林晓昕 周盈海 田志宏
1 广东省信息安全测评中心 广州 510000
2 广州大学网络空间安全学院 广州 510006
2022年6月,西北工业大学曾发布声明,称有来自境外的黑客组织和不法分子向学校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息[1]。9月5日,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告,指出美国国家安全局(NSA)下属的“特定入侵行动办公室”(TAO)多年来对我国国内的网络目标实施了上万次恶意网络攻击。西北工业大学亦是美国攻击的受害者。多年来,我国一直是美国高级持续性威胁(APT)的重点攻击对象,不但经受美方网络攻击, 还要时常被美方以所谓APT“溯源”(Attribution)结果污蔑为发起网络攻击的“恶人”。近年来,美国依仗自身技术能力形成的APT(高级持续性威胁)领域“单向透明”的优势,将APT变成其在技术上以及舆论场上与中国博弈的利器。
对于高级持续性威胁(APT)一词的由来,当前许多文献都援引知名网络安全战略专家理查德·贝伊特利希(Richard Bejtlich)的观点,指该词是2006年由美国空军(USAF)分析师创造,彼时用于促进与未获授权的民用同行在不透露机密身份的同时讨论攻击特征[2]。在2020年10月,贝伊特利希在其个人博客“TaoSecurity”中,对这一说法进行了订正和完善。他明确表示,这一术语是由时任美军上校格雷戈里·拉特雷(Gregory Rattray)在2007年发明的。拉特雷2020年10月9日在其推特账号中写道:“早在2007年,我就创造了‘高级持续威胁’这个术语,来描述我们需要与国防工业基础合作应对的新兴对手……从那时起,APT这个术语和我们对手的性质都发生了变化。没有改变的是,在网络空间中,先进的攻击者会不断地追逐拥有他们想要的资产的目标,不管防御力量有多强。”[3]当前,APT主要指一种隐蔽的威胁行为者,通常是由国家支持的团体,未经授权访问计算机网络并在很长一段时间内未被发现。如此前全球闻名的“震网”病毒,就是美国国家安全局在以色列协助下针对伊朗核设施发起的APT攻击。随着技术的发展,当前该术语亦包括非国家资助的团体,为特定目标进行大规模的有针对性的入侵。综合学者及业界分析,组成APT的三个词具备以下含义。
高级(Advanced),指的是实施威胁的人或团体拥有全面的信息搜集技术,其中包括商用工具、开放源码的黑客技术、国家的情报设备等。
持续性(Persistent),意味着攻击者有明确的目标,而不是投机取巧地寻求信息以获得经济或其他利益。APT通常使用“低速且缓慢”的方法,而不是一连串的持续攻击和恶意软件更新。APT 提供的对目标的长期访问可能对攻击者更有利,因此保持不被发现对于成功至关重要。
威胁(Threat),表现在APT拥有强大的能力和明确的意图。相比通过无意识和自动化的代码片段来执行攻击,APT攻击通过组织一些高水平的技术人员通力合作来实施威胁[4]。 因此,APT攻击的发起者往往是目标明确、技术娴熟、组织周密且资金充足的团队,包括但不限于有国家背景的团体。
综上,APT不仅是一种攻击技术,更是一种攻击理念。为达成这种理念,一是需要全方位的情报和设备支撑,这种支撑通常来自于国家。二是攻击行动不会一蹴而就,通常会有较长潜伏和探索期,确保最后一击即中,具有高度隐蔽性。三是这种行动通常需要攻击者之间围绕共同目标协调一致,多重手段配合。
美抛出高级持续性威胁(APT)这一概念,客观而言,促进了其国内网络安全建设朝着更加体系化的方向前进。APT概念的提出,使美国提高了对网络攻击的认知水平,把对网络威胁的理解从仅限于黑客、木马病毒等微观层面,上升到了防范由国家或有国家背景的团体操控的、大规模的网络攻击的宏观层面,推动了美政府从顶层设计出发持续完善国内防御体系,使网络安全防范更加系统化制度化。但从美国政府对外行动看,其更强调APT在大国博弈方面的作用。通过所谓“APT溯源”,美国制定了一套抹黑对手的策略,包括利用舆论宣传、司法起诉等手段,为其在对外博弈中占据优势地位及舆论高点,并逐步拉拢盟友,建立起自己的网络空间话语体系,以将网络空间变成其“一言堂”。
针对美在APT溯源方面采取的手法,据观察,可大致分为三个阶段。在2014年前,以安全企业溯源报告为主要方式。在2014年至2017年间,美政府部门下场,在安全公司溯源报告基础上,针对实体发起司法指控。2017年至今,美通过新闻媒体、民间博客等非官方渠道曝光更多APT组织相关细节,同时其他国家亦在美方基础上开展新的溯源。
2014年前,美方在APT溯源层面,以安全企业为主力军。虽然安全企业会间歇性发布一些报告,但由于彼时传播渠道的局限及网络空间概念亦处于成型阶段,并未形成体系性成果及造成大范围影响。这一阶段可谓是美探索溯源作用的阶段,由安全企业出面充当“打手”,将深层国家目的隐藏在商业行为背后。当时美方公布的较为知名的涉APT报告包括“泰坦雨”(Titan Rain)、“极光行动”(Operation Aurora)及“暗鼠行动”(Operation Shady RAT)等。2005年8月,美国防部称名为“泰坦雨”的黑客攻击了美国政府。同年11至12月包括《时代》杂志在内的多家外媒刊登文章,披露桑迪阿国家实验室分析员肖恩·卡彭特(Shawn Carpenter)追踪黑客的经过。这亦是美方首次尝试对外披露其捕捉APT的行动。2010年初,谷歌(Google)决定退出中国大陆。1月上旬,谷歌官方博客披露了名为“极光行动”(Operation Aurora)的APT事件,宣称遭到中国黑客袭击,并将与中国政府进行谈判,为其退出中国大陆的行为造势。2011年8月,安全厂商迈克菲(McAfee)发布关于“暗鼠行动”(Operation Shady RAT)的报告,称之为“有史以来最大宗的黑客行动之一”,并在报告中称“该行动是2008年夏季奥运会期间针对各个运动监管机构‘可能将矛头直指入侵背后’的国家行为”,将外界目光引向中国。美通过APT溯源进行栽赃陷害,辅助国家博弈的战术已初具雏形。
美国前国防承包商员工斯诺登在2013年6月向英国《卫报》及美国《华盛顿邮报》透露了美国国家安全机构“棱镜计划(PRISM)”的机密文件,引发全球关注,美“监控大国”形象一时深入人心。或为扭转该事件对美国造成的国际舆论影响,美司法部在2014年直接起诉了5名“中国黑客”,意图在全球范围内再塑造一个“黑客大国”,分摊在美身上的注意力。这一事件亦成为美在APT溯源领域的重要分水岭,国家博弈正式进入了这个领域。美国司法部在2014年5月19日,以美国安全公司曼迪昂特(Mandiant)在2012年2月发表的《APT1:揭露中国网络间谍单位之一》(APT1:Exposing One of China's Cyber Espionage Units)报告为重要依据,对5个中国官员以所谓网络窃密为由提出了指控。这是美国联邦调查局2010年建立“网络最想逮捕名单”(Cyber's Most Wanted)以来,第一次将他国官方人员列入名单。通过司法起诉书“坐实”企业APT溯源内容,并针对他国官方人员发起司法行动,美这一操作模式扩大了其APT溯源结论的传播力度,成为其利用溯源加强网络空间威慑,污名化他国的重要手段。
2017年,美国再次升级了其溯源威慑手段。一个名为“入侵真相”(Intrusion Truth)的匿名博客横空出世。该博客目标直指中国,以曝光所谓“中国APT”任务。相比安全公司报告更注重呈现溯源的技术过程,该博客的内容则以似是而非的语言,着重曝光部分中国科技企业员工的私人信息,如QQ、网络论坛等社交媒体的账号信息,以及一些日常生活照片等,以此展现美方的信息挖掘能力,意图震慑民间技术人员。此外,这一阶段,其他国家亦跟进了美国的溯源步伐。据不完全统计,从2014年至今,美西方政府、安全公司、媒体在互联网上发起了近300次对所谓中国APT团队的溯源及指控。值得注意的是,从2018年起,包括加拿大、捷克、斯洛伐克、法国、德国等更多国家的公司或组织开始加入溯源“中国黑客”的行动。而这些公司曝光的团体,很少超越美此前提供的范围,基本都是在美已溯源的APT团体基础上,进行再次曝光。究其原因,除了有美盟友政治上的配合外,亦与美已将其APT溯源的手段标准化并在全球推行有关。
美国在APT溯源领域建立的优势,归根到底取决于其近年来在威胁情报共享及溯源标准化方面的持续努力及进展。
威胁情报在推动安全事件快速响应方面具有重要意义。作为世界上最早从事网络安全威胁情报工作的美国,从布什政府时期就对网络威胁与情报的联系给予了高度重视。美情报界认为,在网络威胁情报共享时面临的一大挑战表现在,当传递威胁信息时,各部门机构均使用自己的术语或定义来描述和呈现威胁,这使得美情报界的整合分析及共享工作变得复杂。为解决这一问题,美国情报总监办公室(ODNI)自2012年以来开展跨部门合作,旨在创建一个通用的网络威胁框架,以统一的方式描述网络威胁信息,促进信息共享。通过持续与工业界、学术界以及外国合作伙伴进行对话,2018年7月,情报总监办公室公开发布了一份通用的《网络威胁框架》(Cyber Threat Framework)[5]。《网络威胁框架》是一种通用模型或方法,其将多个模型映射到一个共同的标准,以对网络威胁事件进行统一描述和分类,为后续分析特定活动提供支持,并为评估网络对手活动趋势和识别漏洞奠定基础。该框架适用于从政府决策者、私营部门领导到网络安全和信息技术专家等多个受众,为组织内技术专家和管理层之间的有效沟通奠定了基础,支持知情决策并与其它组织共享威胁信息。网络威胁框架可以帮助各组织更好地了解其所面临的网络问题,同时为各组织提供预防或恢复建议,以帮助各组织先发制人地加强网络态势感知。自2013年以来,网络威胁框架一直是美国政府网络事件响应模式的基础。2018年美国行政管理和预算局(OMB)在各行政部门中优先实施了该框架。目前该框架还被用于情报总监办公室、国土安全部(DHS)、联邦调查局(FBI)的威胁情报产品中,且被映射至美国国家标准与技术研究院(NIST)的网络安全框架。美情报界还持续与各行业及学术界共享该框架,将其纳入多所高校的课程和研究中。此外,框架也逐渐被其他国家和国际组织认可。美情报界已与40个合作国家和国际组织共享框架,其中部分国家和组织已经采纳,并正将其用于创建一个区域性通用的作战图像和促进信息共享,例如,用于北约不断更新的网络防御战略的“威胁描述”中。
2018年9月14日,美国家情报总监办公室在网上发布了《网络溯源指南》(A Guide to Cyber Attribution)[6],该指南由负责网络情报的国家情报官员撰写,介绍了情报界在面对不完整或相互矛盾的信息时如何识别恶意网络行动的发起者。美情报界声称,目前的溯源方法已可使情报人员在事故发生的数小时内确定攻击源头,尽管溯源的准确性和可信度会根据可用数据的不同而有所差异。在指南中,直接表明了攻击源可主要在俄、中、朝、伊四国及非国家组织或个人中进行预判,因为在美近年来发布的网络空间相关战略和威胁评估中,都将这五大行为体列为主要威胁来源。指南还确立了五个关键指标来对溯源进行指导。这五个指标分别是间谍情报技术(TTPs)、基础设施、恶意软件、意图判定和外部资源。其中外部资源包括安全公司、智库、媒体等提供的报告。在确立了关键指标后,面对攻击行为,指南还提出了辅助溯源的最佳方法,包括寻找人为失误,及时协作、共享信息和记录,采用情报分析技术等。美方发现,几乎所有的成功网络溯源都源于发现和利用攻击者的操作安全错误,如使用重复的情报间谍技术、相同的基础设施,或是在攻击过程中泄露了语言习惯等。同时,美一直致力于推动网络威胁信息的共享与合作,网络威胁框架的出台就是其中很好的体现。目前美在政府和私企之间、行业之间都建立了较完善的共享体系,使得美在网络事件发生后二十四小时内获取、记录和恢复数据成为可能,为溯源分析提供了优良的样本。
由美国国家标准与技术研究院资助的美国非营利组织MITRE在2013年发起了MITRE ATT&CK框架,建立了一套“对手战术及公共知识库”。该框架是MITRE米德堡实验(FMX)的结果,在该实验中,研究人员模拟了对手和防御者的行为,以通过遥测传感和行为分析来改善对威胁的入侵后检测。研究人员的关键问题是“我们在检测记录的对手行为方面做得如何”。为了回答这个问题,研究人员开发了ATT&CK框架,它被用作对对手行为进行分类的工具。当前,MITRE ATT&CK在全球范围内用于多个领域,包括入侵检测、威胁追踪、安全工程、威胁情报、红队和风险管理。据国内一些安全媒体报道,该框架在网络安全研究者中广受欢迎。自2018年10月以来,根据Google趋势显示,对MITRE ATT&CK的搜索热度显著增长。而在ATT&CK框架的“组织”(Groups)一栏中,我们可以看到133个攻击团体和组织的细节,包括他们正在使用的技术和工具。并对某些团体,直接归因为中国、朝鲜、俄罗斯、伊朗等国背后支持的团体。随着MITRE ATT&CK的普及,这或对未来的安全研究者造成“先入为主”的概念,对后续相关APT样本的分析直接按照ATT&CK框架思路进行溯源,炮制更多所谓“中国黑客”攻击的报告及言论。
据国家计算机病毒应急处理中心报告显示,在近年里,美国国家安全局下属“特定入侵行动办公室”(TAO)对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,窃取了超过140GB的高价值数据[7]。 此外,2018年起,美国网络司令部还通过“前出狩猎”(hunt forward)行动,将精锐的网络作战部队派遣到国外,采用积极的搜索方式,以发现和识别对手的网络活动,进行主动攻击。但讽刺的是,美国一边对外频频发动网络攻击,一边却凭借自身在网络空间的先手优势,利用“APT溯源”等为武器,占据言论高点给别国扣上“网络安全威胁”的帽子,同时通过标准的建立,意图将该领域话语权牢牢掌握。在数字时代,网络空间攻防并不仅是技术层面的对抗,而是人与人之间、组织与组织之间、国与国之间全方位、体系性、持续性的对抗。习近平总书记指出,大国网络安全博弈,不单是技术博弈,还是理念博弈、话语权博弈。未来我们应更重视“APT溯源”能力的建设及投入。对内,我们可集成关键基础设施、业界及学界等力量,在提升APT溯源能力的同时,建立属于我们自己的标准及知识库。对外,应打破美国在网络空间“一言堂”的现状,如在联合国框架下设立国际公认的溯源机制,或推动国际社会成立公正的第三方机构作为溯源参考,积极推进网络空间公正秩序的建立。