4月11日,中国网络安全产业联盟发布报告《美国情报机构网络攻击的历史回顾——基于全球网络安全界披露信息分析》中英文版。报告基于大量网络安全产业界和学界公开资料,以曝光时间为主线,梳理了自2010年震网以来的美国情报机构相关网络攻击活动、后果影响、攻击装备、支撑工程体系等,被人民日报、央视新闻、环球网等多家媒体转载。央视新闻中国之声基于此报告对中国网络安全产业联盟理事长、安天科技集团董事长肖新光和安天副总工程师李柏松进行了采访。安天公众号对此文进行转载。本文来源于央视新闻中国之声。(点击文末“阅读原文”可下载报告全文)
构成重大破坏及严重威胁
斯诺登事件迄今已近十年,伴随着“棱镜门”的曝光,国家级网络攻击行为逐渐浮出水面。其实早在此前,已有多方信息显示,美国相关机构利用其技术和先发优势针对他国开展网络攻击行为。中国网络安全产业联盟此次发布的报告提到,2010年美国情报机构使用“震网”病毒(Stuxnet)攻击伊朗核设施,打开了网络战的“潘多拉魔盒”。之后,全球网络安全厂商逐步证实更加复杂的“毒曲”(Duqu)“火焰”(Flame)以及“高斯”(Gauss)等病毒与“震网”同源,与其同期甚至更早前就已经开始传播。
中国网络安全产业联盟理事长 肖新光:通过我们的报告,可以梳理总结出美方情报机构在网络空间攻击的一些特点,包括持续运营互联网攻击跳板,入侵基础通信运营商、切割海底光缆等进行前出攻击作业和数据获取,针对全球信息基础设施进行持续性入侵作业和持续信息获取。
2013年6月5日,英国《卫报》率先报道美国中央情报局(CIA)情报职员斯诺登爆料的NSA代号为“棱镜”(PRISM)秘密项目,曝光了包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头配合美国政府秘密监听通话记录、电子邮件、视频和照片等信息,甚至入侵包括德国、韩国在内的多个国家的网络设备。
肖新光:对美国大型互联网公司和IT企业,建设“棱镜”等超级访问接口,与其他窃取的信息数据结合,以超级大数据情报平台,攫取的全球信息进行分析,进一步对全球人员、链路、设备进行全量画像以便进行精准的攻击入侵。
在长期从事网络威胁分析与溯源研究的专家李柏松看来,近年来,美国情报机构的网络攻击手段呈现出更加复杂、更加全面、更加隐蔽的特点。
李柏松:更加复杂体现在:美方的攻击装备不是一个简单的木马程序,而是一个超大规模的、高度模块化、工程化的平台。这个平台在不断升级、不断增加更多的攻击模块。
美国情报机构的网络攻击手段更加全面不仅体现在对操作系统平台的覆盖,还体现在储备大量的漏洞。报告指出,2017年5月12日,WannaCry勒索软件利用NSA网络武器中的“永恒之蓝”(Eternalblue)漏洞,制造了一场遍及全球的巨大网络灾难。超级大国无节制地发展网络军备,但又不严格保管,严重危害全球网络安全。
李柏松:更加全面体现在:一方面,攻击载荷覆盖所有操作系统平台,在Windows、Linux、Android等各类平台,我们都监测到了相应的样本;另一方面,美方储备了大量针对各类设备的0day漏洞,包括针对防火墙、路由器、交换机、VPN等网络设备的0day漏洞。
李柏松分析,美国情报机构的网络攻击手段更加隐蔽首先体现在加密手段和分阶段投递攻击载荷的方法。
李柏松:美方的攻击装备,无论是载荷配置数据、资源、函数还是网络通信,均使用了较强的加密手段,来对抗检测和分析;美方的攻击平台,采用分阶段投递攻击载荷的方法,不是一次性把整个木马投递到目标系统,而是在确认当前系统符合其攻击条件后,逐步投递更高级攻击载荷的方式。
而无文件实体的攻击手段和隐藏于设备固件的攻击,更是让人防不胜防。
把霸权凌驾于他国安全之上
中国网络安全产业联盟的报告指出,近年来,美国为了维护其政治霸权、经济利益以及军事技术和能力优势,泛化“国家安全”概念,制裁具备技术竞争力的他国知名网络安全企业,破坏国际秩序和市场规则,不惜损害包括美国在内的全球消费者利益。
肖新光:全球进步发展高度依赖信息化技术,当前,各国都在推动经济社会的转型升级,全球化发展也需要信息数据能够安全地存储、利用和流动。而美方的网络霸权不仅压榨攫取人类信息化发展的经济红利,而且又试图建设“武装到牙齿”的网络攻击能力,实现能对各国重要信息系统和关键信息基础设施的降维打击能力。美方的这些活动严重危害了他国经济社会运行的安全,也严重影响了各国对于信息技术的信任和数字化发展的信心。
到底该如何构建有序的网络空间秩序?
点击下方“阅读原文”查看报告(中英文版)全文