近日,西北工业大学遭受美国国家安全局 (National Security Agency) 网络攻击 (cyberattack) 引发大众关注,但是更令人震惊的是调查报告指出这只是美国国家安全局下属的“特定入侵行动办公室” (Office of Tailored Access Operations) 对中国国内的网络目标实施的上万次恶意网络攻击之一,数以万计的网络设备被控制。
事实上,不分平时战时,网络战 (cyberwar) 每天都在我们身边悄无声息的进行着,而国家级攻击不仅会对国家安全造成威胁,我们每一个人也都有可能沦为受害者。
图源:央视新闻
我国国家计算机病毒应急处理中心 (Na tional Computer Virus Emergency Response Center) 和360公司联合组成的团队对这起攻击进行了技术分析,让人们看见了“看不见的”来自国家级黑客组织 (Advanced Persistent Threats) 的网络攻击以及他们使用的网络武器。
近年,网络战已成为大国对抗的主流,超级大国利用技术优势成立国家级黑客组织,在他国网络空间窃取情报或伺机潜伏,严重威胁目标国的国家安全。
“目前,国家级攻击代表着网络战的最高水平,而应对这类攻击的最大挑战是看不见。别人攻击我,都不知道,别人偷着把我的东西拿走了,我都不知道,这是最常见的层次。”360公司创始人周鸿说。
TAO是全世界作战水平最高的网络战部队之一,它的手段非常厉害。仅仅在这次针对西北工业大学的工具中,TAO就使用了四十多种网络武器,每一个武器针对不同的平台、针对不同的用途,甚至每一种武器都利用了不同的漏洞。
TAO is believed to be one of the world's top cyberattack units. More than 40 weapons targeting different security vulnerabilities in different platforms were used in the attack on the university alone.
周鸿表示,调查团队还把证据链固定下来,并通过此次攻击武器中代码习惯的验证、攻击模块的组成以及内部一些代码命名的习惯,证明攻击者就是TAO。
By analyzing the pattern of the attack and the weapons and code names used, we can be certain that TAO is behind the attack,Zhou said.
“不同于传统战争,网络战不分平时战时 (Unlike traditional warfare, anytime is wartime in cyberwar) 。传统作战可能要等到宣战才会爆发战斗,但网络战越是在友好的时候、越是在和平的时候,他们才要用网络攻击的方法把一些攻击软件、间谍软件 (spyware) 潜伏或渗透到你的重要系统里,或者预留后门和木马。 为什么呢? 一是现在获取情报的大部分手段是通过在线攻击; 二是如果将来有一天两个国家关系不好,希望通过网络攻击来瘫痪你的基础设施时,不能等到要发起攻击时再去渗透,要提前好几年去做这种准备工作。 所以我认为这是这次事件最大的警示。 ”周鸿表示。
图源: 央视新闻
曾经中美发生过红客黑客大战,很多爱国青年以红客的名义,去改对方的网站,把对方的网页篡改掉,可能大家以为这就是网络战,但周鸿认为这些看得见的做法都不是真正的网络战。“真正巨大的威胁是在岁月静好表面下面的暗潮涌动,以一种非常隐秘的手法,对我们的国防、军工、科研、基础设施和政府单位进行看不见的渗透和潜伏,这是最大的攻击。” 他说。
周鸿表示,目前,网络战的对手发生了巨大的改变,我们的主要对手已经不是小黑客和小病毒,而是国家级对手,这就使得很多单位在应对国家级对手时显得能力不足。当发现来自美国中央情报局 (US Central Intelligence Agency) 和国家安全局的攻击后进行全网普查时,经常会发现他们不只是攻击了我们某一个单位,而是攻击了上百个单位,分布的行业也非常广。
美国拥有国家级黑客组织的机构不仅是NSA,CIA下属的网军也曾浮出水面。2020年3月,CIA攻击组织对我国关键领域长达11年的网络攻击渗透被曝光。11年间,我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。
周鸿说,过去几年,国家级对手也从单纯的攻击个人电脑变成了把个人电脑作为跳板,最后目标是攻击整个国家的关键基础设施和城市,所以危害和挑战都和原来完全不一样。
他表示,面 临国家级黑客组织的攻击,最大的痛点就是看不见,但是中国发现攻击行为和锁定攻击者的能力在不断进步。
Making the invisible cyberattack visible is a big step forward for China in defending its cybersecurity.
“看见是防御的前提,看不见威胁就谈不上快速处置抵御威胁。我们现在可以做到锁定证据和固化证据链,甚至把一些来龙去脉,有的是通过推理,有的是通过实证给分析出来。”他说。
他表示,360公司目前已经捕获并命名包括美国中央情报局和国家安全局在内的50个国家级黑客组织,很多组织都很活跃。
360 has identified about 50 APTs targeting China, including those launched by the NSA and CIA. Many of them are very active.
在分析它们的活跃程度、记忆水平和战术水平后,我们惊讶地发现原来对中国感兴趣的国家以及黑客组织原来有这么多,而且大部分都非常活跃,同时他们水平也在不断变化。
“很多人会觉得国家级攻击可能跟我没有关系,实际上一旦攻击到基础设施,导致大面积停水、停电,导致交通枢纽和金融出现问题,对老百姓生活就有影响。”周鸿说。
记者:崔佳 赵欣莹
编辑:朱迪齐
实习生:闫庚乾
