APT,一种高级、持续性的攻击模式已经成为国际网络安全的宿敌,黑客只需动动键盘就可能发起一场核战争。
大卫•莱特曼是一个电脑少年天才,一天,他搜索破解了一台网络电脑,玩上了一个叫做「全球热核战争」的游戏。不曾想这竟是美国军方电脑,隐藏在游戏之后的竟是战争计划响应系统。大卫的游戏即将引发军方核弹的自动发射,他不得不用自己的黑客技术来阻止这场战争……
电影《War Games》中的情节在今天已经成为现实,黑客攻击与核武器、国家间的信息安全越来越多地纠缠在一起。
2010 年,卡巴斯基的一位安全专家发现在 U 盘上存在一种特殊的病毒——震网病毒。通过分析震网,揭穿了伊朗核电站遭受的多年黑客攻击。这次攻击是某个国家为阻止伊朗核武器计划,通过高强度手段渗透进伊朗物理隔离的最高绝密核电站网络。攻击的强大和可怕在于——渗入一个国家的最高机密,并且能够穿透物理隔离网。
这种攻击就是 APT(Advanced Persistent Threat),一种高级持续性的攻击模式。APT 并不特定指某种病毒,而是黑客利用先进的攻击手段对特定目标进行长期、持续性网络攻击的形式。
APT 攻击的目标,通常是高价值的企业、政府机构以及敏感数据信息。主要目的是窃取商业机密,破坏竞争甚至是国家间的网络战争。
国家和国家之间的 APT 攻击,已经变得非常可怕。斯诺登曾为美国国家安全局进行基础设施分析,他掌握了美国国家安全局大规模搜集个人信息的计划,这些计划中的黑客技术是很多安全专家都无法想象的。今天我们已经发现的震网攻击仅仅是美国 05 年的水平,安全专家说,现在的技术已经发展到即便你的电脑不插上电源线都有可能被黑客窃取到信息。
「棱镜事件」爆发后,中国已明确成为遭受国际网络攻击最严重的国家之一。
在 APT 攻击技术现状上,美国一支独秀,其他国家力量均衡。这所以形成这样的格局,是因为互联网的很多基础设施都是由美国确立的,比如基础协议、路由器、CPU 芯片和操作系统。
APT攻击数量持续上升(来源:百度百科)
攻击者的潜伏链路
直到 2012 年,火焰病毒被曝光之后,大家才明白,伊朗的核武器被攻击早在 05 年就开始潜伏了。攻击者利用微软软件在认证上的一个安全漏洞:登陆时,你必须证明你是 A,但是攻击者可以伪造出一个假的 A 身份,却不被发觉。利用这个漏洞,攻击者在中东大量散布火焰病毒,控制了中东几百万 PC 主机,收集了大量主机上的邮件、聊天等各种各样的信息。通过个人隐私信息做情报和数据的分析,最终锁定其中十~二十台设备。
这些设备是伊朗核物理研究人员的家人,黑客就锁定这些设备发起密集攻击,一旦这十多台主机当中有一个 U 盘接入,震网病毒就会散入到这个 U 盘当中。如果这个 U 盘被工作人员带回到物理隔离的主机上,震网就会利用系统漏洞,控制主机。
黑客修改了核电站离心机的转速,比如原来正常是 30 转,改成 60 转,但是给工作人员显示的还是正常转速,工作人员根本不知道是什么原因导致的,最终伊朗核电计划五分之一的离心机报废。直到 12 年,病毒偶然在 U 盘上被发现,才使得整个攻击事件曝光,阻断了攻击链条。
传统的安全产品是没有办法阻挡这些专业未知的攻击。APT 攻击是长期持续性的,攻击者寻找漏洞,构造专门代码,并开发针对受害者特定环境和防御体系的特种木马。这些特定代码都是防护者或防护体系所不知道的未知威胁。
进入云计算时代,APT攻击更容易借助云拓展。云与安全也成为矛与盾的关系,将数据聚集在云端,则被攻击的风险更高。同时,安全专家通过云,掌握的数据更多,则更容易发现安全隐患,追踪黑客。最近国内阿里巴巴并购安全公司瀚海源,百度收购安全宝,都与旗下云业务安全问题密切相关。
病毒发现时,为时已晚
在APT型攻击中,攻击者很聪明,他们有针对的目标,在攻击的时候只针一个攻击目标,避免大量散播。当病毒被发现的时候,攻击往往已经发生好多年,攻击者把该拿走的信息都拿走了。
另一起可怕而相似的攻击是在 2013 年,韩国农协银行。当时农协银行将 IT 系统外包给 IBM,IBM 的一位施工人员在午间休息时获取了一个免费电影链接,晚上就用自己的电脑看电影。据说这个链接是由朝鲜黑客制作的,IBM 员工把电脑上的病毒传染给了银行 IT 系统,黑客近而侵入农协银行 2 个月。2 个月的时间里,黑客不仅破坏银行正在运行的 IT 系统,还破坏了全部数据副本。最终农协银行系统瘫痪,全部数据都丢失。一部分纸质数据通过人工上传回系统,而网上交易数据已经永远无法找回,农协银行不得不停业 3 天,在后期赔偿中付出了巨大的代价。
现在,APT 攻击已经逐步受到了整个业界的重视,在中国也发生了一个案例。13 年 12 月底,一次 APT 攻击被成功捕获,当时黑客向国内政府机构的办公人员发放钓鱼邮件。邮件发件人以「2014 年中国经济形势解析高层报告组委会」的标题发出,如果政府工作人员用 WPS 打开文件,就会被感染病毒,而且这种病毒无法被杀毒软件查杀。攻击者就是利用 WPS2012/2013 版本 0DAY 漏洞试图侵入政府办公人员电脑。
当这个攻击被发现时,攻击者在 2 个小时内就快速把控制端的服务器停掉。这说明攻击者时一个非常专业的组织,非常了解国内谁在做安全防护,黑客快速撤退让后期取证变得非常艰难。表面上看,这次攻击被快速地阻断。
但是攻击者始终存在,他们不会因为一次阻断而消失,并会采用全新的招法再次发起攻击。
面对这种涉及到国际、机密信息的安全对抗,本质上是人和人在智力知识和情报体系上的相拼。攻击者是高智力的人,是专业有知识有组织的黑客。攻击者往往对被攻击者深入了解,知道有价值的资产在哪里,对方的系统构成是怎样的,对方的组织架构是怎样的,而且往往通过人员的组织架构渗透完成攻击。
网友关于携程网安全问题微博。携程安全问题已经不止出现一次,而前不久的数据泄漏成为安全业界讳莫如深的话题。有传言是竞争对手导致,或者员工肆意报复。但在云计算时代,信息被更多地聚集到“母体”,我们是否要更多反思自己是否给了黑客可乘之机?
2014 年 12 月,阿里云破获了一起攻击。通过对整个攻击进行情报追踪分析,发现攻击者的攻击面已经非常大,遍及三万多台主机,阿里云和国外的云平台都是黑客攻击的对象,黑客的主要目的就是窃取特定国家的公民隐私。
安全专家锁定到的攻击者个人主页。
通过对攻击者控制的木马病毒监控追踪,发现了攻击者用来进行内部通讯的一个 IRC 服务器,最终在互联网上锁定这次攻击的黑客组织,这一组织从 2000 年成立,十年间攻击了大量政府的网站。直到 2014 年 10 月份,通过这次大规模攻击,他们掌握了大量的资源,在一些黑客地下论坛开始招募成员。从攻击者窃取的公民信息看,他们的背景可能有 2 种,第一是国家政府的行为,为的是收集更多国家的个人信息。第二种可能就是黑色的地下产业链,比如诈骗集团,为了获取高机密的金融信息。
头图:《War Games》来源:Signalnoise Blog
