《美國情報機構網絡攻擊的歷史回顧》報告發布

  網絡滲透測試     |      2023-04-12 01:19

“斯諾登事件”迄今已近十年,伴隨著“棱鏡門”的曝光,國家級網絡攻擊行為逐漸浮出水面。早在此前,已有多方信息顯示,美相關機構利用其技術和先發優勢針對他國開展網絡攻擊行為。為系統呈現美情報機構開展全球網絡攻擊活動的情況,中國網絡安全產業聯盟(CCIA)精心編制,并于今日發布了《美國情報機構網絡攻擊的歷史回顧——基于全球網絡安全界披露信息分析》(以下簡稱《報告》)。

《報告》立足網絡安全專業視角,堅持科學、客觀、中立原則,基于全球數十家網絡安全企業、研究機構及專家學者的近千份研究文獻,充分整合各方分析過程及研究成果,力求通過業界和學界的分析實證,努力呈現美相關機構對他國進行網絡攻擊的情況,揭示網絡霸權對全球網絡空間秩序構成的重大破壞及嚴重威脅。

《報告》按照時間和事件脈絡,共分為13篇,主要包括美國情報機構網絡攻擊他國關鍵基礎設施,進行無差別網絡竊密與監控,植入后門污染標準及供應鏈源頭,開發網絡攻擊武器并造成泄露,所售商用攻擊平臺失控而成為黑客利器,干擾和打壓正常的國際技術交流與合作,打造符合美國利益的標準及秩序,阻礙全球信息技術發展,制造網絡空間的分裂與對抗等。

各篇概要如下:

  第一篇 網絡戰的開啟——對“震網”事件的分析

2010年美國情報機構使用“震網”病毒(Stuxnet)攻擊伊朗核設施,打開了網絡戰的“潘多拉魔盒”。在信息技術發展歷史上,出現過大量網絡病毒和攻擊事件,但“震網”事件是首個得到充分技術實證、對現實世界中的關鍵工業基礎設施造成了與傳統物理毀傷等效的網絡攻擊行動。全球網絡安全廠商與專家的接力分析,對這次攻擊行動進行了十分充分的畫像,逐步將幕后黑手鎖定美國情報機構。

2010年6月,白俄羅斯網絡安全公司VirusBlokAda技術人員在伊朗客戶電腦中發現了一種新的蠕蟲病毒,根據代碼中出現的特征字“stux”將其命名為“Stuxnet”;

2010年9月,美國網絡安全廠商賽門鐵克披露“震網”病毒的基本情況、傳播方法、攻擊目標,及病毒演化過程;

俄羅斯網絡安全廠商卡巴斯基針對“震網”病毒先后發表數十篇報告,從功能行為、攻擊目標、漏洞利用、規避對抗、命令和控制服務器等多方面進行全面分析,尤其討論了“震網”病毒所利用的LNK漏洞和具有簽名的驅動程序,并指出如此復雜的攻擊只能在“國家支持下”才可進行;

中國網絡安全廠商安天陸續發布3篇報告,分析“震網”病毒的攻擊過程、傳播方式、攻擊意圖、文件衍生關系和利用的多個零日漏洞、更新方式及USB擺渡傳播條件的技術機理,總結其攻擊特點和對工業控制系統現場設備的影響過程,并推測可能的攻擊場景,搭建環境模擬其對工控系統的攻擊過程;

2013年11月,德國IT安全專家拉爾夫·朗納(Ralph Langner)先后發表兩篇文章,將“震網”事件稱為“網絡戰的教科書范例”,基于對“震網”病毒兩個版本及攻擊事件的跟蹤研究,概括性地勾畫了“網絡戰產生物理性戰果”的具體實現方法和作戰流程。

  第二篇 “震網”之后的連鎖反應——對“毒曲”“火焰”“高斯”的跟進分析

全球網絡安全廠商逐步證實更加復雜的“毒曲”(Duqu)“火焰”(Flame)以及“高斯”(Gauss)等病毒與“震網”同源,與其同期甚至更早前就已經開始傳播。

2011年10月,匈牙利安全團隊CrySyS發現了一個與“震網”非常類似的病毒樣本,稱之為Duqu (“毒曲”),在與“震網”進行對比后,研究人員確定二者極具相似性;

2011年10月,賽門鐵克發布報告,詳細分析了“毒曲”病毒的全球感染情況、安裝過程及加載邏輯;

卡巴斯基從2011年10月起,陸續發布了關于“毒曲”病毒的十篇分析報告,認為“毒曲”是一個多功能框架,具有高度可定制性和通用性。2015年6月,卡巴斯基捕獲到了“毒曲”病毒對其進行的攻擊,分析認為攻擊者意圖監控并竊取其源代碼,只有國家支持的團隊才有能力做到;

2012年5月,安天發布報告分析“毒曲”病毒的模塊結構、編譯器架構、關鍵功能,指出“毒曲”與“震網”在結構和功能上具有一定的相似性,并根據編碼心理學,判斷二者具有同源性;

2012年4月,伊朗石油部和伊朗國家石油公司遭到“火焰”病毒攻擊??ò退够治稣J為“火焰”是當時攻擊機制最復雜、威脅程度最高的計算機病毒之一,結構復雜度是“震網”病毒的20倍,幕后團隊很可能由政府機構操縱;