近日,国家计算机病毒应急处理中心对“蜂巢”(Hive)恶意代码攻击控制武器平台(简称“蜂巢”)进行分析并发布了相关报告。

据悉,“蜂巢”是被曝光的美国通过网络对全球进行监控窃密的又一个主战装备,由美国中央情报局(CIA)数字创新中心(DDI)下属的信息作战中心工程开发组(EDG)和美国军工企业诺斯罗普·格鲁曼旗下的XETRON公司联合研发。目的主要是为了对全球进行监控窃密,旨在将全球互联网和各地的重要信息基础设施变为美国的“情报站”。

之所以被称为“蜂巢”,是因为该平台属于“轻量化”的网络武器,其战术目的是在目标网络中建立隐蔽立足点,秘密定向投放恶意代码程序,利用该平台对多种恶意代码程序进行后台控制,为后续持续投送“重型”武器网络攻击创造条件。

目前,已知蜂巢平台可支持ARMv7、x86、PowerPC和MIPS等主流CPU架构,覆盖Windows、Unix、Linux、Solaris等通用操作系统,以及RouterOS等专用操作系统。

在国家计算机病毒应急处理中心的报告中,指出了“蜂巢”具有的5大特点:

智能化程度高:可依托人工智能技术自动提高权限、自动窃密、自动隐藏痕迹、自动回传数据,实现对攻击目标的全自动控制

隐蔽性强:恶意代码程序被植入目标系统并正常运行后,会处于静默潜伏状态,实时监听受控信息系统网络通讯流量中具有触发器特征的数据包,等待被 “唤醒”

攻击涉及面广:针对不同CPU架构和操作系统分别开发了功能相近的“蜂巢”平台适配版本

设定有重点攻击对象:从攻击目标类型上看,CIA特别关注MikroTik系列网络设备

突防能力强:“蜂巢”平台作为CIA攻击武器中的“先锋官”和“突击队”,承担了突破目标防线的重要职能,其广泛的适应性和强大的突防能力向全球互联网用户发出了重大警告

早在2017年时,在陆续公布CIA的网络武器文档“Vault7” 后,维基解密再次曝光了新一轮的间谍文件“Vault 8”。在Vault 8 的文档中,就率先曝出“蜂巢”的源代码及其开发日志。维基解密当时就曾表示,该平台可同时发动多项网络攻击行动,将不同的恶意软件植入目标设备,各国的网络设备只要包含美国公司提供的硬件、软件、操作系统等,就极有可能成为其攻击目标,全球互联网上的全部活动、存储的全部数据或都“如实”展现在美国情治机构面前。

美国的大规模网络攻击已经对全球发动了数次,而“蜂巢”平台的曝光既不是第一个,也绝不会是最后一个。

命名迥异但目的相同,发起狠来连盟友也攻击

数年前,由斯诺登透露的“棱镜计划”和维基解密,就揭开了美国利用网络对多国持续进行攻击与控制的黑幕,轰动了全球。

而随着中国对网络安全领域的重视和技术升级,美国对他国进行的隐秘网络攻击与控制也变得无所遁形,逐渐被曝光给大众。

“电幕行动”(Bvp47)

今年2月,北京奇安盘古实验室披露了来自美国“电幕行动”(Bvp47)完整的技术细节和攻击组织关联,这也是中国网络安全研究员首次公开曝光来自美国“方程式”组织APT(高级可持续威胁攻击)的完整技术证据链条。

“方程式”是隶属于NSA的超一流黑客组织,“电幕行动”则是其制造的顶级后门,用于入侵后窥视并控制受害组织网络。在肆虐全球的十多年中,“电幕行动”已经入侵了包括中国、俄罗斯、日本、德国、西班牙、意大利在内的45个国家和地区,涉及287个重要机构目标。其中,最“惨”的受害者莫过于日本,还被其用作跳板对他国的目标发起攻击。目前,中国至少有64个目标受到入侵,主要分布在通信的基础核心数据部门、知名大学及军工相关单位。

图:奇安盘古实验室

报告显示,“电幕行动”可以攻击包括多数Linux发行版、AIX、Solaris、SUN等在内所有操作系统,其高超的代码混淆、隐蔽通信、自毁设计前所未见,体现出高超的技术性、针对性和前瞻性,入侵成功后,黑客组织可以在网络空间里畅通无阻,隐秘控制下的数据获取如探囊取物,在国家级的网络安全对抗中处于绝对的主导地位。

Quantum(量子)攻击平台

在“电幕行动”被曝光一个月后,360针对NSA再次发布技术报告,完整揭露了Quantum(量子)攻击平台。

据悉,Quantum(量子)攻击是NSA针对国家级互联网专门设计的一种先进的网络流量劫持攻击技术,主要针对国家级网络通信进行中间劫持,以实施漏洞利用、通信操控、情报窃取等一系列复杂网络攻击。有证据表明,NSA已经利用这种技术持续对各国访问脸书、Twitter、Youtube、亚马逊等所有互联网用户发起了网络攻击。

“NOPEN”木马工具

这个名为“NOPEN”的木马工具是被国家计算机病毒应急处理中心曝光,该工具是NSA的一款功能强大的综合型木马工具,也是对外攻击窃密所使用的主战网络武器之一,相关泄露资料显示该木马已经控制全球多国的计算机系统。

一段时间以来,中国网络安全机构和企业连续揭开了NSA网络攻击武器的真面目,而这些网络武器多年来已被广泛利用,造成了全球多国的网络安全事件:

前中情局的职员称,美国通过谷歌、微软、苹果等公司获取大量情报,监视了世界多个国家

利用与丹麦情报部门的合作,NSA窃听了包括默克尔在内的德国、法国、挪威、瑞典、荷兰等欧洲多国政要短信和通话内容

被曝光的美国“特等舱”项目显示,美国在其近100个驻外使领馆内安装监听设备,对驻在国进行窃密

来自第五疆域的战争,可用“自主可控”应对

自俄乌冲突爆发以来,美国等国家虽未派兵,但却在网络和信息技术等领域对俄罗斯实施了大规模的制裁,甚至希拉里还扬言道:“可以通过网络攻击俄罗斯的政府机构,‘阿拉伯之春’的时候美国就干过,应该尽可能地去复制这种成功。”

而为了有效应对可能发生的各种网络攻击和战争,普京还签署了总统令,宣布关键基础设施部门在没有授权的情况下,不得使用外国软件;确保俄罗斯的国家互联网基础设施“RuNet”在不接入全球 DNS 系统的情况下都能无间断正常运行;准备未来对外国软件实现完全禁用。如今,网络空间已成为国家在陆、海、空、天之后的“第五疆域”,与其他疆域一样,网络空间也要体现国家主权,保卫网络空间的安全就是保障国家主权的一部分。对于中国来说,加强安全防护、应对来自“不友好”国家的网络攻击,也变得越来越重要。在十八大之后,我国就提出了“要高度关注网络空间安全”,后续还成立了中央网络安全和信息化领导小组,标志着我国网络空间安全国家战略已经确立。过去,很多领域的核心器件甚至整体设备与技术被国外所垄断,“卡脖子”、“他控性”等受制于人而产生的问题已经被大家熟知。而对这些问题的各种应对方式里,国产化自主可控可以说是最为有效的方式。按照Gartner的观点,网络安全包括信息安全、IT安全、OT安全、物理安全、IoT安全五个方面。而在IoT领域,GSMA的统计数据显示,2010-2020年全球物联网设备数量高速增长,复合增长率达19%,预测到2025年时全球物联网设备(包括蜂窝及非蜂窝)联网数量将达到约246亿。当设备的数量达到百亿级别时,设备之间互联而产生的连接数则将成为天文数字,而每一个物联网设备甚至每一条连接的边,都有可能成为被攻击的目标。不仅如此,随着智能汽车、智慧城市、智慧医疗等涉及民生和公共服务的领域数字化和信息化的程度不断提高,国产化和自主可控则可以降低被恶意攻击和植入后门的概率,遇到问题和漏洞后也容易修补,信息安全也更容易治理。

写在最后

美国是世界上最早成立网络军队的国家,目前共有133支网络作战部队,规模大约6200人,在2020年时已经具备了作战能力。如果说过去的网络攻击还是不成规模的“小打小闹”,那现在和未来,网络安全领域的最大威胁就是具备国家背景的网络军队和组织发起的大规模网络战争,而且各种手段的演变速度和方式都远超常规意义上的战争。“蜂巢”平台已经展现了强大的系统功能、先进的设计理念以及超前的作战思想,具备统一指挥操控能力,已基本实现人工智能化。除了关注网络空间安全和使用自主可控的国产化设备之外,对于广大的普通互联网用户来说,及时更新网络设备、上网终端的操作系统,并及时打好补丁,同时关闭不必要的网络服务和端口等,都是必要的网络安全防护方式。

推荐内容