360披露美國對中國使用網絡武器,外交部回應
時間:2022-08-10 12:06:01 | 來源:網站運營
時間:2022-08-10 12:06:01 來源:網站運營
3月24日,外交部發(fā)言人汪文斌主持例行記者會。有記者提問,不久前,中國網絡安全企業(yè)360公司發(fā)布了《網絡戰(zhàn)序幕:美國國安局NSA(APT-C-40)對全球發(fā)起長達十余年無差別攻擊》報告。日前,360公司完整披露了報告中提及的NSA針對中國境內目標的代表性網絡武器——量子攻擊平臺的技術特點。發(fā)言人對此是否有進一步評論?
汪文斌表示:
“我注意到相關報告。這個報告披露的內容顯示,量子攻擊是美國國家安全局針對國家級互聯(lián)網專門設計的一種先進的網絡流量劫持攻擊技術。美方可以利用這一技術,對世界各國訪問推特、油管、亞馬遜等美國網站的所有互聯(lián)網用戶發(fā)起網絡攻擊,中國的社交軟件也是攻擊目標。這意味著無論你是誰,無論你在世界哪個角落,只要你使用網絡社交平臺,背后都可能有個‘老大’在盯著你?!?/i>
近年來,美方宣稱構建所謂的“清潔網絡”,醞釀成立所謂“未來互聯(lián)網聯(lián)盟”,以提升網絡安全防范能力為由同多國加強網絡安全合作。這次360公司的報告指出,許多與美國有合作的國家同樣也是美國網絡攻擊的目標。此前曝出的“臟盒”“棱鏡門”“怒角計劃”“電幕行動”等美國網絡監(jiān)控和攻擊內幕也表明,連美國的盟友、伙伴都在美國的嚴密監(jiān)控之列??梢?,所謂的“清潔網絡”不過是美方為方便其全球監(jiān)控竊密擺下的“迷魂陣”,是“黑客帝國”為自己披上的“隱身衣”。
汪文斌強調:“我們再次敦促美方在網絡空間做一個負責任的國家,停止針對中國和全球的網絡竊密和攻擊。美方要求別國遵守的規(guī)則,自己首先應當遵守?!?/i>
NSA網絡武器攻擊已實現工程化、自動化和人工智能化
3月22日,360政企安全集團首次對外界完全披露美國國家安全局(NSA)針對中國境內目標所使用的代表性網絡武器——quantum(量子)攻擊平臺的技術特點,同時證明美國的網絡攻擊屬于無差別攻擊,其可以劫持全世界任意地區(qū)任意上網用戶的正常網頁瀏覽流量。
根據360發(fā)布的報告顯示,量子攻擊是美國國家安全局針對國家級互聯(lián)網專門設計的一種先進的網絡流量劫持攻擊技術,美國國家安全局利用量子攻擊技術針對世界各國訪問臉書、推特、油管、亞馬遜等美國網站的所有互聯(lián)網用戶發(fā)起網絡攻擊,另外像qq等中國社交軟件也同樣是他們的攻擊目標。
據悉,量子攻擊系統(tǒng)是美國國家安全局最強大的互聯(lián)網攻擊工具,也是其進行網絡情報戰(zhàn)最重要的能力系統(tǒng)之一,創(chuàng)建于2004年,其下包含多個子項目,均以quantum開頭命名。360云端安全大腦現已發(fā)現其包含的九種先進網絡攻擊能力模塊,分別為quantuminsert(量子注入)、quantumbot(量子傀儡)、quantumbiscuit(量子餅干)、quantumdns(量子dns)、quantumhand(量子掌握)、quantumphantom(量子幻影)、quantumsky(量子天空)、quantumcopper(量子警察)、quantummackdown(量子下載)。
量子攻擊系統(tǒng)主要針對國家級網絡通信進行中間劫持,以實施漏洞利用、通信操控、情報竊取等一系列復雜網絡攻擊。360相關研究人員指出:“量子攻擊可以劫持全世界任意地區(qū)任意上網用戶的正常網頁瀏覽流量,進行0day(零日)漏洞利用攻擊并遠程植入后門程序。”
根據介紹,為了監(jiān)控全球互聯(lián)網目標,美國國家安全局制定了眾多的作戰(zhàn)計劃,相關計劃涉及的具體任務會通過量子攻擊平臺實施,量子攻擊的完整實施過程分為以下三個階段:
第一階段:
量子攻擊實施者會首先對被攻擊目標進行網絡定位,整個定位過程是通過美國國家安全局持有的一整套“量子能力”,網絡黑客攻擊工具完成,這些工作具有對全球互聯(lián)網巨頭網絡流量的遠程劫持操控能力。
據美國國家安全局機密文檔顯示,“量子能力”的定位操作除了針對特定ip,更重要的是能夠針對電子郵箱、社交網絡、搜索引擎、視頻網站等全球網民使用最多的互聯(lián)網服務及不同的網站賬號進行遠程定位,快速找出攻擊目標所處的網絡及上網地點。
第二階段:
在第二階段,相關武器會全面監(jiān)控攻擊目標的互聯(lián)網賬號等相關網絡通信內容和其它網絡活動,包括上網終端中存儲的靜態(tài)文件、上網流量及通訊內容等等。美國國家安全局機密文檔所示,量子攻擊系統(tǒng)后臺顯示了如何監(jiān)控雅虎、臉書和hotmail等美國互聯(lián)網產品網絡注冊用戶的部分細節(jié),表明美國國家安全局實際上正在對全球各地使用美國互聯(lián)網產品的用戶實施無差別監(jiān)控。
第三階段:
第三階段,美國國家安全局開始實施漏洞利用攻擊,向受害者植入其專屬后門程序,大量竊取受害者個人隱私和上網數據等內容。整個攻擊過程中所采集的大量數據都是在用戶毫不知情的情況下獲得的。
報告顯示,美國國家安全局(NSA)的全球化無差別黑客入侵行徑,離不開龐大而復雜的網絡武器平臺支持。
一、美國NSA網絡武器攻擊已完全實現了工程化、自動化。網絡戰(zhàn)時代到來,網絡武器的自動化、智能化優(yōu)勢成為超越信息優(yōu)勢的“進階優(yōu)勢”,而NSA組織的quantum(量子)系統(tǒng)可能僅是冰山一角,美國或掌握著更多更高度工程化的網絡攻擊平臺,其自動化的“思考”速度和質量,極大提高了美國自主作戰(zhàn)系統(tǒng)實現制勝目標的優(yōu)勢,也為全球網絡安全帶來無窮隱憂。
二、為實施并制勝網絡戰(zhàn),美國政府充分利用一切先進技術和網絡資源。美國有著全球最先進的互聯(lián)網技術,這是盡人皆知的,但為了掌握網絡戰(zhàn)主導權,美國將諸如quantum(量子)攻擊系統(tǒng)等大量頂級技術手段、高端人才、情報力量納入作戰(zhàn)序列,由此可見,美國對發(fā)展網絡作戰(zhàn)力量的重視程度,并不計成本地投入資源、增加籌碼。
三、美國的網絡攻擊屬于無差別攻擊,目標是全球范圍,甚至包括美國盟友。由上述分析可見,美國針對各類電子郵箱、社交網絡、搜索引擎、視頻網站等幾乎所有互聯(lián)網用戶發(fā)起無差別的網絡攻擊,美國的網絡戰(zhàn)略打擊是全球性的、無節(jié)制的,在美國網絡攻擊的鐮刀之下,沒有哪一國能獨善其身。
四、美國的網絡戰(zhàn)戰(zhàn)略,或不僅限于網絡竊密。通過公開的資料已知,美國已經完成了其網絡戰(zhàn)戰(zhàn)略目標第一步——網絡竊密,像斯諾登還有維基百科爆料的“棱鏡”計劃都屬于這一范疇,但不排除美國的下一步目標野心將更大。一旦通過在對手的電腦網絡中安插硬件或軟件后門,實現關鍵目標遠程操控,包括軍事系統(tǒng)、國家公共安全領域的服務器、民航公路鐵路交通系統(tǒng)的主機、銀行金融系統(tǒng)的服務器等,如果美國更大的戰(zhàn)略目標實現,其對手將毫無談判余地。完整版內容請點擊微信公眾號查看
NSA對47個國家地區(qū)發(fā)起長達10余年網絡攻擊
此前3月2日,360政企安全集團發(fā)布獨家報告,公開披露美國國家安全局為達到美國政府情報收集目的,針對全球發(fā)起大規(guī)模網絡攻擊,其中我國是NSA組織的重點攻擊目標之一。360發(fā)現了美國國家安全局針對系列行業(yè)龍頭企業(yè)長達十余年時間的攻擊活動,隨后將NSA及其關聯(lián)機構單獨編號為APT-C-40。這是繼2020年,360實錘美國中央情報局CIA(APT-C-39)對中國進行長達11年的網絡攻擊滲透后的又一次公開揭批。
360分析得出,NSA針對我國的大型攻擊活動,僅Validator后門一項的感染量保守估計達幾萬數量級,隨著持續(xù)攻擊演進感染量甚至可能已經達到數十萬、百萬量級。對中國境內目標的攻擊如政府、金融、科研院所、運營商、教育、軍工、航空航天、醫(yī)療等行業(yè),重要敏感單位及組織機構成為主要目標,占比重較大的是高科技領域。同時,360還分析發(fā)現其針對英國、德國、法國、韓國、波蘭、日本、伊朗等全球超過47個國家和地區(qū)發(fā)起攻擊,403個目標受到影響,潛伏時間長達十幾年。
3月3日,針對360發(fā)布的報告,中國外交部發(fā)言人汪文斌表示:“我們注意到360公司的有關報告,譴責報告曝光的惡意網絡活動,再次強烈敦促美方作出解釋,并立即停止此類活動。中方將采取必要措施維護中國的網絡安全和自身利益。360公司此前曾經發(fā)布APT-C-39報告,上周北京奇安盤古實驗室剛發(fā)布美對中國網絡攻擊報告,再到這次APT-C-40報告,這一系列報告說明美國對中國進行了大規(guī)模、長時間、系統(tǒng)性的網絡攻擊,嚴重危害中國關鍵基礎設施安全,海量個人數據安全以及商業(yè)和技術秘密,嚴重影響了中美在網絡空間的互信。相關報告顯示,美國在網絡空間沒有遵守任何國際規(guī)則,也徹底拋棄了中美2015年達成的網絡安全雙邊共識?!?/i>
“具有諷刺意味的是,作為全球頭號的黑客帝國,美國還以受害者形象誤導國際社會,試圖主導網絡安全國際議程?!?/i>汪文斌說,美方發(fā)起了打擊勒索軟件倡議,醞釀成立所謂“未來互聯(lián)網聯(lián)盟”,成立各種小圈子,討論供應鏈安全問題。值得注意的是,美方近來還以“提升網絡能力”為由,加大與中國部分周邊國家的網絡安全合作,包括東亞、東南亞、南亞和中亞。根據中國網絡安全公司的系列報告,很多與美有合作的國家也是美國網絡攻擊的目標。
汪文斌強調,網絡空間是人類的共同家園,網絡攻擊是全球面臨的共同威脅,中方再次強烈要求美國停止針對中國和全球的網絡竊密和攻擊,切實采取負責任的態(tài)度,與各方一道共同維護網絡空間和平與安全。
詳細揭秘:美國國安局的網絡攻擊手法
1、quantum(量子)攻擊系統(tǒng)
quantum(量子)攻擊系統(tǒng)是NSA發(fā)展的一系列網絡攻擊與利用平臺的總稱,其下包含多個子項目,均以quantum開頭命名。它是NSA最強大的互聯(lián)網攻擊工具,也是NSA進行網絡情報戰(zhàn)最重要的能力系統(tǒng)之一,最早的項目從2004年就已經開始創(chuàng)建。
從文檔中不難看出,在NSA的三個主要網絡戰(zhàn)方向(CNE、CNA、CND)中,quantum均有相關項目。NSA利用美國在全球網絡通訊和互聯(lián)網體系中所處的核心地位,利用先進技術手段實現對網絡信號的監(jiān)聽、截獲與自動化利用,quantum項目的本質就是在此基礎上實現的一系列數據分析與利用能力。
2、FOXACID(酸狐貍)0Day漏洞攻擊平臺
QUANTUM(量子)攻擊經常配套使用的是代號為FOXACID(酸狐貍)的系統(tǒng)。FOXACID是NSA設計的一個威力巨大的0Day漏洞攻擊平臺,并且可以對漏洞攻擊的主要步驟實施自動化,甚至讓沒有什么網絡攻擊經驗的運營商也參與進來,成為一件威力巨大的“大規(guī)模入侵工具”。 根據NSA機密文檔介紹,FOXACID服務器使用了各種瀏覽器0Day漏洞,比如Flash、IE、火狐瀏覽器漏洞,用于向計算機目標植入木馬程序。
而從現有情報來看,FOXACID在2007年之前就已經開始投入運作,直到2013年仍有其使用的痕跡,以此估算其使用時間至少長達八年之久。NSA依靠與美國電信公司的秘密合作,把FOXACID服務器放在Internet骨干網,保證了FOXACID服務器的反應速度要快于實際網站服務器的反應速度。利用這個速度差,QUANTUM(量子)注入攻擊可以在實際網站反應之前模仿這個網站,迫使目標機器的瀏覽器來訪問FoxAcid服務器。
3、Validator(驗證器)后門
Validator(驗證器)是用于FoxAcid項目的主要后門程序之一,一般被用于NSA的初步入侵,通過其再植入更復雜的木馬程序,比如UnitedRake(聯(lián)合耙),每個被植入的計算機系統(tǒng)都會被分配一個唯一的驗證ID。
根據NSA機密文檔的描述,Validator主要配合FOXACID攻擊使用,基于基本的C/S架構,為敏感目標提供了可供接觸的后門。Validator可以通過遠程和直接接觸進行部署,并提供了7x24小時的在線能力。Validator是一種很簡單的后門程序,提供了一種隊列式的操作模式,只能支持上傳下載文件、執(zhí)行程序、獲取系統(tǒng)信息、改變ID和自毀這類簡單功能。
4、UNITEDRAKE(聯(lián)合耙)后門系統(tǒng)
UNITEDRAKE(聯(lián)合耙),是NSA開發(fā)的一套先進后門系統(tǒng)。360安全專家通過對泄露的相關文檔進行分析,UNITEDRAKE的整體結構大致分為5個子系統(tǒng),分別是服務器、系統(tǒng)管理界面、數據庫、模塊插件集和客戶端,其關系如下所示:
服務器:服務器即為CC服務器,主要功能為接受客戶端的連接請求,并且管理客戶端和其他子系統(tǒng)間的通訊,設計該系統(tǒng)的目的為盡可能的減少操作請求次數。在文檔中其被描述為 Listening Port,即監(jiān)聽端口。
系統(tǒng)管理界面:系統(tǒng)管理界面為一套圖形用戶界面,操作者可以通過該界面直接查看客戶端狀態(tài)、給客戶端下發(fā)命令、管理插件和調整客戶端的配置。在文檔中其被描述為UR GUI。
插件模塊集:該部分為整套UNITEDRAKE系統(tǒng)的技術核心,功能插件化使得整套系統(tǒng)具備極強的可擴展性和適應性;一個插件模塊由一個或多個客戶端插件,一個或多個服務端插件以及一個或多個系統(tǒng)管理界面組件組成的,三者配合共同組成一個完整的功能插件模塊;并且針對不同的行動,插件模塊可以根據任務需求彈性化選擇組合與安裝。
數據庫:UNITEDRAKE系統(tǒng)使用SQL數據庫來存儲和管理信息:系統(tǒng)配置信息、客戶端配置信息、各類狀態(tài)信息和收集到的數據。
客戶端:客戶端程序,即為下發(fā)植入的木馬程序;其能隱蔽的植入目標機器中,并為進一步的攻擊提供支持,客戶端的設計重點為提高隱蔽性。
360安全專家:美對華網絡攻擊出現“六大變化”
近日,360政企安全集團追日實驗室負責人邊亮在接受《環(huán)球時報》獨家專訪時表示,這些威脅一旦被引爆,危害將超越虛擬世界,給現實世界造成重大安全事件,各部門必須意識到網絡安全的緊迫性并立即采取措施防范潛在威脅。
NSA與CIA的攻擊區(qū)別
環(huán)球時報:請問360公司是如何最終確定發(fā)現攻擊方來自NSA?
邊亮:根據維基百科記錄,NSA下設一個名為接入技術行動處的絕密部門TAO (Tailored Access Operations,也稱“特定入侵行動辦公室”),主要負責對其他國家互聯(lián)網設施進行網絡監(jiān)控、情報獲取,甚至遠程破壞等活動。這個部門至少在1998年時就開始活躍。從2008年開始,360通過安全大腦整合海量的安全大數據,捕獲發(fā)現大量異常復雜的網絡黑客攻擊程序樣本,經過長期分析跟蹤并從多個受害單位實地取證,確認其中一大批黑客攻擊程序樣本屬于NSA。
環(huán)球時報:NSA實施的網絡攻擊是否有其特有屬性?
邊亮:與常規(guī)的黑客攻擊破壞活動不同,NSA的黑客攻擊更為精細化,能針對正常網絡流量中的任意網絡通信和文件傳輸進行操控、分析和破壞,特定情況下可以遠程關閉或破壞遭攻擊目標的關鍵信息基礎設施和水、電、氣等民生設施。
環(huán)球時報:2020年,360公司曾經公開披露過CIA(美國中央情報局)對全球的攻擊,與NSA相比較,這兩者之間有何不同?
邊亮:從攻擊工具看,美國CIA是利用核心網絡武器“Vault7(穹窿7)”進行的一系列攻擊活動。而此次所披露的NSA網絡武器數量更多,攻擊能力更強,并且這些網絡武器相互之間已經實現自動化、工業(yè)化和人工智能化利用。
在攻擊目標方面,此前披露的CIA組織主要針對我國航空航天、科研機構、石油行業(yè)、大型互聯(lián)網公司以及政府機構等多個單位,其中較為突出的是以航空航天與科研機構的系統(tǒng)開發(fā)人員為目標進行定向打擊。而此次NSA組織的網絡攻擊屬于無差別攻擊,目標是全球范圍,甚至包括美國盟友。其針對各類電子郵箱、社交網絡、搜索引擎、視頻網站等幾乎所有互聯(lián)網用戶發(fā)起無差別的網絡攻擊。
秘密黑客攻擊長達十余年
環(huán)球時報:在360的長期跟蹤研究中,美國對我國的網絡攻擊是否出現一些新特點?
邊亮:的確出現一些變化,有一些新特點,我們總結為“六大變化”。首先,對手變大了:從以前的個體性黑客發(fā)展成為NSA和CIA牽頭的有規(guī)模有組織的網軍;其次,實施攻擊的領域越來越大,戰(zhàn)場變大:從上網計算機、信息網絡,到軍用、民用等各種關鍵信息基礎設施;第三,手段變多,呈現多樣化:從木馬、病毒到漏洞、后門、仿冒服務器等;第四,對手攻擊目標變大:從此前炫技、黑產發(fā)展到國家關鍵信息基礎設施,重大國家秘密;第五,相應的挑戰(zhàn)變大:威脅難以事先防范,無孔不入;第六,危害變大:平時竊取對手國家秘密,戰(zhàn)時成為首選戰(zhàn)爭形態(tài)、重要情報來源、制造動亂等。
環(huán)球時報:您剛剛提到NSA實施的網絡攻擊特點之一是危害變大,那么對我國帶來怎樣的危害?
邊亮:根據360掌握的數據,NSA針對我國各行業(yè)龍頭企業(yè)、政府、大學、醫(yī)療機構、科研機構甚至關乎國計民生的重要信息基礎設施運維單位等機構進行長達十余年時間的秘密黑客攻擊活動,竊取海量重要數據,包括人口數據、醫(yī)療衛(wèi)生數據、教育科研數據、軍事國防數據、航空航天數據、社會管理數據、交通管理數據、基礎設施數據等,在我國眾多的信息系統(tǒng)中植入后門,造成的現實危害和潛在威脅難以評估。這些威脅,一旦被引爆,危害將超越虛擬世界,給現實世界造成重大安全事件。
環(huán)球時報:實際上在近期爆發(fā)的俄烏戰(zhàn)爭中,網絡戰(zhàn)已經超越虛擬世界走入現實。請您描述一下網絡戰(zhàn)究竟會以何種形式進行?
邊亮:毫無疑問,數字時代下網絡戰(zhàn)將成首選。隨著未來數字城市萬物互聯(lián),智能終端和網絡用戶數量的增加、數據來源的廣泛以及數據的多樣化和數據結構的復雜化,使得各種承載城市運行數據的關鍵信息基礎設施難以有效維護,進而產生網絡安全建設及運營風險。同時,關鍵信息基礎設施各種軟硬件系統(tǒng)的漏洞也難以避免被用于攻擊。
這也就意味著網絡戰(zhàn)攻擊不僅僅是為了竊取情報,還可以對交通、能源等基礎設施造成破壞,任何一個節(jié)點都可能成為攻擊跳板,牽一發(fā)而動全身引發(fā)嚴重后果,為此必須要意識到網絡戰(zhàn)的嚴峻形勢,正視網絡戰(zhàn)。
中方如何防范?
環(huán)球時報:對于這種現狀,我們該如何防范?
邊亮:我們建議將網絡安全升級為數字安全,打造覆蓋所有數字化場景的數字安全防范應急體系,鼓勵相關機構主動上報風險。這要求建立區(qū)域、行業(yè)級安全大腦,打造國家級防御體系——國家級分布式安全大腦,為“看見”網絡攻擊提供能力基礎。
此外,城市是未來網絡戰(zhàn)的主要打擊對象。應該建立城市的應急響應體系,建立類似城市級“防空反導”系統(tǒng)的安全基礎設施。同時,要加強實網實兵實戰(zhàn)演練,在實戰(zhàn)中提升各單位的攻防能力。
第四,全網測繪、摸清家底,要定期針對關鍵基礎設施展開APT(高級可持續(xù)威脅攻擊)排查。要假定敵已在我,實時動態(tài)推進重要信息系統(tǒng)排查,摸清家底,實現自動化威脅識別、風險阻斷和攻擊溯源。
環(huán)球時報:當前我們網絡防御體系建設已經有了長足進步,您認為哪些方面仍需要進一步加強?
邊亮:首先,提升網絡安全和保密意識。建立信息系統(tǒng)的單位無論規(guī)模大小,都要確保單位領導充分意識到網絡安全的緊迫性并立即采取措施防范潛在威脅。同時要提升本單位網絡安全防護能力。此外,降低破壞性網絡入侵的可能性,比如對組織機構網絡的所有遠程訪問和特權或管理訪問需要多因素身份驗證。
最后是要確保企業(yè)或組織在被入侵時及時響應。比如測試備份程序,確保本單位受到勒索軟件或其他網絡攻擊時,能夠迅速恢復關鍵數據。遭到勒索軟件或其他網絡攻擊時,確保備份與網絡隔離等。
附:360針對quantum(量子)攻擊平臺技術特點的分析報告