安全路透社
当前位置:安全路透社 > 网络转载 > 正文

网络间谍活动的前世今生

纵观历史,无论是间谍,破坏,还是其他手段,国家之间总会通过一些秘密行动来渗透对方。20世纪90年代是互联网开始迅速发展的时代,而这个时代正开创了国际间谍活动的新篇章。在那不久之后,我们就阅读到了关于网络战争的猜想与警告:对立国家的敌人是否有能力关闭电网,或者接管电信系统,甚至劫持核武器?

出于其极其隐蔽的本质,我们并不知道网络间谍活动何时开始,以及如何开始,如果必须要猜的话,早期的行动可能并不像007那样,甚至还很普通。通信情报 – 拦截并解密敌方通信 – 长期以来一直是情报机构的家常便饭,后来逐渐扩张到了网络空间。

网络间谍活动的前世今生

溯源

第一例

第一个记录在案的网络间谍活动发生自网络本身。1986年,当时在加利福尼亚州劳伦斯伯克利国家实验室管理电脑的Clifford Stoll,发现了计算机计算时间的记录的异常活动,这直接导致了他发现了一名黑客,而这名黑客此前一直在系统地针对美国军事基地的计算机来寻找军事机密。之后Clifford Stoll为攻击者创造了一个蜜罐,果不其然,黑客落网了,这名黑客是当时的西德人Markus Hess,他一直在向克格勃出售情报信息。

西伯利亚天然气管道爆炸事件

据称在此之前的1982年,美国的中央情报局的行动就导致了西伯利亚天然气管道爆炸事件,当时CIA欺骗了苏联特工,让他们偷取了设计好的工业控制软件,最终导致了天然气管道故障。长年以来这都被当成是谣言,但是在2004年这个事件似乎被确认,因为当时里根总统的国家安全委员会中的一名成员Thomas Reed在书中写下了这件事,不过Reed的解释到现在还在被一些专家,包括知名的网络安全研究员Jeffrey Carr所争议。

月光迷宫(Moonlight Maze)

真正引起公众关注的网络间谍活动是Moonlight Maze,这是以美国政府为目标起的名字,它于1999年在新闻周刊中被发表。联邦调查局的调查发现,这个组织已经渗入了美国海军,空军,能源部,航空航天局甚至五角大楼,并窃取了很多的文件,如果要把这些文件堆起来,那么“一定会比华盛顿纪念碑高”。

点击查看卡巴斯基实验室对”月光迷宫“的研究报告

不过Moonlight Maze并不是首次发现的行动之一,这也绝对不是唯一进行的活动,虽然高度先进,资源充足的方程式组织在2015年才被公开,但证据表明早在2001年,它就开始运作了。

虽然当时苗头不高(至少对公众来说),但随后的几年,这种活动明显有所增加,很多主流的网络间谍组织就是在2005年到2010年间出现了萌芽。

网络间谍活动的前世今生

网络间谍活动花了几年来发展,十年之后,它已经成了焦点,这一次,谷歌披露至少20家大型公司已经被一个叫Aurora(Hidden Lynx)的黑客集团当作目标。据我们估算,Hidden Lynx拥有大约50-100人负责操作,且有能力对多个目标同时进行数百次的攻击,这些都表明了近年来网络间谍活动的规模一直在扩大。

破坏性攻击

Stuxnet

网络间谍活动最有戏剧性的发展是震网(Stuxnet)的发现。这可能是现实世界中第一个具有高度破坏性的网络攻击的例子,但迄今为止,这个例子只被用于教科书式的警告。

震网(Stuxnet)完全可以另外再写一篇文章(如果你还没看Alex Gibney的纪录片,点这里),总结一下是这样:Stuxnet是2010年(可追溯到2009年6月,但最终编译时间为2010年2月3日)出现的恶意软件中神秘的一部分,最初引起关注的原因是它使用0day漏洞(MS10-046、MS10-061、MS10-073、MS10-092)通过可移动磁盘传播,在Eric和Liam的广泛调查后,其背后的真实目的才逐渐显现出来。

震网病毒被设计用于针对工业控制系统,尤其是劫持可编程逻辑控制器(PLC),而PLC被用于运行和监控工业系统,不过Stuxne只t针对特定类型的PLC即西门子公司控制系统,也就是伊朗核设施使用的PLC,这便是当时外交争议点所在。

震网病毒可以在短时间内改变PLC的输出频率,并覆盖修改以避免操作员收到警报,这种修改直接导致了系统故障,基本上可以破坏当前正在使用的设备。赛门铁克安全响应中心高级主任凯文·霍根(Kevin Hogan)指出,当时伊朗约60%的个人电脑被感染,这意味着其目标是当地的工业基础设施。俄罗斯安全公司卡巴斯基实验室发布了一个声明,认为Stuxnet蠕虫“是一种十分有效并且可怕的网络武器原型,这种网络武器将导致新的军备竞赛,一场网络军备竞赛时代的到来。”并认为“除非有国家和政府的支持和协助,否则很难发动如此规模的攻击。”

事实确实如此,2012年,《纽约时报》报道称,美国官员承认这个病毒是由美国国家安全局(NSA)在以色列协助下研发,以Olympic Games为计划代号,目的在于阻止伊朗发展核武。

网络间谍活动的前世今生

即使在现在,也就是7年后,震网的复杂性和威力也在同类中也可以脱颖而出,不过攻击者在开始之前需要收集广泛的情报,这样才能对目标设备进行充分了解,其次,如果目标计算机没有连接互联网(仅通过可移动设备传播),部署恶意软件的难度会大大增加。

Shamoon

这段时间以来,我们看到了Stuxnet,也看到了网络间谍活动的未来,我们正面临着一个时代,各国在网络空间的战场上拿下对手的基础设施的时代。在Stuxnet出现之后,磁盘擦除蠕虫Shamoon紧随而来,后者被用于针对沙特阿拉伯的能源部门的攻击

Shamoon又称Disttrack,是Seculert在2012年发现的一种模块化的计算机病毒,针对最近的基于NT内核的Microsoft Windows版本。这个病毒的行为与其他恶意软件攻击有所不同,Shamoon可以从受感染的机器传播到网络上的其他计算机。一旦系统被感染,病毒将从系统上的特定目录编译文件列表,并将其上传到攻击者,然后再将其擦除。最后,病毒会覆写受感染计算机的主引导记录,使其无法启动。

不过随着时间的推移,Stuxnet和Shamoon显然已经不是新的规范,回想起来这并不奇怪,因为破坏作为其本质,无论是对于攻击者还是和这些工具本身,闹出动静实在是太大了,相比之下,传统情报搜集就低调了许多,还能够降低被发现的风险。

无形威胁

保持低调只能说成功了一部分,在过去的十年中,诸如赛门铁克这类安全公司逐渐发现一大批有国家背景的网络间谍组织,且不再局限于超级大国,很多地区也出现了自己的网络间谍组织,另外的证据表明,一些小国家也通过购买现成的间谍软件来进入这个领域。

如果要列出近年来发现的每一个网络间谍组织,那得洋洋洒洒地写一本书,不过我们已经有了一些非常有趣的发现。目前遇到的最高阶的威胁之一是Regin,在2014年,我们发现了一款非常复杂而隐秘的恶意软件,它可以根据目标定制一系列有效载荷,并被用于针对政府,基础设施,企业,研究人员或是任何公民。

但是,Regin并不是一直独占鳌头,比如说2014年我们额外调查的一个组织Dragonfly,这个组织以美国和欧洲能源领域的战略性设施为目标,如电网,发电公司,石油运营商,能源行业的设备供应商。该组织使用的恶意软件不仅包含间谍功能,还有破坏功能 ,不过攻击者似乎没有启用后者。

网络间谍活动也不再局限于国家背景支持,例如在2015年,我们发现了Butterfly组织,在过去的三年中,为了窃取诸如信息和知识产权情报此类,这个组织已经渗透了一些主流公司,值得注意的是这个组织并没有国家背景支持的迹象,似乎是收到了利益的驱使。

江心补漏,为时已晚?

对主流网络间谍组织的发现已经在一定程度上削弱了这些组织。不仅安全公司能更好地保护他们的客户,最终用户也会意识到这个威胁,越来越多的组织开始意识到他们不仅可以攻击政府,还可以攻击其他相对较小的组织。在某些情况下,供应链中的薄弱环节可以被利用,攻击者可以利用这个来攻击目标;在其他情况下,攻击者可能会有意地窃取他们的知识产权的情报或客户资料。

除此之外,一系列高调的情报与数据泄露也会引起网络间谍组织的关注,如斯诺登的棱镜门事件,维基解密公布的Vault 7以及NSA麾下的方程式组织的工具泄露。

这些东西的公之于众可能预示着网络间谍活动的黄金时代的结束。越来越多的软件和网络公司默认加密了客户的数据,政府因此与技术部门争论不休,一些政府认为,执法机构需要一种访问加密消息的方式来保护国家安全;而技术部门则指出,给自己的产品留后门会让好人和坏人都得到好处。这并不是说网络间谍活动在任何方面都处于逐渐消失的状态,而是说国家或国家背景的组织在今后可能会变本加厉地渗透目标。

(拓展阅读:前军情五处长官警告称:无需打击加密信息的应用

网络间谍活动在过去的12个月中再次出现,特别是美国总统选举的时候,当时对民主党的入侵导致了内部邮件的泄露,美国情报界的一项联合调查得出结论认为,这与俄罗斯情报部门有联系的两个组织有关。

其中一个叫Swallowtail(又名APT28和Fancy Bear),与针对世界反兴奋剂机构(WADA)的网络攻击有关,WADA发现一些美国奥运选手,英国自行车选手以及其他运动员的数据被盗,与大多数组织不同,Fancy Bear十分高调,甚至创建了自己的网站发布被盗数据。他们称小威在2010、2014和2015年被WADA允许使用含有盐酸羟考酮(oxycodone)、氢化可的松(hydrocortisone)、强的松(prednisone)等禁药成分的药物,而其姐姐大威廉姆斯在2010至2013年间,被WADA允许使用含有泼尼松(prednisone)、泼尼松龙 (prednisolone)、曲安西龙(triamcinolone)等禁药成分的药物,但揭秘的文件中并没有显示有医生的诊断书作为WADA允许她们使用这些含禁药成分的药物。

鉴于对美国民主党攻击的破坏性与影响,法国大选被采用了同样的策略,其实这一点也不奇怪。在具有决定性的第二轮民意调查前夕,最终的获胜者马克隆被曝邮件泄露,数以万计的文件和电子邮件被发布出来。

网络间谍活动的前世今生

其中一份文件

网络间谍活动的前世今生

不过这次泄露并没有力挽狂澜,从而扭转局势,可能是因为它的姗姗来迟,效果受到了影响,除此此外,马克隆团队表示他们利用了蜜罐账号欺骗了俄罗斯黑客,一定程度上延迟了泄露发生的时间。

这算什么事?为什么花了很多年隐藏在公众视线之外的组织,一夜之间开始明目张胆的行动?答案部分在于这些组织目的的转变,他们的目标不再局限于情报收集,他们或许想要颠覆,另外境外势力或许是幕后主谋,这会引起目标的怀疑与困扰。

总结

纵观过去12个月,网络间谍活动的趋势在上文已经提到,具体方向仍有待考究,虽然最近的攻击说明了更多的网络间谍活动具有潜在破坏性,但是同时也能证明其局限性(参照法国大选)。震惊之后,政治家和投票的公众应该意识到当前网络安全情形之严峻是以前的”没在意“造成的,互联网刚出现时,什么事都可以原谅,但是现在的情况不一样了,黑客和bug带来的风险日益增长,我们没有理由重复任何错误,另外,如果我们意识到威胁并加以防范,那么潜在的影响会小很多。

世界还没有看到震网的续集,但这或许只是时间问题。令人毛骨悚然的是,开发核武需要大量钱财,人力,原材料和大型设施,而网络间谍组织或许仅仅需要电脑和互联网连接。

*参考来源:mediumtheguardiancnnwikileaks经济学人 2017年4.8 – 4.14期 – The myth of cyber-security

*Covfefe整理

未经允许不得转载:安全路透社 » 网络间谍活动的前世今生

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册