深度剖析:美国网络空间攻击特点与模式
2021-02-25
来源: 虎符智库
目前,网络空间领域已经进入国家力量主导的体系作战阶段,以美国为代表的西方国家为维持其优势地位,采取多种手段对潜在对手实施网络空间攻击作战行动。
美方在网络空间开展攻击作战行动十分频繁,尤其是随着其“防御前沿”战略的实施,网络空间攻击行动更加主动。
美军特别重视建设积极主动的网络空间安全架构,重点在网络空间安全主动防御体系、网络空间攻击支撑体系、网络空间攻击装备体系三大体系上进行技术与装备的变革和发展。
作为世界头号的网络强国,美国为维持其世界超级大国地位,依托网络空间领域的技术优势,通过国家力量发动的网络空间作战行动,对他国的网络空间安全构成实质性威胁。
通过近年来曝光的材料可以看到,美方在网络空间开展攻击作战行动十分频繁,按照“统一作战行动、多源情报先导、攻击防御一体、持久化驻留”等原则,对他国开展非对称、体系化的网络作战行动。
本文通过对美国这一网络空间超级玩家的网络攻击作战案例的梳理,分析其常用的网络作战样式和作战体系,以帮助相关机构在国家网络空间博弈过程中取得主动权,有效维护国家网络空间安全。
01 网络攻击作战主要案例
美方在网络空间开展攻击作战行动十分频繁,尤其是随着其“防御前沿”战略的实施,网络空间攻击行动更加主动。
根据公开披露的信息,影响较大的网络攻击行动主要包括以下案例:
(一)棱镜(PRISM)计划
棱镜计划是一项由美国国家安全局自2007年开始实施的绝密级网络监控计划。该计划的正式名称为「US-984XN」。
PRISM(棱镜计划)主要用于直接进入美国网际网络公司的中心服务器里挖掘数据、收集情报,包括通过谷歌、微软、Facebook、雅虎、Skype、PalTalk、Youtube、苹果、和美国在线等9家国际网络巨头皆参与其中。
国家安全局经由PRISM获得的数据包括电子邮件、视频和语音交谈、视频、照片、VoIP通话、文件传输、和社交网络上的详细资讯。2012年间的《总统每日简报》内共引用了1,477项来自PRISM的数据。
图1 棱镜计划监控内容
(二)上游(Upstream)计划
上游计划主要用于监听流经海底光缆及通信基础设施的信息。环球电讯公司与NSA签署了《网络安全协议》,这项协议中规定,环球电讯公司需要在美国本土建立一个“网络运行中心”,美国政府官员可以在发出警告后的半小时内进入查访。环球电讯公司的海底光缆覆盖全球4个大洲的27个国家和地区。上游计划项目在承载互联网骨干通信内容的光缆上安装分光镜,复制其通信内容。
图2 上游计划监控内容
(三)天网(SKYNET)计划
天网计划是2015年9月新公开的文件中披露的NSA项目。天网计划可以基于个人所处位置、拨打电话的地点、时间及去往相关地方的频率分析和寻找恐怖主义分子。
NSA天网计划依赖“地理空间、地理时间、生活模式以及旅行分析”对大规模的DNR(拨叫号码识别)数据进行分析,以识别出可疑活动。
图3 天网计划监控内容
通过SKYNET,分析师可以知道如下的信息:
过去一个月都有谁从A地到了B地
目标在到达目的地时都联系过谁
目标到达时其附近都有谁,且其中有谁在短时间内就离开了
谁定期从A地出发/到A地去旅行
谁定期与X见面并在A地到B地之间旅行
谁在满足某个旅行方式的同时频繁换手机或关机
(四)猎巨人(Shotgiant)行动
根据NSA 被泄露的文件来看,自2010年起,NSA就对华为实施了长期潜伏渗透攻击,理由是(美国官员长期以来一直认为中国电信巨头——华为是一个安全威胁,因担心该公司将在其设备中创造“后门”,可能允许中国军方或北京支持黑客窃取公司和政府机密,从而阻止华为在美国的商业交易。)
针对华为公司的代号为“Shotgiant”的行动目标是寻找华为与中国人民解放军之间的任何联系以及利用华为的技术(挖掘华为的0day或者在华为设备种植后门),以便攻击采用华为产品的其他国家(包括盟国和禁止购买美国产品的国家)。
图4 猎巨人行动计划监控内容
根据明镜披露的NSA绝密文档,NSA的黑客部队不仅成功获取了华为公司的邮件通讯数据,而且还得到了属于高度商业机密的华为产品源代码。NSA从2009年1月开始采集并分析了大量华为公司员工邮件,包括首席执行官任正非和主席孙亚芳的邮件。
(五)奥林匹克(Olympic?Game)行动
针对伊朗核设施的“奥运会”(Olympic?Game)行动,最终通过“震网”(Stuxnet) 蠕虫,成功入侵并破坏伊朗核设施,严重迟滞了伊朗核计划,成为首个利用恶意代码对实体设施造成重大不可逆损坏的事件。
图5 震网病毒攻击示意图
(六)国际银行系统(SWIFT)行动
根据黑客组织“影子中间人(ShadowBrokers)”爆料,NSA曾通过Eastnets公司的产品入侵国际银行系统(SWIFT),监控一些中东和拉丁美洲银行之间的资金流动。在2012年7月至2013年9月期间发起的“JEEPFLEA_MARKET”攻击行动,针对中东地区最大的SWIFT服务提供商EastNets,成功窃取了其在比利时、约旦、埃及和阿联酋的上千个雇员账户、主机信息、登录凭证及管理员账号。以EastNets为切入点,美国国安局可监控科威特、约旦、也门和卡塔尔等国多家银行和金融机构的交易。
图6 SWIFT服务提供商攻击行动
(七)金色极光(AURORAGOLD)行动
NSA在针对全球手机监听的“金色极光”(AURORAGOLD)行动,通过收集关于全球移动通讯运营商内部系统的信息,以找到其漏洞,供随后的黑客攻击使用,该计划为美国 2011年对利比亚进行军事干预提供了利方重要人物的通信信息。
图7 金色极光行动计划报告
(八)“拱形”(CamberDaDa)计划
2015年斯诺登披露的一份NSA绝密文档介绍了拱形计划,该计划以俄罗斯反病毒厂商卡巴斯基等为目标,通过监听其样本上报渠道,从中分析安全厂商是否已发现、掌握其网络攻击武器,根据斯诺登泄露的文档可以看到,自2007年起,NSA开始制定CamberDaDa计划,其所关注的目标包括俄罗斯国防产品出口公司等。该计划实际上是利用了其已经在俄方电信体系中建立的持久化节点去关注攻击目标和卡巴斯基之间的通讯,当攻击目标向卡巴斯基的告警中含有美方的样本或者攻击信息时,则认为攻击已经暴露;当在告警中含有第三方样本时,美方则会尝试第三方样本是否可以被二次利用。
在该计划中NSA列出了其计划展开监控的“更多目标”,除作为主要目标的卡巴斯基外,还包括了13个欧洲国家和3个亚洲国家总计23个反病毒厂商,基本涵盖了英美国以外的几乎所有重要的反病毒厂商,其中包括了大蜘蛛(俄罗斯)、比特梵徳(罗马尼亚)、小红伞(德国)、诺曼(挪威),值得我们注意的是中国厂商安天也进入目标。
图8 拱形计划示意图
(九)橡木星(Oakstar)行动
橡木星行动主要目的是帮助美方追踪恐怖分子通过比特币等数字货币交易情况,NSA的机密文件还指出,“MONKEYROCKET”程序于2012年夏季上线,是NSA绝密项目“OAKSTAR”的一部分。该程序是NSA国家安全长期战略计划的一部分,目的是为让恐怖主义分子使用该程序,从而监测恐怖主义活动。但该程序已经明显超出了其“恐怖主义”的范围,已经用于监视比特币用户了,而且获取用户隐私信息的范围还在扩大。此外,文件还称,“MONKEYROCKET”在中国和伊朗有大量的用户。
图9 MONKEYROCKET监控内容
02 网络攻击作战主要目标
美方开展网络攻击遵循作战原则,非常注重规模效益、强调攻击效率、突出作战效果,在攻击目标选取上重点针对“电信运营商、关键基础设施、骨干网络设备、网络管理人员、应用服务器(邮件服务器、域名服务器、WEB服务器等)”等目标。
(一)个人目标攻击
NSA针对个人目标主要采取中间人方式实施网络攻击,NSA能根据用户是否使用Facebook、谷歌、雅虎、Skype、飞信和QQ等信息来锁定监控目标并开展攻击。
收集个人目标信息,通过DISCOROUTE收集公网IP地址,通过ASDF被动收集信息系统收集元数据掌握公网IP关联出活跃用户,通过棱镜计划等收集个人访问Facebook、谷歌等用户信息,并将个人目标身份信息和网络IP信息等进行关联。
监控目标网络行为,通过代号为“Turmoil”的数据监控传感器网络,监控整个互联网上传送的数据包,自动识别被监控目标的数据,并将数据发回NSA进行分析以及网络攻击。
目标识别自动攻击,主要通过TURBINE系统(任务逻辑控制系统)对目标实施自动攻击。当TURMOIL 的处理分析识别出重点目标,则TURBINE 进行进一步判定,是否需要对某个目标进行攻击。一旦判断为需要,则会触发TURBINE 系统中的程序,试图使用QUANTUM 侵入目标计算机窃取信息。TURBINE系统采用中心化方式管理大量C2服务器,能够自动化命令与控制QUANTUM计划或者TAO部门得到的Implants。
内网控制权限接管,获取个人目标(如网络管理员)终端权限后,就可以通过管理员终端远程访问路由器,并控制整个网络,了解目标网络的拓扑,基础设施设备的凭证(密码),目标网络的安全防护情况,例如只有管理员的源IP限制策略的允许接入清单,以及网络配置情况信息等,为后续内网横向拓展打下坚实基础。
图10 针对个人的中间人攻击
(二)设备目标攻击
NSA针对设备目标主要依托零日漏洞进行远程正向攻击。根据曝光资料显示,美方曾对我主要高校包括北京邮电大会、国防科技大学、清华大学等以及中国移动、华为、中国原子能工业有限公司等中国科技公司开展网络攻击,NSA主要通过对这些单位的网络出口设备、骨干路由设备以及域名服务器与邮件服务器等设备目标实施网络攻击。
设备目标网情信息搜集,通过“关键得分计划”等项目收集确定骨干路由器的型号版本及IP地址等信息。
零日漏洞远程突破植入,利用TAO小组等技术团队挖掘各种主流网络设备远程突破零日漏洞工具,开展网络设备漏洞远程正向突破攻击,网络设备目标的选取主要集中在目标机构的出口设备以及与机构联系密切的运营商骨干网络设备,一旦成功突破就可以形成对目标机构的全覆盖攻击。
认证防护措施绕过攻击,进入内网后,对防护情况进行跟踪了解,监听管理员操作行为方式寻找绕过监控的白名单,此外通过技术研究突破绕过AAA认证等各种认证防护措施,避免过早网络攻击行动暴露。
持久化控制后门攻击,为实现对目标网络长久隐蔽控制,研制大量针对不同终端、服务器及设备的驻留后门,这些后门的激活方式、通信方式以及伪装方式等根据作战场景和对手的安全防护水平可以进行灵活定制。
图11 针对设备的远程攻击
(三)运营商目标攻击
NSA针对运营商目标通常从内部员工作为突破口进行迂回攻击。根据曝光资料显示,美方曾对巴基斯坦国家电信公司(简称NTC)、黎巴嫩运营商(OGERO ISP)等运营商进行网络攻击。
内部员工目标信息收集,通过棱镜计划和关键得分计划等项目,使用被动定位方式识别到了NTC的员工,评估当前识别出其与NTCVIP部门的联系。由SIGDEV针对已知的被Selector(NSA精确识别系统)标记出来的目标,去定位其他有联系的目标。至此成功使用被动方式定位识别到了NTC VIP部门专门运营维护Green Exchange的员工。
内部员工中间人攻击,通过与R&T一起使用SECONDDATE 和QUANTUM项目,成功将4个新式CNE accesses植入到Green Exchange中。
核心骨干网络内网攻击,通过研制的CNE访问攻击载荷,成功控制VIP 部门和一个用于收集Green Exchange的基础线路。该部分是用来维护Green Exchange(绿区交换机,位于安全区域)。Green Exchange房间放置着ZXJ-10(程控交换机,用于电话网络)。这几台程控交换机是巴基斯坦 Green Line 通信网络的骨干(这个网络专门为巴基斯坦高级官员和军事领导提供服务),至此实现掌控核心骨干网的网络攻击目标。
图12 NTC运营商攻击方案
(四)基础设施目标攻击
NSA针对关键基础设施目标采取多种手段综合运用进行攻击。众所周知,美方利用震网病毒对伊朗核设施进行网络攻击直接造成伊朗核计划推后数年。
核设施目标信息收集,通过各种情报收集方式收集核设施设备型号、系统版本及网络结构等信息。
摆渡方式实施突破植入,通过人力方式将感染U盘带入内部网络,借助USB摆渡+基于漏洞的横向移动。染毒U盘利用快捷方式文件解析漏洞,传播到内部网络。
内网横向拓展攻击,在内网中,通过快捷方式解析漏洞、RPC远程执行漏洞、印机后台程序服务漏洞,实现联网主机之间的传播;最后抵达安装了WinCC软件的主机,展开攻击。
工控系统致瘫攻击,在内网环境中横向拓展过程中,扫描查找安装有Siemens Step7、WinCC/PCS 7 SCADA控制软件的主机并进行感染。通过修改管理西门子PLC参数工具载荷导致核设施转速不正常从而损毁。
图13 针对伊朗核设施攻击示意图
(五)供应链目标攻击
根据美国国家安全局的文件,美国国家安全局与中央情报局和联邦调查局合作偷偷截运网售笔记本电脑或其他电子配件,以植入间谍软件,恶意软件加载后,可以给美国情报机构的远程访问权限。这些被植入了大部分主流科技公司的硬件,为国安局提供后门。
这些厂商包括思科、Juniper网络公司、戴尔、希捷、西部数据、迈拓、三星和华为,许多目标都是美国本土公司。
图14 供应链芯片植入攻击示意图
03 网络攻击作战模式
美方开展网络攻击过程中,在初次网络突破环节更多采用“中间人攻击、供应链攻击、网络设备攻击、摆渡攻击、网管人员攻击”等方式;在网络目标控制攻击环节,常用“零日漏洞、控制平台、持久化后门、内网横向拓展”等手段。在安全隐蔽的前提下,实现对各种网络目标的规模化突破和持久隐蔽控制。
(一)网络攻击作战理念
美军在网络空间中形成强大的体系化的监听、攻击和主动防御能力。长期以来,特别重视建设积极主动的网络空间安全架构,重点在网络空间安全主动防御体系、网络空间攻击支撑体系、网络空间攻击装备体系三大体系上进行技术与装备的变革和发展。纵观其网络空间作战建设历史,秉承“主场思维、技术思维、作战思维、安全思维”等作战理念,持续保持其在网络空间作战领先地位。
(二)情报先导作战模式
美军一直以来依托互联网原创国优势将网络空间视为其主场,通过在其国内及盟国建设大量技术监听设施,打造覆盖全球的互联网技术情报监控网络,为其开展网络攻击行动提供有力的情报支持。
图15 公开情报监听项目
(三)主动防御作战模式
美军在网络空间作战领域谋求绝对优势地位,因此十分重视自身防御,建立起一系列积极主动防御的项目系统,同时打通攻防界限,形成攻防一体的整体格局,降低潜在对手对其的网络威胁。
图16 公开主动防御系统项目
(四)持久化作战模式
美军将持久化定位网络空间作战的最终环节,花费大量人力财力打造适用各个复杂系统场景下的隐蔽持久驻留系统平台,以保证其能在关键时刻发挥关键作用。
图17 公开持久化后门平台
(五)系统协同作战模式
美军公开的项目中,除了包含多个子项目的大型综合项目Turbulence外,多数项目基本都有明确的核心功能,体现了专业化分工的项目开发战略。各个项目之间功能衔接、数据流通,从而形成一个集情报资源建设、情报数据采集、存储、分析、反馈于一体的完整的情报处理系统,体现了美军系统化项目开发的战略和能力。
图18 公开项目之间关系
(六)部门协作作战模式
美军已初步组建形成了133支网络任务分队,来自四大军种,人员总规模将近6200人,通过连续组织跨国、跨部门的“网络风暴”、“网旗”、“网络卫士”系列演习,各任务分队的网络攻防能力得到持续提升,美网络司令部各部门间的网络防御协作水平也逐年攀升。美军打造“网络航母”这一标准化、规范化的作战平台,其关键意图就是整合各个分散的网络作战系统,打造标准化、体系化、通用化的军事网络作战平台,统一网络作战资源,统一指挥控制,提升其网络作战能力。
图19 公开部门协作平台
04 总结
美军开展网络行动具有很强的目的性,呈现 “注重规模效益、强调攻击效率、突出作战效果”的特点。
从重点作战目标看,电信运营商、关键基础设施、骨干路由设备、网络管理人员、邮件、域名、WEB服务器等是其长期攻击的主要目标。
图20 重点网络作战目标
从常用攻击战法看,中间人攻击、供应链攻击、漏洞远程攻击、内部网络攻击、内部人员攻击等是其常用的攻击战法。
图21 常用网络攻击战法
从主要攻击装备看,利用零日漏洞、持久化后门、内网拓展工具以及攻击控制平台协同配合完成各类攻击作战任务。
图22 主要网络攻击装备
目前,网络空间领域已经进入国家力量主导的体系作战阶段,以美国为代表的西方国家为维持其优势地位,采取多种手段对潜在对手实施网络空间攻击作战行动。
通过深入研究分析其网络空间作战能力,对于在网络空间战略、网络攻防技术以及网络力量体系融合等方面不断深化具有很强现实意义。