8月19日,360集团董事长兼CEO周鸿祎在第七届互联网安全大会(ISC2019)上大声疾呼,“网络战不是科幻小说或美国大片里幻想的未来,网络战就发生在当下”。
攻击我们的敌人是谁?
周鸿祎指出,近来被披露的黑客组织APT34,其攻陷的目标中就包括中国境内12家重要机构,包括金融、保险、大型央企等,这些机构被黑客拿到了webshell(具有很高权限的网络后门)
而APT34,只是攻击中国网络边疆的众多“国家级黑客组织”中的一支。
周鸿祎透露,目前多国已经成立了超过200支网络战部队,他们都使用军事级的技术,是国家级的黑客力量。这意味着,在这场看不到硝烟的网络战争中,有“国家级黑客军队开始入场”。
他们是谁?
他们用什么武器?
他们战绩如何?
黑奇士(id hqssima)采访多位重量级安全专家,综合权威媒体资料,为大家揭秘这场神秘的网络之战。
美国总统选举中的黑客魅影
在2016年底的美国总统选举中,国外势力采用了两种网络战手法来影响选举结果:
第一,打造假网红,让网红发表分裂国家、歧视某个族群的言论,在选民中制造分裂。
2014年,Jenna Abrams(珍娜·亚伯拉姆)在推特上建立了自己的账号,她像普通的美国白人妇女一样,晒美食、旅游、穿着美美的衣服自拍。逐渐的,珍娜开始发表关于热点问题的激进评论,例如“憎恨联邦国旗的人,你们真的觉得南北战争是为了奴隶制?仅仅是为了金钱而已”,再比如,“我不是支持川普,我是支持常识”。
(Jenna Abrams的推特照片)
于是,她成为了美国的“公知”,在选民中造成了极大的分裂。
她甚至得到了十多家知名媒体(比如BBC)的采访,在媒体上公开兜售歧视黑人的言论,在选民中制造混乱。
随后的调查表明,珍娜并不是真人,她是俄罗斯网络水军专门打造的“公知间谍”,被制造出来影响美国总统大选。
第二,有俄国背景的APT28(又称奇幻熊)组织入侵希拉里竞选团队的邮箱,窃取机密资料之后,选择性的公布对其不利的邮件,从而影响选举结果。
2016年6月,维基解密首次公布了美国民主党委员会的机密文件,包括反对共和党总统候选人特朗普的研究报告,其中不乏“特朗普的政治没有核心”、“他只是一个邪恶的商人”等言论。
这些机密资料,就来源于APT28的攻击成果。
文件公开之后,一直处于劣势的特朗普,民调支持率首次超过希拉里,双方支持率44%对39%。
这件事成为2016年黑客界最大的新闻,也被称为“希拉里邮件门”。
从某种角度来说,黑客第一次影响了超级大国最高领导人大选的结果!
网络快速发展,让美国有了软肋,也披上了盔甲
有人可能会觉得:在黑客面前如此不堪一击,连总统选举都被影响,美国的网络战力量很差吧?
恰恰相反。
美国拥有世界上最强大的网络军队,其可供利用的攻击手段、漏洞库数量和质量、在网络战上投入的精力,在世界首屈一指,远远超过其他国家。
(2018年,美国及其盟国开展网络风暴网络作战演习)
根据权威媒体报道,美国早在2009年就在军中成立网络战争的军事部门,2017年8月,美国总统特朗普下令军方将网络作战部门提升为美国网战司令部(Cybercom),由一位四星上将担任网络战争司令部首长。
美国网战司令部,下辖133个作战单位,超过6200名网战专家。
中国国家漏洞库特聘专家、360集团首席安全技术官郑文彬(MJ0011)介绍,“NSA是全世界雇佣最多数学博士、计算机博士和语言学家的机构,每年的花费超过100亿美元。”
郑文彬就细数NSA武器库里的核武级“重型军火”——包括Stuxnet病毒(震网)、FOXACID(酸狐狸零日漏洞攻击平台)、VALIDATOR(初始化验证和轻量后门)、OLYMPUS&UNITEDRAKE(欧林巴斯& 联合耙)等高危木马,以及TAO(NSA下属特定入侵行动办公室小组网络攻击组织),全面盘点了十余年来网络空间直线上升式的武器演进史。
(郑文彬在ISC2019演讲)
巨量的人力、财力、“武器库”支持之下,美国网络作战的对外攻击力,让人不寒而栗。
如此强大的国家,为什么还会被黑客攻击呢?
周鸿祎在会上表示,网络战存在“易攻难防”的情况,只要几个黑客拥有电脑、知道几个漏洞就可以任意对一个国家的基础设施发起攻击。而防守方即便有成千上万的技术人员,面对浩如烟海的网络设备也不可能做到面面俱到。
这就是网络战的重要特性:攻守不平衡,永远存在危险。
漩涡中的中国:网络战受害最严重的国家之一
根据360发布的《全球高级持续性威胁(APT)2018年报告》,截至 2018 年 12 月,依旧活跃的已公开 APT 组织包括海莲花、摩诃草、蔓灵花、Darkhotel,Group 123、毒云藤和蓝宝菇等。
(图片来自雷锋网,时间截至2018年12月)
从上图可以看出,我国的敏感机构、军工、核能等领域均在APT组织攻击的范围之内。
有人可能心里纳闷,“为什么这么多黑客攻击、APT攻击,我一点感知都没有,你们是不是在吓唬人?”
这就印证了周鸿祎在ISC2019大会上演讲的一个关键词,叫“不宣而战”,为什么说未来的网络战一定是不宣而战的?
他通过详实的案例和数据告诉黑奇士,其实网络战早就已经打响,它是一场不宣而战的战争,攻击方采用了军事级技术搞国家级对抗。在发动攻击之前,APT组织会利用无处不在的0Day漏洞,渗透到目标系统里潜伏下来,一旦发出远程指令就有可能瞬间瘫痪别国的关键基础设施。
就像美国和以色列合作,利用Stuxnet病毒瘫痪伊朗的离心机,直到三四年之后,媒体才爆出这个病毒让伊朗国内三分之一的离心机受损,无法使用。在此之前,病毒造成的损失是严格保密的。
就像周鸿祎在演讲中提到的APT34,是伊朗支持的黑客组织,只是因为遭到对手的入侵,其战绩才被公布到互联网上,大家才知道,原来这个组织已经获取了12个中国国内敏感企业的webshell。如果没有对手的入侵,恐怕这次攻击就要成为永远的秘密了。
不宣而战,但360能看见
那就有另外一个重要的问题,既然有国家级的黑客组织在对我们攻击,我们又不一定能感知到,那怎么办?
周鸿祎认为,网络战最关键的是看见。“打仗没有雷达像睁眼瞎一样,有再多的导弹也看不到别人的隐身飞机在哪里,谈何溯源,谈何反制。所以说,看见网络战的攻击是1,其余都是0。”
如何看见?这个就需要基于安全大数据、知识库。任何网络攻击,就算是最为精巧的APT网络攻击,也必定会在网络上留下蛛丝马迹。
据介绍,360经过多年的积累,已经在安全行业具备了超强的实力:“360是全世界少数几家、也是中国唯一一家能够真正独立发现APT攻击的民间公司。”
之所以这么说,是有技术底气支撑:
360拥有3800名安全研发工程师、12个安全研究中心、17支攻防专家团队。在国内顶级、世界一流的人才积累之上,360积累了180亿样本、22万亿日志、80亿域名信息,还打造了APT全景攻击分析矩阵、漏洞知识库、病毒库。
数据、情报和专家,三位一体,给360的看见能力完成了闭环。
截至目前,360率先独立发现了针对中国的境外APT组织40个,它们的攻击目标广泛分布在中国的能源、通信、金融、交通、制造、教育、医疗等政府部门、科研机构和关键基础设施行业。这些攻击的背后,往往是其他国家的网络战部队。
拥有实战能力,才能保证和平
2018年9月,美国发布新的《美国国家网络安全战略概要》,将中国列为对美国构成网络威胁的国家。根据这份网络战略,美国将采取“进攻性”行动来制止和应对网络攻击。
有记者在国防部例行发布会提问,“中国怎么看待美国要采取的进攻性行动?”
国防部新闻发言人强硬回复,“该报告无中生有,充满冷战思维,中方对此坚决反对。我们一贯倡导维护网络空间和平、反对网络战和网络军备竞赛”。
(任国强大校,图片来自国防部网站)
这种表态背后的底气,是我们日益增长的国力,以及拥有世界一流专家团队的民间力量。
前不久一年一度的Black Hat“全球黑帽大会”上,微软重磅发布了2019MSRC 全球最具价值安全精英榜,来自360Vulcan团队的古河和招啟汛包揽前两名,360共有10人登榜,其中7人都在榜单前50,无论入选人数和综合排名均位列全球第一。
这就是我们打赢未来网络战的底气。