揭秘美國國安局全球網路攻擊手法:全球數億公民隱私和敏感資訊猶如“裸奔”
《環球時報》記者近日獨家從360公司獲悉,2008年開始,360雲端安全大腦整合海量安全大數據,獨立捕獲大量高級複雜的攻擊程式,通過長期的分析與跟蹤並實地從多個受害單位取證,結合關聯全球威脅情報,以及對斯諾登事件、“影子經紀人”駭客組織的持續追蹤,確認了這些針對系列行業龍頭企業長達十餘年的攻擊屬於美國國家安全局(nsa)組織。
《環球時報》記者了解到,除嚴重威脅電力、水利、交通、能源等關鍵基礎設施外,nsa還將通信行業視為重點攻擊目標,長期“偷窺”及收集關於通信行業存儲的大量個人資訊及行業關鍵數據,導致大量網民的公民身份、財産、家庭住址、甚至通話錄音等隱私數據面臨著惡意採集、非法濫用、跨境流出的嚴重威脅。在nsa組織的監視下,全球數億公民隱私和敏感資訊無處藏身猶如“裸奔”。
我國是美國國安局組織重點攻擊目標之一,受害單位感染量或達百萬量級
美國國家安全局隸屬美國國防部,專門從事電子通信偵察,主要任務是蒐集各國的資訊資料,揭露潛伏間諜通信聯絡活動,為美國政府提供各種加工整理的情報資訊。長期以來,為達到美國政府情報收集目的,nsa組織針對全球發起大規模網路攻擊,我國就是nsa組織的重點攻擊目標之一。
2013年,前美國中央情報局(cia)職員、美國國家安全局(nsa)外包技術員愛德華 斯諾登向全世界揭發美國政府收集用戶數據資訊的醜聞,並泄漏了nsa組織大量網路戰機密文檔資料,這起美國歷史上最嚴重的泄密事件轟動全球。經此一事,“網路戰”及“國家級網路威脅”等概念為全世界所認知。
之後的2016年、2017年,駭客組織“影子經紀人”又公開了被nsa組織應用的網路武器的樣本,nsa組織大規模高危網路作戰武器及配套組件逐一曝光。360公司相關人士對《環球時報》記者表示,360公司是國內第一批有意識追蹤高級別網路威脅的安全公司,並率先提出了apt(高級可持續威脅攻擊)概念。在此期間,360團隊依託海量安全大數據的情報視野,看到各行各業相繼淪陷於nsa網路武器攻擊之下,積極推出各種包括永恒之藍武器庫防禦方案和漏洞補丁等配套防護工具,全力抵禦nsa武器庫攻擊。
《環球時報》記者了解到,長期以來,為達到美國政府情報收集目的,nsa組織針對全球發起大規模網路攻擊,我國就是nsa組織的重點攻擊目標之一,nsa組織對中國境內目標的攻擊如政府、金融、科研院所、運營商、教育、軍工、航空航太、醫療等行業,重要敏感單位及組織機構成為主要目標,佔比重較大的是高科技領域。
美國國家安全局(nsa)為監控全球的目標制定了眾多的作戰計劃,360安全專家告訴《環球時報》記者,通過對nsa專屬的validator後門配置字段的統計分析,推測nsa針對中國的潛在攻擊量非常巨大,“僅validator一項的感染量最保守估計應該在幾萬的數量級,數十萬甚至百萬都是有可能的。”
同時,《環球時報》記者獲悉,根據nsa機密文檔中描述的foxcid伺服器代號,可以發現其針對英國、德國、法國、韓國、波蘭、日本、伊朗等全球47個國家及地區發起攻擊,403個目標受到影響,潛伏時間長達十幾年。
詳細揭秘:美國國安局的網路攻擊手法有哪些?
《環球時報》記者獲悉,360安全團隊將nsa及其關連線構單獨編號為apt-c-40,並與系列行業龍頭共建了apt高級威脅研究實驗室,發現美國國家安全局針對系列行業龍頭企業長達十餘年時間的攻擊活動。通過對取證數據分析,發現這些攻擊實際開始於2010年,結合網路情報分析研判,該攻擊活動與nsa的某網路戰計劃實施時間前後銜接,攻擊活動涉及企業眾多關鍵的網路管理伺服器和終端,其攻擊手法多樣、隱秘且危害巨大,具體手法如下:
(1)quantum(量子)攻擊系統
quantum(量子)攻擊系統是nsa發展的一系列網路攻擊與利用平臺的總稱,其下包含多個子項目,均以quantum開頭命名。它是nsa最強大的網際網路攻擊工具,也是nsa進行網路情報戰最重要的能力系統之一,最早的項目從2004年就已經開始創建。
從文檔中不難看出,在nsa的三個主要網路戰方向(cne、cna、cnd)中,quantum均有相關項目。nsa利用美國在全球網路通訊和網際網路體系中所處的核心地位,利用先進技術手段實現對網路信號的監聽、截獲與自動化利用,quantum項目的本質就是在此基礎上實現的一系列數據分析與利用能力。
(2)foxacid(酸狐狸)0day漏洞攻擊平臺
quantum(量子)攻擊經常配套使用的是代號為foxacid(酸狐狸)的系統。foxacid是nsa設計的一個威力巨大的0day漏洞攻擊平臺,並且可以對漏洞攻擊的主要步驟實施自動化,甚至讓沒有什麼網路攻擊經驗的運營商也參與進來,成為一件威力巨大的“大規模入侵工具”。 根據nsa機密文檔介紹,foxacid伺服器使用了各種瀏覽器0day漏洞,比如flash、ie、火狐瀏覽器漏洞,用於向電腦目標植入木馬程式。
而從現有情報來看,foxacid在2007年之前就已經開始投入運作,直到2013年仍有其使用的痕跡,以此估算其使用時間至少長達八年之久。nsa依靠與美國電信公司的秘密合作,把foxacid伺服器放在internet骨幹網,保證了foxacid伺服器的反應速度要快於實際網站伺服器的反應速度。利用這個速度差,quantum(量子)注入攻擊可以在實際網站反應之前模倣這個網站,迫使目標機器的瀏覽器來訪問foxacid伺服器。
(3)validator(驗證器)後門
validator(驗證器)是用於foxacid項目的主要後門程式之一,一般被用於nsa的初步入侵,通過其再植入更複雜的木馬程式,比如unitedrake(聯合耙),每個被植入的電腦系統都會被分配一個唯一的驗證id。
根據nsa機密文檔的描述,validator主要配合foxacid攻擊使用,基於基本的c/s架構,為敏感目標提供了可供接觸的後門。validator可以通過遠端和直接接觸進行部署,並提供了7x24小時的線上能力。validator是一種很簡單的後門程式,提供了一種隊列式的操作模式,只能支援上傳下載文件、執行程式、獲取系統資訊、改變id和自毀這類簡單功能。
(4)unitedrake(聯合耙)後門系統
unitedrake(聯合耙),是nsa開發的一套先進後門系統。360安全專家通過對洩露的相關文檔進行分析,unitedrake的整體結構大致分為5個子系統,分別是伺服器、系統管理界面、數據庫、模組插件集和客戶端,其關係如下所示:
伺服器:伺服器即為cc伺服器,主要功能為接受客戶端的連接請求,並且管理客戶端和其他子系統間的通訊,設計該系統的目的為盡可能的減少操作請求次數。在文檔中其被描述為 listening port,即監聽端口。
系統管理界面:系統管理界面為一套圖形用戶界面,操作者可以通過該界面直接查看客戶端狀態、給客戶端下發命令、管理插件和調整客戶端的配置。在文檔中其被描述為ur gui。
插件模組集:該部分為整套unitedrake系統的技術核心,功能插件化使得整套系統具備極強的可擴展性和適應性;一個插件模組由一個或多個客戶端插件,一個或多個服務端插件以及一個或多個系統管理界面組件組成的,三者配合共同組成一個完整的功能插件模組;並且針對不同的行動,插件模組可以根據任務需求彈性化選擇組合與安裝。
數據庫:unitedrake系統使用sql數據庫來存儲和管理一下資訊:系統配置資訊、客戶端配置資訊、各類狀態資訊和收集到的數據。
客戶端:客戶端程式,即為下發植入的木馬程式;其能隱蔽的植入目標機器中,併為進一步的攻擊提供支援,客戶端的設計重點為提高隱蔽性。
全球數億公民隱私和敏感資訊無處藏身猶如“裸奔”
《環球時報》記者獲悉,綜合(apt-c-40組織)即nsa的非法入侵行徑,其行為將可能對我國甚至其他國家的國防安全、關鍵基礎設施安全、金融安全、社會安全、生産安全以及公民個人資訊造成嚴重危害。
360安全專家對《環球時報》記者表示,面對這些非法網路攻擊,首先應警惕國家級apt組織對國家安全的危害。戰爭的形式不止于兵戎相見這一種,網路空間早已成為大國較量的另一重要戰場,“回顧2020年,360披露美國中央情報局cia(apt-c-39)對中國進行長達 11 年的網路攻擊滲透一案依然歷歷在目,面對網路強國咄咄逼人的戰略攻勢,以國家力量為背景的apt網路攻擊及全球化網路戰爭再一次敲響我們頭上警鐘。”
“網路戰及國家級apt組織對國家安全的危害是多方面的。”這位專家告訴記者,入侵組織不僅對國家政府及要害部門進行持續監視與間諜活動,甚至對於一國政治、經濟、社會、國防軍事等方面的威脅不斷加深。一旦apt組織對整個國家社會系統進行攻擊,將可能導致交通、銀行、航空、水電系統癱瘓,並對國家政治穩定、經濟命脈造成不可估量的傷害。
360安全專家表示,此外,還應警惕國家級apt組織對關鍵基礎設施的危害,“關鍵基礎設施逐漸成為網路戰首選目標,國與國之間的網路對抗,以關鍵基礎設施為目標的網路戰愈加頻繁,網路攻擊不再只是為了竊取情報,更可以對電力、水利、電信、交通、能源等關鍵基礎設施發起攻擊,從而對公共數據、公共通信網路、公共交通網路、公共服務等造成災難性後果,嚴重影響關係百姓民生的公共安全,破壞整個社會的神經中樞。”
“同時,國家級apt組織對個人資訊安全的危害也不可低估。”《環球時報》根據360雲端安全大腦長期監測數據發現,nsa將通信行業視為重點攻擊目標,長期“偷窺”及收集關於通信行業存儲的大量個人資訊及行業關鍵數據,導致大量網民的公民身份、財産、家庭住址、甚至通話錄音等隱私數據面臨著惡意採集、非法濫用、跨境流出的嚴重威脅,“在nsa組織的監視下,全球數億公民隱私和敏感資訊無處藏身猶如“裸奔”,而其幕後政府及政客只關注政治私利,全然漠視公民個人權利,公民人權淪為政治博弈的籌碼,其入侵行徑嚴重侵犯我國及全球公民的合法利益。”360安全專家表示。
專家提醒,根據公開網路情報,美國國家安全局(nsa)的全球化入侵行徑,離不開其下屬部門及其關連線構為其提供數據和攻擊武器支援,文中提及的後門程式unitedrake(聯合耙)、quantum(量子)攻擊系統、倣冒伺服器foxacid等是代表性的攻擊套件組合。“後續關於美國nsa武器庫的更多情報數據與戰例分析,我們將會進一步分析研判。”