[文/观察者网吕东编辑/周]
继近日中国研究人员曝光美国国安局顶级平台后门后,中国企业再次出示了美国对中国及全球多国进行无差别网络攻击的重要证据。
3月3日,观察者网从360公司获得的一份报告显示,自2008年以来,该公司整合海量安全大数据,自主捕获大量先进复杂的攻击程序,通过长期分析跟踪,现场多个受害单位取证,结合相关全球威胁信息以及对斯诺登事件和“影子经纪人”黑客组织的持续跟踪,确认这些攻击属于美国国家安全局(NSA),并进一步确认NSA对中国进行了极其长期的攻击。
事实上,随着近年来国家的日益重视,我国的网络安全防御模式已经比较完善,但仍存在诸多不足。银行脆弱性CTO张学松在接受《观察家》采访时指出。在前一阶段,国家大范围信息系统的安全性得到了稳步提高,下一阶段将是防御高级和高级威胁系统的阶段,国家在这方面的建设还有一段路要走。
观察人士了解到,随着全国两会的如期召开,全国政协委员、360创始人周将在提案中提出将网络安全升级为数字安全,同时建议国家将数字安全纳入新的基础设施,动员全社会力量参与数字安全体系建设。
美国国家安全局局长和中将保罗卡森
中国是针对美国的长期无差别网络攻击的焦点。
美国国家安全局隶属于美国国防部,专门从事电子通信侦察。其主要任务是收集各国信息,揭露潜伏间谍的通信活动,为美国政府提供各种经过处理的情报信息。30报告显示,长期以来,为达到美国政府情报收集的目的,NSA在全球范围内发动大规模网络攻击,中国是NSA的重点目标之一。
观察者网从360公司了解到,NSA非法入侵不仅可以窃取情报,还可以攻击电力、水利、电信、交通、能源等关键基础设施,从而对公共数据、公共通信网络、公共交通网络和公共服务造成灾难性后果。此外,NSA还选择将通信行业作为重点攻击目标,长期“偷窥”,收集存储在通信行业的大量个人信息和关键行业数据。在NSA的监控下,全球数亿公民的隐私和敏感信息无处可藏,如同“裸奔”。
30报道截图
2013年,美国中情局前雇员、NSA外包技术员爱德华斯诺登(edward snowden)向世界曝光了美国政府收集用户数据信息的丑闻,泄露了大量NSA组织的网络战机密文件,是美国历史上最严重的泄密事件,轰动世界。这件事之后,“网络战”和“国家网络威胁”的概念得到了全世界的认可,360开始重点跟进。
30安全团队通过对取证数据的分析发现,APT-C-40(360是NSA及其关联公司的单独编号)对一系列行业领先公司的攻击实际上始于2010年。结合网络情报分析,判断此次攻击与NSA某网络战计划时间的实施有关,攻击涉及多家企业的关键网管服务器和终端。
在谈到美国无差别攻击的证据时,漏洞银行CTO张学松向《观察家》指出。com称,2016年,影子经纪人()抓获了NSA下属的黑客团队“公式组织”,并公布了NSA网络武器库,其中包括“永恒之蓝”等针对系统的致命漏洞,随后世界闻名的勒索病毒也是根据
30报告中提到,NSA开发的(量子)攻击经常使用代号为(酸狐)的系统。它是NSA为攻击平台,而设计的一个强大的0Day漏洞,可以自动执行漏洞攻击的主要步骤,劫持网络运营商的正常网络流量。它是一种“大规模入侵工具”。根据NSA机密文件的介绍,该服务器曾利用各种浏览器0Day漏洞,如Flash、IE和Firefox浏览器漏洞,向计算机目标植入木马。
众所周知,美国的科技巨头如英特尔、微软、甲骨文、谷歌等目前掌控着全球互联网科技的软硬件核心技术,所以市场上有一种说法,一些0day漏洞是一些公司故意设计的。
AtlasVPN报告:2021年上半年,谷歌、微软、甲骨文的网络安全漏洞最多。
针对这一观点,Observer.com向张学松表示,0day漏洞确实是由代码中的缺陷或错误逻辑造成的。随着软件和硬件的发布和交付,这些缺陷已经被携带。当然,国外很多系统频频爆出致命漏洞,这不得不让人怀疑是编程时故意设计的。而且像微软、甲骨文这样的顶级程序员所在的公司都存在大量的系统漏洞,让人无法相信这些0day漏洞的合理性。
张学松指出,根据专业安全人员的分析,很多0day的存在确实是不合理的,但目前国外没有一家公司承认这一点,它往往以编程“失误”等原因收场,甚至同样的“失误”会发生很多次,但无论这些后门是否被设计,我们都应该尽力提高对这类威胁的防御能力。
另一方面告诉观察者网,从理论上讲,安全漏洞取决于一个计算机系统的复杂程度。只要是人写的程序,必然会有错误和漏洞,这就是所谓的“先天不足”。当然也有一些后门可能是故意设计的,看后门是为什么工程设计的。如果是行业层面的复杂工程,安全技术能力顶尖的科学家也能实现。
中国的网络安全防御仍显不足,周建议将数字安全纳入新的基础设施。
根据360的报告,NSA在
了监控全球的目标制定了众多的作战计划,360安全专家通过对中招后提取的Validator后门样本配置字段进行统计分析,推演出NSA针对中国的大型攻击活动,仅Validator一项的感染量保守估计达几万数量级,随着持续攻击演进感染量甚至可能已经达到数十万、百万量级。观察者网了解到,NSA对中国境内的目标攻击如政府、金融、科研院所、运营商、教育、军工、航空航天、医疗等行业,重要敏感单位及组织机构成为主要目标,占比重较大的是高科技领域。同时,根据NSA机密文档中描述的FOXACID服务器代号,结合360全球安全大数据视野,可发现其针对英国、德国、法国、韩国等全球47个国家及地区发起攻击,403个目标受到影响,潜伏时间长达十几年。
3月3日晚间,中国外交部发言人汪文斌就360报告曝光的内容指出,“具有讽刺意味的是,作为全球头号的黑客帝国,美国还以受害者形象误导国际社会,试图主导网络安全国际议程”。他强调,网络空间是人类的共同家园,网络攻击是全球面临的共同威胁,中方再次强烈要求美国停止针对中国和全球的网络窃密和攻击,切实采取负责任的态度,与各方一道共同维护网络空间和平与安全。
观察者网微博截图
从NSA的无差别攻击不难看出,网络攻击近些年已从虚拟世界影响到现实世界,小毛贼、小黑客已成历史,以国家级黑客组织为代表的高级别专业力量入场,关键基础设施、城市、大型企业成为网络攻击的首选目标,数据成为新的攻击对象。
与此同时,360报告提到,中国数字安全投入占比在全球范围内仍相对较低,发达国家仅网络安全占整体IT的投入占比已达10%,而国内尚不足1%,究其原因是部分政企单位仅依照合规堆砌产品,缺乏实战能力,缺乏科学能力评估。
针对中国网络安全现状,张雪松向观察者网表示,中国目前安全现状仍处于十分严峻的状况,来自境外的网络攻击已经愈演愈烈,更有专门针对国家支柱产业的定向攻击。过去十年间,国家网络安全基本从防御薄弱型演变为系统性防御态势,已经具备的较为完整的防御模式,但是面对持续不断的致命漏洞和新型的攻击方式,仍存在诸多不足。近些年随着国家数字化建设和安全治理的重视,国家大范围的信息系统安全性已经得到了稳步提高,下个阶段将是面对高级和先进威胁攻击的防御体系阶段,国家在此方面的建设仍有一段路要走。
为此,360创始人周鸿祎将在今年全国两会提案中建议,将网络安全升级为数字安全,打造覆盖所有数字化场景的数字安全防范应急体系,包括应对工业互联网、车联网、智慧城市,以及云安全、数据安全、供应链安全等挑战。同时,他建议国家把数字安全纳入新基建,各地数字化建设之初便将安全考虑在内,并互联互通,调集社会各方力量共同参与数字安全体系建设,真正提升国家数字安全能力。
360公司创始人周鸿祎(资料图)
网络安全事关国家安全,政府层面其实早已展开行动。
张雪松告诉观察者网,中国开展的信创工程改变了国家早期的安全格局,从根源上提高了境外攻击的难度,因为在系统底层上存在信息系统的不同,导致黑客利用通用0day漏洞攻击的方式大打折扣,这必然形成了具有中国特色的信息化道路,对于全球严峻的网络攻击形势,将产生新的秩序变化。国家已经在这条道路上走出了部分成绩,未来将能够实现更多信创工程的落地,完全实现国家独立自主的信息体系。
2021年12月,美国Apache基金会开源项目的Log4j2组件被发现存在远程代码执行漏洞,该漏洞被业内称为“核弹级”漏洞,引起业界对开源软件安全的重视。
周鸿祎对此表示,在Log4j2漏洞曝出之前,开源软件漏洞便已存在大量漏洞,只不过此漏洞的爆发引起了外界的普遍关注。尽管如此,周鸿祎对开源软件依然持积极看法,并十分提倡开源精神,认为这是新时代的“集中力量办大事”,没有开源软件也就没有中国互联网的今天。
然而,从安全的角度,开源软件很容易成为他国对我进行网络渗透攻击的渠道。因此,周鸿祎将在提案中建议,加强对开源软件的代码审查,国内软件业应该积极参与国际开源社区互动,不断提高话语权,建立影响力,鼓励第三方市场力量参与国内开源生态建设,尽快掌控开源软件资源应用的主动权。
2022年,是周鸿祎第五年参加两会。过去四年,他已向全国两会提交12份提案,覆盖5G、车联网、工业互联网、新基建、城市安全等新兴领域的安全问题。今年,他的提案将聚焦数字安全、智能网联汽车安全、开源软件安全以及中小企业安全等领域。
企业需承担网络安全合规责任,否则将面临处罚
在360报告披露不久前,奇安信旗下奇安盘古实验室曾发布报告,披露来自美国的Linux平台后门——“电幕行动”(Bvp47)的完整技术细节和攻击组织关联。该公司称,这是隶属于NSA的超一流黑客组织——“方程式”所制造的顶级后门,用于入侵后窥视并控制受害组织网络,已侵害全球45个国家和地区。
奇安盘古实验室报告截图
汇业律师事务所高级合伙人、网络安全和数据合规专家李天航向观察者网指出,通过美国NSA对全球的攻击看,网络安全不仅是企业自身的安全,更是国家安全的基础。NSA的攻击相比黑客的攻击危害更大,其主要针对关键(信息)基础设施,获取重要的个人信息和数据。危害的不仅仅是企业的安全,更是国家安全和社会公共利益。
在《网络安全法》《数据安全法》《个人信息保护法》相继公布施行后,国家在企业落实网络、数据、个人信息保护等领域的安全义务框架规范已基本健全,企业在受到网络攻击后,不仅要遭受网络、数据与个人信息方面的损失,还要因为未履行或者完全履行网数领域合规义务而遭受处罚,目前,公安机关已在数年前就提出了“一案双查”的要求。
李天航认为,企业在做好网络、数据与个人信息等领域的安全措施同时,还必须落实网数领域的法律合规要求。概括来说,主要有以下几个方面:
一、网络安全等级保护义务和应急预案。等保义务包括岗位、制度、数据备份、安全防护措施、网络日志留存6个月以上等,等保二级以上的还需要向公安机关备案。关键信息基础设施运营者还应当履行更为严格的义务,相关网络符合等保三级以上要求。二、采购符合国家强制性标准的关键网络设备,关键信息基础设施运营者网络产品和服务可能影响国家安全的,需要通过网络安全审查等。三、对数据采取分类分级保护措施,对重要数据与核心数据采取更为严格的保护措施。开展数据处理活动加强风险监控措施;对重要数据处理活动定期开展风险评估并报告有关主管部门等。四、关键信息基础设施运营者在境内收集的重要数据和个人信息,达到网信部门规定数量的个人信息处理者收集的个人信息,行业有特殊要求的重要数据等都应当在境内存储。个人信息和重要数据出境还需要通过国家规定安全评估等措施。五、向境外司法、执法机构提供数据应当通过外交或者国际条约、协定等规定的渠道。未经中国主管部门批准,不得将个人信息和数据向境外司法、执法机构提供。
李天航向观察者网指出,这些仅仅是法律规定的部分要求,在企业面临越来越严重的网络安全威胁情况下,企业需要首先做好合规措施,否则,在自身遭受网络安全威胁的同时,可能还要面临严重的处罚。
附:美国安局网络攻击手法剖析
(1)QUANTUM(量子)攻击系统
QUANTUM(量子)攻击系统是NSA发展的一系列网络攻击与利用平台的总称,其下包含多个子项目,均以QUANTUM开头命名。它是NSA最强大的互联网攻击工具,也是NSA进行网络情报战最重要的能力系统之一,最早的项目从2004年就已经开始创建。
从文档中不难看出,在NSA的三个主要网络战方向(CNE、CNA、CND)中,QUANTUM均有相关项目。NSA利用美国在全球网络通讯和互联网体系中所处的核心地位,利用先进技术手段实现对网络信号的监听、截获与自动化利用,QUANTUM项目的本质就是在此基础上实现的一系列数据分析与利用能力。
(2)FOXACID(酸狐狸)0Day漏洞攻击平台
QUANTUM(量子)攻击经常配套使用的是代号为FOXACID(酸狐狸)的系统。FOXACID是NSA设计的一个威力巨大的0Day漏洞攻击平台,并且可以对漏洞攻击的主要步骤实施自动化,甚至让没有什么网络攻击经验的运营商也参与进来,成为一件威力巨大的“大规模入侵工具”。根据NSA机密文档介绍,FOXACID服务器使用了各种浏览器0Day漏洞,比如Flash、IE、火狐浏览器漏洞,用于向计算机目标植入木马程序。
而从现有情报来看,FOXACID在2007年之前就已经开始投入运作,直到2013年仍有其使用的痕迹,以此估算其使用时间至少长达八年之久。NSA依靠与美国电信公司的秘密合作,把FOXACID服务器放在Internet骨干网,保证了FOXACID服务器的反应速度要快于实际网站服务器的反应速度。利用这个速度差,QUANTUM(量子)注入攻击可以在实际网站反应之前模仿这个网站,迫使目标机器的浏览器来访问FoxAcid服务器。
(3)Validator(验证器)后门
Validator(验证器)是用于FoxAcid项目的主要后门程序之一,一般被用于NSA的初步入侵,通过其再植入更复杂的木马程序,比如UnitedRake(联合耙),每个被植入的计算机系统都会被分配一个唯一的验证ID。
根据NSA机密文档的描述,Validator主要配合FOXACID攻击使用,基于基本的C/S架构,为敏感目标提供了可供接触的后门。Validator可以通过远程和直接接触进行部署,并提供了7x24小时的在线能力。Validator是一种很简单的后门程序,提供了一种队列式的操作模式,只能支持上传下载文件、执行程序、获取系统信息、改变ID和自毁这类简单功能。
(4)UNITEDRAKE(联合耙)后门系统
UNITEDRAKE(联合耙),是NSA开发的一套先进后门系统。360安全专家通过对泄露的相关文档进行分析,UNITEDRAKE的整体结构大致分为5个子系统,分别是服务器、系统管理界面、数据库、模块插件集和客户端,其关系如下所示:
服务器:
服务器即为CC服务器,主要功能为接受客户端的连接请求,并且管理客户端和其他子系统间的通讯,设计该系统的目的为尽可能的减少操作请求次数。在文档中其被描述为ListeningPort,即监听端口。
系统管理界面:
系统管理界面为一套图形用户界面,操作者可以通过该界面直接查看客户端状态、给客户端下发命令、管理插件和调整客户端的配置。在文档中其被描述为URGUI。
插件模块集:
该部分为整套UNITEDRAKE系统的技术核心,功能插件化使得整套系统具备极强的可扩展性和适应性;一个插件模块由一个或多个客户端插件,一个或多个服务端插件以及一个或多个系统管理界面组件组
本文链接:http://www.slxf119.com/16203.html 转载需授权!
网友评论