◎安天研究院
在当前形势下,由于存在广泛的人员交换、设备接入和信息交换等情况,采取物理隔离措施的网络,早已在事实上成为开放的网络体系。美国研发了能够突破物理隔离的网空攻击装备,能够渗透到对手隔离内网中进行信息窃取或展开破坏。事实证明,仅靠物理隔离已不足以在网络空间有效抵御其威胁,必须在物理隔离的基础上,对网络进行体系化加强,构建“关口前移,防患于未然”的网络安全体系。
上一期中,我们对美国国家安全局(NSA)和美国中央情报局(CIA)的网络攻击装备体系进行了整体的概述,介绍了其全平台、全功能的武器装备库,体现了对手在网空进攻作业中的全方位能力。在本期中,我们将聚焦用于突破物理隔离的网空攻击装备,展现超级大国在网空攻击作业中,对各类机构的内网体系,特别是对其物理隔离网络的穿透能力。
根据我国《计算机信息系统国际联网保密管理规定》,物理隔离网络即不直接或间接与国际互联网或其他公共信息网络相联接的网络。物理隔离属于一种能够产生效果的安全防护手段,能够从传播途径一侧阻断大量的安全威胁,提高攻击者的攻击难度,曾经在很长的一段历史时期里,在某种程度上保障了关键内网的安全。但在当前形势下,由于存在广泛的人员交换、设备接入和信息交换等情况,采取物理隔离措施的网络,早已在事实上成为开放的网络体系。习近平总书记在4.19讲话中明确告诫我们,“‘物理隔离’防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取,这些都是重大风险隐患”。尤其在面对来自网络空间中高能力国家行为体的网络攻击时,仅靠物理隔离已经不足以保障内网安全。
为采用网络空间技术配合其情报作业或隐秘行动,需要能够突破物理隔离以渗透到对手隔离内网中进行信息窃取或展开破坏的能力。为此,CIA开发了一系列能够用于突破物理隔离的网络攻击装备,其中比较具有代表性的攻击装备包括“冲击钻”(HammerDrill)和“野蛮袋鼠”(Brutal Kangaroo)。
由于保密要求,非涉密机向涉密机的数据传递通常会使用光盘作为存储介质。“冲击钻”恰恰针对这种情况,利用光盘突破物理隔离防线。“冲击钻”能够收集计算机读取的CD/DVD内容并保存到指定的文件夹中,更关键的是,当用户使用Nero软件(一款常用的光盘刻录软件)刻录光盘时,“冲击钻”可以向可执行文件注入Shellcode,一旦光盘插入其他计算机并执行可执行程序时,Shellcode就感染到计算机上,自动运行。
“野蛮袋鼠”是CIA另一种用于突破物理隔离的网络攻击装备。使用时首先需要入侵一台接入互联网的主机,并在这台主机上安装“野蛮袋鼠”恶意软件,然后“野蛮袋鼠”会自动感染插入这个主机的U盘,并在由于信息交换等目的将U盘带入隔离网络并插入计算机时实现入侵,随后还能够利用这种“U盘摆渡”方式传递数据和控制信息。CIA甚至能够在多个被控制的内网主机间建立隐蔽网络,进行数据交换和任务协作。
需要注意的是,与NSA的大规模监听和情报获取不同,人力情报(HUMINT)作为CIA的传统能力,当前依然是CIA的主要情报作业方式。2015年CIA改组成立数字创新处(DDI),负责开发网络攻击装备,被称为“给了传统‘斗篷与匕首’任务更好的IT工具”,可见人力情报作业依然是CIA工作的重点,而网络攻击装备则赋予了CIA更加丰富的情报获取能力。据披露,CIA早在10多年前就开始通过“黑袋行动”(black bag jobs)的方式,以人工方式破门入屋,入侵那些难以通过互联网遥控攻击的目标电脑,完成其内部竞争对手NSA的大规模窃听计划所不能完成的情报收集任务。
NSA则以信号情报(SIGINT)为主,其下属部门特定行动办公室(TAO)负责开发各种网络攻击装备,实施网络控制、窃取、监视(被称为计算机网络利用,即CNE)和破坏、摧毁(被称为计算机网络攻击,即CNA)。为了配合美方军事力量抵近展开秘密行动,也需要能够突破物理隔离并渗透进入对手内网的作业能力,NSA也开发了一系列着重于突破物理隔离防护机制的工具和技术,“水腹蛇-1”(COTTONMOUTH-1)是其中最具代表性的一个。
“水腹蛇-1”是一套无线信号收发系统,可以隐藏在USB接口中。植入了“水腹蛇-1”的USB接口,外表看起来和普通的USB接口没有不同,但内部却集成了无线信号收发模块,通过该模块,作业者可通过无线信号访问目标设备所处的隔离内网。“水腹蛇-1”可以将目标系统中收集的数据发送到NSA的外场接收站,并接收来自指挥控制节点的指令。该工具可通过供应链感染、物流链劫持等方式植入,具有高度隐蔽性。一份斯诺登披露的文件可以证明,NSA会使用物流链劫持的方式,拦截发送到目标地区的计算机和网络设备,然后由TAO的情报和技术人员完成设备或固件的篡改,并重新打包发送到目标地区,采用这种方法突破物理隔离防线。
除了上述装备外,NSA和CIA还开发了大量其它装备,通过多种方式突破物理隔离。例如,NSA的可用于对离线室内活动(如高密级会议、研讨等)进行信号采集的“愤怒的邻居”(Angry Neighbor)装备,能够主动收集视频、音频、无线信号,并转换为特定波段的射频信号,通过隐蔽通信通道回传;NSA利用物理隔离网络中Wi-Fi信号(物理隔离网络中常常因为管理不到位而存在违规私接的Wi-Fi网络)的漏洞进行重定向并入侵的“床头柜”(NIGHTSTAND)装备;CIA针对三星智能电视开发的攻击装备“哭泣天使”(Weeping Angel),能够在电视看起来是关闭的状态下,利用电视的麦克实现录音和窃听,并能够通过Wi-Fi使攻击者实现实时监听,等等。
基于本文对美方攻击装备的介绍,结合“震网”(Stuxnet)、“黑色能量”(BlackEnergy)、“魔窟”(WannaCry)等重大安全事件,可以发现突破物理隔离、进入内网已经成为代表不同利益和诉求的各种攻击组织的基础能力,而大量的事实已证明仅靠物理隔离不足以在网络空间有效抵御高能力对手的威胁。突破物理隔离不是一个简单的单一操作,而是一个结合了人力情报作业与网络攻击作业,通过物理接触、电磁波信号获取、供应链污染、物流链劫持等多种手段,对物理隔离防线造成突破效果的过程,是一种体系化的进攻过程。但长期以来,我们被笼罩在一种“物理隔离绝对安全”的假象之下,而各个政企机构出于对物理隔离的迷信和对安全厂商的不信任,导致安全厂商的安全能力难以深入到关键信息基础设施内部,或者即使进入内部也难以有效更新维护,继而成为无支持的孤岛。总体来看,以上这些问题导致各种安全投入难以产出有效的安全价值,更导致无法形成全面的网络安全态势感知能力,客观上造成了威胁易于流入而难以有效发现的现状,形成了巨大的安全隐患。
仅靠物理隔离不足以在网络空间有效抵御高能力对手的威胁并不代表要放弃物理隔离,而是需要在物理隔离的基础上,对网络进行体系化加强。2018年4月20日,习近平总书记在全国网络安全和信息化工作会议上强调,要构建“关口前移,防患于未然”的网络安全体系。“关口前移”是对落实网络安全防护方法提出的重要要求,而“防患于未然”则形成了鲜明地以防护效果为导向的指引要求,这是对如何解决当前面临问题的深刻回答。
深入落实“关口前移”的前提是深入理解“关口”的内涵意义,这里不能将“关口”片面窄带化为网关或网络入口,而是应理解为落实安全能力的重要控制点,有效解决安全能力的“结合面”和“覆盖面”问题,即安全防御能力与物理、网络、系统、应用、数据与用户等各个层级的深度结合,并将网络安全防御能力部署到信息化基础设施和信息系统的“每一个角落”,最大化覆盖构成网络的各个组成实体。重要的是,在网络安全体系建设实施的过程中,必须在投资预算和资源配备等方面予以充分保障,以确保将“关口前移”要求落到实处,在此基础上进一步建设实现有效的态势感知体系。
在做好“关口前移”的基础上,进一步加强网络安全防护运行工作,除了采用定期检查和突发事件应急响应等偏被动的常规机制外,还需提升安全防护工作的主动性,将安全管理与防护措施落实前移至规划与建设等系统生命周期的早期阶段,将态势感知驱动的实时防护机制融入系统运行维护过程,实现常态化的威胁发现与响应处置工作,从而实现“防患于未然”。
在后续的文章中,我们将继续关注美国网空攻击装备体系,展现美国在其他方面的网空攻击作业能力,敬请期待。