◎安天研究院

上一期中，我們關(guān)注了美國網(wǎng)絡(luò)空間進(jìn)攻性能力的支撐體系，對以“湍流”（TURBULENCE）為代表的進(jìn)攻性能力支撐框架進(jìn)行了介紹。在這樣的支撐體系下，美國得以開展大量的進(jìn)攻性網(wǎng)空行動，包括網(wǎng)空情報、網(wǎng)空軍事行動和網(wǎng)空積極防御中的反制與反擊行動等。

2013年，《華盛頓郵報》披露了美國情報機(jī)構(gòu)進(jìn)行攻擊性網(wǎng)空行動的能力。據(jù)稱，單是2011年就進(jìn)行了231起，其中3/4針對被美列為“頂級優(yōu)先目標(biāo)”的中、俄、伊朗、朝鮮等。自2008年以來美軍已經(jīng)實施了多次的進(jìn)攻性網(wǎng)空行動，如積極防御行動“揚(yáng)基鹿彈”（Buckshot Yankee），是對美國中央司令部網(wǎng)絡(luò)所遭受一次非常嚴(yán)重病毒感染事件的響應(yīng)行動；針對全球手機(jī)監(jiān)聽的“金色極光”（AURORAGOLD）行動，通過收集關(guān)于全球移動通訊運(yùn)營商內(nèi)部系統(tǒng)的信息，以找到其漏洞，供NSA隨后的黑客攻擊使用，該計劃為美國2011年對利比亞進(jìn)行軍事干預(yù)提供了利方重要人物的通信信息；針對ISIS的“發(fā)光交響樂”（Glowing Symphony）行動，主要目標(biāo)是通過關(guān)閉、篡改ISIS的服務(wù)器來控制ISIS的網(wǎng)絡(luò)宣傳能力；針對伊朗核設(shè)施的“奧運(yùn)會”（Olympic Game）行動，最終通過“震網(wǎng)”(Stuxnet)蠕蟲，成功入侵并破壞伊朗核設(shè)施，嚴(yán)重遲滯了伊朗核計劃，成為首個利用惡意代碼對實體設(shè)施造成重大不可逆損壞的事件。這些行動展現(xiàn)了美國在情報作業(yè)、進(jìn)攻行動和積極防御的反制與反擊等方面的能力，這些進(jìn)攻性能力不僅來自于完善的后端支撐體系，更來自于其強(qiáng)大的網(wǎng)空攻擊裝備體系。美國的網(wǎng)空攻擊裝備體系以全平臺、全功能為發(fā)展目標(biāo)，并具有模塊化特點(diǎn)，使得其能夠適應(yīng)于各種網(wǎng)絡(luò)環(huán)境下的行動作業(yè)要求。

自2009年正式成立網(wǎng)絡(luò)司令部以來，美國始終致力于發(fā)展一支以全面防御為基礎(chǔ)的進(jìn)攻性網(wǎng)絡(luò)部隊。在這種思想的引導(dǎo)下，NSA、CIA極其重視網(wǎng)空攻擊裝備的研發(fā)。自2013年“斯諾登”事件開始，以及“維基解密”和黑客組織“影子經(jīng)紀(jì)人”（Shadow Brokers）的不斷曝光，NSA與CIA的網(wǎng)空攻擊裝備體系逐漸浮出水面。

NSA網(wǎng)絡(luò)攻擊裝備庫

2014年《明鏡》周刊揭秘NSA旗下高級網(wǎng)絡(luò)技術(shù)部門（ANT），文章披露軟、硬件共48種攻擊裝備資料，能夠?qū)崿F(xiàn)植入、竊取、監(jiān)聽、攔截等多種目的。之后，包括“影子經(jīng)紀(jì)人”在內(nèi)的其他渠道又進(jìn)行了多次披露，總共披露的NSA網(wǎng)空攻擊工具、組件數(shù)量已過百。其中，一個名為“IRATEMONK”的裝備，該裝備的描述與“方程式”組織（Equation Group）的固件修改能力非常相似，懷疑“IRATEMONK”就是“方程式”所采用的固件修改裝備。此外，還有一系列針對網(wǎng)絡(luò)設(shè)備的攻擊工具，例如針對思科、Juniper防火墻名為“BANANAGLEE”的攻擊工具；針對Juniper（J、M和T系列）路由器分別名為“SCHOOLMONTANA”、“SIERR A MON TANA”、“STUCCOMONTANA”的植入程序，能夠?qū)W(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程控制；針對華為路由器名為“HEADWATER”的植入程序，也用于對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程控制。

2017年5月12日，全球爆發(fā)大規(guī)模的勒索蠕蟲“魔窟”（WannaCry） 感 染 事件，我國大量行業(yè)企業(yè)內(nèi)網(wǎng)遭受大規(guī)模感染，包括醫(yī)療、電力、能源、銀行、交通等多個行業(yè)均受到不同程度的影響?！澳Э摺崩昧嘶?45端口的SMB漏洞MS17-010（永恒之藍(lán)），而2017年 4月14日“影子經(jīng)紀(jì)人”公布的NSA“網(wǎng)絡(luò)軍火”中就包含了該漏洞的“武器級（漏洞利用過程具有高穩(wěn)定性與高可靠性）”利用程序，這是“魔窟”能夠迅速感染全球大量主機(jī)的重要原因，而“影子經(jīng)紀(jì)人”曝光的“網(wǎng)絡(luò)軍火”系列中還有大量的其他漏洞及其利用工具。

泄露的NSA網(wǎng)絡(luò)軍火裝備與相關(guān)漏洞、系統(tǒng)版本關(guān)系圖

“維基解密”披露CIA“7號軍火庫”（Vault 7）

2017年3月7日，“維基解密”曝光了8761份據(jù)稱是CIA網(wǎng)絡(luò)攻擊活動的秘密文件。這份數(shù)據(jù)庫的代號為“7號軍火庫”（Vault 7），泄露的文件包含7818個網(wǎng)頁和943份附件。在之后的一段時間內(nèi)，“維基解密”每隔一段時間就放出一組CIA網(wǎng)絡(luò)攻擊武器相關(guān)文檔。本次泄漏事件據(jù)稱是CIA最大規(guī)模的機(jī)密文檔泄漏事件，涉及到的代碼有數(shù)億行。

“7號軍火庫”所泄露的文件包含了一個龐大的攻擊裝備庫，其平臺面覆蓋非常廣泛，支持的操作系統(tǒng)不僅包 括 了 Windows、Linux（ 含 Debian、RHEL、CentOS等發(fā)行版）、OSX、iOS、Android等常見的操作系統(tǒng)，還包括了基于POSIX的操作系統(tǒng)如Solaris與FreeBSD等；支持的設(shè)備不僅包括個人電腦、服務(wù)器、路由器、交換機(jī)等傳統(tǒng)網(wǎng)絡(luò)和終端設(shè)備，也包括智能電視、手機(jī)、平板電腦等智能設(shè)備。裝備功能包括了突破物理隔離、信息獲取、武器定制、遠(yuǎn)程控制、監(jiān)聽、欺騙等可以與CIA人力情報作業(yè)緊密結(jié)合的攻擊作業(yè)能力，也包括了代碼混淆、痕跡清除、文檔追蹤等作業(yè)支撐與行動安全保障能力。

利用全平臺、全功能的網(wǎng)空攻擊裝備體系，美國能夠通過物流鏈劫持、運(yùn)營商劫持、源代碼污染等實現(xiàn)戰(zhàn)場預(yù)制；通過大規(guī)模信息采集形成終端、設(shè)備、軟件、用戶身份的信息庫，繪制網(wǎng)絡(luò)地形、尋找關(guān)鍵目標(biāo)；通過移動介質(zhì)擺渡攻擊、物流鏈劫持、近場作業(yè)等方式突破物理隔離防線；在內(nèi)網(wǎng)橫向移動，建立持久化據(jù)點(diǎn)，投遞載荷；通過擺渡攻擊、開辟側(cè)信道、隱信道等方式實現(xiàn)遠(yuǎn)程控制，最終實現(xiàn)目標(biāo)。在針對伊朗核設(shè)施的“震網(wǎng)”事件中，攻擊伊朗核工業(yè)網(wǎng)絡(luò)之前，美國已經(jīng)完全滲透了伊朗的核工業(yè)體系，包括設(shè)備生產(chǎn)商、供應(yīng)商、軟件開發(fā)商等，完整研究與模擬了伊朗核工業(yè)體系之后才進(jìn)行載荷投遞并最終對伊朗核設(shè)施進(jìn)行破壞的。

今天的網(wǎng)絡(luò)攻防處于一種防御方更加透明、攻擊者更加隱蔽的狀態(tài)。具有國家行為體為背景的攻擊者可以無節(jié)制承擔(dān)攻擊成本和動用資源，攻防雙方進(jìn)一步朝著不對等化發(fā)展；而且，一旦國家行為體的網(wǎng)空進(jìn)攻性能力向恐怖組織等非國家行為體擴(kuò)散，可能會造成災(zāi)難性的現(xiàn)實后果。面對國家級攻擊行為體，應(yīng)當(dāng)以敵情想定為前提，一方面持續(xù)分析國外網(wǎng)絡(luò)空間能力進(jìn)展，充分了解對手；另一方面，我們也應(yīng)意識到只有采取系統(tǒng)化的應(yīng)對策略建立有效的能力體系才能應(yīng)對系統(tǒng)化的進(jìn)攻，所以必須積極推進(jìn)軍民融合，整合產(chǎn)業(yè)先進(jìn)有效的技術(shù)能力，建立國家級防御體系。

那么，美國的網(wǎng)空攻擊裝備具體有哪些功能？裝備的模塊化組合有哪些優(yōu)勢？應(yīng)該如何防御？從下一期開始，我們將對美國NSA、CIA具有代表性的網(wǎng)空攻擊裝備進(jìn)行介紹，并探討可能針對哪些環(huán)節(jié)展開有效防御，敬請期待。