墻、路由器、交換機(jī)、VPN等網(wǎng)絡(luò)設(shè)備0day漏洞儲(chǔ)備豐富，能隱蔽打入控制邊界和網(wǎng)絡(luò)設(shè)備，進(jìn)行流量轉(zhuǎn)發(fā)，并將此作為持續(xù)攻擊內(nèi)網(wǎng)目標(biāo)的中繼站。(例如在對(duì)中東最大SWIFT服務(wù)提供商EastNets攻擊中，美方就先后入侵了外層的VPN防火墻和內(nèi)層企業(yè)級(jí)防火墻，并在防火墻上安裝了木馬。) 第三，美方攻擊手段已經(jīng)實(shí)現(xiàn)人力、電磁、網(wǎng)空作業(yè)三結(jié)合，美方將網(wǎng)絡(luò)空間僅視為達(dá)成竊密的通道之一，組合人力手段和電磁手段達(dá)到最優(yōu)攻擊效果。例如：代號(hào)為水蝮蛇I號(hào)的設(shè)備，就融合了基于USB接口的木馬注入和數(shù)據(jù)無(wú)線回傳機(jī)制，根據(jù)資料，最大通訊距離可達(dá)8英里。 第四，超強(qiáng)的突破物理隔離網(wǎng)絡(luò)能力。美方基于物流鏈劫持、人工帶入等方式，借助外設(shè)和輔助信號(hào)裝置，實(shí)現(xiàn)建立橋頭堡、構(gòu)建第二電磁信道等方式，突破物理隔離網(wǎng)絡(luò)。例如在震網(wǎng)攻擊中，根據(jù)相關(guān)信息，由荷蘭情報(bào)機(jī)構(gòu)人員進(jìn)入到現(xiàn)場(chǎng)，將帶有震網(wǎng)病毒的USB設(shè)備接入到隔離內(nèi)網(wǎng)發(fā)起攻擊。 第五，惡意代碼載荷基本覆蓋所有操作系統(tǒng)平臺(tái)。在已曝光的美方攻擊行動(dòng)中，已發(fā)現(xiàn)各類(lèi)操作系統(tǒng)平臺(tái)樣本，如Windows、Linux、Solaris、Android、OSX、iOS等?？梢哉f(shuō)面對(duì)美方攻擊能力，沒(méi)有安全的系統(tǒng)。 第六，廣泛采用無(wú)文件實(shí)體技術(shù)，采用直接內(nèi)存加載執(zhí)行或建立隱藏磁盤(pán)存儲(chǔ)空間等方式隱蔽樣本，同時(shí)通過(guò)固件等方式實(shí)現(xiàn)更隱蔽的持久化。例如，DanderSprit木馬框架中就包括寫(xiě)入硬盤(pán)固件的組件，在攻擊過(guò)程中，針對(duì)符合預(yù)設(shè)條件的主機(jī)，將木馬寫(xiě)入到硬盤(pán)固件中。即使用戶重新安裝系統(tǒng)，木馬依然能重新加載。 李柏松表示，網(wǎng)絡(luò)安全防護(hù)工作必須正視威脅、直面對(duì)手，要充分認(rèn)識(shí)到網(wǎng)絡(luò)安全所面臨風(fēng)險(xiǎn)挑戰(zhàn)的高度嚴(yán)峻性，深入貫徹總體國(guó)家安全觀，以捍衛(wèi)國(guó)家主權(quán)、安全和發(fā)展利益的高度開(kāi)展網(wǎng)絡(luò)安全防御工作。