目前,网络空间领域已经进入国家力量主导的体系作战阶段,以美国为代表的西方国家为维持其优势地位,采取多种手段对潜在对手实施网络空间攻击作战行动。 美方在网络空间开展攻击作战行动十分频繁,尤其是随着其“防御前沿”战略的实施,网络空间攻击行动更加主动。 美军特别重视建设积极主动的网络空间安全架构,重点在网络空间安全主动防御体系、网络空间攻击支撑体系、网络空间攻击装备体系三大体系上进行技术与装备的变革和发展 作为世界头号的网络强国,美国为维持其世界超级大国地位,依托网络空间领域的技术优势,通过国家力量发动的网络空间作战行动,对他国的网络空间安全构成实质性威胁。 通过近年来曝光的材料可以看到,美方在网络空间开展攻击作战行动十分频繁,按照“统一作战行动、多源情报先导、攻击防御一体、持久化驻留”等原则,对他国开展非对称、体系化的网络作战行动。 本文通过对美国这一网络空间超级玩家的网络攻击作战案例的梳理,分析其常用的网络作战样式和作战体系,以帮助相关机构在国家网络空间博弈过程中取得主动权,有效维护国家网络空间安全。 01网络攻击作战主要案例 美方在网络空间开展攻击作战行动十分频繁,尤其是随着其“防御前沿”战略的实施,网络空间攻击行动更加主动。 根据公开披露的信息,影响较大的网络攻击行动主要包括以下案例: (一)棱镜(PRISM)计划 棱镜计划是一项由美国国家安全局自2007年开始实施的绝密级网络监控计划。该计划的正式名称为「US-984XN」。 PRISM(棱镜计划)主要用于直接进入美国网际网络公司的中心服务器里挖掘数据、收集情报,包括通过谷歌、微软、Facebook、雅虎、Skype、PalTalk、Youtube、苹果、和美国在线等9家国际网络巨头皆参与其中。 国家安全局经由PRISM获得的数据包括电子邮件、视频和语音交谈、视频、照片、VoIP通话、文件传输、和社交网络上的详细资讯。2012年间的《总统每日简报》内共引用了1,477项来自PRISM的数据。 (二)上游(Upstream)计划 上游计划主要用于监听流经海底光缆及通信基础设施的信息。环球电讯公司与NSA签署了《网络安全协议》,这项协议中规定,环球电讯公司需要在美国本土建立一个“网络运行中心”,美国政府官员可以在发出警告后的半小时内进入查访。环球电讯公司的海底光缆覆盖全球4个大洲的27个国家和地区。上游计划项目在承载互联网骨干通信内容的光缆上安装分光镜,复制其通信内容。 (三)天网(SKYNET)计划 天网计划是2015年9月新公开的文件中披露的NSA项目。天网计划可以基于个人所处位置、拨打电话的地点、时间及去往相关地方的频率分析和寻找恐怖主义分子。 NSA天网计划依赖“地理空间、地理时间、生活模式以及旅行分析”对大规模的DNR(拨叫号码识别)数据进行分析,以识别出可疑活动。 通过SKYNET,分析师可以知道如下的信息: 过去一个月都有谁从A地到了B地 目标在到达目的地时都联系过谁 目标到达时其附近都有谁,且其中有谁在短时间内就离开了 谁定期从A地出发/到A地去旅行 谁定期与X见面并在A地到B地之间旅行 谁在满足某个旅行方式的同时频繁换手机或关机 (四)猎巨人(Shotgiant)行动 根据NSA 被泄露的文件来看,自2010年起,NSA就对华为实施了长期潜伏渗透攻击,理由是(美国官员长期以来一直认为中国电信巨头——华为是一个安全威胁,因担心该公司将在其设备中创造“后门”,可能允许中国军方或北京支持黑客窃取公司和政府机密,从而阻止华为在美国的商业交易。) 针对华为公司的代号为“Shotgiant”的行动目标是寻找华为与中国人民解放军之间的任何联系以及利用华为的技术(挖掘华为的0day或者在华为设备种植后门),以便攻击采用华为产品的其他国家(包括盟国和禁止购买美国产品的国家)。 根据明镜披露的NSA绝密文档,NSA的黑客部队不仅成功获取了华为公司的邮件通讯数据,而且还得到了属于高度商业机密的华为产品源代码。NSA从2009年1月开始采集并分析了大量华为公司员工邮件,包括首席执行官任正非和主席孙亚芳的邮件。 (五)奥林匹克(OlympicGame)行动 针对伊朗核设施的“奥运会”(OlympicGame)行动,最终通过“震网”(Stuxnet) 蠕虫,成功入侵并破坏伊朗核设施,严重迟滞了伊朗核计划,成为首个利用恶意代码对实体设施造成重大不可逆损坏的事件。 (六)国际银行系统(SWIFT)行动 根据黑客组织“影子中间人(ShadowBrokers)”爆料,NSA曾通过Eastnets公司的产品入侵国际银行系统(SWIFT),监控一些中东和拉丁美洲银行之间的资金流动。 在2012年7月至2013年9月期间发起的“JEEPFLEA_MARKET”攻击行动,针对中东地区最大的SWIFT服务提供商EastNets,成功窃取了其在比利时、约旦、埃及和阿联酋的上千个雇员账户、主机信息、登录凭证及管理员账号。以EastNets为切入点,美国国安局可监控科威特、约旦、也门和卡塔尔等国多家银行和金融机构的交易。 (七)金色极光(AURORAGOLD)行动 NSA在针对全球手机监听的“金色极光”(AURORAGOLD)行动,通过收集关于全球移动通讯运营商内部系统的信息,以找到其漏洞,供随后的黑客攻击使用,该计划为美国 2011年对利比亚进行军事干预提供了利方重要人物的通信信息。 (八)“拱形”(CamberDaDa)计划 2015年斯诺登披露的一份NSA绝密文档介绍了拱形计划,该计划以俄罗斯反病毒厂商卡巴斯基等为目标,通过监听其样本上报渠道,从中分析安全厂商是否已发现、掌握其网络攻击武器,根据斯诺登泄露的文档可以看到,自2007年起,NSA开始制定CamberDaDa计划,其所关注的目标包括俄罗斯国防产品出口公司等。该计划实际上是利用了其已经在俄方电信体系中建立的持久化节点去关注攻击目标和卡巴斯基之间的通讯,当攻击目标向卡巴斯基的告警中含有美方的样本或者攻击信息时,则认为攻击已经暴露;当在告警中含有第三方样本时,美方则会尝试第三方样本是否可以被二次利用。 在该计划中NSA列出了其计划展开监控的“更多目标”,除作为主要目标的卡巴斯基外,还包括了13个欧洲国家和3个亚洲国家总计23个反病毒厂商,基本涵盖了英美国以外的几乎所有重要的反病毒厂商,其中包括了大蜘蛛(俄罗斯)、比特梵徳(罗马尼亚)、小红伞(德国)、诺曼(挪威),值得我们注意的是中国厂商安天也进入目标。 (九)橡木星(Oakstar)行动 橡木星行动主要目的是帮助美方追踪恐怖分子通过比特币等数字货币交易情况,NSA的机密文件还指出,“MONKEYROCKET”程序于2012年夏季上线,是NSA绝密项目“OAKSTAR”的一部分。该程序是NSA国家安全长期战略计划的一部分,目的是为让恐怖主义分子使用该程序,从而监测恐怖主义活动。 但该程序已经明显超出了其“恐怖主义”的范围,已经用于监视比特币用户了,而且获取用户隐私信息的范围还在扩大。此外,文件还称,“MONKEYROCKET”在中国和伊朗有大量的用户。
top of page
bottom of page