【環(huán)球時報-環(huán)球網報道 特約記者袁宏】近日��,美國通過網絡對全球進行監(jiān)控竊密的又一主戰(zhàn)裝備曝光��,這一主戰(zhàn)裝備即為美國中央情報局(CIA)專用的“蜂巢”惡意代碼攻擊控制武器平臺(以下簡稱“蜂巢平臺”)����。國家計算機病毒應急處理中心的研究人員在接受采訪時對《環(huán)球時報》記者表示����,全球互聯(lián)網和世界各地的重要信息基礎設施已經成為美國情治部門的“情報站”,從技術細節(jié)分析���,現(xiàn)有國際互聯(lián)網的骨干網設備和世界各地的重要信息基礎設施中���,只要包含美國互聯(lián)網公司提供的硬件����、操作系統(tǒng)和應用軟件����,就極有可能成為美國情治機構的攻擊竊密目標����,全球互聯(lián)網上的全部活動、存儲的全部數據或都“如實”展現(xiàn)在美國情治機構面前���。
近一段時間以來��,中國網絡安全機構連續(xù)揭開美國國家安全局(NSA)“電幕行動”“APT-C-40”“NOPEN”“量子”網絡攻擊武器的真面目��。相較而言��,此次曝光的“蜂巢”平臺有哪些新的特點����?對全球網絡用戶有哪些新提示�����?國家計算機病毒應急處理中心研究人員接受《環(huán)球時報》獨家專訪做出進一步解釋。
根據介紹����,“蜂巢”平臺由CIA下屬部門和美國著名軍工企業(yè)諾斯羅普·格魯曼(NOC)旗下公司聯(lián)合研發(fā),系CIA專用的網絡攻擊武器裝備���,該裝備具有五大特點�����。
首先�,“蜂巢”平臺智能化程度高���。該武器是典型的美國軍工產品���,模塊化、標準化程度高���,擴展性好��,表明美國已實現(xiàn)網絡武器的“產學研一體化”�。這些武器可根據目標網絡的硬件、軟件配置和存在后門���、漏洞情況自主確定攻擊方式并發(fā)起網絡攻擊�,可依托人工智能技術自動提高權限���、自動竊密�、自動隱藏痕跡���、自動回傳數據���,實現(xiàn)對攻擊目標的全自動控制�。其強大的系統(tǒng)功能、先進的設計理念和超前的作戰(zhàn)思想充分體現(xiàn)了CIA在網絡攻擊領域的能力��。其網絡武器涵蓋遠程掃描�、漏洞利用、隱蔽植入���、嗅探竊密���、文件提取���、內網滲透、系統(tǒng)破壞等網絡攻擊活動的全鏈條�,具備統(tǒng)一指揮操控能力,已基本實現(xiàn)人工智能化����。這同時也可以證明,CIA對他國發(fā)動網絡黑客攻擊的武器系統(tǒng)已經實現(xiàn)體系化���、規(guī)?�;?����、無痕化和人工智能化�����。
其次����,“蜂巢”平臺隱蔽性強。該平臺采用C/S架構�����,主要由主控端�、遠程控制平臺、生成器��、受控端程序等4部分組成�。CIA攻擊人員利用生成器生成定制化的受控端惡意代碼程序,服務器端惡意代碼程序被植入目標系統(tǒng)并正常運行后���,會處于靜默潛伏狀態(tài)����,實時監(jiān)聽受控信息系統(tǒng)網絡通訊流量中具有觸發(fā)器特征的數據包�����,等待被 “喚醒”�。CIA攻擊人員可以使用客戶端向服務器端發(fā)送“暗語”���,以“喚醒”潛伏的惡意代碼程序并執(zhí)行相關指令�����,之后CIA攻擊人員利用名為“割喉”的控制臺程序對客戶端進行操控(如圖1所示)��。為躲避入侵檢測�,發(fā)送“暗語”喚醒受控端惡意代碼程序后,會根據目標環(huán)境情況臨時建立加密通信信道�����,以迷惑網絡監(jiān)測人員���、規(guī)避技術監(jiān)測手段�。
此外�����,為進一步提高網絡間諜行動的隱蔽性����,CIA在全球范圍內精心部署了蜂巢平臺相關網絡基礎設施。從已經監(jiān)測到的數據分析�,CIA在主控端和被控端之間設置了多層動態(tài)跳板服務器和VPN通道,這些服務器廣泛分布于加拿大���、法國����、德國、馬來西亞和土耳其等國����,有效隱藏自身行蹤,受害者即使發(fā)現(xiàn)遭受“蜂巢”平臺的網絡攻擊��,也極難進行技術分析和追蹤溯源����。
圖1 “割喉”(cutthroat)主要命令行參數說明
主控端與被控端建立連接后可執(zhí)行相應控制命令(如圖2所示):
圖2 遠程命令控制
為躲避入侵檢測,主控端通過發(fā)送“暗語”喚醒受控端惡意代碼程序�,隨后模仿HTTP over TLS建立加密通信信道,以迷惑網絡監(jiān)測人員�����、規(guī)避技術監(jiān)測手段(如圖3所示)��。
圖3 喚醒并建立加密通信信道
第三�����,“蜂巢”平臺攻擊涉及面廣��。CIA為了滿足針對多平臺目標的攻擊需求�,針對不同CPU架構和操作系統(tǒng)分別開發(fā)了功能相近的“蜂巢”平臺適配版本。根據目前掌握的情況����,“蜂巢”平臺可支持現(xiàn)有主流的CPU架構,覆蓋Windows�����、Unix����、Linux、Solaris等通用操作系統(tǒng)�����,以及網絡設備專用操作系統(tǒng)等�����。
第四�����,“蜂巢”平臺設定有重點攻擊對象。從攻擊目標類型上看���,CIA特別關注MikroTik系列網絡設備���。MikroTik公司的路由器等網絡設備在全球范圍內具有較高流行度,特別是其自研的RouterOS操作系統(tǒng)�,被很多第三方路由器廠商所采用,因此CIA對這種操作系統(tǒng)的攻擊能力帶來的潛在風險難以估量��。CIA特別開發(fā)了一個名為“Chimay-Red”的MikroTik路由器漏洞利用工具��,并編制了詳細的使用說明�。該漏洞利用工具利用存在于MikroTik RouterOS 6.38.4及以下版本操作系統(tǒng)中的棧沖突遠程代碼執(zhí)行漏洞,實現(xiàn)對目標系統(tǒng)的遠程控制�。
第五,“蜂巢”平臺突防能力強���,應引起全球互聯(lián)網用戶警惕�����。“蜂巢”平臺屬于“輕量化”網絡武器���,其戰(zhàn)術目的是在目標網絡中建立隱蔽立足點,秘密定向投放惡意代碼程序�����,利用該平臺對多種惡意代碼程序進行集中控制�,為后續(xù)持續(xù)投送“重型”網絡攻擊武器創(chuàng)造條件?��!胺涑病逼脚_作為CIA攻擊武器中的“先鋒官”和“突擊隊”��,承擔了突破目標防線的重要職能�����,其廣泛的適應性和強大的突防能力向全球互聯(lián)網用戶發(fā)出了重大警告���。
這位研究人員指出,與此前NSA被曝光的美國網絡攻擊武器一樣���,CIA對全球范圍的高價值目標實施無差別的攻擊控制和間諜竊密���。CIA的黑客攻擊和網絡間諜活動目標涉及世界各國政府�、政黨�、非政府組織、國際組織和重要軍事目標���,各國政要���、公眾人物、社會名人和技術專家���,教育、科研����、通訊、醫(yī)療機構�����,大量竊取受害國的秘密信息��,大量獲取受害國重要信息基礎設施的控制權��,大量掌握世界各國的公民個人隱私�,服務于美國維持霸權地位�。而且�����,全球互聯(lián)網和世界各地的重要信息基礎設施已經成為美國情治部門的“情報站”��?��!皬募夹g細節(jié)分析,現(xiàn)有國際互聯(lián)網的骨干網設備和世界各地的重要信息基礎設施中(服務器���、交換設備�����、傳輸設備和上網終端)�����,只要包含美國互聯(lián)網公司提供的硬件���、操作系統(tǒng)和應用軟件,就極有可能包含零日(0day)或各類后門程序(Backdoor)����,就極有可能成為美國情治機構的攻擊竊密目標�,全球互聯(lián)網上的全部活動��、存儲的全部數據或都‘如實’展現(xiàn)在美國情治機構面前���,成為其對全球目標實施攻擊破壞的 ‘把柄’和 ‘素材’��?����!?/p>
針對“蜂巢”平臺高度智能化�、高度隱蔽性的特點�����,互聯(lián)網使用者該如何發(fā)現(xiàn)和應對“蜂巢”平臺的威脅���。國家計算機病毒應急處理中心提醒廣大互聯(lián)網用戶���,美國情治部門的網絡攻擊是迫在眉睫的現(xiàn)實威脅,針對帶有美國“基因”的計算機軟硬設備的攻擊竊密如影隨形。現(xiàn)階段避免遭受美國政府黑客攻擊的權宜之計是采用自主可控的國產化設備�����。此外��,該中心的研究人員也建議互聯(lián)網使用者及時更新網絡設備���、上網終端的操作系統(tǒng)��,并及時打好補丁,同時關閉不必要的網絡服務和端口�,按照《中華人民共和國網絡安全法》、《網絡安全等級保護條例》等法律法規(guī)的要求做好網絡安全防護工作�����。
