◎安天研究院

在之前的幾期文章中，我們分別展開介紹了美國國家安全局（NSA）和中央情報局（CIA）的多類用于不同攻擊作業(yè)環(huán)節(jié)的網(wǎng)空攻擊裝備，包括突破物理隔離、持久化控制、漏洞利用、命令與控制等，揭示了美方在這些網(wǎng)空作業(yè)環(huán)節(jié)中的強(qiáng)大能力。這些裝備的傳播、通信、控制大多依賴于目標(biāo)原有的網(wǎng)絡(luò)或常規(guī)的移動介質(zhì)，而在本期中，我們將介紹美方的一類不依賴目標(biāo)網(wǎng)絡(luò)，而是利用無線信號實(shí)現(xiàn)信息傳遞，進(jìn)而繞過多數(shù)網(wǎng)絡(luò)安全防護(hù)手段，實(shí)現(xiàn)信息竊取或內(nèi)網(wǎng)滲透的網(wǎng)空攻擊裝備。

德國《明鏡周刊》曾曝光了一份長達(dá)50頁的資料，包含NSA的各類攻擊裝備共48個，其中絕大部分裝備都出自NSA下屬先進(jìn)網(wǎng)絡(luò)技術(shù)部（Advanced Network Technology, ANT）之手。在的相關(guān)文件中，有一組用于室內(nèi)監(jiān)控的網(wǎng)空攻擊裝備名為“憤怒鄰居”（ANGRYNEIGHBOR），功能包括計算機(jī)屏幕監(jiān)控、識別定位、鍵盤記錄和音頻捕獲等。

ANGRYNEIGHBOR系列裝備包括射頻發(fā)生模塊、射頻反射模塊、解調(diào)處理模塊等，利用電磁波進(jìn)行數(shù)據(jù)傳輸。射頻反射模塊能夠?qū)Σ煌愋偷男畔⑦M(jìn)行采集，通過接收射頻發(fā)生模塊產(chǎn)生的射頻信號，以特定的方式對信號進(jìn)行調(diào)制，然后將調(diào)制后的信號重新返回給射頻發(fā)生器，通過這種方式將獲取的信息傳遞出去。射頻發(fā)生器再將獲取的信號進(jìn)行處理或交給解調(diào)處理模塊，恢復(fù)出屏幕內(nèi)容、擊鍵信息、音頻內(nèi)容以及識別定位信息等。該系列裝備可以用于無法或者極難利用網(wǎng)絡(luò)收集和處理信號的場景中，據(jù)已披露的資料顯示，相關(guān)裝備曾被美方用于對外國使館和外交人員的監(jiān)視計劃中。

射頻發(fā)生模塊主要包括CTX4000和 PHOTOANGLO。CTX4000是 一種便攜式的連續(xù)波雷達(dá)單元，不僅能夠產(chǎn)生用于輻射目標(biāo)系統(tǒng)的連續(xù)波信號，而且能夠?qū)χ匦螺椛浠貋淼男盘栠M(jìn)行收集并恢復(fù)出信息。PHOTOANGLO是一個NSA與英國情報機(jī)構(gòu)政府通信總部（GCHQ）聯(lián)合項(xiàng)目，用于開發(fā)取代CTX4000的雷達(dá)系統(tǒng)，根據(jù)披露的資料顯示，從2008年9月開始，CTX4000被 PHOTOANGLO替換。PHOTOANGLO同樣具有產(chǎn)生連續(xù)波并接受返回信號的能力，同時PHOTOANGLO的重量非常輕，只有不到10磅（約4.5公斤），可以安裝在小型的公文包中。

圖1 NSA-ANT “憤怒鄰居”系列裝備關(guān)系示意圖

射頻反射模塊主要包括RAGEMASTER，TAWDRYYARD，SURLYSPAWN，LOUDAUTO，分別用于計算機(jī)屏幕監(jiān)控、識別定位、鍵盤記錄和音頻捕獲等。當(dāng)射頻反射模塊接收到射頻發(fā)生模塊發(fā)出的射頻信號后，能夠?qū)π盘栠M(jìn)行調(diào)制，并將調(diào)制后的信號重新發(fā)送回射頻反射模塊。RAGEMASTER用于收集目標(biāo)計算機(jī)屏幕上顯示信息，通常隱藏在連接主機(jī)和顯示器的VGA視頻線中。TAWDRYYARD用于識別和定位已經(jīng)部署的RAGEMASTER，作用半徑達(dá)到50英尺（約15米）。TAWDRYYARD的功耗很低，能夠依靠紐扣電池運(yùn)行數(shù)月甚至數(shù)年。同時，由于其設(shè)計簡單，因此可以按照需求定制外形。另據(jù)披露的資料顯示，其后續(xù)可能加入返回GPS定位的功能。SURLYSPAWN用于收集目標(biāo)鍵盤的輸入信息，同樣不需要安裝任何惡意軟件，而是隱藏在鍵盤的數(shù)據(jù)線中，兼容USB和PS/2。LOUDAUTO能夠用自帶的麥克風(fēng)收集音頻，聲音采集的有效距離超過20英尺（約6米），同樣能夠按需求定制外形。

解調(diào)處理模塊NIGHTWATCH是整個架構(gòu)的重要組成部分，是一款便攜式計算機(jī)，專門用于精確重建所捕獲的計算機(jī)屏幕信號，輸出視頻以供間諜人員查看目標(biāo)設(shè)備顯示的內(nèi)容。該設(shè)備恢復(fù)的視頻信號來自CTX4000和PHOTOANGLO等雷達(dá)單元，也可能由其他的接收器產(chǎn)生。另外據(jù)曝光的資料顯示，當(dāng)時ANT正在設(shè)計VIEWPLATE以逐步取代NIGHTWATCH系統(tǒng)。

在泄露的ANT相關(guān)資料中，還有一款名為“火行”（FIREWALK）的攻擊裝備。FIREWALK是一款雙向網(wǎng)絡(luò)植入物，隱藏在雙層RJ45/USB連接器中，能夠被動收集千兆以太網(wǎng)流量，還能夠按照指令過濾流量和向網(wǎng)絡(luò)中注入數(shù)據(jù)包。FIREWALK除了能夠利用目標(biāo)網(wǎng)絡(luò)進(jìn)行通信外，還具有射頻收發(fā)功能，能夠與其他射頻收發(fā)裝備建立無線通信（例如與我們之前介紹過的“吼猴” HOWLERMONKEY），甚至能夠與其他射頻收發(fā)裝備建立多跳連接，擴(kuò)大通信范圍。此外，我們在之前文章中介紹過的“水腹蛇-1”（COTTONMOUTH-I） 也是ANT的一款具有無線通信能力的攻擊裝備，隱藏在USB接口中，攻擊者可以通過無線信號訪問目標(biāo)設(shè)備所在的網(wǎng)絡(luò)。

CIA同樣開發(fā)了大量能夠利用無線信號通信的網(wǎng)空攻擊裝備。在維基解密曝光的包含大量CIA網(wǎng)空攻擊裝備資料的“7號軍火庫”（Vault 7）中，包含了一組針對蘋果設(shè)備的攻擊裝備名為“暗物質(zhì)”（Dark Matter），其中的“夜空”（NightSkies）是一款固件植入程序，專門針對新出廠的蘋果手機(jī)，通過物理接觸安裝。該裝備能夠讓CIA作業(yè)人員實(shí)現(xiàn)對手機(jī)的完全監(jiān)控，包括進(jìn)行信息竊取、監(jiān)聽等。Vault 7中的另一款裝備“摩天大樓”（Highrise）則針對安卓手機(jī)，披露的功能包括短信的竊取和遠(yuǎn)程控制等。通過這些裝備，CIA能夠?qū)χ匾繕?biāo)的手機(jī)進(jìn)行控制，利用手機(jī)的無線信道通信，獲取關(guān)鍵信息。

另一個具有代表性的裝備是CIA的“哭泣天使”（Weeping Angel）。Weeping Angel是一款惡意軟件，針對三星智能電視，通過物理接觸植入，能夠利用電視的麥克風(fēng)實(shí)現(xiàn)錄音和竊聽，并通過Wi-Fi通信實(shí)現(xiàn)實(shí)時監(jiān)聽。由于披露的資料年代較早，并且基于美方網(wǎng)空攻擊裝備全平臺、全能力的特點(diǎn)，可以合理地推測認(rèn)為美方可能對大量智能硬件設(shè)備都進(jìn)行了針對性地開發(fā)和適配。

這些網(wǎng)空攻擊裝備的植入、通信、控制均不依賴目標(biāo)網(wǎng)絡(luò)，而利用無線信號進(jìn)行信息竊取或內(nèi)網(wǎng)滲透，實(shí)現(xiàn)對多數(shù)現(xiàn)有網(wǎng)絡(luò)安全防御手段的繞過。也因此，相應(yīng)的軟硬件裝備（尤其是硬件裝備）向目標(biāo)系統(tǒng)或設(shè)備的植入，需要更多地依靠物理接觸的方式。美方依靠其強(qiáng)大的IT產(chǎn)業(yè)優(yōu)勢，形成了供應(yīng)鏈上游的控制能力，同時結(jié)合其情報機(jī)構(gòu)在人力近場作業(yè)方面的能力專長，形成了對更多場景的信息獲取和滲透能力。此外，由于隱蔽性需要，硬件裝備的體積需要足夠小，使用時間要足夠長，因此無線信號的發(fā)射功率通常也較小，這也要求這類裝備在成功部署后的使用過程中，依然需要依賴人力進(jìn)行近場作業(yè)。這就對防御方的供應(yīng)鏈安全保障和反人力情報作業(yè)能力提出了更高的要求。

在后續(xù)的文章中，我們將對美方的網(wǎng)空攻擊裝備體系進(jìn)行分析總結(jié)，對美方未來的網(wǎng)空作業(yè)能力進(jìn)行預(yù)測，敬請期待。