信息來(lái)源：安全內(nèi)參

近日，美國(guó)通過(guò)網(wǎng)絡(luò)對(duì)全球進(jìn)行監(jiān)控竊密的又一主戰(zhàn)裝備曝光，這一主戰(zhàn)裝備即為美國(guó)中央情報(bào)局（CIA）專(zhuān)用的“蜂巢”惡意代碼攻擊控制武器平臺(tái)（以下簡(jiǎn)稱(chēng)“蜂巢平臺(tái)”）。國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心的研究人員在接受采訪(fǎng)時(shí)對(duì)《環(huán)球時(shí)報(bào)》記者表示，全球互聯(lián)網(wǎng)和世界各地的重要信息基礎(chǔ)設(shè)施已經(jīng)成為美國(guó)情治部門(mén)的“情報(bào)站”，從技術(shù)細(xì)節(jié)分析，現(xiàn)有國(guó)際互聯(lián)網(wǎng)的骨干網(wǎng)設(shè)備和世界各地的重要信息基礎(chǔ)設(shè)施中，只要包含美國(guó)互聯(lián)網(wǎng)公司提供的硬件、操作系統(tǒng)和應(yīng)用軟件，就極有可能成為美國(guó)情治機(jī)構(gòu)的攻擊竊密目標(biāo)，全球互聯(lián)網(wǎng)上的全部活動(dòng)、存儲(chǔ)的全部數(shù)據(jù)或都“如實(shí)”展現(xiàn)在美國(guó)情治機(jī)構(gòu)面前。

近一段時(shí)間以來(lái)，中國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)連續(xù)揭開(kāi)美國(guó)國(guó)家安全局（NSA）“電幕行動(dòng)”“APT-C-40”“NOPEN”“量子”網(wǎng)絡(luò)攻擊武器的真面目。相較而言，此次曝光的“蜂巢”平臺(tái)有哪些新的特點(diǎn)？對(duì)全球網(wǎng)絡(luò)用戶(hù)有哪些新提示？國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心研究人員接受《環(huán)球時(shí)報(bào)》獨(dú)家專(zhuān)訪(fǎng)做出進(jìn)一步解釋。

根據(jù)介紹，“蜂巢”平臺(tái)由CIA下屬部門(mén)和美國(guó)著名軍工企業(yè)諾斯羅普·格魯曼（NOC）旗下公司聯(lián)合研發(fā)，系CIA專(zhuān)用的網(wǎng)絡(luò)攻擊武器裝備，該裝備具有五大特點(diǎn)。

首先，“蜂巢”平臺(tái)智能化程度高。該武器是典型的美國(guó)軍工產(chǎn)品，模塊化、標(biāo)準(zhǔn)化程度高，擴(kuò)展性好，表明美國(guó)已實(shí)現(xiàn)網(wǎng)絡(luò)武器的“產(chǎn)學(xué)研一體化”。這些武器可根據(jù)目標(biāo)網(wǎng)絡(luò)的硬件、軟件配置和存在后門(mén)、漏洞情況自主確定攻擊方式并發(fā)起網(wǎng)絡(luò)攻擊，可依托人工智能技術(shù)自動(dòng)提高權(quán)限、自動(dòng)竊密、自動(dòng)隱藏痕跡、自動(dòng)回傳數(shù)據(jù)，實(shí)現(xiàn)對(duì)攻擊目標(biāo)的全自動(dòng)控制。其強(qiáng)大的系統(tǒng)功能、先進(jìn)的設(shè)計(jì)理念和超前的作戰(zhàn)思想充分體現(xiàn)了CIA在網(wǎng)絡(luò)攻擊領(lǐng)域的能力。其網(wǎng)絡(luò)武器涵蓋遠(yuǎn)程掃描、漏洞利用、隱蔽植入、嗅探竊密、文件提取、內(nèi)網(wǎng)滲透、系統(tǒng)破壞等網(wǎng)絡(luò)攻擊活動(dòng)的全鏈條，具備統(tǒng)一指揮操控能力，已基本實(shí)現(xiàn)人工智能化。這同時(shí)也可以證明，CIA對(duì)他國(guó)發(fā)動(dòng)網(wǎng)絡(luò)黑客攻擊的武器系統(tǒng)已經(jīng)實(shí)現(xiàn)體系化、規(guī)?；?、無(wú)痕化和人工智能化。

其次，“蜂巢”平臺(tái)隱蔽性強(qiáng)。該平臺(tái)采用C/S架構(gòu)，主要由主控端、遠(yuǎn)程控制平臺(tái)、生成器、受控端程序等4部分組成。CIA攻擊人員利用生成器生成定制化的受控端惡意代碼程序，服務(wù)器端惡意代碼程序被植入目標(biāo)系統(tǒng)并正常運(yùn)行后，會(huì)處于靜默潛伏狀態(tài)，實(shí)時(shí)監(jiān)聽(tīng)受控信息系統(tǒng)網(wǎng)絡(luò)通訊流量中具有觸發(fā)器特征的數(shù)據(jù)包，等待被 “喚醒”。CIA攻擊人員可以使用客戶(hù)端向服務(wù)器端發(fā)送“暗語(yǔ)”，以“喚醒”潛伏的惡意代碼程序并執(zhí)行相關(guān)指令，之后CIA攻擊人員利用名為“割喉”的控制臺(tái)程序?qū)蛻?hù)端進(jìn)行操控（如圖1所示）。為躲避入侵檢測(cè)，發(fā)送“暗語(yǔ)”喚醒受控端惡意代碼程序后，會(huì)根據(jù)目標(biāo)環(huán)境情況臨時(shí)建立加密通信信道，以迷惑網(wǎng)絡(luò)監(jiān)測(cè)人員、規(guī)避技術(shù)監(jiān)測(cè)手段。

此外，為進(jìn)一步提高網(wǎng)絡(luò)間諜行動(dòng)的隱蔽性，CIA在全球范圍內(nèi)精心部署了蜂巢平臺(tái)相關(guān)網(wǎng)絡(luò)基礎(chǔ)設(shè)施。從已經(jīng)監(jiān)測(cè)到的數(shù)據(jù)分析，CIA在主控端和被控端之間設(shè)置了多層動(dòng)態(tài)跳板服務(wù)器和VPN通道，這些服務(wù)器廣泛分布于加拿大、法國(guó)、德國(guó)、馬來(lái)西亞和土耳其等國(guó)，有效隱藏自身行蹤，受害者即使發(fā)現(xiàn)遭受“蜂巢”平臺(tái)的網(wǎng)絡(luò)攻擊，也極難進(jìn)行技術(shù)分析和追蹤溯源。

圖1 “割喉”（cutthroat）主要命令行參數(shù)說(shuō)明

主控端與被控端建立連接后可執(zhí)行相應(yīng)控制命令（如圖2所示）：

圖2 遠(yuǎn)程命令控制

為躲避入侵檢測(cè)，主控端通過(guò)發(fā)送“暗語(yǔ)”喚醒受控端惡意代碼程序，隨后模仿HTTP over TLS建立加密通信信道，以迷惑網(wǎng)絡(luò)監(jiān)測(cè)人員、規(guī)避技術(shù)監(jiān)測(cè)手段（如圖3所示）。

圖3 喚醒并建立加密通信信道

第三，“蜂巢”平臺(tái)攻擊涉及面廣。CIA為了滿(mǎn)足針對(duì)多平臺(tái)目標(biāo)的攻擊需求，針對(duì)不同CPU架構(gòu)和操作系統(tǒng)分別開(kāi)發(fā)了功能相近的“蜂巢”平臺(tái)適配版本。根據(jù)目前掌握的情況，“蜂巢”平臺(tái)可支持現(xiàn)有主流的CPU架構(gòu)，覆蓋Windows、Unix、Linux、Solaris等通用操作系統(tǒng)，以及網(wǎng)絡(luò)設(shè)備專(zhuān)用操作系統(tǒng)等。

第四，“蜂巢”平臺(tái)設(shè)定有重點(diǎn)攻擊對(duì)象。從攻擊目標(biāo)類(lèi)型上看，CIA特別關(guān)注MikroTik系列網(wǎng)絡(luò)設(shè)備。MikroTik公司的路由器等網(wǎng)絡(luò)設(shè)備在全球范圍內(nèi)具有較高流行度，特別是其自研的RouterOS操作系統(tǒng)，被很多第三方路由器廠(chǎng)商所采用，因此CIA對(duì)這種操作系統(tǒng)的攻擊能力帶來(lái)的潛在風(fēng)險(xiǎn)難以估量。CIA特別開(kāi)發(fā)了一個(gè)名為“Chimay-Red”的MikroTik路由器漏洞利用工具，并編制了詳細(xì)的使用說(shuō)明。該漏洞利用工具利用存在于MikroTik RouterOS 6.38.4及以下版本操作系統(tǒng)中的棧沖突遠(yuǎn)程代碼執(zhí)行漏洞，實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的遠(yuǎn)程控制。

第五，“蜂巢”平臺(tái)突防能力強(qiáng)，應(yīng)引起全球互聯(lián)網(wǎng)用戶(hù)警惕?！胺涑病逼脚_(tái)屬于“輕量化”網(wǎng)絡(luò)武器，其戰(zhàn)術(shù)目的是在目標(biāo)網(wǎng)絡(luò)中建立隱蔽立足點(diǎn)，秘密定向投放惡意代碼程序，利用該平臺(tái)對(duì)多種惡意代碼程序進(jìn)行集中控制，為后續(xù)持續(xù)投送“重型”網(wǎng)絡(luò)攻擊武器創(chuàng)造條件?！胺涑病逼脚_(tái)作為CIA攻擊武器中的“先鋒官”和“突擊隊(duì)”，承擔(dān)了突破目標(biāo)防線(xiàn)的重要職能，其廣泛的適應(yīng)性和強(qiáng)大的突防能力向全球互聯(lián)網(wǎng)用戶(hù)發(fā)出了重大警告。

這位研究人員指出，與此前NSA被曝光的美國(guó)網(wǎng)絡(luò)攻擊武器一樣，CIA對(duì)全球范圍的高價(jià)值目標(biāo)實(shí)施無(wú)差別的攻擊控制和間諜竊密。CIA的黑客攻擊和網(wǎng)絡(luò)間諜活動(dòng)目標(biāo)涉及世界各國(guó)政府、政黨、非政府組織、國(guó)際組織和重要軍事目標(biāo)，各國(guó)政要、公眾人物、社會(huì)名人和技術(shù)專(zhuān)家，教育、科研、通訊、醫(yī)療機(jī)構(gòu)，大量竊取受害國(guó)的秘密信息，大量獲取受害國(guó)重要信息基礎(chǔ)設(shè)施的控制權(quán)，大量掌握世界各國(guó)的公民個(gè)人隱私，服務(wù)于美國(guó)維持霸權(quán)地位。而且，全球互聯(lián)網(wǎng)和世界各地的重要信息基礎(chǔ)設(shè)施已經(jīng)成為美國(guó)情治部門(mén)的“情報(bào)站”。“從技術(shù)細(xì)節(jié)分析，現(xiàn)有國(guó)際互聯(lián)網(wǎng)的骨干網(wǎng)設(shè)備和世界各地的重要信息基礎(chǔ)設(shè)施中（服務(wù)器、交換設(shè)備、傳輸設(shè)備和上網(wǎng)終端），只要包含美國(guó)互聯(lián)網(wǎng)公司提供的硬件、操作系統(tǒng)和應(yīng)用軟件，就極有可能包含零日（0day）或各類(lèi)后門(mén)程序（Backdoor），就極有可能成為美國(guó)情治機(jī)構(gòu)的攻擊竊密目標(biāo)，全球互聯(lián)網(wǎng)上的全部活動(dòng)、存儲(chǔ)的全部數(shù)據(jù)或都‘如實(shí)’展現(xiàn)在美國(guó)情治機(jī)構(gòu)面前，成為其對(duì)全球目標(biāo)實(shí)施攻擊破壞的 ‘把柄’和 ‘素材’?！?

針對(duì)“蜂巢”平臺(tái)高度智能化、高度隱蔽性的特點(diǎn)，互聯(lián)網(wǎng)使用者該如何發(fā)現(xiàn)和應(yīng)對(duì)“蜂巢”平臺(tái)的威脅。國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心提醒廣大互聯(lián)網(wǎng)用戶(hù)，美國(guó)情治部門(mén)的網(wǎng)絡(luò)攻擊是迫在眉睫的現(xiàn)實(shí)威脅，針對(duì)帶有美國(guó)“基因”的計(jì)算機(jī)軟硬設(shè)備的攻擊竊密如影隨形?，F(xiàn)階段避免遭受美國(guó)政府黑客攻擊的權(quán)宜之計(jì)是采用自主可控的國(guó)產(chǎn)化設(shè)備。此外，該中心的研究人員也建議互聯(lián)網(wǎng)使用者及時(shí)更新網(wǎng)絡(luò)設(shè)備、上網(wǎng)終端的操作系統(tǒng)，并及時(shí)打好補(bǔ)丁，同時(shí)關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)和端口，按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》等法律法規(guī)的要求做好網(wǎng)絡(luò)安全防護(hù)工作。