360曝美國10多年對全球無差別網絡攻擊,中國成重點目標

吕栋[email protected]

【文/觀察者網 呂棟 編輯/周遠方】

繼美國國安局頂級Linux平台後門不久前被中國研究員曝光後,中國企業日前再次將美國無差別網絡攻擊中國和全球多國的重要證據呈現在世人面前。

3月3日,觀察者網從360公司獲取的一份報告顯示,從2008年開始,該公司整合海量安全大數據,獨立捕獲大量高級複雜的攻擊程序,通過長期的分析與跟蹤並實地從多個受害單位取證,結合關聯全球威脅情報,以及對斯諾登事件、“影子經紀人”黑客組織的持續追蹤,確認這些攻擊屬於美國國安局(NSA)組織,進而證實了NSA長期對我國開展極為隱蔽的攻擊行動。

事實上,隨着近些年國家重視程度不斷提高,中國的網絡安全防禦模式已較為完整,但仍存在諸多不足。漏洞銀行CTO張雪松在接受觀察者網採訪時指出,上一階段,國家大範圍信息系統安全性已經得到穩步提高,下個階段將是面對高級和先進威脅攻擊的防禦體系階段,國家在此方面的建設仍有一段路要走。

觀察者網瞭解到,隨着全國兩會如期召開,全國政協委員、360創始人周鴻禕將在提案中建議,把網絡安全升級為數字安全,同時建議國家把數字安全納入新基建,調集社會各方力量共同參與數字安全體系建設。

美國國家安全局局長、陸軍中將保羅•納卡森

美國對全球長期無差別攻擊,中國是重點

美國國家安全局隸屬美國國防部,專門從事電子通信偵察,主要任務是蒐集各國的信息資料,揭露潛伏間諜通信聯絡活動,為美國政府提供各種加工整理的情報信息。360報告顯示,長期以來,為達到美國政府情報收集目的,NSA組織針對全球發起大規模網絡攻擊,中國就是NSA組織的重點攻擊目標之一。

觀察者網從360公司瞭解到,NSA非法入侵不僅能竊取情報,還可以對電力、水利、電信、交通、能源等關鍵基礎設施發起攻擊,從而對公共數據、公共通信網絡、公共交通網絡、公共服務等造成災難性後果。除此之外,NSA還選擇將通信行業視為重點攻擊目標,長期“偷窺”及收集關於通信行業存儲的大量個人信息及行業關鍵數據。在NSA監視下,全球數億公民的隱私和敏感信息無處藏身猶如“裸奔”。

360報告截圖

2013年,前美國中央情報局(CIA)職員、美國安局(NSA)外包技術員愛德華·斯諾登向全世界揭發美國政府收集用户數據信息的醜聞,並泄漏NSA組織大量網絡戰機密文檔資料,這起美國歷史上最嚴重的泄密事件轟動全球。經此一事,“網絡戰”及“國家級網絡威脅”等概念為全世界所認知,360隨後開始重點跟進。

360安全團隊通過對取證數據分析,發現APT-C-40(360給NSA及其關聯機構的單獨編號)針對系列行業龍頭公司的攻擊實際開始於2010年,結合網絡情報分析研判該攻擊活動與NSA的某網絡戰計劃實施時間前後銜接,攻擊活動涉及企業眾多關鍵的網絡管理服務器和終端。

在談到美國10多年來的無差別攻擊證據時,漏洞銀行CTO張雪松向觀察者網指出,黑客組織“影子經紀人”(Shadow Brokers)2016年曾攻陷NSA下屬黑客團隊“方程式組織”,並公佈NSA網絡武器庫,其中包括有“永恆之藍”等針對windows系統的致命漏洞,之後全球知名的Wanacry勒索病毒,也是根據永恆之藍編寫的。通過大量網絡攻擊分析發現,全球大量攻擊均採用了NSA武器庫中的攻擊方式和工具,全球影響47個國家和上百個國家關鍵基礎設施。從這些情況可明顯看出,美國NSA的武器庫對全球系統的影響是無差別的。

Shadow Brokers

360報告中提到,NSA發展的QUANTUM(量子)攻擊經常配套使用的是代號為FOXACID(酸狐狸)的系統。FOXACID是NSA設計的一個威力巨大的0Day漏洞攻擊平台,並且可以對漏洞攻擊的主要步驟實施自動化,劫持網絡運營商的正常網絡流量,是一件“大規模入侵工具”。根據NSA機密文檔介紹,FOXACID服務器使用了各種瀏覽器0Day漏洞,比如Flash、IE、火狐瀏覽器漏洞,用於向計算機目標植入木馬程序。

眾所周知,美國英特爾、微軟、甲骨文、谷歌等科技巨頭目前掌握着全球互聯網科技的軟硬件核心技術,市場上也因此有説法稱部分0day漏洞是被某些公司刻意設計了後門。

AtlasVPN報告:2021年上半年,谷歌、微軟和甲骨文出現的網絡安全漏洞最多

針對這種觀點,張雪松向觀察者網表示,0day漏洞確實是留存在代碼中的缺陷或錯誤邏輯造成,隨着軟硬件的發佈與出廠,就已經攜帶了這些缺陷,當然諸多的國外系統,頻頻爆出致命漏洞,不得不讓人們懷疑是在程序編寫時故意設計的,更何況像微軟、甲骨文等頂級程序員所在的公司,都存在大量的系統漏洞,更是讓人們無法相信這些0day漏洞產生的合理性。

張雪松指出,根據專業的安全人員分析,很多0day的存在確實是存在不合理性的,但是目前並未有國外公司承認這一點,往往以編程“失誤”等緣由而告終,甚至同樣的“失誤”還會發生多次,但無論這些後門是否是被設計的,都應該想方設法提高對此類威脅的防禦能力。

360方面則告訴觀察者網,理論上來講,安全漏洞取決一個計算機系統的複雜程度,只要是人寫的程序必然存在錯誤和漏洞,這就是所謂的“先天不足”。當然也有一些可能刻意設計的後門,取決於針對什麼樣的工程設計後門,如果是行業級別的複雜工程是需要有頂尖安全技術能力的科學家才能實現。

中國網絡安全防禦仍存不足,周鴻禕建議將數字安全納入新基建

根據360報告,NSA為了監控全球的目標制定了眾多的作戰計劃,360安全專家通過對中招後提取的Validator後門樣本配置字段進行統計分析,推演出NSA針對中國的大型攻擊活動,僅Validator一項的感染量保守估計達幾萬數量級,隨着持續攻擊演進感染量甚至可能已經達到數十萬、百萬量級。

觀察者網瞭解到,NSA對中國境內的目標攻擊如政府、金融、科研院所、運營商、教育、軍工、航空航天、醫療等行業,重要敏感單位及組織機構成為主要目標,佔比重較大的是高科技領域。同時,根據NSA機密文檔中描述的FOXACID服務器代號,結合360全球安全大數據視野,可發現其針對英國、德國、法國、韓國等全球47個國家及地區發起攻擊,403個目標受到影響,潛伏時間長達十幾年。

3月3日晚間,中國外交部發言人汪文斌就360報告曝光的內容指出,“具有諷刺意味的是,作為全球頭號的黑客帝國,美國還以受害者形象誤導國際社會,試圖主導網絡安全國際議程”。他強調,網絡空間是人類的共同家園,網絡攻擊是全球面臨的共同威脅,中方再次強烈要求美國停止針對中國和全球的網絡竊密和攻擊,切實採取負責任的態度,與各方一道共同維護網絡空間和平與安全。

觀察者網微博截圖

從NSA的無差別攻擊不難看出,網絡攻擊近些年已從虛擬世界影響到現實世界,小毛賊、小黑客已成歷史,以國家級黑客組織為代表的高級別專業力量入場,關鍵基礎設施、城市、大型企業成為網絡攻擊的首選目標,數據成為新的攻擊對象。

與此同時,360報告提到,中國數字安全投入佔比在全球範圍內仍相對較低,發達國家僅網絡安全佔整體IT的投入佔比已達10%,而國內尚不足1%,究其原因是部分政企單位僅依照合規堆砌產品,缺乏實戰能力,缺乏科學能力評估。

針對中國網絡安全現狀,張雪松向觀察者網表示,中國目前安全現狀仍處於十分嚴峻的狀況,來自境外的網絡攻擊已經愈演愈烈,更有專門針對國家支柱產業的定向攻擊。過去十年間,國家網絡安全基本從防禦薄弱型演變為系統性防禦態勢,已經具備的較為完整的防禦模式,但是面對持續不斷的致命漏洞和新型的攻擊方式,仍存在諸多不足。近些年隨着國家數字化建設和安全治理的重視,國家大範圍的信息系統安全性已經得到了穩步提高,下個階段將是面對高級和先進威脅攻擊的防禦體系階段,國家在此方面的建設仍有一段路要走。

為此,360創始人周鴻禕將在今年全國兩會提案中建議,將網絡安全升級為數字安全,打造覆蓋所有數字化場景的數字安全防範應急體系,包括應對工業互聯網、車聯網、智慧城市,以及雲安全、數據安全、供應鏈安全等挑戰。同時,他建議國家把數字安全納入新基建,各地數字化建設之初便將安全考慮在內,並互聯互通,調集社會各方力量共同參與數字安全體系建設,真正提升國家數字安全能力。

360公司創始人周鴻禕(資料圖)

網絡安全事關國家安全,政府層面其實早已展開行動。

張雪松告訴觀察者網,中國開展的信創工程改變了國家早期的安全格局,從根源上提高了境外攻擊的難度,因為在系統底層上存在信息系統的不同,導致黑客利用通用0day漏洞攻擊的方式大打折扣,這必然形成了具有中國特色的信息化道路,對於全球嚴峻的網絡攻擊形勢,將產生新的秩序變化。國家已經在這條道路上走出了部分成績,未來將能夠實現更多信創工程的落地,完全實現國家獨立自主的信息體系。

2021年12月,美國Apache基金會開源項目的Log4j2組件被發現存在遠程代碼執行漏洞,該漏洞被業內稱為“核彈級”漏洞,引起業界對開源軟件安全的重視。

周鴻禕對此表示,在Log4j2漏洞曝出之前,開源軟件漏洞便已存在大量漏洞,只不過此漏洞的爆發引起了外界的普遍關注。儘管如此,周鴻禕對開源軟件依然持積極看法,並十分提倡開源精神,認為這是新時代的“集中力量辦大事”,沒有開源軟件也就沒有中國互聯網的今天。

然而,從安全的角度,開源軟件很容易成為他國對我進行網絡滲透攻擊的渠道。因此,周鴻禕將在提案中建議,加強對開源軟件的代碼審查,國內軟件業應該積極參與國際開源社區互動,不斷提高話語權,建立影響力,鼓勵第三方市場力量參與國內開源生態建設,儘快掌控開源軟件資源應用的主動權。

2022年,是周鴻禕第五年參加兩會。過去四年,他已向全國兩會提交12份提案,覆蓋5G、車聯網、工業互聯網、新基建、城市安全等新興領域的安全問題。今年,他的提案將聚焦數字安全、智能網聯汽車安全、開源軟件安全以及中小企業安全等領域。

企業需承擔網絡安全合規責任,否則將面臨處罰

在360報告披露不久前,奇安信旗下奇安盤古實驗室曾發佈報告,披露來自美國的Linux平台後門——“電幕行動”(Bvp47)的完整技術細節和攻擊組織關聯。該公司稱,這是隸屬於NSA的超一流黑客組織——“方程式”所製造的頂級後門,用於入侵後窺視並控制受害組織網絡,已侵害全球45個國家和地區。

奇安盤古實驗室報告截圖

滙業律師事務所高級合夥人、網絡安全和數據合規專家李天航向觀察者網指出,通過美國NSA對全球的攻擊看,網絡安全不僅是企業自身的安全,更是國家安全的基礎。NSA的攻擊相比黑客的攻擊危害更大,其主要針對關鍵(信息)基礎設施,獲取重要的個人信息和數據。危害的不僅僅是企業的安全,更是國家安全和社會公共利益。

在《網絡安全法》《數據安全法》《個人信息保護法》相繼公佈施行後,國家在企業落實網絡、數據、個人信息保護等領域的安全義務框架規範已基本健全,企業在受到網絡攻擊後,不僅要遭受網絡、數據與個人信息方面的損失,還要因為未履行或者完全履行網數領域合規義務而遭受處罰,目前,公安機關已在數年前就提出了“一案雙查”的要求。

李天航認為,企業在做好網絡、數據與個人信息等領域的安全措施同時,還必須落實網數領域的法律合規要求。概括來説,主要有以下幾個方面:

一、網絡安全等級保護義務和應急預案。等保義務包括崗位、制度、數據備份、安全防護措施、網絡日誌留存6個月以上等,等保二級以上的還需要向公安機關備案。關鍵信息基礎設施運營者還應當履行更為嚴格的義務,相關網絡符合等保三級以上要求。

二、採購符合國家強制性標準的關鍵網絡設備,關鍵信息基礎設施運營者網絡產品和服務可能影響國家安全的,需要通過網絡安全審查等。

三、對數據採取分類分級保護措施,對重要數據與核心數據採取更為嚴格的保護措施。開展數據處理活動加強風險監控措施;對重要數據處理活動定期開展風險評估並報告有關主管部門等。

四、關鍵信息基礎設施運營者在境內收集的重要數據和個人信息,達到網信部門規定數量的個人信息處理者收集的個人信息,行業有特殊要求的重要數據等都應當在境內存儲。個人信息和重要數據出境還需要通過國家規定安全評估等措施。

五、向境外司法、執法機構提供數據應當通過外交或者國際條約、協定等規定的渠道。未經中國主管部門批准,不得將個人信息和數據向境外司法、執法機構提供。

李天航向觀察者網指出,這些僅僅是法律規定的部分要求,在企業面臨越來越嚴重的網絡安全威脅情況下,企業需要首先做好合規措施,否則,在自身遭受網絡安全威脅的同時,可能還要面臨嚴重的處罰。

附:美國安局網絡攻擊手法剖析

(1)QUANTUM(量子)攻擊系統

QUANTUM(量子)攻擊系統是NSA發展的一系列網絡攻擊與利用平台的總稱,其下包含多個子項目,均以QUANTUM開頭命名。它是NSA最強大的互聯網攻擊工具,也是NSA進行網絡情報戰最重要的能力系統之一,最早的項目從2004年就已經開始創建。

從文檔中不難看出,在NSA的三個主要網絡戰方向(CNE、CNA、CND)中,QUANTUM均有相關項目。NSA利用美國在全球網絡通訊和互聯網體系中所處的核心地位,利用先進技術手段實現對網絡信號的監聽、截獲與自動化利用,QUANTUM項目的本質就是在此基礎上實現的一系列數據分析與利用能力。

(2)FOXACID(酸狐狸)0Day漏洞攻擊平台

QUANTUM(量子)攻擊經常配套使用的是代號為FOXACID(酸狐狸)的系統。FOXACID是NSA設計的一個威力巨大的0Day漏洞攻擊平台,並且可以對漏洞攻擊的主要步驟實施自動化,甚至讓沒有什麼網絡攻擊經驗的運營商也參與進來,成為一件威力巨大的“大規模入侵工具”。 根據NSA機密文檔介紹,FOXACID服務器使用了各種瀏覽器0Day漏洞,比如Flash、IE、火狐瀏覽器漏洞,用於向計算機目標植入木馬程序。

而從現有情報來看,FOXACID在2007年之前就已經開始投入運作,直到2013年仍有其使用的痕跡,以此估算其使用時間至少長達八年之久。NSA依靠與美國電信公司的秘密合作,把FOXACID服務器放在Internet骨幹網,保證了FOXACID服務器的反應速度要快於實際網站服務器的反應速度。利用這個速度差,QUANTUM(量子)注入攻擊可以在實際網站反應之前模仿這個網站,迫使目標機器的瀏覽器來訪問FoxAcid服務器。

(3)Validator(驗證器)後門

Validator(驗證器)是用於FoxAcid項目的主要後門程序之一,一般被用於NSA的初步入侵,通過其再植入更復雜的木馬程序,比如UnitedRake(聯合耙),每個被植入的計算機系統都會被分配一個唯一的驗證ID。

根據NSA機密文檔的描述,Validator主要配合FOXACID攻擊使用,基於基本的C/S架構,為敏感目標提供了可供接觸的後門。Validator可以通過遠程和直接接觸進行部署,並提供了7x24小時的在線能力。Validator是一種很簡單的後門程序,提供了一種隊列式的操作模式,只能支持上傳下載文件、執行程序、獲取系統信息、改變ID和自毀這類簡單功能。

(4)UNITEDRAKE(聯合耙)後門系統

UNITEDRAKE(聯合耙),是NSA開發的一套先進後門系統。360安全專家通過對泄露的相關文檔進行分析,UNITEDRAKE的整體結構大致分為5個子系統,分別是服務器、系統管理界面、數據庫、模塊插件集和客户端,其關係如下所示:

**服務器:**服務器即為CC服務器,主要功能為接受客户端的連接請求,並且管理客户端和其他子系統間的通訊,設計該系統的目的為儘可能的減少操作請求次數。在文檔中其被描述為 Listening Port,即監聽端口。

**系統管理界面:**系統管理界面為一套圖形用户界面,操作者可以通過該界面直接查看客户端狀態、給客户端下發命令、管理插件和調整客户端的配置。在文檔中其被描述為UR GUI。

**插件模塊集:**該部分為整套UNITEDRAKE系統的技術核心,功能插件化使得整套系統具備極強的可擴展性和適應性;一個插件模塊由一個或多個客户端插件,一個或多個服務端插件以及一個或多個系統管理界面組件組成的,三者配合共同組成一個完整的功能插件模塊;並且針對不同的行動,插件模塊可以根據任務需求彈性化選擇組合與安裝。

**數據庫:**UNITEDRAKE系統使用SQL數據庫來存儲和管理一下信息:系統配置信息、客户端配置信息、各類狀態信息和收集到的數據。

**客户端:**客户端程序,即為下發植入的木馬程序;其能隱蔽的植入目標機器中,併為進一步的攻擊提供支持,客户端的設計重點為提高隱蔽性。