美國網絡攻擊特點被曝光：為攻擊一國核設施準備了4年多

中國網安企業曝光美方網絡攻擊特點 ：當年攻擊伊朗核設施前，美國曾準備了4年多。

14日，國家計算機病毒應急進行中心曝光了美國對外攻擊竊密所使用的主戰網絡武器“NOPEN”。持續多年跟蹤分析全球APT（進階持續性威脅）攻擊活動的安天科技集團15日接受《環球時報》記者采訪時進一步曝光了美國網絡攻擊活動的十大作業特點，披露美方将網絡空間僅視為達成竊密的通道之一，美方采用人力、電磁、網空作業三結合的方式，達到其最優攻擊效果，面對美方攻擊能力，沒有安全的系統。

美國國家安全局（NSA）打造了體系化的網絡攻擊平台和制式化的攻擊裝備庫，美國國家安全局下的特别行動辦公室（TAO）是這些攻擊裝備的主要使用者，該辦公室下設5個部門，包括進階網絡技術部門(ANT)、資料網絡技術部門(DNT)等。安天科技集團副總工程師李柏松對《環球時報》表示，其中ANT部門擁有不少于48種網絡攻擊裝備，“ANT攻擊裝備家族是美方在2008年前後陸續批量列裝的攻擊裝備體系，基本覆寫了主流的桌面主機、伺服器、網絡裝置、網絡安全裝置、移動通訊裝置等。裝備形态包括惡意代碼載荷、計算機外設、信号通訊裝置等。這些裝備可以組合使用，以達成複雜攻擊作業目标。其中，軟體裝備主要用于向各類IT裝置系統中植入持久化後門，其目的以長期駐留潛伏、竊取資訊為主；硬體裝備有的僞裝成計算機外設，有的以獨立的硬體裝置形态出現，用以進行惡意代碼注入、建立第二控制和資訊回傳信道等。”

另外一個部門DNT的攻擊裝備則包括Fuzzbunch漏洞攻擊平台和DanderSpritz遠控平台，“這些攻擊裝備涉及大量系統級0day漏洞利用工具和先進的後門程式，展現了美方的超級0day漏洞儲備能力和攻擊技術水準。”李柏松表示，“美方在網絡攻擊裝備的上的優勢，源自于其試圖覆寫所有主流IT場景的作業目标，多年持續性巨量的資金投入，并獲得美主要IT企業的深度資訊共享支援。”

根據對美方相關武器和攻擊行動的分析，安天總結出美方網絡攻擊作業的十大特點，就其中一些特點，李柏松進行了具體闡述。

首先，進行全面的前期偵查與資訊搜集。例如在2010年7月“震網”(Stuxnet)蠕蟲攻擊事件中（Stuxnet是一個面向工業系統進行攻擊的病毒，采用構造閥門超壓和改變轉速方式破壞鈾離心裝置系統，是世界上首個網絡“超級破壞性武器”，據稱造成了超過2/3的伊朗離心機損壞，後續還擴散感染了全球超過45000個網絡端點），美方經曆了超過4年的準備過程，在攻擊伊朗核設施之前，美方已經完全滲透了伊朗的基礎工業機構，包括裝置生産商、供應商、軟體開發商等，完整研究與模拟了伊朗核工業體系，知己知彼後才實施最後攻擊。

其次，超強的邊界突防能力，美方針對網絡防火牆、路由器、交換機、VPN等網絡裝置0day漏洞儲備豐富，能隐蔽打入控制邊界和網絡裝置，進行流量轉發，并将此作為持續攻擊内網目标的中繼站。例如在對中東最大SWIFT服務提供商EastNets攻擊中，美方就先後入侵了外層的VPN防火牆和内層企業級防火牆，并在防火牆上安裝了木馬。）

第三，美方攻擊手段已經實作人力、電磁、網空作業三結合，美方将網絡空間僅視為達成竊密的通道之一，組合人力手段和電磁手段達到最優攻擊效果。例如：代号為水蝮蛇I号的裝置，就融合了基于USB接口的木馬注入和資料無線回傳機制，根據資料，最大通訊距離可達8英裡。

第四，超強的突破實體隔離網絡能力。美方基于物流鍊劫持、人工帶入等方式，借助外設和輔助信号裝置，實作建立橋頭堡、建構第二電磁信道等方式，突破實體隔離網絡。例如在震網攻擊中，根據相關資訊，由荷蘭情報機構人員進入到現場，将帶有震網病毒的USB裝置接入到隔離内網發起攻擊。

第五，惡意代碼載荷基本覆寫所有作業系統平台。在已曝光的美方攻擊行動中，已發現各類作業系統平台樣本，如Windows、Linux、Solaris、Android、OSX、iOS等。可以說面對美方攻擊能力，沒有安全的系統。

第六，廣泛采用無檔案實體技術，采用直接記憶體加載執行或建立隐藏磁盤存儲空間等方式隐蔽樣本，同時通過固件等方式實作更隐蔽的持久化。例如，DanderSprit木馬架構中就包括寫入硬碟固件的元件，在攻擊過程中，針對符合預設條件的主機，将木馬寫入到硬碟固件中。即使使用者重新安裝系統，木馬依然能重新加載。

李柏松表示，網絡安全防護工作必須正視威脅、直面對手，要充分認識到網絡安全所面臨風險挑戰的高度嚴峻性，深入貫徹總體國家安全觀，以捍衛國家主權、安全和發展利益的高度開展網絡安全防禦工作。

來源：環球時報-環球網/郭媛丹

編輯：張琦琪

稽核：嶽靓

終審：何屹