◎安天研究院

上一期中，我們對美國網(wǎng)絡(luò)空間安全主動防御體系進行了分析，包括“愛因斯坦”計劃的三個不同階段和積極防御（在上一期中被稱為“主動防御”，但是由于該詞在殺毒領(lǐng)域已有使用，容易引起歧義，因此在這里我們使用跟接近軍事意義的“積極防御”，意為分析人員對處于所防御網(wǎng)絡(luò)內(nèi)的威脅進行監(jiān)控、響應(yīng)、學(xué)習(xí)和應(yīng)用知識的過程）系統(tǒng)TUTELAGE，展現(xiàn)了美國通過不斷建設(shè)和演進，形成了一套具有完備有效的感知能力、積極防御及反制能力的國家網(wǎng)絡(luò)空間安全防御體系。在本期中，我們將聚焦美國網(wǎng)絡(luò)空間進攻性能力支撐體系，這些進攻性能力被應(yīng)用在包括網(wǎng)空情報、網(wǎng)空積極防御和網(wǎng)空軍事等行動等，并簡單剖析美國在這些能力背后強大的支撐體系及其運作方式。

2015年，美國《國防部網(wǎng)絡(luò)空間戰(zhàn)略》指出，“一旦得到指示，美國國防部（DoD）應(yīng)有能力發(fā)起網(wǎng)絡(luò)戰(zhàn)行動，癱瘓敵對方的指揮及控制網(wǎng)絡(luò)、與軍事相關(guān)且不可替代的關(guān)鍵基礎(chǔ)設(shè)施和裝備性能”。2017年12月，美國總統(tǒng)特朗普發(fā)布了新版《國 家安全戰(zhàn)略》，強調(diào)了網(wǎng)絡(luò)空間中的競爭性，美國宣稱會考慮采取各種手段威懾和擊敗針對美國的網(wǎng)絡(luò)攻擊，并“根據(jù)需求”對敵對方實施網(wǎng)絡(luò)行動。目前已進入立法程序的《主動網(wǎng)絡(luò)防御明確法案》也強調(diào)網(wǎng)絡(luò)防御中的“積極”部分，允許網(wǎng)絡(luò)空間受害者越過自身網(wǎng)絡(luò)邊界進行帶有反擊性質(zhì)的行動，這體現(xiàn)出了美國在網(wǎng)絡(luò)政策中的進攻性色彩愈加濃厚。

美國國防部認為，計算機網(wǎng)絡(luò)對抗（Computer Network Operations, CNO）即實質(zhì)操縱計算機和網(wǎng)絡(luò)，針對計算機或其他網(wǎng)絡(luò)本身或他們它們之上的信息、信息系統(tǒng)，實施攻擊和防御以及兩者所需的支撐行動。按照網(wǎng)空行動目的，可以將CNO劃分為計算機網(wǎng)絡(luò)防御（Computer Network Defense, CND）、計算機網(wǎng)絡(luò)刺探（Computer Network Exploitation, CNE）和計算機網(wǎng)絡(luò)攻擊（Computer Network Attack, CNA），分別對應(yīng)網(wǎng)空積極防御、網(wǎng)空情報行動和網(wǎng)空軍事行動動。

為支撐上述能力，美國開展了一系列的網(wǎng)絡(luò)空間進攻性能力支撐體系建設(shè)項目，這些項目主要由國家安全局（NSA）負責開發(fā)和實施，其中最大的支撐架構(gòu)稱為“湍流”（TURBULENCE，我們在之前介紹“關(guān)鍵得分”X-KEYSCORE項目時曾提到），由多個系統(tǒng)組成，包括主動情報采集系統(tǒng)TUMULT、被動情報采集系統(tǒng)TURMOIL、任務(wù)邏輯控制系統(tǒng)TURBINE、進攻性網(wǎng)空行動系統(tǒng)“量子”（QUANTUM）、主動防御系統(tǒng)TUTELAGE（我們在之前介紹過，是帶有積極防御的CND主要實現(xiàn)）、密碼服務(wù)LONGHAUL、數(shù)據(jù)倉庫PRESSUREWAVE、網(wǎng)絡(luò)流量分析系統(tǒng)TRAFFICTHIEF和信號情報分析系統(tǒng)CLUSTER WEALTH-2等。這些系統(tǒng)各司其職，共同支撐信息收集、情報分析、積極防御、決策控制、網(wǎng)絡(luò)作業(yè)等網(wǎng)空行動的攻擊性行動環(huán)節(jié)，共同構(gòu)成了美國強大的網(wǎng)絡(luò)空間進攻性能力支撐體系。

“湍流”（TURBULENCE）框架

NSA Turbulence項目由于預(yù)算超支和管理不善等問題在2007年首次被巴爾的摩太陽報披露。斯諾登曝光的一份絕密文件中也提到了TURBULENCE項目，這份絕密文件的日期為2009年8月。TURBULENCE項 目 的 文件中解釋了將主動與被動方法結(jié)合起來以達到從目標網(wǎng)絡(luò)中滲出數(shù)據(jù)的過程。TURBULENCE項目包含傳感器（Sensors）、基礎(chǔ)設(shè)施（Infrastructure）及分析（Analysis）三個模塊。

“湍流”架構(gòu)

被動情報采集系統(tǒng)：TURMOIL

TURMOIL計劃是NSA的一種全球高速被動信號情報收集系統(tǒng)，用于攔截全球范圍內(nèi)傳播的目標衛(wèi)星、微波和有線通信。據(jù)推測，所有這些數(shù)據(jù)的收集都與互聯(lián)網(wǎng)數(shù)據(jù)（DNI）相關(guān)。TURMOIL是在數(shù)據(jù)包層面的操作，因此它可以采取特殊的方式來處理某些類型的流量，如VPN和VoIP流量。通過NSA的被動能力與積極能力整合工作，TURMOIL能夠識別重點目標的數(shù)據(jù)特征觸發(fā)TURBINE系統(tǒng)，而且使NSA具備可以仿冒任何國家IP地址的高級反溯源能力。

任務(wù)邏輯控制系統(tǒng)TURBINE

TURBINE是任務(wù)邏輯系統(tǒng)，與NSA的使用的CNE技術(shù)深度集成。當TURMOIL的處理分析識別出重點目標，則TURBINE進行進一步判定，是否需要對某個目標進行攻擊。一旦判斷為需要，則會觸發(fā)TURBINE系統(tǒng)中的程序，試圖使用QUANTUM侵入目標計算機竊取信息。

進攻性網(wǎng)空行動系統(tǒng)QUANTUM（量子）

“量子”系統(tǒng)是進攻性網(wǎng)空行動系統(tǒng)，能夠向互聯(lián)網(wǎng)側(cè)目標部署作業(yè)工具，或操縱已部署工具。“量子”系統(tǒng)部署于NSA內(nèi)網(wǎng)，由定制訪問辦公室(TAO)遠程作業(yè)人員操縱，其作業(yè)能力覆蓋廣泛，包括域名系統(tǒng)（DNS）和HTTP注入式攻擊等多種網(wǎng)絡(luò)攻擊工具、數(shù)據(jù)庫注入工具、僵尸網(wǎng)絡(luò)控制工具等?！傲孔印毕到y(tǒng)可通過多種方式劫持目標，包括應(yīng)用廣泛的“量子插入”（QUANTUMINSERT，針對HTML訪問）和“量子之手”（QUANTUMHAND，針對FACEBOOK訪問）等，在神不知鬼不覺的情況下將用戶的正常網(wǎng)絡(luò)訪問劫持到偽裝的服務(wù)器，并將一些網(wǎng)絡(luò)攻擊框架、系統(tǒng)或工具植入到用戶計算機。

集成“關(guān)鍵得分”（X-KEYSCORE）項目

X-KEYSCORE是可以對各種網(wǎng)上行為進行監(jiān)視和分析處理的系統(tǒng)，是與谷歌功能類似的分布式數(shù)據(jù)采集和分析框架，運行于LINUX系統(tǒng)和MySQL數(shù)據(jù)庫。TURMOIL會篩選出“有意義”的數(shù)據(jù)包，并將包轉(zhuǎn)發(fā)給X-KEYSCORE，X-KEYSCORE 將會話數(shù)據(jù)化并通過XKS界面為NSA人員提供分析和搜索的功能，這樣互聯(lián)網(wǎng)上的一切活動都會盡在NSA的掌握之中，從而實現(xiàn)對網(wǎng)絡(luò)空間攻擊目標的發(fā)現(xiàn)與確定。

針對恐怖組織的應(yīng)用案例

2012年6月，美反恐活動部隊利用與某恐怖組織頭目相關(guān)的Yahoo篩選條件成功地探測到其使用的系統(tǒng)，在“湍流”下，通過“量子”將其劫持到NSA的攻擊服務(wù)器FOXACID并在系統(tǒng)中植入惡意程序UNITEDRAKE，后者在目標系統(tǒng)中植入惡意軟件鍵盤記錄程序GROK和USB監(jiān)控/收集軟件SALVAGERABBIT，通過分析它們傳回的情報，獲得了與該恐怖組織頭目一起活動的人員名單，以及其與基地組織之間的通信等重要信息。

在這套支撐體系的支持下，美國的網(wǎng)絡(luò)攻擊行動才能夠獲得強大的后端支持，包括較完善的信號收集（從網(wǎng)絡(luò)收集和從其合作伙伴、國防承包商、大型IT企業(yè)獲取的各種信息，涵蓋從電子郵件、視頻音頻、消息、社交媒體等，）、處理基礎(chǔ)設(shè)施，包括音頻、視頻、郵件等大規(guī)模網(wǎng)絡(luò)活動與個人數(shù)據(jù)庫及相關(guān)加工處理機制。而攻擊行動必然需要具體的攻擊裝備，美國有哪些網(wǎng)絡(luò)空間攻擊裝備，美國的網(wǎng)絡(luò)空間攻擊裝備體系有何特點，我們將在后續(xù)的文章中為您一一解答。