APT,一種高級、持續性的攻擊模式已經成為國際網絡安全的宿敵,駭客只需動動鍵盤就可能發起一場核戰爭。
大衛•萊特曼是一個電腦少年天才,一天,他搜索破解了一台網絡電腦,玩上了一個叫做「全球熱核戰爭」的遊戲。不曾想這竟是美國軍方電腦,隱藏在遊戲之後的竟是戰爭計劃響應系統。大衛的遊戲即將引發軍方核彈的自動發射,他不得不用自己的駭客技術來阻止這場戰爭……
電影《War Games》中的情節在今天已經成為現實,駭客攻擊與核武器、國家間的信息安全越來越多地糾纏在一起。
2010 年,卡巴斯基的一位安全專家發現在 硬碟上存在一種特殊的病毒——震網病毒。通過分析震網,揭穿了伊朗核電站遭受的多年駭客攻擊。這次攻擊是某個國家為阻止伊朗核武器計劃,通過高強度手段滲透進伊朗物理隔離的最高絕密核電站網絡。攻擊的強大和可怕在於——滲入一個國家的最高機密,並且能夠穿透物理隔離網。
這種攻擊就是 APT(Advanced Persistent Threat),一種高級持續性的攻擊模式。APT 並不特定指某種病毒,而是駭客利用先進的攻擊手段對特定目標進行長期、持續性網絡攻擊的形式。
APT 攻擊的目標,通常是高價值的企業、政府機構以及敏感數據信息。主要目的是竊取商業機密,破壞競爭甚至是國家間的網絡戰爭。
國家和國家之間的 APT 攻擊,已經變得非常可怕。斯諾登曾為美國國家安全局進行基礎設施分析,他掌握了美國國家安全局大規模搜集個人信息的計劃,這些計劃中的駭客技術是很多安全專家都無法想象的。今天我們已經發現的震網攻擊僅僅是美國 05 年的水平,安全專家說,現在的技術已經發展到即便你的電腦不插上電源線都有可能被駭客竊取到信息。
「棱鏡事件」爆發後,中國已明確成為遭受國際網絡攻擊最嚴重的國家之一。
在 APT 攻擊技術現狀上,美國一支獨秀,其他國家力量均衡。這所以形成這樣的格局,是因為互聯網的很多基礎設施都是由美國確立的,比如基礎協議、路由器、CPU 芯片和操作系統。
攻擊者的潛伏鏈路
直到 2012 年,火焰病毒被曝光之後,大家才明白,伊朗的核武器被攻擊早在 05 年就開始潛伏了。攻擊者利用微軟軟件在認證上的一個安全漏洞:登陸時,你必須證明你是 A,但是攻擊者可以偽造出一個假的 A 身份,卻不被發覺。利用這個漏洞,攻擊者在中東大量散布火焰病毒,控制了中東幾百萬 PC 主機,收集了大量主機上的郵件、聊天等各種各樣的信息。通過個人隱私信息做情報和數據的分析,最終鎖定其中十~二十台設備。
這些設備是伊朗核物理研究人員的家人,駭客就鎖定這些設備發起密集攻擊,一旦這十多台主機當中有一個硬碟接入,震網病毒就會散入到這個 硬碟當中。如果這個硬碟被工作人員帶回到物理隔離的主機上,震網就會利用系統漏洞,控制主機。
駭客修改了核電站離心機的轉速,比如原來正常是 30 轉,改成 60 轉,但是給工作人員顯示的還是正常轉速,工作人員根本不知道是什麽原因導致的,最終伊朗核電計劃五分之一的離心機報廢。直到 12 年,病毒偶然在硬碟上被發現,才使得整個攻擊事件曝光,阻斷了攻擊鏈條。
傳統的安全產品是沒有辦法阻擋這些專業未知的攻擊。APT 攻擊是長期持續性的,攻擊者尋找漏洞,構造專門代碼,並開發針對受害者特定環境和防禦體系的特種木馬。這些特定代碼都是防護者或防護體系所不知道的未知威脅。
進入雲計算時代,APT攻擊更容易借助雲拓展。雲與安全也成為矛與盾的關系,將數據聚集在雲端,則被攻擊的風險更高。同時,安全專家通過雲,掌握的數據更多,則更容易發現安全隱患,追蹤駭客。最近中國阿里巴巴併購安全公司瀚海源,百度收購安全寶,都與旗下雲業務安全問題密切相關。
病毒發現時,為時已晚
在APT型攻擊中,攻擊者很聰明,他們有針對的目標,在攻擊的時候只針對一個攻擊目標,避免大量散播。當病毒被發現的時候,攻擊往往已經發生好多年,攻擊者把該拿走的信息都拿走了。
另一起可怕而相似的攻擊是在 2013 年,韓國農協銀行。當時農協銀行將 IT 系統外包給 IBM,IBM 的一位施工人員在午間休息時獲取了一個免費電影鏈接,晚上就用自己的電腦看電影。據說這個鏈接是由朝鮮駭客制作的,IBM 員工把電腦上的病毒傳染給了銀行 IT 系統,駭客進而侵入農協銀行 2 個月。2 個月的時間裏,駭客不僅破壞銀行正在運行的 IT 系統,還破壞了全部數據副本。最終農協銀行系統癱瘓,全部數據都丟失。一部分紙質數據通過人工上傳回系統,而網上交易數據已經永遠無法找回,農協銀行不得不停業 3 天,在後期賠償中付出了巨大的代價。
現在,APT 攻擊已經逐步受到了整個業界的重視,在中國也發生了一個案例。2013 年 12 月底,一次 APT 攻擊被成功捕獲,當時駭客向國內政府機構的辦公人員發放釣魚郵件。郵件發件人以「2014 年中國經濟形勢解析高層報告組委會」的標題發出,如果政府工作人員用 WPS 打開文件,就會被感染病毒,而且這種病毒無法被殺毒軟體查殺。攻擊者就是利用 WPS2012/2013 版本 0DAY 漏洞試圖侵入政府辦公人員電腦。
當這個攻擊被發現時,攻擊者在 2 個小時內就快速把控制端的伺服器停掉。這說明攻擊者時一個非常專業的組織,非常了解國內誰在做安全防護,駭客快速撤退讓後期取證變得非常艱難。表面上看,這次攻擊被快速地阻斷。
但是攻擊者始終存在,他們不會因為一次阻斷而消失,並會采用全新的招法再次發起攻擊。
面對這種涉及到國際、機密信息的安全對抗,本質上是人和人在智力知識和情報體系上的相拼。攻擊者是高智力的人,是專業有知識有組織的駭客。攻擊者往往對被攻擊者深入了解,知道有價值的資產在哪裏,對方的系統構成是怎樣的,對方的組織架構是怎樣的,而且往往通過人員的組織架構滲透完成攻擊。
網友關於攜程網安全問題微博。攜程安全問題已經不止出現一次,而前不久的數據泄漏成為安全業界諱莫如深的話題。有傳言是競爭對手導致,或者員工肆意報覆。但在雲計算時代,信息被更多地聚集到“母體”,我們是否要更多反思自己是否給了駭客可乘之機?
2014 年 12 月,在中國雲平台阿里雲上也被檢測到一起攻擊。通過對整個攻擊進行情報追蹤分析,發現攻擊者的攻擊面已經非常大,遍及三萬多台主機,阿里雲和國外的雲平台都成為被攻擊的對象。駭客控制這些主機的目的就是竊取特定國家的公民隱私,60 萬個國家公民的信息已經被竊取。
安全專家鎖定到的攻擊者個人主頁。
通過對攻擊者控制的木馬病毒監控追蹤,發現了攻擊者用來進行內部通訊的一個 IRC 服務器,最終在互聯網上鎖定這次攻擊的黑客組織,這一組織從 2000 年成立,十年間攻擊了大量政府的網站。直到 2014 年 10 月份,通過這次大規模攻擊,他們掌握了大量的資源,在一些駭客地下論壇開始招募成員。從攻擊者竊取的公民信息看,他們的背景可能有 2 種,第一是國家政府的行為,為的是收集更多國家的個人信息。第二種可能就是黑色的地下產業鏈,比如詐騙集團,為了獲取高機密的金融信息。
資料來源:GEEKPARFK |