世界周刊丨竊密全球 惡意攻擊 起底美國網(wǎng)絡(luò)攻擊戰(zhàn)黑幕
近期,西北工業(yè)大學(xué)遭遇境外網(wǎng)絡(luò)襲擊事件引起各方關(guān)注。根據(jù)國家計算機病毒應(yīng)急處理中心發(fā)布的報告,幕后黑手來自美國國家安全局“特定入侵行動辦公室”。這是一個什么機構(gòu)?美國“國家黑客”究竟有哪些不可告人的秘密?本期特別報道,我們來揭開網(wǎng)絡(luò)攻擊戰(zhàn)的黑幕。
西北工業(yè)大學(xué),我國從事航空、航天、航海工程教育和科學(xué)研究的重點大學(xué)。在西工大長安校區(qū),有一座巨大的雕塑:一雙捧著劍的手和一個深深低下的頭。
“為國鑄劍,隱姓埋名”,正是西工大的精神所在。6月22日,西工大發(fā)布公開聲明稱,近期,該校電子郵件系統(tǒng)遭受了境外黑客組織和不法分子發(fā)起的網(wǎng)絡(luò)攻擊。
西北工業(yè)大學(xué)信息化建設(shè)與管理處副處長 宋強:近期我校系統(tǒng)發(fā)現(xiàn)木馬程序,企圖非法獲取權(quán)限,這給我們學(xué)校的正常工作和生活秩序造成了重大的風(fēng)險隱患。
上萬次攻擊 竊取140GB數(shù)據(jù)
“幕后黑手”終現(xiàn)形
9月5日,國家計算機病毒應(yīng)急處理中心發(fā)布關(guān)于西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊的調(diào)查報告,將幕后黑手鎖定為美國國家安全局下屬的“特定入侵行動辦公室(TAO)”。
TAO先后使用了41種美國國家安全局專屬網(wǎng)絡(luò)攻擊武器,對西工大發(fā)起了上千次攻擊竊密行動。
哈佛大學(xué)肯尼迪學(xué)院安全技術(shù)專家 布魯斯·施奈爾:美國國家安全局擁有一系列詹姆斯·邦德般的工具,可入侵特定的計算機,獲取特定的數(shù)據(jù)。有一個部門叫特定入侵行動辦公室(TAO),他們的工作就是竊取有價值的秘密情報,他們的基本操作就是入侵系統(tǒng),他們有其他黑客都不具備的龐大預(yù)算。
TAO成立于1998年前后,總部位于馬里蘭州米德堡的美國國家安全局總部大樓內(nèi),有2000多名員工,包括軍用和民用計算機黑客、情報分析員、計算機硬件和軟件設(shè)計師、電氣工程師等,還有從美國中情局和聯(lián)邦調(diào)查局借調(diào)的人員。
美國網(wǎng)絡(luò)安全研究者 克里斯·索霍安:如果你想要擊退直升機,朝別人頭上開槍,你可以參加特種部隊,同理如果你想合法地入侵系統(tǒng),唯一的玩家就是(美國)政府。如果選擇其他的人生道路,你可能會是個罪犯,跟蹤狂,會是個壞人,但當(dāng)你去了美國國安局,你就有了為公家辦事的包裝。
TAO:專攻外國情報 制造網(wǎng)絡(luò)武器
在國安局總部大樓內(nèi),TAO又是一個更特殊的存在。工作區(qū)域與其他部門隔開,一扇鋼門由武裝警衛(wèi)把守,只有輸入密碼并通過視網(wǎng)膜掃描才能進入,即使對于許多國安局員工而言,TAO也是一個謎。
據(jù)美國《外交政策》雜志報道,關(guān)于TAO的一切都被列為“最高機密”,很少有國安局官員能夠完全獲得TAO信息的訪問權(quán)。
TAO的任務(wù)主要是通過秘密入侵外國目標的計算機和電信系統(tǒng)、破解密碼、破壞安全系統(tǒng),識別、監(jiān)視、滲透和收集其他國家計算機系統(tǒng)中的情報。
德國《明鏡》周刊調(diào)查記者 辛德勒:你可以稱他們(TAO)是國安局的老練管道工,能進入各種管子,他們的工作是搞到別人得不到的(情報)。
美國國家安全局前高級官員 托馬斯·德雷克:誰關(guān)心憲法,誰關(guān)心法律,誰關(guān)心美國的人權(quán)。口號就是拿到數(shù)據(jù),收集一切,這樣我們就能了解一切。
美國網(wǎng)絡(luò)安全專家尼克·劉易斯(Nick Lewis)直言,無論從行動目標還是手段來看,TAO都是一個黑客組織。而在美國國安局內(nèi)部則有這樣一個說法,“如果你想獲得晉升或認可,想辦法盡快調(diào)到TAO”。
美國國家安全局前高級官員 約翰·哈博:我在機構(gòu)內(nèi)部時,曾經(jīng)領(lǐng)導(dǎo)一個8人團隊,這個團隊專門解決最具挑戰(zhàn)性的網(wǎng)絡(luò)問題。團隊里有各種人,如果你負責(zé)網(wǎng)絡(luò)部分,你就要處理所有這類事情,比如領(lǐng)導(dǎo)會過來說,我們有件國家大事,我需要你們在未來12個小時內(nèi)解決。
根據(jù)9月13日我國國家計算機病毒應(yīng)急中心發(fā)布的最新報告,TAO對西工大的攻擊活動中使用的工具類別可分為四大類:漏洞攻擊突破類武器,對西工大的邊界網(wǎng)絡(luò)設(shè)備、網(wǎng)關(guān)服務(wù)器、辦公內(nèi)網(wǎng)主機等實施攻擊突破;持久化控制類武器,對西工大網(wǎng)絡(luò)進行隱蔽持久控制;嗅探竊密類武器,以此嗅探西工大工作人員運維網(wǎng)絡(luò)時使用的賬號口令、命令行操作記錄,竊取敏感信息和運維數(shù)據(jù)等;隱蔽消痕類武器,消除其在西工大網(wǎng)絡(luò)內(nèi)部的行為痕跡,隱藏、掩飾其惡意操作和竊密行為。
為了掩蓋真實IP,TAO使用了分布在日本、韓國、瑞典、波蘭、烏克蘭等17個國家的49臺跳板機和5臺代理服務(wù)器,所有IP均歸屬于非“五眼聯(lián)盟”國家。
國家計算機病毒應(yīng)急處理中心高級工程師 杜振華:有了這些跳板機之后,TAO就可以躲在這些跳板機的后面來實施網(wǎng)絡(luò)攻擊,實現(xiàn)借刀殺人的效果。
分析報告指出,一款名為“飲茶”的嗅探竊密類武器,是導(dǎo)致大量敏感數(shù)據(jù)遭竊的最直接“罪魁禍首”之一。“飲茶”包含“驗證模塊”“解密模塊”“解碼模塊”“配置模塊”“間諜模塊”等組成部分,主要功能是竊取目標主機上的遠程訪問賬號和密碼。
TAO將“飲茶”植入西工大內(nèi)部網(wǎng)絡(luò)服務(wù)器,竊取了SSH(安全外殼協(xié)議)等遠程管理和遠程文件傳輸服務(wù)的登錄密碼,從而獲得內(nèi)網(wǎng)中其他服務(wù)器的訪問權(quán)限。
國家計算機病毒應(yīng)急處理中心報告顯示,在近年里,美國國家安全局下屬TAO對中國國內(nèi)的網(wǎng)絡(luò)目標實施了上萬次的惡意網(wǎng)絡(luò)攻擊,控制了數(shù)以萬計的網(wǎng)絡(luò)設(shè)備,竊取了超過140GB的高價值數(shù)據(jù)。
中國外交部網(wǎng)絡(luò)事務(wù)協(xié)調(diào)員 王磊:美國在網(wǎng)絡(luò)空間沒有遵守任何國際規(guī)則,也徹底拋棄了中美2015年達成的雙邊網(wǎng)絡(luò)安全協(xié)議,可以說中美在網(wǎng)絡(luò)領(lǐng)域的既有共識,已經(jīng)發(fā)生了顛覆性的變化。
美國國安局在全球范圍內(nèi)發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊行動,離不開龐大而復(fù)雜的網(wǎng)絡(luò)武器平臺支持,TAO也是重要的網(wǎng)絡(luò)武器制造者。
英國調(diào)查記者 加拉格爾:TAO做的是美國國安局最激進的工作,傳統(tǒng)的竊聽手段在電話線上接線竊聽,我們稱之為被動監(jiān)控,現(xiàn)在實際已經(jīng)讓位給所謂的主動監(jiān)控,就是攻擊和入侵系統(tǒng)。
有線索顯示,部分美國互聯(lián)網(wǎng)巨頭公司會向美國國安局提供專用的后門和漏洞,研制出的大多數(shù)網(wǎng)絡(luò)武器都已交由美國及其他“五眼聯(lián)盟”國家使用。
美國國家安全局承包公司前雇員、曝光“棱鏡計劃”的斯諾登曾公布一份“絕密”文件,證實2010年5月TAO曾成功侵入墨西哥總統(tǒng)域名的關(guān)鍵電子郵件服務(wù)器,進入時任墨西哥總統(tǒng)卡爾德龍(Felipe Calderon)的電子郵箱。這個郵件域名也被墨西哥政府官員使用,包含外交、經(jīng)濟信息以及領(lǐng)導(dǎo)人之間的通信。
斯諾登還爆料稱,2013年,英國情報機構(gòu)曾成功入侵比利時電信公司Belgacom的員工計算機,據(jù)信背后也得到了TAO的技術(shù)支持。
德國黑客 瓜尼埃里:什么是合法目標?美國國安局最終只需要對美國政府負責(zé),他們不尊重任何外國機構(gòu),因此他們窺探聯(lián)合國兒童基金會,他們窺探外國政府、窺探私人公司、能源公司,是什么讓他們自以為合法地進攻一些特定的目標和組織,我們不知道。
據(jù)美國《外交政策》雜志披露,除了研發(fā)和竊密,TAO還有另一項職責(zé),就是接受總統(tǒng)命令,收集情報,以實現(xiàn)通過網(wǎng)絡(luò)攻擊破壞甚至摧毀外國計算機和電信系統(tǒng)。
“震網(wǎng)”:用病毒攻擊他國關(guān)鍵設(shè)施
2010年,一種名為“震網(wǎng)”(Stuxnet)的蠕蟲病毒,利用系統(tǒng)安全漏洞,襲擊了伊朗的核設(shè)施。在伊朗納坦茲鈾濃縮基地,至少有五分之一的離心機因為感染“震網(wǎng)”而遭到破壞。
賽門鐵克互聯(lián)網(wǎng)安全公司技術(shù)員 埃里克·錢:納坦茲的離心機通常以1000赫茲運轉(zhuǎn),病毒可以讓離心機加速到1400赫茲。超速運轉(zhuǎn)時,離心機震動失控,然后粉碎,房間里碎鋁片亂飛,也許產(chǎn)生了骨牌效應(yīng),離心機相繼翻倒,鈾氣體到處泄漏。
“震網(wǎng)”被視為全球第一種被投入實戰(zhàn)的網(wǎng)絡(luò)武器,而“震網(wǎng)”病毒的幕后黑手,至今沒有定論。《紐約時報》資深國家安全記者戴維·桑格曾在報道中推測,“震網(wǎng)”是由美國國家安全局和以色列情報機構(gòu)聯(lián)合研發(fā)的,作為一個代號為“奧運會”的絕密項目的一部分,該項目的目標就是“運用網(wǎng)絡(luò)武器阻滯伊朗鈾濃縮進程”。
《紐約時報》國家安全記者 戴維·桑格:當(dāng)奧巴馬總統(tǒng)依照慣例和前任喬治·布什見面,布什告訴他,有兩個計劃一定要保留下來,一個是無人機計劃,另一個就是“奧運會”項目,也就是對付伊朗的計劃。
然而,美國政府承認開發(fā)網(wǎng)絡(luò)武器,卻從未承認使用過它們。美國國家安全局前局長基思·亞歷山大曾對記者表示,他從沒聽說過“震網(wǎng)”或“奧運會”項目。而美國前國家情報總監(jiān)詹姆斯·克拉珀也拒絕向記者透露相關(guān)信息。
不過,也有人不小心說漏了嘴。
美國前中情局局長 邁克爾·海登:身為中情局的首腦,對于像我這樣的人,能摧毀納坦茲的1000臺離心機絕對是件好事。
斯坦福大學(xué)胡佛研究所高級研究員 艾米·澤加特:用震網(wǎng)病毒攻擊伊朗,是大國首次以極具侵略性的方式運用強大的網(wǎng)絡(luò)武器。
“震網(wǎng)”病毒危害巨大的一個重要原因,在于它所攻擊的是“零日漏洞”。
“零日漏洞”指的是尚未研發(fā)出修復(fù)補丁,或者尚未公開的安全漏洞,通常在攻擊者發(fā)動襲擊后,該漏洞才會廣為知曉、軟件廠商才能開始著手制作補丁。攻擊者便能利用這一時間差,造成巨大的破壞。正因為如此,“零日漏洞”在網(wǎng)絡(luò)黑市上成為搶手貨。
2015年,路透社曾在報道中指出,美國政府是“零日漏洞”的最大買家。
記者:美國政府使用零日漏洞攻擊誰?
美國網(wǎng)絡(luò)安全研究者 克里斯·索霍安:這要看情況,對美國國安局而言,可能攻擊外國領(lǐng)導(dǎo)人或者外國公司。
“前出狩獵”:美承認發(fā)動多次網(wǎng)絡(luò)攻擊“支援”烏克蘭
今年6月,美國網(wǎng)絡(luò)司令部司令兼國家安全局局長保羅·中曾根(Paul Miki Nakasone)公開承認,俄烏沖突爆發(fā)后,美國對俄羅斯發(fā)起過進攻性的網(wǎng)絡(luò)活動“前出狩獵”。
“前出狩獵”(hunt forward)是美國提出的“網(wǎng)絡(luò)戰(zhàn)”概念之一,于2018年開始部署。它是指通過向海外派遣網(wǎng)絡(luò)戰(zhàn)精銳力量,采取主動追捕形式,發(fā)現(xiàn)并識別對手的網(wǎng)絡(luò)行動,進行主動攻擊。
美國前國務(wù)卿 希拉里·克林頓:在阿拉伯之春期間,我們就是這么做的,當(dāng)時我是國務(wù)卿,我想我們還可以攻擊(俄羅斯)政府機構(gòu)的網(wǎng)絡(luò)。
極其諷刺的是,美國一邊對外頻頻發(fā)動網(wǎng)絡(luò)攻擊,一邊卻自詡為“網(wǎng)絡(luò)安全衛(wèi)士”,動輒給別國扣上“網(wǎng)絡(luò)安全威脅”的帽子。
2020年6月底至7月初,俄羅斯舉行修憲全民公投。俄中央選舉委員會網(wǎng)站遭到來自美國及其盟友猛烈的網(wǎng)絡(luò)攻擊。
俄羅斯外交部國際信息安全局副局長 弗拉基米爾·申:當(dāng)時俄羅斯憲法2020這個官網(wǎng),每秒被訪問次數(shù)達到24萬次,這些攻擊來自美國、德國、英國及烏克蘭。
在此次修憲公投兩周后,時任美國總統(tǒng)特朗普公開承認,早在2018年他就批準了對俄羅斯互聯(lián)網(wǎng)研究所的網(wǎng)絡(luò)攻擊。俄羅斯軍事專家列奧科夫指出,從2019年的委內(nèi)瑞拉局勢動蕩到2020年的白俄羅斯騷亂,也都有美國網(wǎng)絡(luò)部隊的幕后操控。
究竟是誰在全球范圍內(nèi)頻繁進行網(wǎng)絡(luò)攻擊和竊密,是誰打開了網(wǎng)絡(luò)戰(zhàn)的魔盒,答案不言自明。
美國將網(wǎng)絡(luò)空間視為地緣政治博弈的新陣地,試圖通過攻擊和竊密來維護其霸權(quán)地位,粗暴破壞全球網(wǎng)絡(luò)治理體系,對全球網(wǎng)絡(luò)安全構(gòu)成威脅,是名副其實的“黑客帝國”“竊密帝國”。面對美式網(wǎng)絡(luò)霸權(quán),越來越多的國家已經(jīng)認清其本質(zhì),攜手構(gòu)建網(wǎng)絡(luò)空間命運共同體,正逐漸成為全球共識。