其他
美国主战网络攻击武器曝光:世界重要信息基础设施已成美“情报站”
关注我们
带你读懂网络安全
美国中央情报局(CIA)“蜂巢”恶意代码攻击控制武器平台分析报告
——关于美国中情局主战网络武器的预警
近日,国家计算机病毒应急处理中心对“蜂巢”(Hive)恶意代码攻击控制武器平台(以下简称“蜂巢平台”)进行了分析,蜂巢平台由美国中央情报局(CIA)数字创新中心(DDI)下属的信息作战中心工程开发组(EDG,以下简称“美中情局工程开发组”)和美国著名军工企业诺斯罗普·格鲁曼(NOC)旗下XETRON公司联合研发,由美国中央情报局(CIA)专用。蜂巢平台属于“轻量化”的网络武器,其战术目的是在目标网络中建立隐蔽立足点,秘密定向投放恶意代码程序,利用该平台对多种恶意代码程序进行后台控制,为后续持续投送“重型”武器网络攻击创造条件。美国中央情报局(CIA)运用该武器平台根据攻击目标特征定制适配多种操作系统的恶意代码程序,对受害单位信息系统的边界路由器和内部主机实施攻击入侵,植入各类木马、后门,实现远程控制,对全球范围内的信息系统实施无差别网络攻击。
一、技术分析
(一)攻击目标为满足美国中央情报局(CIA)针对多平台目标的攻击需求,研发单位针对不同CPU架构和操作系统分别开发了功能相近的蜂巢平台适配版本。根据目前掌握的情况,蜂巢平台可支持ARMv7、x86、PowerPC和MIPS等主流CPU架构,覆盖Windows、Unix、Linux、Solaris等通用操作系统,以及RouterOS(一种由MikroTik公司开发的网络设备专用操作系统)等专用操作系统。(二)系统构成蜂巢平台采用C/S架构,主要由主控端(hclient)、远程控制平台(cutthroat,译为:“割喉”)、生成器(hive-patcher)、受控端程序(hived)等部分组成。为了掩护相关网络间谍行动,美中情局工程开发组还专门研发了一套名为“蜂房”(honeycomb)的管理系统,配合多层跳板服务器实现对大量遭受蜂巢平台感染的受害主机的远程隐蔽控制和数据归集。(三)攻击场景复现国家计算机病毒应急处理中心深入分析蜂巢平台样本的技术细节,结合公开渠道获得的相关资料,基本完成了对蜂巢平台典型攻击场景的复现。1、利用生成器(hive-patcher)生成定制化的受控端恶意代码程序美国中央情报局(CIA)攻击人员首先根据任务需求和目标平台特点,使用生成器(hive-patcher)生成待植入的定制化受控端恶意代码程序(即hived)。在生成受控端程序前,可以根据实际任务需求进行参数配置(如表1所示)。二、运作方式
基于维基解密公开揭露的美国中央情报局(CIA)内部资料,结合国家计算机病毒应急处理中心的技术分析成果,可以清晰了解蜂巢平台的运作方式如下:(一)开发过程及开发者蜂巢平台由美国中央情报局(CIA)工程开发组(EDG)牵头研发完成,项目周期至少从2010年10月持续到2015年10月,软件版本至少为2.9.1,并且至少从2011年开始就支持对MikroTik系统设备及相关操作系统的远程攻击。参与开发人员包括但不限于:Mike Russell、Jack McMahon、Jeremy Haas和Brian Timmons等人(如图4所示)。三、总结
上述分析表明,美国中央情报局(CIA)对他国发动网络黑客攻击的武器系统已经实现体系化、规模化、无痕化和人工智能化。其中,蜂巢平台作为CIA攻击武器中的“先锋官”和“突击队”,承担了突破目标防线的重要职能,其广泛的适应性和强大的突防能力向全球互联网用户发出了重大警告。(一)美国中央情报局(CIA)拥有强大而完备的网络攻击武器库蜂巢平台作为美国中央情报局(CIA)的主战网络武器装备之一,其强大的系统功能、先进的设计理念和超前的作战思想充分体现了CIA在网络攻击领域的突出能力。其网络武器涵盖远程扫描、漏洞利用、隐蔽植入、嗅探窃密、文件提取、内网渗透、系统破坏等网络攻击活动的全链条,具备统一指挥操控能力,已基本实现人工智能化。美国中央情报局(CIA)依托蜂巢平台建立的覆盖全球互联网的间谍情报系统,正在对世界各地的高价值目标和社会名流实施无差别的网络监听。(二)美国中央情报局(CIA)对全球范围的高价值目标实施无差别的攻击控制和通讯窃密美国中央情报局的黑客攻击和网络间谍活动目标涉及俄罗斯、伊朗、中国、日本、韩国等世界各国政府、政党、非政府组织、国际组织和重要军事目标,各国政要、公众人物、社会名人和技术专家,教育、科研、通讯、医疗机构,大量窃取受害国的秘密信息,大量获取受害国重要信息基础设施的控制权,大量掌握世界各国的公民个人隐私,服务于美国维持霸权地位。(三)全球互联网和世界各地的重要信息基础设施已经成为美国情治部门的“情报站”从近期中国网络安全机构揭露的美国国家安全局(NSA)“电幕行动”“APT-C-40”“NOPEN”“量子”网络攻击武器和此次曝光的美国中央情报局(CIA)“蜂巢”武器平台的技术细节分析,现有国际互联网的骨干网设备和世界各地的重要信息,基础设施中(服务器、交换设备、传输设备和上网终端),只要包含美国互联网公司提供的硬件、操作系统和应用软件,就极有可能包含零日(0day)或各类后门程序(Backdoor),就极有可能成为美国情治机构的攻击窃密目标,全球互联网上的全部活动、存储的全部数据都会“如实”展现在美国情治机构面前,成为其对全球目标实施攻击破坏的“把柄”和“素材”。(四)美国情治部门的网络攻击武器已经实现人工智能化蜂巢平台典型的美国军工产品,模块化、标准化程度高,扩展性好,表明美国已实现网络武器的“产学研一体化”。这些武器可根据目标网络的硬件、软件配置和存在后门、漏洞情况自动发起网络攻击,并依托人工智能技术自动提高权限、自动窃密、自动隐藏痕迹、自动回传数据,实现对攻击目标的全自动控制。国家计算机病毒应急处理中心提醒广大互联网用户,美国情治部门的网络攻击是迫在眉睫的现实威胁,针对带有美国“基因”的计算机软硬设备的攻击窃密如影随形。避免遭受美国黑客攻击的权宜之计是采用自主可控的国产化设备。推荐阅读
文章来源:信息安全与通信保密杂志社、国家计算机病毒应急处理中心
点击下方卡片关注我们,带你一起读懂网络安全 ↓