美國中情局主戰網絡攻擊武器曝光:世界各地重要資訊基礎設施已成美國“情報站”
近日,美國通過網絡對全球進行監控竊密的又一主戰裝備曝光,這一主戰裝備即為美國中央情報局(CIA)專用的“蜂巢”惡意代碼攻擊控制武器平台(以下簡稱“蜂巢平台”)。國家計算機病毒應急進行中心的研究人員在接受采訪時對《環球時報》記者表示,全球網際網路和世界各地的重要資訊基礎設施已經成為美國情治部門的“情報站”,從技術細節分析,現有國際網際網路的骨幹網裝置和世界各地的重要資訊基礎設施中,隻要包含美國網際網路公司提供的硬體、作業系統和應用軟體,就極有可能成為美國情治機構的攻擊竊密目标,全球網際網路上的全部活動、存儲的全部資料或都“如實”展現在美國情治機構面前。
近一段時間以來,中國網絡安全機構連續揭開美國國家安全局(NSA)“電幕行動”“APT-C-40”“NOPEN”“量子”網絡攻擊武器的真面目。相較而言,此次曝光的“蜂巢”平台有哪些新的特點?對全球網絡使用者有哪些新提示?國家計算機病毒應急進行中心研究人員接受《環球時報》獨家專訪做出進一步解釋。
根據介紹,“蜂巢”平台由CIA下屬部門和美國著名軍工企業諾斯羅普·格魯曼(NOC)旗下公司聯合研發,系CIA專用的網絡攻擊武器裝備,該裝備具有五大特點。
首先,“蜂巢”平台智能化程度高。該武器是典型的美國軍工産品,子產品化、标準化程度高,擴充性好,表明美國已實作網絡武器的“産學研一體化”。這些武器可根據目标網絡的硬體、軟體配置和存在後門、漏洞情況自主确定攻擊方式并發起網絡攻擊,可依托人工智能技術自動提高權限、自動竊密、自動隐藏痕迹、自動回傳資料,實作對攻擊目标的全自動控制。其強大的系統功能、先進的設計理念和超前的作戰思想充分展現了CIA在網絡攻擊領域的能力。其網絡武器涵蓋遠端掃描、漏洞利用、隐蔽植入、嗅探竊密、檔案提取、内網滲透、系統破壞等網絡攻擊活動的全鍊條,具備統一指揮操控能力,已基本實作人工智能化。這同時也可以證明,CIA對他國發動網絡黑客攻擊的武器系統已經實作體系化、規模化、無痕化和人工智能化。
其次,“蜂巢”平台隐蔽性強。該平台采用C/S架構,主要由主要端、遠端控制平台、生成器、受控端程式等4部分組成。CIA攻擊人員利用生成器生成定制化的受控端惡意代碼程式,伺服器端惡意代碼程式被植入目标系統并正常運作後,會處于靜默潛伏狀态,實時監聽受控資訊系統網絡通訊流量中具有觸發器特征的資料包,等待被 “喚醒”。CIA攻擊人員可以使用用戶端向伺服器端發送“暗語”,以“喚醒”潛伏的惡意代碼程式并執行相關指令,之後CIA攻擊人員利用名為“割喉”的控制台程式對用戶端進行操控(如圖1所示)。為躲避入侵檢測,發送“暗語”喚醒受控端惡意代碼程式後,會根據目标環境情況臨時建立加密通信信道,以迷惑網絡監測人員、規避技術監測手段。
此外,為進一步提高網絡間諜行動的隐蔽性,CIA在全球範圍内精心部署了蜂巢平台相關網絡基礎設施。從已經監測到的資料分析,CIA在主要端和被控端之間設定了多層動态跳闆伺服器和VPN通道,這些伺服器廣泛分布于加拿大、法國、德國、馬來西亞和土耳其等國,有效隐藏自身行蹤,受害者即使發現遭受“蜂巢”平台的網絡攻擊,也極難進行技術分析和追蹤溯源。
圖1 “割喉”(cutthroat)主要指令行參數說明
主要端與被控端建立連接配接後可執行相應控制指令(如圖2所示):
圖2 遠端指令控制
為躲避入侵檢測,主要端通過發送“暗語”喚醒受控端惡意代碼程式,随後模仿HTTP over TLS建立加密通信信道,以迷惑網絡監測人員、規避技術監測手段(如圖3所示)。
圖3 喚醒并建立加密通信信道
第三,“蜂巢”平台攻擊涉及面廣。CIA為了滿足針對多平台目标的攻擊需求,針對不同CPU架構和作業系統分别開發了功能相近的“蜂巢”平台适配版本。根據目前掌握的情況,“蜂巢”平台可支援現有主流的CPU架構,覆寫Windows、Unix、Linux、Solaris等通用作業系統,以及網絡裝置專用作業系統等。
第四,“蜂巢”平台設定有重點攻擊對象。從攻擊目标類型上看,CIA特别關注MikroTik系列網絡裝置。MikroTik公司的路由器等網絡裝置在全球範圍内具有較高流行度,特别是其自研的RouterOS作業系統,被很多第三方路由器廠商所采用,是以CIA對這種作業系統的攻擊能力帶來的潛在風險難以估量。CIA特别開發了一個名為“Chimay-Red”的MikroTik路由器漏洞利用工具,并編制了詳細的使用說明。該漏洞利用工具利用存在于MikroTik RouterOS 6.38.4及以下版本作業系統中的棧沖突遠端代碼執行漏洞,實作對目标系統的遠端控制。
第五,“蜂巢”平台突防能力強,應引起全球網際網路使用者警惕。“蜂巢”平台屬于“輕量化”網絡武器,其戰術目的是在目标網絡中建立隐蔽立足點,秘密定向投放惡意代碼程式,利用該平台對多種惡意代碼程式進行集中控制,為後續持續投送“重型”網絡攻擊武器創造條件。“蜂巢”平台作為CIA攻擊武器中的“先鋒官”和“突擊隊”,承擔了突破目标防線的重要職能,其廣泛的适應性和強大的突防能力向全球網際網路使用者發出了重大警告。
這位研究人員指出,與此前NSA被曝光的美國網絡攻擊武器一樣,CIA對全球範圍的高價值目标實施無差别的攻擊控制和間諜竊密。CIA的黑客攻擊和網絡間諜活動目标涉及世界各國政府、政黨、非政府組織、國際組織和重要軍事目标,各國政要、公衆人物、社會名人和技術專家,教育、科研、通訊、醫療機構,大量竊取受害國的秘密資訊,大量擷取受害國重要資訊基礎設施的控制權,大量掌握世界各國的公民個人隐私,服務于美國維持霸權地位。而且,全球網際網路和世界各地的重要資訊基礎設施已經成為美國情治部門的“情報站”。“從技術細節分析,現有國際網際網路的骨幹網裝置和世界各地的重要資訊基礎設施中(伺服器、交換裝置、傳輸裝置和上網終端),隻要包含美國網際網路公司提供的硬體、作業系統和應用軟體,就極有可能包含零日(0day)或各類後門程式(Backdoor),就極有可能成為美國情治機構的攻擊竊密目标,全球網際網路上的全部活動、存儲的全部資料或都‘如實’展現在美國情治機構面前,成為其對全球目标實施攻擊破壞的 ‘把柄’和 ‘素材’。”
針對“蜂巢”平台高度智能化、高度隐蔽性的特點,網際網路使用者該如何發現和應對“蜂巢”平台的威脅。國家計算機病毒應急進行中心提醒廣大網際網路使用者,美國情治部門的網絡攻擊是迫在眉睫的現實威脅,針對帶有美國“基因”的計算機軟硬裝置的攻擊竊密如影随形。現階段避免遭受美國政府黑客攻擊的權宜之計是采用自主可控的國産化裝置。此外,該中心的研究人員也建議網際網路使用者及時更新網絡裝置、上網終端的作業系統,并及時打好更新檔,同時關閉不必要的網絡服務和端口,按照《中華人民共和國網絡安全法》、《網絡安全等級保護條例》等法律法規的要求做好網絡安全防護工作。
來源:環球網