中國網(wǎng)安企業(yè)曝光：當年攻擊伊朗核設施前，美國準備了4年多

　　【環(huán)球時報-環(huán)球網(wǎng)報道 記者郭媛丹】14日，國家計算機病毒應急處理中心曝光了美國對外攻擊竊密所使用的主戰(zhàn)網(wǎng)絡武“NOPEN”。持續(xù)多年跟蹤分析全球APT（高級持續(xù)性威脅）攻擊活動的安天科技集團15日接受《環(huán)球時報》記者采訪時進一步曝光了美國網(wǎng)絡攻擊活動的十大作業(yè)特點，披露美方將網(wǎng)絡空間僅視為達成竊密的通道之一，美方采用人力、電磁、網(wǎng)空作業(yè)三結合的方式，達到其最優(yōu)攻擊效果，面對美方攻擊能力，沒有安全的系統(tǒng)。

　　美國國家安全局（NSA）打造了體系化的網(wǎng)絡攻擊平臺和制式化的攻擊裝備庫，美國國家安全局下的特別行動辦公室（TAO）是這些攻擊裝備的主要使用者，該辦公室下設5個部門，包括高級網(wǎng)絡技術部門(ANT)、數(shù)據(jù)網(wǎng)絡技術部門(DNT)等。安天科技集團副總工程師李柏松對《環(huán)球時報》表示，其中ANT部門擁有不少于48種網(wǎng)絡攻擊裝備，“ANT攻擊裝備家族是美方在2008年前后陸續(xù)批量列裝的攻擊裝備體系，基本覆蓋了主流的桌面主機、服務器、網(wǎng)絡設備、網(wǎng)絡安全設備、移動通訊設備等。裝備形態(tài)包括惡意代碼載荷、計算機外設、信號通訊設備等。這些裝備可以組合使用，以達成復雜攻擊作業(yè)目標。其中，軟件裝備主要用于向各類IT設備系統(tǒng)中植入持久化后門，其目的以長期駐留潛伏、竊取信息為主；硬件裝備有的偽裝成計算機外設，有的以獨立的硬件設備形態(tài)出現(xiàn)，用以進行惡意代碼注入、建立第二控制和信息回傳信道等。”

　　另外一個部門DNT的攻擊裝備則包括Fuzzbunch漏洞攻擊平臺和DanderSpritz遠控平臺，“這些攻擊裝備涉及大量系統(tǒng)級0day漏洞利用工具和先進的后門程序，體現(xiàn)了美方的超級0day漏洞儲備能力和攻擊技術水平�！崩畎厮杀硎�，“美方在網(wǎng)絡攻擊裝備的上的優(yōu)勢，源自于其試圖覆蓋所有主流IT場景的作業(yè)目標，多年持續(xù)性巨量的資金投入，并獲得美主要IT企業(yè)的深度信息共享支持�！�

　　根據(jù)對美方相關武器和攻擊行動的分析，安天總結出美方網(wǎng)絡攻擊作業(yè)的十大特點，就其中一些特點，李柏松進行了具體闡述。

　　首先，進行全面的前期偵查與信息搜集。例如在2010年7月“震網(wǎng)”(Stuxnet)蠕蟲攻擊事件中（Stuxnet是一個面向工業(yè)系統(tǒng)進行攻擊的病毒，采用構造閥門超壓和改變轉速方式破壞鈾離心裝置系統(tǒng)，是世界上首個網(wǎng)絡“超級破壞性武器”，據(jù)稱造成了超過2/3的伊朗離心機損壞，后續(xù)還擴散感染了全球超過45000個網(wǎng)絡端點），美方經(jīng)歷了超過4年的準備過程，在攻擊伊朗核設施之前，美方已經(jīng)完全滲透了伊朗的基礎工業(yè)機構，包括設備生產(chǎn)商、供應商、軟件開發(fā)商等，完整研究與模擬了伊朗核工業(yè)體系，知己知彼后才實施最后攻擊。

　　其次，超強的邊界突防能力，美方針對網(wǎng)絡防火墻、路由器、交換機、VPN等網(wǎng)絡設備0day漏洞儲備豐富，能隱蔽打入控制邊界和網(wǎng)絡設備，進行流量轉發(fā)，并將此作為持續(xù)攻擊內網(wǎng)目標的中繼站。例如在對中東最大SWIFT服務提供商EastNets攻擊中，美方就先后入侵了外層的VPN防火墻和內層企業(yè)級防火墻，并在防火墻上安裝了木馬。）

　　第三，美方攻擊手段已經(jīng)實現(xiàn)人力、電磁、網(wǎng)空作業(yè)三結合，美方將網(wǎng)絡空間僅視為達成竊密的通道之一，組合人力手段和電磁手段達到最優(yōu)攻擊效果。例如：代號為水蝮蛇I號的設備，就融合了基于USB接口的木馬注入和數(shù)據(jù)無線回傳機制，根據(jù)資料，最大通訊距離可達8英里。

　　第四，超強的突破物理隔離網(wǎng)絡能力。美方基于物流鏈劫持、人工帶入等方式，借助外設和輔助信號裝置，實現(xiàn)建立橋頭堡、構建第二電磁信道等方式，突破物理隔離網(wǎng)絡。例如在震網(wǎng)攻擊中，根據(jù)相關信息，由荷蘭情報機構人員進入到現(xiàn)場，將帶有震網(wǎng)病毒的USB設備接入到隔離內網(wǎng)發(fā)起攻擊。

　　第五，惡意代碼載荷基本覆蓋所有操作系統(tǒng)平臺。在已曝光的美方攻擊行動中，已發(fā)現(xiàn)各類操作系統(tǒng)平臺樣本，如Windows、Linux、Solaris、Android、OSX、iOS等�？梢哉f面對美方攻擊能力，沒有安全的系統(tǒng)。

　　第六，廣泛采用無文件實體技術，采用直接內存加載執(zhí)行或建立隱藏磁盤存儲空間等方式隱蔽樣本，同時通過固件等方式實現(xiàn)更隱蔽的持久化。例如，DanderSprit木馬框架中就包括寫入硬盤固件的組件，在攻擊過程中，針對符合預設條件的主機，將木馬寫入到硬盤固件中。即使用戶重新安裝系統(tǒng)，木馬依然能重新加載。

　　李柏松表示，網(wǎng)絡安全防護工作必須正視威脅、直面對手，要充分認識到網(wǎng)絡安全所面臨風險挑戰(zhàn)的高度嚴峻性，深入貫徹總體國家安全觀，以捍衛(wèi)國家主權、安全和發(fā)展利益的高度開展網(wǎng)絡安全防御工作。