近期,包括奇安信和360在內的中國公司接連曝光美國對中國等國發(fā)動無差別網(wǎng)絡攻擊的完整證據(jù)鏈條。中國外交部本月也就相關報告回應指出,美國對中國進行了大規(guī)模、長時間、系統(tǒng)性的網(wǎng)絡攻擊,嚴重危害中國關鍵基礎設施安全,海量個人數(shù)據(jù)安全以及商業(yè)和技術秘密,嚴重影響了中美在網(wǎng)絡空間的互信。
3月23日,觀察者網(wǎng)再次從360公司獲取一份報告。該報告針對美國網(wǎng)絡攻擊手法之一的QUANTUM(量子)攻擊系統(tǒng),進行應用場景和攻擊實施過程的技術分析,并結合真實案例,再度印證美國國家安全局(NSA)針對全球互聯(lián)網(wǎng)用戶實施大規(guī)模無差別網(wǎng)絡攻擊的詳細情況。
具體來看,這份報告總結出美國政府發(fā)動網(wǎng)絡攻擊的四個特征:
首先,美國網(wǎng)絡武器攻擊已完全實現(xiàn)工程化、自動化。NSA組織的QUANTUM(量子)系統(tǒng)可能僅是冰山一角,美國或掌握著更多更高度工程化的網(wǎng)絡攻擊平臺,其自動化的“思考”速度和質量,極大提高了美國自主作戰(zhàn)系統(tǒng)實現(xiàn)制勝目標的優(yōu)勢,也為全球網(wǎng)絡安全帶來無窮隱憂。
第二,為實施并制勝網(wǎng)絡戰(zhàn),美國政府充分利用一切先進技術和網(wǎng)絡資源。為了掌握網(wǎng)絡戰(zhàn)主導權,美國將諸如QUANTUM(量子)攻擊系統(tǒng)等大量頂級技術手段、高端人才、情報力量納入作戰(zhàn)序列,由此可見,美國對發(fā)展網(wǎng)絡作戰(zhàn)力量的重視程度,并不計成本地投入資源、增加籌碼。
第三,美國的網(wǎng)絡攻擊屬于無差別攻擊,目標是全球范圍,甚至包括美國盟友。報告分析顯示,美國針對各類電子郵箱、社交網(wǎng)絡、搜索引擎、視頻網(wǎng)站等幾乎所有互聯(lián)網(wǎng)用戶發(fā)起無差別的網(wǎng)絡攻擊,美國的網(wǎng)絡戰(zhàn)略打擊是全球性的、無節(jié)制的,在美國網(wǎng)絡攻擊的鐮刀之下,沒有哪一國能獨善其身。
第四,美國的網(wǎng)絡戰(zhàn)戰(zhàn)略,或不僅限于網(wǎng)絡竊密。報告指出,美國已完成其網(wǎng)絡戰(zhàn)戰(zhàn)略目標第一步——網(wǎng)絡竊密,像斯諾登還有維基百科爆料的“棱鏡”計劃都屬于這一范疇,但不排除美國的下一步目標野心將更大。一旦通過在對手的電腦網(wǎng)絡中安插硬件或軟件后門,實現(xiàn)關鍵目標遠程操控,包括軍事系統(tǒng)、國家公共安全領域的服務器、民航公路鐵路交通系統(tǒng)的主機、銀行金融系統(tǒng)的服務器等,如果美國更大的戰(zhàn)略目標實現(xiàn),其對手將毫無談判余地。
以下是報告原文:
閱讀摘要:
“APT”(高級持續(xù)性攻擊)是一種針對性、隱蔽性、持續(xù)性極強的網(wǎng)絡攻擊行為。現(xiàn)已發(fā)現(xiàn)的絕大多數(shù)APT組織都具有國家或政府背景,相關攻擊行為通常由某個與特定國家政府關聯(lián)的實體機構具體實施。APT攻擊的主要目標不是普通個體,而是特定的組織機構,包括政府、大學、醫(yī)療、企業(yè)、科研甚至重要信息基礎設施運維單位等不同類型的重要機構。360云端安全大腦持續(xù)跟蹤世界現(xiàn)存諸多APT組織及其活動情況,率先發(fā)現(xiàn)并公開披露來自美國的世界頂尖APT組織對中國境內目標所發(fā)起的持續(xù)性攻擊行動,并將該組織命名為“APT-C-40”。
在對APT-C-40攻擊活動的長期跟蹤研究過程中,我們發(fā)現(xiàn)了遍布全球(包括美國多個盟友的各行各業(yè)的大量受害用戶,并實地從中國境內部分受害者的上網(wǎng)設備中提取了該組織多種復雜而先進的網(wǎng)絡攻擊武器程序樣本,經(jīng)過審慎而深入的技術分析,我們發(fā)現(xiàn)該組織所使用的網(wǎng)絡武器與NSA的專屬網(wǎng)絡攻擊武器完全吻合,且針對中國境內機構的黑客攻擊行為發(fā)生在斯諾登和“影子經(jīng)紀人”曝光事件之前。根據(jù)技術分析結果和已有數(shù)字證據(jù),我們完全有理由相信,發(fā)起上述黑客攻擊的組織隸屬于美國政府,美國國防部下屬的國家安全局(NSA)直接實施了相關黑客攻擊行為。
APT-C-40組織介紹
根據(jù)維基百科記錄,美國國家安全局(NSA)設有一個名為接入技術行動處(TAO Tailored Access Operations)的絕密行動部門,該部門早在1998年就開始在網(wǎng)上活躍,主要職責是為美國情治機構提供針對美國本土和其他國家高級目標的通訊監(jiān)控、情報獲取,甚至遠程破壞(摧毀)行動。
2013年,安全專家Jacob Appelbaum曝光了一份長達50頁的NSA機密文檔《NSA ANT catalog》,該文檔描述了一系列名目繁雜的高端網(wǎng)絡黑客攻擊技術和項目。據(jù)該文檔內容顯示,相關的網(wǎng)絡黑客攻擊技術和項目創(chuàng)建于2008年前后,它們可以認為是為美國國家安全局下屬接入技術行動處(TAO)專門定制研發(fā)的先進網(wǎng)絡攻擊武器。
2016至2017年間,“影子經(jīng)紀人”(The Shadow Broker)公開揭露了屬于NSA的大量網(wǎng)絡攻擊武器和機密辦公文檔。美國“The Intercept”網(wǎng)站結合愛德華 · 斯 諾 登(Edward Snowden,前CIA技術分析員和美國國家安全局NSA承包商雇員)揭露的美國國家安全局(NSA)內幕情報,發(fā)布了重磅分析文章《THE NSA LEAK IS REAL, SNOWDEN DOCUMENTS CONFIRM》,確認了斯諾登曝光的網(wǎng)絡攻擊武器確屬美國國家安全局(NSA)。
2013年至2017年間,中立網(wǎng)絡權威人士、中立新聞媒體和堅定捍衛(wèi)公民隱私權利的中立機構相繼發(fā)布解讀分析報告,確認網(wǎng)絡上披露的所謂“NSA網(wǎng)絡武器和機密文檔”全部屬于NSA。
從2008年開始,360云端安全大腦整合海量安全大數(shù)據(jù),獨立捕獲了大量異常復雜的網(wǎng)絡黑客攻擊程序樣本,經(jīng)過長期分析跟蹤并從多個受害單位實地取證,結合關聯(lián)全球各國發(fā)布的威脅情報,以及對斯諾登事件、“影子經(jīng)紀人”曝光事件的綜合研究,確認這些黑客攻擊程序樣本屬于美國國家安全局(NSA),進而證實NSA長期對我國開展了極為隱蔽的無差別黑客攻擊行動,最終將實施攻擊行動的這些帶有NSA背景的黑客組織單獨編號為APT-C-40。
據(jù)相關證據(jù)推測,泄露的一系列NSA網(wǎng)絡武器被他國特別是“五眼聯(lián)盟”國家黑客廣泛利用,造成了全球性的網(wǎng)絡安全災難。如“永恒之藍”被“WannaCry”蠕蟲病毒利用,在2017年攻擊了中國和全球多個國家地區(qū),給各國信息網(wǎng)絡造成了嚴重危害。而APT-C-40組織則針對我國各行業(yè)龍頭企業(yè),政府、大學、醫(yī)療機構、科研機構,甚至關乎國計民生的重要信息基礎設施運維單位等機構實施了長達十余年時間的秘密黑客攻擊活動,竊取了海量重要數(shù)據(jù),造成的潛在威脅難以評估。本報告將對美國國家安全局的相關黑客攻擊活動進行分析披露。
Quantum攻擊技術簡介(量子)
被公開揭露的NSA高端網(wǎng)絡黑客攻擊武器名目繁雜數(shù)量眾多,難以通過一份技術分析報告完整呈現(xiàn)。本報告屬于360系列報告的第一篇,將聚焦APT-C-40組織針對中國境內目標的黑客攻擊中所使用的最具代表性的Quantum(量子)攻擊系統(tǒng)。Quantum( 量子)攻擊是 美國 國家安 全 局(NSA)針對國家 級 互聯(lián)網(wǎng)專門設計的一種先進的網(wǎng)絡流量劫持攻擊技術,主要針對國家級網(wǎng)絡通信進行中間劫持,以實施漏洞利用、通信操控、情報竊取等一系列復雜網(wǎng)絡攻擊。據(jù)NSA官方機密文檔《Quantum Insert Diagrams》內容顯示,Quantum(量子)攻擊可以劫持全世界任意地區(qū)任意網(wǎng)上用戶的正常網(wǎng)頁瀏覽流量,進行0day(零日)漏洞利用攻擊并遠程植入后門程序。
Quantum(量子)系統(tǒng)的應用場景分析
Quantum(量子)攻擊系統(tǒng)均以英文單詞QUANTUM開頭命名,網(wǎng)上揭露的NSA機密文檔中,詳細描述了各QUANTUM系統(tǒng)模塊的具體代號、主要功能、應用場景、項目狀態(tài)和相關網(wǎng)絡黑客攻擊武器啟用時間等。
Quantum(量子)攻擊系統(tǒng)有三種網(wǎng)絡攻擊應用場景,攻擊平臺投使用的時間最早可追溯至2005年。此三種應用場景,都以單詞縮寫進行命名,縮寫分別為CNE(網(wǎng)絡情報竊取)、CNA(網(wǎng)絡攻擊破壞)和CND(網(wǎng)絡攻擊防御)。
1.Computer Network Exploitation(網(wǎng)絡情報竊取)CNE(網(wǎng)絡情報竊取)黑客攻擊活動應用場景涉及6個Quantum(量子)系統(tǒng)模塊,主要功能是通過先進技術手段遠程秘密劫持世界各地互聯(lián)網(wǎng)正常流量,隨意操縱控制網(wǎng)絡流量,通過注入惡意代碼等方式對任意聯(lián)網(wǎng)終端實施漏洞攻擊,持續(xù)進行破壞性網(wǎng)絡攻擊和網(wǎng)絡情報竊取等活動。有證據(jù)顯示,遭到美國國家安全局NSA竊取的數(shù)據(jù)包括(但不限于):網(wǎng)絡配置文件、賬號和密碼、辦公和私人文檔、數(shù)據(jù)庫、網(wǎng)上好友信息、網(wǎng)絡通訊信息、電子郵件、攝像頭實時數(shù)據(jù)、麥克風實時數(shù)據(jù)等。
2.Computer Network Attack(網(wǎng)絡攻擊破壞)CNA(網(wǎng)絡攻擊破壞)黑客攻擊活動應用場景,涉及2個Quantum(量子)系統(tǒng)模塊,主要功能是進行網(wǎng)絡攻擊破壞。與常規(guī)的黑客攻擊破壞活動不同,NSA的黑客攻擊粒度更為精細化,可針對正常網(wǎng)絡流量中的任意網(wǎng)絡通訊和文件傳輸進行操控、分析和破壞,特定情況下可以遠程關閉或破壞遭攻擊目標的關鍵信息基礎設施和水、電、氣等民生設施。
3.Computer Network Defense(網(wǎng)絡攻擊防御)CND(網(wǎng)絡攻擊防御)黑客攻擊防 御應 用場景涉及1個Quantum(量子)系統(tǒng)模塊,主要目的是從受美國國家安全局NSA劫持的網(wǎng)絡流量中阻斷或發(fā)現(xiàn)惡意荷載的下載,并對其進行安全分析。使NSA能夠從被攻擊目標或自身網(wǎng)絡中提取非美國國家安全局(NSA)攻擊源的惡意程序樣本,執(zhí)行失陷情報分析和網(wǎng)絡攻擊防御類任務。
Quantum(量子)系統(tǒng)的九大模塊分析
360云端安全大腦對Quantum(量子)系統(tǒng)進行了長期的跟蹤研究,現(xiàn)已發(fā)現(xiàn)美國國家安全局(NSA)Quantum(量子)系統(tǒng)的九種先進網(wǎng)絡攻擊能力模塊:
1.QUANTUMINSERT(量子注入)
該模塊具備向正常網(wǎng)絡流量中注入惡意流量的攻擊能力。這是360云端安全大腦迄今發(fā)現(xiàn)的數(shù)量最多的Quantum(量子)攻擊方式。該模塊主要用于美國國家安全局(NSA)劫持世界各地互聯(lián)網(wǎng)用戶的正常網(wǎng)頁瀏覽流量,將用戶希望訪問的正常合法網(wǎng)站劫持到NSA的FoxAcid(酸狐貍)仿冒網(wǎng)站服務器上,通過FoxAcid(酸狐貍)發(fā)送各類瀏覽器0day(零日)漏洞,并完成對互聯(lián)網(wǎng)用戶的定點或批量攻擊,遠程控制用戶網(wǎng)絡端,向用戶上網(wǎng)終端植入各種美國國家安全局(NSA)的復雜后門程序進行情報竊取。
2.QUANTUMBOT(量子傀儡)
NSA也會針對網(wǎng)絡空間中的黑客組織進行網(wǎng)絡攻擊,奪取黑客組織的網(wǎng)絡資源,為自身的后續(xù)黑客攻擊活動提供技術支持。該模塊提供一種遠程操控網(wǎng)絡空間中任意僵尸網(wǎng)絡的攻擊能力,通過劫持僵尸網(wǎng)絡命令控制的網(wǎng)絡流量,直接接管相關僵尸網(wǎng)絡資源,再操控這些僵尸網(wǎng)絡發(fā)起破壞性的攻擊活動,隱藏NSA的黑客攻擊痕跡。
3.QUANTUMBISCUIT(量子餅干)
該模塊用于增強Quantum(量子)注入攻擊,針對攻擊目標建立Quantum(量子)注入攻擊的代理跳板,目的是防止NSA的黑客攻擊行為被溯源發(fā)現(xiàn),該模塊也常用于NSA針對特定目標的網(wǎng)絡環(huán)境實施Quantum(量子)攻擊,定制部署攻擊跳板。
4.QUANTUMDNS(量子DNS)
該模塊具有對網(wǎng)絡流量DNS的劫持攻擊能力。通過該模塊,NSA可以劫持互聯(lián)網(wǎng)所有網(wǎng)站域名的DNS解析,重定向網(wǎng)站流量,同時還可以配合FOXACID(酸狐貍)平臺實施漏洞攻擊。
5.QUANTUMHAND(量子掌握)
該模塊提供了針對臉書(Facebook)等重要美國境內網(wǎng)站的流量劫持能力,針對瀏覽相關網(wǎng)站的網(wǎng)絡流量進行漏洞攻擊,植入美國國家安全局(NSA)的復雜后門程序。這種攻擊能力令人發(fā)指,美國國家安全局(NSA)會針對世界各國訪問臉書、推特、油管、亞馬遜等美國網(wǎng)站的幾乎所有互聯(lián)網(wǎng)用戶發(fā)起無差別的網(wǎng)絡攻擊。
6.QUANTUMPHANTOM(量子幻影)
為防止美國國家安全局(NSA)向其它國家實施的網(wǎng)絡攻擊被追蹤溯源,該模塊提供了一種利用網(wǎng)絡鏈路中間節(jié)點劫持技術實現(xiàn)攻擊源隱藏的先進網(wǎng)絡攻擊能力。例如:NSA使用一個假冒IP地址作為命令控制,劫持與這個假冒IP通信的網(wǎng)絡路由節(jié)點鏈路,在網(wǎng)絡鏈路的中途節(jié)點進行被動監(jiān)聽和流量操控,隱藏NSA真實的后門命令控制地址。
7.QUANTUMSKY(量子天空)
該模塊提供了一種網(wǎng)絡通信阻斷能力,通過RST復位報文中斷特定的網(wǎng)絡連接,主要用于NSA劫持和阻止特定目標訪問特定網(wǎng)站的流量。
8.QUANTUMCOPPER(量子警察)
該模塊針對網(wǎng)絡通信流量中的文件提供了篡改能力,使NSA的攻擊可以針對網(wǎng)絡流量中的文件上傳和下載進行劫持,實施中斷破壞或后門植入感染等網(wǎng)絡攻擊。
9.QUANTUMSMACKDOWN(量子下載)
該模塊提供了惡意網(wǎng)絡流量的分析能力,可以阻斷和抽取下載網(wǎng)絡流量中的惡意荷載及惡意樣本等,主要用于NSA對攻擊目標非美國攻擊源的失陷情報收集,也可以防御和分析自身網(wǎng)絡環(huán)境中的惡意流量。
Quantum(量子)攻擊的實施過程分析
美國國家安全局(NSA)為了監(jiān)控全球互聯(lián)網(wǎng)目標,制定了眾多的作戰(zhàn)計劃,相關計劃涉及的具體任務會通過Quantum(量子)系統(tǒng)平臺實施,從分析中可推測,在實施過程中所采集的大量數(shù)據(jù)都在用戶毫不知情的情況下獲得,滲透技術使得美國本土公民和世界其他國家網(wǎng)民的個人隱私得不到應有的保護,公民隱私權遭到不同程度的侵犯。
當美國國家安全局或聯(lián)邦政府其它部門下達的黑客攻擊任務提交到Quantum(量子)系統(tǒng)后,攻擊實施人員首先會針對攻擊目標的網(wǎng)絡通信流量進行監(jiān)聽,對被攻擊目標訪問的特定網(wǎng)站進行定向網(wǎng)絡劫持,然后通過各類0day(零日)漏洞向目標上網(wǎng)終端中植入VALIDATOR(驗證器)等以環(huán)境探查為目的后門程序,完成初始情報收集。隨后,安裝更多先進的后門程序,進行一系列精密復雜的網(wǎng)絡滲透攻擊,最終完成情報收集任務。目標上網(wǎng)終端中存儲的靜態(tài)文件、上網(wǎng)流量及通訊內容,全都在美國國家安全局的竊密之列。
QUANTUM(量子)攻擊的完整實施過程分為以下三個階段,現(xiàn)已完全實現(xiàn)了工程化、自動化:
第一階段
QUANTUM(量子)攻擊實施者會首先對被攻擊目標進行網(wǎng)絡定位,整個定位過程是通過NSA持有的一整套“QUANTUM Capabilities”(量子能力),網(wǎng)絡黑客攻擊工具完成,這些工作具有對全球互聯(lián)網(wǎng)巨頭網(wǎng)絡流量的遠程劫持操控能力。據(jù)NSA機密文檔顯示,“QUANTUM Capabilities”(量子能力)的定位操作除了針對特定IP,更重要的是能夠針對電子郵箱、社交網(wǎng)絡、搜索引擎、視頻網(wǎng)站等全球網(wǎng)民使用最多的互聯(lián)網(wǎng)服務及不同的網(wǎng)站賬號進行遠程定位,快速找出攻擊目標,所處的網(wǎng)絡及上網(wǎng)地點。
第二階段
目標定位完成后,QUANTUM量子攻擊操作會進入被NSA稱之為“QUANTUM SIGDEV”(量子監(jiān)控)的階段,該階段的主要任務是全面監(jiān)控攻擊目標的互聯(lián)網(wǎng)賬號等相關網(wǎng)絡通信內容和其它網(wǎng)絡活動。如下圖美國國家安全局(NSA)機密文檔所示,美國國家安全局(NSA)的Quantum(量子)攻擊系統(tǒng)后臺顯示了如何監(jiān)控Yahoo(雅虎)、Facebook(臉書)和Hotmail等美國互聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡注冊用戶的部分細節(jié),表明美國國家安全局實際上正在對全球各地使用美國互聯(lián)網(wǎng)產(chǎn)品的用戶實施無差別監(jiān)控。
第三階段
QUANTUM(量子)攻擊操作進入被NSA稱為“QUANTUMNATION”(量子國界)的階段,“NATION”代號具有一定的網(wǎng)絡空間邊界和國家邊界的含義。360云端安全大腦目前發(fā)現(xiàn)的美國國家安全局(NSA)對外實施的大部分網(wǎng)絡黑客攻擊是針對其他國家用戶的漏洞攻擊,攻擊過程中,NSA會向目標用戶上網(wǎng)終端植入以VALIDATOR(驗證器)為代表的NSA后門程序,長期潛伏在目標用戶上網(wǎng)終端中,再通過這些后門程序發(fā) 起更多復雜的網(wǎng)絡攻擊滲透。如下圖NSA機密文檔所示,Quantum(量子)攻擊系統(tǒng)正在對目標用戶訪問的Facebook(臉書)網(wǎng)站實施CNE(網(wǎng)絡情報收集)攻擊任務,NSA的Quantum(量子)攻擊系統(tǒng)后臺顯示了受害目標用戶訪問Facebook(臉書)時,NSA實施漏洞攻擊的確切時間,同時還標記了受害者網(wǎng)絡瀏覽器類型等隱私信息。
我們完整的還原了APT-C-40組織對中國境內特定機構發(fā)起的黑客攻擊和數(shù)據(jù)竊密事件。
Quantum(量子)注入攻擊的完整實例分析
通過以上章節(jié)分析可知,Quantum(量子)攻擊系統(tǒng)是一個異常復雜和精密的先進網(wǎng)絡攻擊平臺。360大數(shù)據(jù)視野中發(fā)現(xiàn)了大量APT-C-40組織實施的QUANTUMINSERT(量子注入)類型的攻擊痕跡,這些攻擊實例中包含了用FoxAcid(酸狐貍)網(wǎng)站仿冒服務器實施漏洞利用攻擊,向受害者植入以VALIDATOR(驗證器)、UNITEDRAKE(聯(lián)合耙)等為代表的NSA專屬后門程序,大量竊取受害者個人隱私和上網(wǎng)數(shù)據(jù)等內容。
FoxAcid(酸狐貍)攻擊武器在執(zhí)行漏洞攻擊任務時,需要有QUANTUMINSERT(量子注入)和QUANTUMBISCUIT(量子餅干)兩個Quantum(量子)系統(tǒng)模塊支持,劫持并向FoxAcid(酸狐貍)提供最基礎網(wǎng)絡流量,F(xiàn)oxAcid(酸狐貍)攻擊武器利用各種主流瀏覽器和Flash等應用程序的0day漏洞對目標對象實施攻擊,再向其上網(wǎng)終端中植入初始后門程序。
從QUANTUMINSERT(量子注 入)的原理分析看,NSA利用網(wǎng)絡響應速度差來實現(xiàn)Quantum(量子)注入攻擊,劫持全球互聯(lián)網(wǎng)上任意終端設備的正常網(wǎng)頁瀏覽量。NSA把FoxAcid(酸狐貍)服務器部署在互聯(lián)網(wǎng)骨干網(wǎng)中,可使網(wǎng)絡攻擊受害者在真實網(wǎng)站服務器響應之前接收到NSA量子攻擊劫持后的假冒服務器響應,迫使受害者重定向訪問NSA的FoxAcid仿冒網(wǎng)站或網(wǎng)頁資源。
Quantum(量子)注入攻擊在安全業(yè)界又被歸類定義為MotS(Man on the Side)旁路型中間人攻擊,我們觀察到的完整Quantum(量子)注入攻擊過程如下圖所示:
在完整的攻擊實例中,Quantum(量子)注入攻擊偽造的HTTP重定向報文會先于正常響應報文到達用戶上網(wǎng)終端。
攻擊過程中,由美國國家安全局(NSA)偽造的數(shù)據(jù)包和正常的網(wǎng)絡數(shù)據(jù)包會帶有相同的序列號(Sequence),對受害者上網(wǎng)終端形成欺騙。
在真實的Quantum(量子)系統(tǒng)注入攻擊實例中,我們發(fā)現(xiàn)量子注入攻擊的實施方式異常復雜,呈現(xiàn)出分布式跳板節(jié)點的特征。面對這種定向、瞬時、分布式攻擊情況,安全人員難以準確定位網(wǎng)絡鏈路中的哪一跳節(jié)點具體實施了量子注入攻擊,也極難捕獲完整的量子注入攻擊過程。但即使在如此艱難和復雜的攻防場景下,360云端安全大腦仍依靠獨一無二的安全大數(shù)據(jù)能力,捕獲了大量美國國安全局(NSA)的Quantum(量子)注入攻擊的專用后門程序武器樣本。
從被公開揭露的NSA機密文檔《QUANTUM Shooter SBZ Notes》內容可以印證:
1. NSA需要在網(wǎng)絡傳輸線 路上建立被動監(jiān)聽節(jié)點,持 續(xù)不斷竊取信道中的網(wǎng)絡信號數(shù)據(jù),并實現(xiàn)高速解碼和條件匹配,這一項目被NSA稱為TURMOIL(混亂,與量子攻擊系統(tǒng)配套的后門監(jiān)聽系統(tǒng)),該系統(tǒng)需要具備極高性能,以確保對竊取到的網(wǎng)絡數(shù)據(jù)包解碼匹配時間盡可能短。
2.一個具體場景是,當NSA網(wǎng)絡攻擊受害者利用訪問Facebook(臉書)等美國網(wǎng)站,相關訪問流量數(shù)據(jù)包會被TURMOIL系統(tǒng)定時監(jiān)聽并解析匹配,一旦匹配到NSA想要入侵的攻擊目標,Quantum(量子)攻擊平臺就會通過TURBINE(渦輪,量子攻擊系統(tǒng)配套的后門植入工具)向感染SBZ(StraitBizarre,一種可以實施量子注入攻擊的跳板后門)的網(wǎng)絡設備發(fā)送命令,控制SBZ向受害者上網(wǎng)終端發(fā)送偽造的量子注入數(shù)據(jù)包,相關數(shù)據(jù)包通常是進行HTTP重定向,迫使受害者訪問FoxAcid服務器。
3.SBZ節(jié)點又被歸類為QUANTUM Shooter(量子射手)節(jié)點,由于NSA要保證SBZ發(fā)送的數(shù)據(jù)包先于正常服務器響應數(shù)據(jù)包到達受害者,相關節(jié)點必須離受害者足夠“近”(網(wǎng)絡延遲足夠低)。同時,為了保證攻擊成功率,相關節(jié)點也會出現(xiàn)分布式攻擊情況。由于這種攻擊手法常常用于對特定受害者發(fā)動定向攻擊,使QUANTUM Shooter(量子射手)節(jié)點的攻擊行為同時具備了定向性、瞬時性和分布式特點,導致極難被追蹤分析。
小結
美國國家安全局(NSA)的全球化無差別黑客入侵行徑,離不開龐大而復雜的網(wǎng)絡武器平臺支持。本報告針對QUANTUM(量子)攻擊系統(tǒng)的應用場景和攻擊實施過程進行的技術分析,結合360云端安全大腦視野發(fā)現(xiàn)的真實案例,全面印證了美國國家安全局(NSA)針對全球互聯(lián)網(wǎng)用戶實施大規(guī)模無差別網(wǎng)絡攻擊的詳細情況,也引發(fā)了我們的進一步思考:
1.美國NSA網(wǎng)絡武器攻擊已完全實現(xiàn)了工程化、自動化。網(wǎng)絡戰(zhàn)時代到來,網(wǎng)絡武器的自動化、智能化優(yōu)勢成為超越信息優(yōu)勢的“進階優(yōu)勢”,而NSA組織的QUANTUM(量子)系統(tǒng)可能僅是冰山一角,美國或掌握著更多更高度工程化的網(wǎng)絡攻擊平臺,其自動化的“思考”速度和質量,極大提高了美國自主作戰(zhàn)系統(tǒng)實現(xiàn)制勝目標的優(yōu)勢,也為全球網(wǎng)絡安全帶來無窮隱憂。
2.為實施并制勝網(wǎng)絡戰(zhàn),美國政府充分利用一切先進技術和網(wǎng)絡資源。美國有著全球最先進的互聯(lián)網(wǎng)技術,這是盡人皆知的,但為了掌握網(wǎng)絡戰(zhàn)主導權,美國將諸如QUANTUM(量子)攻擊系統(tǒng)等大量頂級技術手段、高端人才、情報力量納入作戰(zhàn)序列,由此可見,美國對發(fā)展網(wǎng)絡作戰(zhàn)力量的重視程度,并不計成本地投入資源、增加籌碼。
3.美國的網(wǎng)絡攻擊屬于無差別攻擊,目標是全球范圍,甚至包括美國盟友。由上述分析可見,美國針對各類電子郵箱、社交網(wǎng)絡、搜索引擎、視頻網(wǎng)站等幾乎所有互聯(lián)網(wǎng)用戶發(fā)起無差別的網(wǎng)絡攻擊,美國的網(wǎng)絡戰(zhàn)略打擊是全球性的、無節(jié)制的,在美國網(wǎng)絡攻擊的鐮刀之下,沒有哪一國能獨善其身。
4.美國的網(wǎng)絡戰(zhàn)戰(zhàn)略,或不僅限于網(wǎng)絡竊密。通過公開的資料已知,美國已經(jīng)完成了其網(wǎng)絡戰(zhàn)戰(zhàn)略目標第一步——網(wǎng)絡竊密,像斯諾登還有維基百科爆料的“棱鏡”計劃都屬于這一范疇,但不排除美國的下一步目標野心將更大。一旦通過在對手的電腦網(wǎng)絡中安插硬件或軟件后門,實現(xiàn)關鍵目標遠程操控,包括軍事系統(tǒng)、國家公共安全領域的服務器、民航公路鐵路交通系統(tǒng)的主機、銀行金融系統(tǒng)的服務器等,如果美國更大的戰(zhàn)略目標實現(xiàn),其對手將毫無談判余地。
本文系觀察者網(wǎng)獨家稿件,未經(jīng)授權,不得轉載。
關鍵詞:
