行業(yè)動(dòng)態(tài)

警惕!世界各地重要信息基礎(chǔ)設(shè)施已成美國(guó)“情報(bào)站”

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-04-20    瀏覽次數(shù):
 

信息來(lái)源:安全內(nèi)參


近日,美國(guó)通過(guò)網(wǎng)絡(luò)對(duì)全球進(jìn)行監(jiān)控竊密的又一主戰(zhàn)裝備曝光,這一主戰(zhàn)裝備即為美國(guó)中央情報(bào)局(CIA)專用的“蜂巢”惡意代碼攻擊控制武器平臺(tái)(以下簡(jiǎn)稱“蜂巢平臺(tái)”)。國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心的研究人員在接受采訪時(shí)對(duì)《環(huán)球時(shí)報(bào)》記者表示,全球互聯(lián)網(wǎng)和世界各地的重要信息基礎(chǔ)設(shè)施已經(jīng)成為美國(guó)情治部門(mén)的“情報(bào)站”,從技術(shù)細(xì)節(jié)分析,現(xiàn)有國(guó)際互聯(lián)網(wǎng)的骨干網(wǎng)設(shè)備和世界各地的重要信息基礎(chǔ)設(shè)施中,只要包含美國(guó)互聯(lián)網(wǎng)公司提供的硬件、操作系統(tǒng)和應(yīng)用軟件,就極有可能成為美國(guó)情治機(jī)構(gòu)的攻擊竊密目標(biāo),全球互聯(lián)網(wǎng)上的全部活動(dòng)、存儲(chǔ)的全部數(shù)據(jù)或都“如實(shí)”展現(xiàn)在美國(guó)情治機(jī)構(gòu)面前。

近一段時(shí)間以來(lái),中國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)連續(xù)揭開(kāi)美國(guó)國(guó)家安全局(NSA)“電幕行動(dòng)”“APT-C-40”“NOPEN”“量子”網(wǎng)絡(luò)攻擊武器的真面目。相較而言,此次曝光的“蜂巢”平臺(tái)有哪些新的特點(diǎn)?對(duì)全球網(wǎng)絡(luò)用戶有哪些新提示?國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心研究人員接受《環(huán)球時(shí)報(bào)》獨(dú)家專訪做出進(jìn)一步解釋。

根據(jù)介紹,“蜂巢”平臺(tái)由CIA下屬部門(mén)和美國(guó)著名軍工企業(yè)諾斯羅普·格魯曼(NOC)旗下公司聯(lián)合研發(fā),系CIA專用的網(wǎng)絡(luò)攻擊武器裝備,該裝備具有五大特點(diǎn)。

首先,“蜂巢”平臺(tái)智能化程度高。該武器是典型的美國(guó)軍工產(chǎn)品,模塊化、標(biāo)準(zhǔn)化程度高,擴(kuò)展性好,表明美國(guó)已實(shí)現(xiàn)網(wǎng)絡(luò)武器的“產(chǎn)學(xué)研一體化”。這些武器可根據(jù)目標(biāo)網(wǎng)絡(luò)的硬件、軟件配置和存在后門(mén)、漏洞情況自主確定攻擊方式并發(fā)起網(wǎng)絡(luò)攻擊,可依托人工智能技術(shù)自動(dòng)提高權(quán)限、自動(dòng)竊密、自動(dòng)隱藏痕跡、自動(dòng)回傳數(shù)據(jù),實(shí)現(xiàn)對(duì)攻擊目標(biāo)的全自動(dòng)控制。其強(qiáng)大的系統(tǒng)功能、先進(jìn)的設(shè)計(jì)理念和超前的作戰(zhàn)思想充分體現(xiàn)了CIA在網(wǎng)絡(luò)攻擊領(lǐng)域的能力。其網(wǎng)絡(luò)武器涵蓋遠(yuǎn)程掃描、漏洞利用、隱蔽植入、嗅探竊密、文件提取、內(nèi)網(wǎng)滲透、系統(tǒng)破壞等網(wǎng)絡(luò)攻擊活動(dòng)的全鏈條,具備統(tǒng)一指揮操控能力,已基本實(shí)現(xiàn)人工智能化。這同時(shí)也可以證明,CIA對(duì)他國(guó)發(fā)動(dòng)網(wǎng)絡(luò)黑客攻擊的武器系統(tǒng)已經(jīng)實(shí)現(xiàn)體系化、規(guī)?;?、無(wú)痕化和人工智能化。

其次,“蜂巢”平臺(tái)隱蔽性強(qiáng)。該平臺(tái)采用C/S架構(gòu),主要由主控端、遠(yuǎn)程控制平臺(tái)、生成器、受控端程序等4部分組成。CIA攻擊人員利用生成器生成定制化的受控端惡意代碼程序,服務(wù)器端惡意代碼程序被植入目標(biāo)系統(tǒng)并正常運(yùn)行后,會(huì)處于靜默潛伏狀態(tài),實(shí)時(shí)監(jiān)聽(tīng)受控信息系統(tǒng)網(wǎng)絡(luò)通訊流量中具有觸發(fā)器特征的數(shù)據(jù)包,等待被 “喚醒”。CIA攻擊人員可以使用客戶端向服務(wù)器端發(fā)送“暗語(yǔ)”,以“喚醒”潛伏的惡意代碼程序并執(zhí)行相關(guān)指令,之后CIA攻擊人員利用名為“割喉”的控制臺(tái)程序?qū)蛻舳诉M(jìn)行操控(如圖1所示)。為躲避入侵檢測(cè),發(fā)送“暗語(yǔ)”喚醒受控端惡意代碼程序后,會(huì)根據(jù)目標(biāo)環(huán)境情況臨時(shí)建立加密通信信道,以迷惑網(wǎng)絡(luò)監(jiān)測(cè)人員、規(guī)避技術(shù)監(jiān)測(cè)手段。

此外,為進(jìn)一步提高網(wǎng)絡(luò)間諜行動(dòng)的隱蔽性,CIA在全球范圍內(nèi)精心部署了蜂巢平臺(tái)相關(guān)網(wǎng)絡(luò)基礎(chǔ)設(shè)施。從已經(jīng)監(jiān)測(cè)到的數(shù)據(jù)分析,CIA在主控端和被控端之間設(shè)置了多層動(dòng)態(tài)跳板服務(wù)器和VPN通道,這些服務(wù)器廣泛分布于加拿大、法國(guó)、德國(guó)、馬來(lái)西亞和土耳其等國(guó),有效隱藏自身行蹤,受害者即使發(fā)現(xiàn)遭受“蜂巢”平臺(tái)的網(wǎng)絡(luò)攻擊,也極難進(jìn)行技術(shù)分析和追蹤溯源。

圖1 “割喉”(cutthroat)主要命令行參數(shù)說(shuō)明

主控端與被控端建立連接后可執(zhí)行相應(yīng)控制命令(如圖2所示):

圖2 遠(yuǎn)程命令控制

為躲避入侵檢測(cè),主控端通過(guò)發(fā)送“暗語(yǔ)”喚醒受控端惡意代碼程序,隨后模仿HTTP over TLS建立加密通信信道,以迷惑網(wǎng)絡(luò)監(jiān)測(cè)人員、規(guī)避技術(shù)監(jiān)測(cè)手段(如圖3所示)。

圖3 喚醒并建立加密通信信道

第三,“蜂巢”平臺(tái)攻擊涉及面廣。CIA為了滿足針對(duì)多平臺(tái)目標(biāo)的攻擊需求,針對(duì)不同CPU架構(gòu)和操作系統(tǒng)分別開(kāi)發(fā)了功能相近的“蜂巢”平臺(tái)適配版本。根據(jù)目前掌握的情況,“蜂巢”平臺(tái)可支持現(xiàn)有主流的CPU架構(gòu),覆蓋Windows、Unix、Linux、Solaris等通用操作系統(tǒng),以及網(wǎng)絡(luò)設(shè)備專用操作系統(tǒng)等。

第四,“蜂巢”平臺(tái)設(shè)定有重點(diǎn)攻擊對(duì)象。從攻擊目標(biāo)類(lèi)型上看,CIA特別關(guān)注MikroTik系列網(wǎng)絡(luò)設(shè)備。MikroTik公司的路由器等網(wǎng)絡(luò)設(shè)備在全球范圍內(nèi)具有較高流行度,特別是其自研的RouterOS操作系統(tǒng),被很多第三方路由器廠商所采用,因此CIA對(duì)這種操作系統(tǒng)的攻擊能力帶來(lái)的潛在風(fēng)險(xiǎn)難以估量。CIA特別開(kāi)發(fā)了一個(gè)名為“Chimay-Red”的MikroTik路由器漏洞利用工具,并編制了詳細(xì)的使用說(shuō)明。該漏洞利用工具利用存在于MikroTik RouterOS 6.38.4及以下版本操作系統(tǒng)中的棧沖突遠(yuǎn)程代碼執(zhí)行漏洞,實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的遠(yuǎn)程控制。

第五,“蜂巢”平臺(tái)突防能力強(qiáng),應(yīng)引起全球互聯(lián)網(wǎng)用戶警惕?!胺涑病逼脚_(tái)屬于“輕量化”網(wǎng)絡(luò)武器,其戰(zhàn)術(shù)目的是在目標(biāo)網(wǎng)絡(luò)中建立隱蔽立足點(diǎn),秘密定向投放惡意代碼程序,利用該平臺(tái)對(duì)多種惡意代碼程序進(jìn)行集中控制,為后續(xù)持續(xù)投送“重型”網(wǎng)絡(luò)攻擊武器創(chuàng)造條件?!胺涑病逼脚_(tái)作為CIA攻擊武器中的“先鋒官”和“突擊隊(duì)”,承擔(dān)了突破目標(biāo)防線的重要職能,其廣泛的適應(yīng)性和強(qiáng)大的突防能力向全球互聯(lián)網(wǎng)用戶發(fā)出了重大警告。

這位研究人員指出,與此前NSA被曝光的美國(guó)網(wǎng)絡(luò)攻擊武器一樣,CIA對(duì)全球范圍的高價(jià)值目標(biāo)實(shí)施無(wú)差別的攻擊控制和間諜竊密。CIA的黑客攻擊和網(wǎng)絡(luò)間諜活動(dòng)目標(biāo)涉及世界各國(guó)政府、政黨、非政府組織、國(guó)際組織和重要軍事目標(biāo),各國(guó)政要、公眾人物、社會(huì)名人和技術(shù)專家,教育、科研、通訊、醫(yī)療機(jī)構(gòu),大量竊取受害國(guó)的秘密信息,大量獲取受害國(guó)重要信息基礎(chǔ)設(shè)施的控制權(quán),大量掌握世界各國(guó)的公民個(gè)人隱私,服務(wù)于美國(guó)維持霸權(quán)地位。而且,全球互聯(lián)網(wǎng)和世界各地的重要信息基礎(chǔ)設(shè)施已經(jīng)成為美國(guó)情治部門(mén)的“情報(bào)站”。“從技術(shù)細(xì)節(jié)分析,現(xiàn)有國(guó)際互聯(lián)網(wǎng)的骨干網(wǎng)設(shè)備和世界各地的重要信息基礎(chǔ)設(shè)施中(服務(wù)器、交換設(shè)備、傳輸設(shè)備和上網(wǎng)終端),只要包含美國(guó)互聯(lián)網(wǎng)公司提供的硬件、操作系統(tǒng)和應(yīng)用軟件,就極有可能包含零日(0day)或各類(lèi)后門(mén)程序(Backdoor),就極有可能成為美國(guó)情治機(jī)構(gòu)的攻擊竊密目標(biāo),全球互聯(lián)網(wǎng)上的全部活動(dòng)、存儲(chǔ)的全部數(shù)據(jù)或都‘如實(shí)’展現(xiàn)在美國(guó)情治機(jī)構(gòu)面前,成為其對(duì)全球目標(biāo)實(shí)施攻擊破壞的 ‘把柄’和 ‘素材’?!?

針對(duì)“蜂巢”平臺(tái)高度智能化、高度隱蔽性的特點(diǎn),互聯(lián)網(wǎng)使用者該如何發(fā)現(xiàn)和應(yīng)對(duì)“蜂巢”平臺(tái)的威脅。國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心提醒廣大互聯(lián)網(wǎng)用戶,美國(guó)情治部門(mén)的網(wǎng)絡(luò)攻擊是迫在眉睫的現(xiàn)實(shí)威脅,針對(duì)帶有美國(guó)“基因”的計(jì)算機(jī)軟硬設(shè)備的攻擊竊密如影隨形?,F(xiàn)階段避免遭受美國(guó)政府黑客攻擊的權(quán)宜之計(jì)是采用自主可控的國(guó)產(chǎn)化設(shè)備。此外,該中心的研究人員也建議互聯(lián)網(wǎng)使用者及時(shí)更新網(wǎng)絡(luò)設(shè)備、上網(wǎng)終端的操作系統(tǒng),并及時(shí)打好補(bǔ)丁,同時(shí)關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)和端口,按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》等法律法規(guī)的要求做好網(wǎng)絡(luò)安全防護(hù)工作。


 
 

上一篇:2022年4月19日聚銘安全速遞

下一篇:谷歌地圖開(kāi)放俄所有戰(zhàn)略要地高像素衛(wèi)星圖像