近期,西北工業(yè)大學(xué)遭遇境外網(wǎng)絡(luò)襲擊事件引起各方關(guān)注�。根據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布的報(bào)告,幕后黑手來(lái)自美國(guó)國(guó)家安全局“特定入侵行動(dòng)辦公室”�。這是一個(gè)什么機(jī)構(gòu)?美國(guó)“國(guó)家黑客”究竟有哪些不可告人的秘密����?本期特別報(bào)道�,我們來(lái)揭開(kāi)網(wǎng)絡(luò)攻擊戰(zhàn)的黑幕����。
西北工業(yè)大學(xué),我國(guó)從事航空��、航天�����、航海工程教育和科學(xué)研究的重點(diǎn)大學(xué)����。在西工大長(zhǎng)安校區(qū),有一座巨大的雕塑:一雙捧著劍的手和一個(gè)深深低下的頭��。
“為國(guó)鑄劍�����,隱姓埋名”�,正是西工大的精神所在。6月22日����,西工大發(fā)布公開(kāi)聲明稱,近期����,該校電子郵件系統(tǒng)遭受了境外黑客組織和不法分子發(fā)起的網(wǎng)絡(luò)攻擊。
西北工業(yè)大學(xué)信息化建設(shè)與管理處副處長(zhǎng) 宋強(qiáng):近期我校系統(tǒng)發(fā)現(xiàn)木馬程序����,企圖非法獲取權(quán)限,這給我們學(xué)校的正常工作和生活秩序造成了重大的風(fēng)險(xiǎn)隱患����。
上萬(wàn)次攻擊 竊取140GB數(shù)據(jù)
“幕后黑手”終現(xiàn)形
9月5日,國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布關(guān)于西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊的調(diào)查報(bào)告�����,將幕后黑手鎖定為美國(guó)國(guó)家安全局下屬的“特定入侵行動(dòng)辦公室(TAO)”����。
TAO先后使用了41種美國(guó)國(guó)家安全局專屬網(wǎng)絡(luò)攻擊武器,對(duì)西工大發(fā)起了上千次攻擊竊密行動(dòng)����。
哈佛大學(xué)肯尼迪學(xué)院安全技術(shù)專家 布魯斯·施奈爾:美國(guó)國(guó)家安全局擁有一系列詹姆斯·邦德般的工具,可入侵特定的計(jì)算機(jī),獲取特定的數(shù)據(jù)�。有一個(gè)部門叫特定入侵行動(dòng)辦公室(TAO),他們的工作就是竊取有價(jià)值的秘密情報(bào)��,他們的基本操作就是入侵系統(tǒng)�,他們有其他黑客都不具備的龐大預(yù)算。
TAO成立于1998年前后����,總部位于馬里蘭州米德堡的美國(guó)國(guó)家安全局總部大樓內(nèi),有2000多名員工�����,包括軍用和民用計(jì)算機(jī)黑客���、情報(bào)分析員�����、計(jì)算機(jī)硬件和軟件設(shè)計(jì)師�、電氣工程師等�,還有從美國(guó)中情局和聯(lián)邦調(diào)查局借調(diào)的人員。
美國(guó)網(wǎng)絡(luò)安全研究者 克里斯·索霍安:如果你想要擊退直升機(jī)��,朝別人頭上開(kāi)槍,你可以參加特種部隊(duì)�,同理如果你想合法地入侵系統(tǒng),唯一的玩家就是(美國(guó))政府�。如果選擇其他的人生道路,你可能會(huì)是個(gè)罪犯����,跟蹤狂����,會(huì)是個(gè)壞人,但當(dāng)你去了美國(guó)國(guó)安局�,你就有了為公家辦事的包裝。
TAO:專攻外國(guó)情報(bào) 制造網(wǎng)絡(luò)武器
在國(guó)安局總部大樓內(nèi)�,TAO又是一個(gè)更特殊的存在。工作區(qū)域與其他部門隔開(kāi)�����,一扇鋼門由武裝警衛(wèi)把守���,只有輸入密碼并通過(guò)視網(wǎng)膜掃描才能進(jìn)入���,即使對(duì)于許多國(guó)安局員工而言����,TAO也是一個(gè)謎����。
據(jù)美國(guó)《外交政策》雜志報(bào)道,關(guān)于TAO的一切都被列為“最高機(jī)密”�,很少有國(guó)安局官員能夠完全獲得TAO信息的訪問(wèn)權(quán)。
TAO的任務(wù)主要是通過(guò)秘密入侵外國(guó)目標(biāo)的計(jì)算機(jī)和電信系統(tǒng)�����、破解密碼�、破壞安全系統(tǒng),識(shí)別�����、監(jiān)視�����、滲透和收集其他國(guó)家計(jì)算機(jī)系統(tǒng)中的情報(bào)���。
德國(guó)《明鏡》周刊調(diào)查記者 辛德勒:你可以稱他們(TAO)是國(guó)安局的老練管道工��,能進(jìn)入各種管子�,他們的工作是搞到別人得不到的(情報(bào))。
美國(guó)國(guó)家安全局前高級(jí)官員 托馬斯·德雷克:誰(shuí)關(guān)心憲法���,誰(shuí)關(guān)心法律�,誰(shuí)關(guān)心美國(guó)的人權(quán)����?�?谔?hào)就是拿到數(shù)據(jù)�,收集一切,這樣我們就能了解一切��。
美國(guó)網(wǎng)絡(luò)安全專家尼克·劉易斯(Nick Lewis)直言����,無(wú)論從行動(dòng)目標(biāo)還是手段來(lái)看,TAO都是一個(gè)黑客組織�。而在美國(guó)國(guó)安局內(nèi)部則有這樣一個(gè)說(shuō)法,“如果你想獲得晉升或認(rèn)可����,想辦法盡快調(diào)到TAO”�����。
美國(guó)國(guó)家安全局前高級(jí)官員 約翰·哈博:我在機(jī)構(gòu)內(nèi)部時(shí)�,曾經(jīng)領(lǐng)導(dǎo)一個(gè)8人團(tuán)隊(duì)�����,這個(gè)團(tuán)隊(duì)專門解決最具挑戰(zhàn)性的網(wǎng)絡(luò)問(wèn)題���。團(tuán)隊(duì)里有各種人�,如果你負(fù)責(zé)網(wǎng)絡(luò)部分���,你就要處理所有這類事情���,比如領(lǐng)導(dǎo)會(huì)過(guò)來(lái)說(shuō),我們有件國(guó)家大事�,我需要你們?cè)谖磥?lái)12個(gè)小時(shí)內(nèi)解決。
根據(jù)9月13日我國(guó)國(guó)家計(jì)算機(jī)病毒應(yīng)急中心發(fā)布的最新報(bào)告���,TAO對(duì)西工大的攻擊活動(dòng)中使用的工具類別可分為四大類:漏洞攻擊突破類武器����,對(duì)西工大的邊界網(wǎng)絡(luò)設(shè)備、網(wǎng)關(guān)服務(wù)器����、辦公內(nèi)網(wǎng)主機(jī)等實(shí)施攻擊突破;持久化控制類武器�,對(duì)西工大網(wǎng)絡(luò)進(jìn)行隱蔽持久控制;嗅探竊密類武器���,以此嗅探西工大工作人員運(yùn)維網(wǎng)絡(luò)時(shí)使用的賬號(hào)口令��、命令行操作記錄�����,竊取敏感信息和運(yùn)維數(shù)據(jù)等;隱蔽消痕類武器��,消除其在西工大網(wǎng)絡(luò)內(nèi)部的行為痕跡���,隱藏��、掩飾其惡意操作和竊密行為�。
為了掩蓋真實(shí)IP����,TAO使用了分布在日本�、韓國(guó)���、瑞典�����、波蘭��、烏克蘭等17個(gè)國(guó)家的49臺(tái)跳板機(jī)和5臺(tái)代理服務(wù)器�,所有IP均歸屬于非“五眼聯(lián)盟”國(guó)家��。
國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心高級(jí)工程師 杜振華:有了這些跳板機(jī)之后�,TAO就可以躲在這些跳板機(jī)的后面來(lái)實(shí)施網(wǎng)絡(luò)攻擊,實(shí)現(xiàn)借刀殺人的效果����。
分析報(bào)告指出,一款名為“飲茶”的嗅探竊密類武器�,是導(dǎo)致大量敏感數(shù)據(jù)遭竊的最直接“罪魁禍?zhǔn)住敝弧�!帮嫴琛卑膀?yàn)證模塊”“解密模塊”“解碼模塊”“配置模塊”“間諜模塊”等組成部分,主要功能是竊取目標(biāo)主機(jī)上的遠(yuǎn)程訪問(wèn)賬號(hào)和密碼。
TAO將“飲茶”植入西工大內(nèi)部網(wǎng)絡(luò)服務(wù)器�,竊取了SSH(安全外殼協(xié)議)等遠(yuǎn)程管理和遠(yuǎn)程文件傳輸服務(wù)的登錄密碼,從而獲得內(nèi)網(wǎng)中其他服務(wù)器的訪問(wèn)權(quán)限�。
國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心報(bào)告顯示,在近年里���,美國(guó)國(guó)家安全局下屬TAO對(duì)中國(guó)國(guó)內(nèi)的網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬(wàn)次的惡意網(wǎng)絡(luò)攻擊���,控制了數(shù)以萬(wàn)計(jì)的網(wǎng)絡(luò)設(shè)備,竊取了超過(guò)140GB的高價(jià)值數(shù)據(jù)��。
中國(guó)外交部網(wǎng)絡(luò)事務(wù)協(xié)調(diào)員 王磊:美國(guó)在網(wǎng)絡(luò)空間沒(méi)有遵守任何國(guó)際規(guī)則�,也徹底拋棄了中美2015年達(dá)成的雙邊網(wǎng)絡(luò)安全協(xié)議,可以說(shuō)中美在網(wǎng)絡(luò)領(lǐng)域的既有共識(shí)�����,已經(jīng)發(fā)生了顛覆性的變化��。
美國(guó)國(guó)安局在全球范圍內(nèi)發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊行動(dòng)�,離不開(kāi)龐大而復(fù)雜的網(wǎng)絡(luò)武器平臺(tái)支持�,TAO也是重要的網(wǎng)絡(luò)武器制造者。
英國(guó)調(diào)查記者 加拉格爾:TAO做的是美國(guó)國(guó)安局最激進(jìn)的工作��,傳統(tǒng)的竊聽(tīng)手段在電話線上接線竊聽(tīng),我們稱之為被動(dòng)監(jiān)控���,現(xiàn)在實(shí)際已經(jīng)讓位給所謂的主動(dòng)監(jiān)控��,就是攻擊和入侵系統(tǒng)�����。
有線索顯示�,部分美國(guó)互聯(lián)網(wǎng)巨頭公司會(huì)向美國(guó)國(guó)安局提供專用的后門和漏洞�����,研制出的大多數(shù)網(wǎng)絡(luò)武器都已交由美國(guó)及其他“五眼聯(lián)盟”國(guó)家使用��。
美國(guó)國(guó)家安全局承包公司前雇員����、曝光“棱鏡計(jì)劃”的斯諾登曾公布一份“絕密”文件,證實(shí)2010年5月TAO曾成功侵入墨西哥總統(tǒng)域名的關(guān)鍵電子郵件服務(wù)器��,進(jìn)入時(shí)任墨西哥總統(tǒng)卡爾德龍(Felipe Calderon)的電子郵箱�����。這個(gè)郵件域名也被墨西哥政府官員使用,包含外交�����、經(jīng)濟(jì)信息以及領(lǐng)導(dǎo)人之間的通信��。
斯諾登還爆料稱����,2013年,英國(guó)情報(bào)機(jī)構(gòu)曾成功入侵比利時(shí)電信公司Belgacom的員工計(jì)算機(jī)��,據(jù)信背后也得到了TAO的技術(shù)支持����。
德國(guó)黑客 瓜尼埃里:什么是合法目標(biāo)?美國(guó)國(guó)安局最終只需要對(duì)美國(guó)政府負(fù)責(zé)����,他們不尊重任何外國(guó)機(jī)構(gòu),因此他們窺探聯(lián)合國(guó)兒童基金會(huì)�����,他們窺探外國(guó)政府����、窺探私人公司、能源公司��,是什么讓他們自以為合法地進(jìn)攻一些特定的目標(biāo)和組織�,我們不知道。
據(jù)美國(guó)《外交政策》雜志披露�����,除了研發(fā)和竊密�,TAO還有另一項(xiàng)職責(zé),就是接受總統(tǒng)命令�,收集情報(bào),以實(shí)現(xiàn)通過(guò)網(wǎng)絡(luò)攻擊破壞甚至摧毀外國(guó)計(jì)算機(jī)和電信系統(tǒng)����。
“震網(wǎng)”:用病毒攻擊他國(guó)關(guān)鍵設(shè)施
2010年,一種名為“震網(wǎng)”(Stuxnet)的蠕蟲(chóng)病毒����,利用系統(tǒng)安全漏洞,襲擊了伊朗的核設(shè)施�����。在伊朗納坦茲鈾濃縮基地,至少有五分之一的離心機(jī)因?yàn)楦腥尽罢鹁W(wǎng)”而遭到破壞��。
賽門鐵克互聯(lián)網(wǎng)安全公司技術(shù)員 埃里克·錢:納坦茲的離心機(jī)通常以1000赫茲運(yùn)轉(zhuǎn)���,病毒可以讓離心機(jī)加速到1400赫茲����。超速運(yùn)轉(zhuǎn)時(shí)����,離心機(jī)震動(dòng)失控,然后粉碎��,房間里碎鋁片亂飛����,也許產(chǎn)生了骨牌效應(yīng),離心機(jī)相繼翻倒�,鈾氣體到處泄漏。
“震網(wǎng)”被視為全球第一種被投入實(shí)戰(zhàn)的網(wǎng)絡(luò)武器�,而“震網(wǎng)”病毒的幕后黑手,至今沒(méi)有定論����?���!都~約時(shí)報(bào)》資深國(guó)家安全記者戴維·桑格曾在報(bào)道中推測(cè)��,“震網(wǎng)”是由美國(guó)國(guó)家安全局和以色列情報(bào)機(jī)構(gòu)聯(lián)合研發(fā)的�����,作為一個(gè)代號(hào)為“奧運(yùn)會(huì)”的絕密項(xiàng)目的一部分�,該項(xiàng)目的目標(biāo)就是“運(yùn)用網(wǎng)絡(luò)武器阻滯伊朗鈾濃縮進(jìn)程”�����。
《紐約時(shí)報(bào)》國(guó)家安全記者 戴維·桑格:當(dāng)奧巴馬總統(tǒng)依照慣例和前任喬治·布什見(jiàn)面���,布什告訴他�,有兩個(gè)計(jì)劃一定要保留下來(lái)�����,一個(gè)是無(wú)人機(jī)計(jì)劃����,另一個(gè)就是“奧運(yùn)會(huì)”項(xiàng)目����,也就是對(duì)付伊朗的計(jì)劃��。
然而���,美國(guó)政府承認(rèn)開(kāi)發(fā)網(wǎng)絡(luò)武器��,卻從未承認(rèn)使用過(guò)它們。美國(guó)國(guó)家安全局前局長(zhǎng)基思·亞歷山大曾對(duì)記者表示���,他從沒(méi)聽(tīng)說(shuō)過(guò)“震網(wǎng)”或“奧運(yùn)會(huì)”項(xiàng)目����。而美國(guó)前國(guó)家情報(bào)總監(jiān)詹姆斯·克拉珀也拒絕向記者透露相關(guān)信息�。
不過(guò),也有人不小心說(shuō)漏了嘴�。
美國(guó)前中情局局長(zhǎng) 邁克爾·海登:身為中情局的首腦,對(duì)于像我這樣的人��,能摧毀納坦茲的1000臺(tái)離心機(jī)絕對(duì)是件好事��。
斯坦福大學(xué)胡佛研究所高級(jí)研究員 艾米·澤加特:用震網(wǎng)病毒攻擊伊朗����,是大國(guó)首次以極具侵略性的方式運(yùn)用強(qiáng)大的網(wǎng)絡(luò)武器��。
“震網(wǎng)”病毒危害巨大的一個(gè)重要原因����,在于它所攻擊的是“零日漏洞”�。
“零日漏洞”指的是尚未研發(fā)出修復(fù)補(bǔ)丁����,或者尚未公開(kāi)的安全漏洞,通常在攻擊者發(fā)動(dòng)襲擊后�����,該漏洞才會(huì)廣為知曉�、軟件廠商才能開(kāi)始著手制作補(bǔ)丁�。攻擊者便能利用這一時(shí)間差��,造成巨大的破壞�����。正因?yàn)槿绱?����,“零日漏洞”在網(wǎng)絡(luò)黑市上成為搶手貨。
2015年����,路透社曾在報(bào)道中指出,美國(guó)政府是“零日漏洞”的最大買家���。
記者:美國(guó)政府使用零日漏洞攻擊誰(shuí)?
美國(guó)網(wǎng)絡(luò)安全研究者 克里斯·索霍安:這要看情況�����,對(duì)美國(guó)國(guó)安局而言,可能攻擊外國(guó)領(lǐng)導(dǎo)人或者外國(guó)公司。
“前出狩獵”:美承認(rèn)發(fā)動(dòng)多次網(wǎng)絡(luò)攻擊“支援”烏克蘭
今年6月�,美國(guó)網(wǎng)絡(luò)司令部司令兼國(guó)家安全局局長(zhǎng)保羅·中曾根(Paul Miki Nakasone)公開(kāi)承認(rèn)��,俄烏沖突爆發(fā)后�,美國(guó)對(duì)俄羅斯發(fā)起過(guò)進(jìn)攻性的網(wǎng)絡(luò)活動(dòng)“前出狩獵”。
“前出狩獵”(hunt forward)是美國(guó)提出的“網(wǎng)絡(luò)戰(zhàn)”概念之一�����,于2018年開(kāi)始部署����。它是指通過(guò)向海外派遣網(wǎng)絡(luò)戰(zhàn)精銳力量,采取主動(dòng)追捕形式���,發(fā)現(xiàn)并識(shí)別對(duì)手的網(wǎng)絡(luò)行動(dòng)�����,進(jìn)行主動(dòng)攻擊。
美國(guó)前國(guó)務(wù)卿 希拉里·克林頓:在阿拉伯之春期間����,我們就是這么做的,當(dāng)時(shí)我是國(guó)務(wù)卿����,我想我們還可以攻擊(俄羅斯)政府機(jī)構(gòu)的網(wǎng)絡(luò)。
極其諷刺的是���,美國(guó)一邊對(duì)外頻頻發(fā)動(dòng)網(wǎng)絡(luò)攻擊�,一邊卻自詡為“網(wǎng)絡(luò)安全衛(wèi)士”����,動(dòng)輒給別國(guó)扣上“網(wǎng)絡(luò)安全威脅”的帽子。
2020年6月底至7月初��,俄羅斯舉行修憲全民公投���。俄中央選舉委員會(huì)網(wǎng)站遭到來(lái)自美國(guó)及其盟友猛烈的網(wǎng)絡(luò)攻擊��。
俄羅斯外交部國(guó)際信息安全局副局長(zhǎng) 弗拉基米爾·申:當(dāng)時(shí)俄羅斯憲法2020這個(gè)官網(wǎng)��,每秒被訪問(wèn)次數(shù)達(dá)到24萬(wàn)次�����,這些攻擊來(lái)自美國(guó)�、德國(guó)��、英國(guó)及烏克蘭�。
在此次修憲公投兩周后,時(shí)任美國(guó)總統(tǒng)特朗普公開(kāi)承認(rèn)���,早在2018年他就批準(zhǔn)了對(duì)俄羅斯互聯(lián)網(wǎng)研究所的網(wǎng)絡(luò)攻擊����。俄羅斯軍事專家列奧科夫指出,從2019年的委內(nèi)瑞拉局勢(shì)動(dòng)蕩到2020年的白俄羅斯騷亂�����,也都有美國(guó)網(wǎng)絡(luò)部隊(duì)的幕后操控��。
究竟是誰(shuí)在全球范圍內(nèi)頻繁進(jìn)行網(wǎng)絡(luò)攻擊和竊密�,是誰(shuí)打開(kāi)了網(wǎng)絡(luò)戰(zhàn)的魔盒,答案不言自明�����。
美國(guó)將網(wǎng)絡(luò)空間視為地緣政治博弈的新陣地���,試圖通過(guò)攻擊和竊密來(lái)維護(hù)其霸權(quán)地位,粗暴破壞全球網(wǎng)絡(luò)治理體系�,對(duì)全球網(wǎng)絡(luò)安全構(gòu)成威脅,是名副其實(shí)的“黑客帝國(guó)”“竊密帝國(guó)”��。面對(duì)美式網(wǎng)絡(luò)霸權(quán)�����,越來(lái)越多的國(guó)家已經(jīng)認(rèn)清其本質(zhì),攜手構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體��,正逐漸成為全球共識(shí)�。
