窃密全球 恶意攻击 起底美国网络攻击战黑幕
天津消防网讯 近期,西北工业大学遭遇境外网络袭击事件引起各方关注。根据国家计算机病毒应急处理中心发布的报告,幕后黑手来自美国国家安全局“特定入侵行动办公室”。这是一个什么机构?美国“国家黑客”究竟有哪些不可告人的秘密?本期特别报道,我们来揭开网络攻击战的黑幕。
西北工业大学,我国从事航空、航天、航海工程教育和科学研究的重点大学。在西工大长安校区,有一座巨大的雕塑:一双捧着剑的手和一个深深低下的头。
“为国铸剑,隐姓埋名”,正是西工大的精神所在。6月22日,西工大发布公开声明称,近期,该校电子邮件系统遭受了境外黑客组织和不法分子发起的网络攻击。
西北工业大学信息化建设与管理处副处长 宋强:近期我校系统发现木马程序,企图非法获取权限,这给我们学校的正常工作和生活秩序造成了重大的风险隐患。
上万次攻击 窃取140GB数据
“幕后黑手”终现形
9月5日,国家计算机病毒应急处理中心发布关于西北工业大学遭受境外网络攻击的调查报告,将幕后黑手锁定为美国国家安全局下属的“特定入侵行动办公室(TAO)”。
TAO先后使用了41种美国国家安全局专属网络攻击武器,对西工大发起了上千次攻击窃密行动。
哈佛大学肯尼迪学院安全技术专家 布鲁斯·施奈尔:美国国家安全局拥有一系列詹姆斯·邦德般的工具,可入侵特定的计算机,获取特定的数据。有一个部门叫特定入侵行动办公室(TAO),他们的工作就是窃取有价值的秘密情报,他们的基本操作就是入侵系统,他们有其他黑客都不具备的庞大预算。
TAO成立于1998年前后,总部位于马里兰州米德堡的美国国家安全局总部大楼内,有2000多名员工,包括军用和民用计算机黑客、情报分析员、计算机硬件和软件设计师、电气工程师等,还有从美国中情局和联邦调查局借调的人员。
美国网络安全研究者 克里斯·索霍安:如果你想要击退直升机,朝别人头上开枪,你可以参加特种部队,同理如果你想合法地入侵系统,唯一的玩家就是(美国)政府。如果选择其他的人生道路,你可能会是个罪犯,跟踪狂,会是个坏人,但当你去了美国国安局,你就有了为公家办事的包装。
TAO:专攻外国情报 制造网络武器
在国安局总部大楼内,TAO又是一个更特殊的存在。工作区域与其他部门隔开,一扇钢门由武装警卫把守,只有输入密码并通过视网膜扫描才能进入,即使对于许多国安局员工而言,TAO也是一个谜。
据美国《外交政策》杂志报道,关于TAO的一切都被列为“最高机密”,很少有国安局官员能够完全获得TAO信息的访问权。
TAO的任务主要是通过秘密入侵外国目标的计算机和电信系统、破解密码、破坏安全系统,识别、监视、渗透和收集其他国家计算机系统中的情报。
德国《明镜》周刊调查记者 辛德勒:你可以称他们(TAO)是国安局的老练管道工,能进入各种管子,他们的工作是搞到别人得不到的(情报)。
美国国家安全局前高级官员 托马斯·德雷克:谁关心宪法,谁关心法律,谁关心美国的人权。口号就是拿到数据,收集一切,这样我们就能了解一切。
美国网络安全专家尼克·刘易斯(Nick Lewis)直言,无论从行动目标还是手段来看,TAO都是一个黑客组织。而在美国国安局内部则有这样一个说法,“如果你想获得晋升或认可,想办法尽快调到TAO”。
美国国家安全局前高级官员 约翰·哈博:我在机构内部时,曾经领导一个8人团队,这个团队专门解决最具挑战性的网络问题。团队里有各种人,如果你负责网络部分,你就要处理所有这类事情,比如领导会过来说,我们有件国家大事,我需要你们在未来12个小时内解决。
根据9月13日我国国家计算机病毒应急中心发布的最新报告,TAO对西工大的攻击活动中使用的工具类别可分为四大类:漏洞攻击突破类武器,对西工大的边界网络设备、网关服务器、办公内网主机等实施攻击突破;持久化控制类武器,对西工大网络进行隐蔽持久控制;嗅探窃密类武器,以此嗅探西工大工作人员运维网络时使用的账号口令、命令行操作记录,窃取敏感信息和运维数据等;隐蔽消痕类武器,消除其在西工大网络内部的行为痕迹,隐藏、掩饰其恶意操作和窃密行为。
为了掩盖真实IP,TAO使用了分布在日本、韩国、瑞典、波兰、乌克兰等17个国家的49台跳板机和5台代理服务器,所有IP均归属于非“五眼联盟”国家。
国家计算机病毒应急处理中心高级工程师 杜振华:有了这些跳板机之后,TAO就可以躲在这些跳板机的后面来实施网络攻击,实现借刀杀人的效果。
分析报告指出,一款名为“饮茶”的嗅探窃密类武器,是导致大量敏感数据遭窃的最直接“罪魁祸首”之一。“饮茶”包含“验证模块”“解密模块”“解码模块”“配置模块”“间谍模块”等组成部分,主要功能是窃取目标主机上的远程访问账号和密码。
TAO将“饮茶”植入西工大内部网络服务器,窃取了SSH(安全外壳协议)等远程管理和远程文件传输服务的登录密码,从而获得内网中其他服务器的访问权限。
国家计算机病毒应急处理中心报告显示,在近年里,美国国家安全局下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,窃取了超过140GB的高价值数据。
中国外交部网络事务协调员 王磊:美国在网络空间没有遵守任何国际规则,也彻底抛弃了中美2015年达成的双边网络安全协议,可以说中美在网络领域的既有共识,已经发生了颠覆性的变化。
美国国安局在全球范围内发起大规模网络攻击行动,离不开庞大而复杂的网络武器平台支持,TAO也是重要的网络武器制造者。
英国调查记者 加拉格尔:TAO做的是美国国安局最激进的工作,传统的窃听手段在电话线上接线窃听,我们称之为被动监控,现在实际已经让位给所谓的主动监控,就是攻击和入侵系统。
有线索显示,部分美国互联网巨头公司会向美国国安局提供专用的后门和漏洞,研制出的大多数网络武器都已交由美国及其他“五眼联盟”国家使用。
美国国家安全局承包公司前雇员、曝光“棱镜计划”的斯诺登曾公布一份“绝密”文件,证实2010年5月TAO曾成功侵入墨西哥总统域名的关键电子邮件服务器,进入时任墨西哥总统卡尔德龙(Felipe Calderon)的电子邮箱。这个邮件域名也被墨西哥政府官员使用,包含外交、经济信息以及领导人之间的通信。
斯诺登还爆料称,2013年,英国情报机构曾成功入侵比利时电信公司Belgacom的员工计算机,据信背后也得到了TAO的技术支持。
德国黑客 瓜尼埃里:什么是合法目标?美国国安局最终只需要对美国政府负责,他们不尊重任何外国机构,因此他们窥探联合国儿童基金会,他们窥探外国政府、窥探私人公司、能源公司,是什么让他们自以为合法地进攻一些特定的目标和组织,我们不知道。
据美国《外交政策》杂志披露,除了研发和窃密,TAO还有另一项职责,就是接受总统命令,收集情报,以实现通过网络攻击破坏甚至摧毁外国计算机和电信系统。
“震网”:用病毒攻击他国关键设施
2010年,一种名为“震网”(Stuxnet)的蠕虫病毒,利用系统安全漏洞,袭击了伊朗的核设施。在伊朗纳坦兹铀浓缩基地,至少有五分之一的离心机因为感染“震网”而遭到破坏。
赛门铁克互联网安全公司技术员 埃里克·钱:纳坦兹的离心机通常以1000赫兹运转,病毒可以让离心机加速到1400赫兹。超速运转时,离心机震动失控,然后粉碎,房间里碎铝片乱飞,也许产生了骨牌效应,离心机相继翻倒,铀气体到处泄漏。
“震网”被视为全球第一种被投入实战的网络武器,而“震网”病毒的幕后黑手,至今没有定论。《纽约时报》资深国家安全记者戴维·桑格曾在报道中推测,“震网”是由美国国家安全局和以色列情报机构联合研发的,作为一个代号为“奥运会”的绝密项目的一部分,该项目的目标就是“运用网络武器阻滞伊朗铀浓缩进程”。
《纽约时报》国家安全记者 戴维·桑格:当奥巴马总统依照惯例和前任乔治·布什见面,布什告诉他,有两个计划一定要保留下来,一个是无人机计划,另一个就是“奥运会”项目,也就是对付伊朗的计划。
然而,美国政府承认开发网络武器,却从未承认使用过它们。美国国家安全局前局长基思·亚历山大曾对记者表示,他从没听说过“震网”或“奥运会”项目。而美国前国家情报总监詹姆斯·克拉珀也拒绝向记者透露相关信息。
不过,也有人不小心说漏了嘴。
美国前中情局局长 迈克尔·海登:身为中情局的首脑,对于像我这样的人,能摧毁纳坦兹的1000台离心机绝对是件好事。
斯坦福大学胡佛研究所高级研究员 艾米·泽加特:用震网病毒攻击伊朗,是大国首次以极具侵略性的方式运用强大的网络武器。
“震网”病毒危害巨大的一个重要原因,在于它所攻击的是“零日漏洞”。
“零日漏洞”指的是尚未研发出修复补丁,或者尚未公开的安全漏洞,通常在攻击者发动袭击后,该漏洞才会广为知晓、软件厂商才能开始着手制作补丁。攻击者便能利用这一时间差,造成巨大的破坏。正因为如此,“零日漏洞”在网络黑市上成为抢手货。
2015年,路透社曾在报道中指出,美国政府是“零日漏洞”的最大买家。
记者:美国政府使用零日漏洞攻击谁?
美国网络安全研究者 克里斯·索霍安:这要看情况,对美国国安局而言,可能攻击外国领导人或者外国公司。
“前出狩猎”:美承认发动多次网络攻击“支援”乌克兰
今年6月,美国网络司令部司令兼国家安全局局长保罗·中曾根(Paul Miki Nakasone)公开承认,俄乌冲突爆发后,美国对俄罗斯发起过进攻性的网络活动“前出狩猎”。
“前出狩猎”(hunt forward)是美国提出的“网络战”概念之一,于2018年开始部署。它是指通过向海外派遣网络战精锐力量,采取主动追捕形式,发现并识别对手的网络行动,进行主动攻击。
美国前国务卿 希拉里·克林顿:在阿拉伯之春期间,我们就是这么做的,当时我是国务卿,我想我们还可以攻击(俄罗斯)政府机构的网络。
极其讽刺的是,美国一边对外频频发动网络攻击,一边却自诩为“网络安全卫士”,动辄给别国扣上“网络安全威胁”的帽子。
2020年6月底至7月初,俄罗斯举行修宪全民公投。俄中央选举委员会网站遭到来自美国及其盟友猛烈的网络攻击。
俄罗斯外交部国际信息安全局副局长 弗拉基米尔·申:当时俄罗斯宪法2020这个官网,每秒被访问次数达到24万次,这些攻击来自美国、德国、英国及乌克兰。
在此次修宪公投两周后,时任美国总统特朗普公开承认,早在2018年他就批准了对俄罗斯互联网研究所的网络攻击。俄罗斯军事专家列奥科夫指出,从2019年的委内瑞拉局势动荡到2020年的白俄罗斯骚乱,也都有美国网络部队的幕后操控。
究竟是谁在全球范围内频繁进行网络攻击和窃密,是谁打开了网络战的魔盒,答案不言自明。
美国将网络空间视为地缘政治博弈的新阵地,试图通过攻击和窃密来维护其霸权地位,粗暴破坏全球网络治理体系,对全球网络安全构成威胁,是名副其实的“黑客帝国”“窃密帝国”。面对美式网络霸权,越来越多的国家已经认清其本质,携手构建网络空间命运共同体,正逐渐成为全球共识。