美國網絡空間攻擊與主動防御能力解析
——美國網絡空間攻擊裝備體系

◎安天研究院

上一期中，我們關注了美國網絡空間進攻性能力的支撐體系，對以“湍流”（TURBULENCE）為代表的進攻性能力支撐框架進行了介紹。在這樣的支撐體系下，美國得以開展大量的進攻性網空行動，包括網空情報、網空軍事行動和網空積極防御中的反制與反擊行動等。

2013年，《華盛頓郵報》披露了美國情報機構進行攻擊性網空行動的能力。據稱，單是2011年就進行了231起，其中3/4針對被美列為“頂級優先目標”的中、俄、伊朗、朝鮮等。自2008年以來美軍已經實施了多次的進攻性網空行動，如積極防御行動“揚基鹿彈”（Buckshot Yankee），是對美國中央司令部網絡所遭受一次非常嚴重病毒感染事件的響應行動；針對全球手機監聽的“金色極光”（AURORAGOLD）行動，通過收集關于全球移動通訊運營商內部系統的信息，以找到其漏洞，供NSA隨后的黑客攻擊使用，該計劃為美國2011年對利比亞進行軍事干預提供了利方重要人物的通信信息；針對ISIS的“發光交響樂”（Glowing Symphony）行動，主要目標是通過關閉、篡改ISIS的服務器來控制ISIS的網絡宣傳能力；針對伊朗核設施的“奧運會”（Olympic Game）行動，最終通過“震網”(Stuxnet)蠕蟲，成功入侵并破壞伊朗核設施，嚴重遲滯了伊朗核計劃，成為首個利用惡意代碼對實體設施造成重大不可逆損壞的事件。這些行動展現了美國在情報作業、進攻行動和積極防御的反制與反擊等方面的能力，這些進攻性能力不僅來自于完善的后端支撐體系，更來自于其強大的網空攻擊裝備體系。美國的網空攻擊裝備體系以全平臺、全功能為發展目標，并具有模塊化特點，使得其能夠適應于各種網絡環境下的行動作業要求。

自2009年正式成立網絡司令部以來，美國始終致力于發展一支以全面防御為基礎的進攻性網絡部隊。在這種思想的引導下，NSA、CIA極其重視網空攻擊裝備的研發。自2013年“斯諾登”事件開始，以及“維基解密”和黑客組織“影子經紀人”（Shadow Brokers）的不斷曝光，NSA與CIA的網空攻擊裝備體系逐漸浮出水面。

NSA網絡攻擊裝備庫

2014年《明鏡》周刊揭秘NSA旗下高級網絡技術部門（ANT），文章披露軟、硬件共48種攻擊裝備資料，能夠實現植入、竊取、監聽、攔截等多種目的。之后，包括“影子經紀人”在內的其他渠道又進行了多次披露，總共披露的NSA網空攻擊工具、組件數量已過百。其中，一個名為“IRATEMONK”的裝備，該裝備的描述與“方程式”組織（Equation Group）的固件修改能力非常相似，懷疑“IRATEMONK”就是“方程式”所采用的固件修改裝備。此外，還有一系列針對網絡設備的攻擊工具，例如針對思科、Juniper防火墻名為“BANANAGLEE”的攻擊工具；針對Juniper（J、M和T系列）路由器分別名為“SCHOOLMONTANA”、“SIERR A MON TANA”、“STUCCOMONTANA”的植入程序，能夠對網絡設備進行遠程控制；針對華為路由器名為“HEADWATER”的植入程序，也用于對網絡設備進行遠程控制。

2017年5月12日，全球爆發大規模的勒索蠕蟲“魔窟”（WannaCry） 感 染 事件，我國大量行業企業內網遭受大規模感染，包括醫療、電力、能源、銀行、交通等多個行業均受到不同程度的影響。“魔窟”利用了基于445端口的SMB漏洞MS17-010（永恒之藍），而2017年 4月14日“影子經紀人”公布的NSA“網絡軍火”中就包含了該漏洞的“武器級（漏洞利用過程具有高穩定性與高可靠性）”利用程序，這是“魔窟”能夠迅速感染全球大量主機的重要原因，而“影子經紀人”曝光的“網絡軍火”系列中還有大量的其他漏洞及其利用工具。

泄露的NSA網絡軍火裝備與相關漏洞、系統版本關系圖

“維基解密”披露CIA“7號軍火庫”（Vault 7）

2017年3月7日，“維基解密”曝光了8761份據稱是CIA網絡攻擊活動的秘密文件。這份數據庫的代號為“7號軍火庫”（Vault 7），泄露的文件包含7818個網頁和943份附件。在之后的一段時間內，“維基解密”每隔一段時間就放出一組CIA網絡攻擊武器相關文檔。本次泄漏事件據稱是CIA最大規模的機密文檔泄漏事件，涉及到的代碼有數億行。

“7號軍火庫”所泄露的文件包含了一個龐大的攻擊裝備庫，其平臺面覆蓋非常廣泛，支持的操作系統不僅包 括 了 Windows、Linux（ 含 Debian、RHEL、CentOS等發行版）、OSX、iOS、Android等常見的操作系統，還包括了基于POSIX的操作系統如Solaris與FreeBSD等；支持的設備不僅包括個人電腦、服務器、路由器、交換機等傳統網絡和終端設備，也包括智能電視、手機、平板電腦等智能設備。裝備功能包括了突破物理隔離、信息獲取、武器定制、遠程控制、監聽、欺騙等可以與CIA人力情報作業緊密結合的攻擊作業能力，也包括了代碼混淆、痕跡清除、文檔追蹤等作業支撐與行動安全保障能力。

利用全平臺、全功能的網空攻擊裝備體系，美國能夠通過物流鏈劫持、運營商劫持、源代碼污染等實現戰場預制；通過大規模信息采集形成終端、設備、軟件、用戶身份的信息庫，繪制網絡地形、尋找關鍵目標；通過移動介質擺渡攻擊、物流鏈劫持、近場作業等方式突破物理隔離防線；在內網橫向移動，建立持久化據點，投遞載荷；通過擺渡攻擊、開辟側信道、隱信道等方式實現遠程控制，最終實現目標。在針對伊朗核設施的“震網”事件中，攻擊伊朗核工業網絡之前，美國已經完全滲透了伊朗的核工業體系，包括設備生產商、供應商、軟件開發商等，完整研究與模擬了伊朗核工業體系之后才進行載荷投遞并最終對伊朗核設施進行破壞的。

今天的網絡攻防處于一種防御方更加透明、攻擊者更加隱蔽的狀態。具有國家行為體為背景的攻擊者可以無節制承擔攻擊成本和動用資源，攻防雙方進一步朝著不對等化發展；而且，一旦國家行為體的網空進攻性能力向恐怖組織等非國家行為體擴散，可能會造成災難性的現實后果。面對國家級攻擊行為體，應當以敵情想定為前提，一方面持續分析國外網絡空間能力進展，充分了解對手；另一方面，我們也應意識到只有采取系統化的應對策略建立有效的能力體系才能應對系統化的進攻，所以必須積極推進軍民融合，整合產業先進有效的技術能力，建立國家級防御體系。

那么，美國的網空攻擊裝備具體有哪些功能？裝備的模塊化組合有哪些優勢？應該如何防御？從下一期開始，我們將對美國NSA、CIA具有代表性的網空攻擊裝備進行介紹，并探討可能針對哪些環節展開有效防御，敬請期待。