信息來源：安全客

【導(dǎo)讀】近日，外媒爆出：某國家級APT組織攻擊奧地利外交部，然而，在攻擊兩天后卻被奧地利“藍(lán)軍”捕獲并破解了其加密算法。據(jù)一些報道稱：該國家級APT為Turla組織。如果報道屬實，那么，此次奧地利“藍(lán)軍”不僅成功防護(hù)了國家政府系統(tǒng)的安全，更是將全球最危險的網(wǎng)絡(luò)部隊之一“秒殺”在創(chuàng)紀(jì)錄的時間內(nèi)。

事件或許應(yīng)從今年1月，奧地利外交部遭遇國家級電網(wǎng)攻擊說起：

1月5日，奧地利政府對外發(fā)聲明稱：自當(dāng)?shù)貢r間4日23時起，奧地利外交部電腦系統(tǒng)遭到針對性網(wǎng)絡(luò)攻擊，至5日白天精準(zhǔn)性攻擊破壞仍在繼續(xù)。此外，從網(wǎng)絡(luò)攻擊的方式和嚴(yán)重程度來看，聲明還將攻擊者鎖定為有著國家級背景的黑客組織。

2月，奧地利外交部長亞歷山大·沙倫伯格（Alexander Schallenberg）表示：”經(jīng)過所有相關(guān)部門的緊張工作和良好合作，已成功清理了IT系統(tǒng)，并結(jié)束了國家級黑客對外交部的網(wǎng)絡(luò)攻擊。與此同時，外交部最高數(shù)據(jù)安全性也得到了保證。

即興創(chuàng)作和技術(shù)技能相融合 全球最危險的網(wǎng)絡(luò)部隊真是“隨性”而來？

資料強(qiáng)調(diào)，在此次針對奧地利的網(wǎng)絡(luò)攻擊中，側(cè)重于即興創(chuàng)作和技術(shù)技巧，并拿出一份時間表加以證實。

時間表不僅顯示了：該攻擊組織9年內(nèi)主要攻擊工具的系統(tǒng)開發(fā)；還顯示出：在每次發(fā)動新攻擊時，加密方法都會發(fā)生更改或變化。更為最重要的是，該組織使用了未被廣泛使用的算法，如廣為人知的MISTY1（三菱，1995年）或CAST128等。另外，其余代碼也被重新編程，以使自動安全機(jī)制不再能夠識別它。

可以說，不斷改變加密算法的“即興創(chuàng)作”以及高超的技術(shù)技巧實力，是此次攻擊組織的重要“武器”，而這將是給奧地利網(wǎng)絡(luò)防御體系上的巨大考驗。

攻擊兩天后成功捕獲并破解加密算法 奧地利這波應(yīng)戰(zhàn)的攻防運(yùn)作實力堪稱完美

然而，就在這場“不斷更改戰(zhàn)術(shù)”的網(wǎng)絡(luò)攻防硬戰(zhàn)中，奧地利顯示出了其快速應(yīng)戰(zhàn)的攻防實力——破解棘手的加密技術(shù)。

僅在攻擊開始的兩天后，年輕的奧地利技術(shù)人員（藍(lán)軍）就成功地破解了外交部網(wǎng)絡(luò)上Turla特洛伊木馬程序與Internet上的指揮控制服務(wù)器之間的通信加密。

破解之功，并不像我們所陳述的這般簡單。因為首先，就需要確定攻擊者使用了哪種加密方法，掌握了此信息，才能促使防守者進(jìn)一步查看惡意軟件項目之間的通信，并識別出所有新下載的惡意軟件模塊。

顯然，奧地利已做到了。他不僅快速發(fā)現(xiàn)這些重要情報，并由此獲取了新信息。一舉扭轉(zhuǎn)了戰(zhàn)場局勢。也就是從那時起，攻擊者就一直處于防守狀態(tài)。即使在幾天后，攻擊部隊還試圖重新加載另一個Rootkit，但最終都未能激活啟用。

如果真如開篇報道所言，攻擊者為Turla組織集團(tuán)——全球最危險的網(wǎng)絡(luò)部隊之一，那么奧地利能在兩天內(nèi)破解對手攻擊，這比2017年的德國都要快得多，可以說，奧地利此舉刷新了歷史新紀(jì)錄，其網(wǎng)絡(luò)戰(zhàn)略運(yùn)作堪稱完美。

進(jìn)一步探究這場國家級攻防硬戰(zhàn) 歐盟網(wǎng)絡(luò)安全防御能力赫然彰顯

那么，打贏這場國家級網(wǎng)絡(luò)攻防之戰(zhàn)的“捍衛(wèi)者”是誰，又來自哪里呢？

據(jù)奧地利國際廣播電臺（ORF.at）提供的信息顯示，“捍衛(wèi)者”來自三個部委的多元化技術(shù)團(tuán)隊，其中，它重點提及了BVT網(wǎng)絡(luò)安全領(lǐng)域技術(shù)人員，并指出通常他們不是來自警察部門，而是來自大學(xué)、專業(yè)學(xué)院或諸多“網(wǎng)絡(luò)安全挑戰(zhàn)賽”中。

圖為：2018年奧地利聯(lián)邦政府的網(wǎng)絡(luò)戰(zhàn)略

“網(wǎng)絡(luò)安全挑戰(zhàn)賽”一直是歐盟國家非?？粗氐谋荣?，各國的頂級選手將參加歐盟安全機(jī)構(gòu)ENISA的年度青年錦標(biāo)賽。

從奧地利憑實力打贏這場變幻莫測的網(wǎng)絡(luò)攻防戰(zhàn)，到其“捍衛(wèi)者”的來源，我們看到一個非常重要的點：包括奧地利在內(nèi)的整個歐盟早已布局提升網(wǎng)絡(luò)防御能力這步棋，在這次“大考”中，提交了一份相對滿意的答卷。

早在2013年2月，面對全球逐步升級的網(wǎng)絡(luò)攻防態(tài)勢，歐盟委員會頒布《歐盟網(wǎng)絡(luò)安全戰(zhàn)略》。該戰(zhàn)略就強(qiáng)調(diào)，“歐盟的網(wǎng)絡(luò)安全努力，尤其涉及網(wǎng)絡(luò)防御層面”。

為此，2014年11月，歐洲理事會又通過了一項“網(wǎng)絡(luò)防御政策框架”，這一次明確強(qiáng)調(diào)了五個優(yōu)先事項：

• 支持成員國發(fā)展與CSDP相關(guān)的網(wǎng)絡(luò)防御能力
• 加強(qiáng)對歐盟實體使用的CSDP通信網(wǎng)絡(luò)的保護(hù)
• 促進(jìn)軍民合作與協(xié)同效應(yīng)與更廣泛的歐盟網(wǎng)絡(luò)政策,有關(guān)歐盟機(jī)構(gòu)和機(jī)構(gòu)以及私營部門
• 改善培訓(xùn)、教育和鍛煉機(jī)會
• 加強(qiáng)與有關(guān)國際伙伴的合作

（CSDP為歐盟共同安全和防務(wù)政策，英文全稱為EU Common Security and Defence Policy )

此外，在歐洲防御局（簡稱EDA）能力發(fā)展計劃中，網(wǎng)絡(luò)防御更是被列為優(yōu)先行動之一。它包括：支持成員國建設(shè)熟練的網(wǎng)絡(luò)防御軍事力量和確保提供主動和被動的網(wǎng)絡(luò)防御技術(shù)，以及以下重要內(nèi)容：

• 加強(qiáng)訓(xùn)練與演習(xí)
• 強(qiáng)化網(wǎng)絡(luò)態(tài)勢感知能力
• 提升高級持續(xù)威脅（APT）檢測能力
• 加強(qiáng)用于軍事的數(shù)字取證
• 協(xié)調(diào)實施網(wǎng)絡(luò)防御戰(zhàn)略研究議程(SRA)

2017年5月，歐盟政治戰(zhàn)略中心又發(fā)布報告《構(gòu)筑有效的歐盟網(wǎng)絡(luò)防護(hù)盾》等……

正是由于日積月累的強(qiáng)化網(wǎng)絡(luò)防御實力，才能有次“輕易秒殺”全球最危險的網(wǎng)絡(luò)部隊的“壯舉”。

而上述智庫“如數(shù)家珍”般，細(xì)化歐盟在強(qiáng)化此實力的一些重磅舉措，正是想由他推己，吸他山之精華，強(qiáng)我國網(wǎng)絡(luò)防御之能力。