| 关联规则 | 关联知识 | 关联工具 | 关联文档 | 关联抓包 |
| 参考 |
引言
近些年,国家间的网络攻击日益升级——比如去年年末乌克兰停电事件、2010年的震网攻击,这些攻击带有政治目的之外,还具有破坏性。所以很多安全专家提出“网络战争”的概念,这两年的确也有越来越多的国家攻击浮出水面。但实际上,这种“破坏性网络攻击”(Destructive Cyber Attacks)已经有了 30 年的历史。而且这 30 年的发展,还让此类攻击形成了一些规律。
近期 Cybereason 出具了一篇报告,针对破坏性网络攻击进行了分析。破坏性网络攻击的字面意思看起来像是指那些破坏性很强、造成严重后果的网络攻击。但是在 Cybereason 的报告中,除了这类攻击,还有一些带有政治色彩的“威慑性”网络攻击也在讨论范围内。
这份报告提到,至少到目前为止,即便国家间的网络攻击已经到了你来我往的程度,但可能政府依然不会直接响应或采取报复行动:一方面是因为“打回去”的策略可能引发进一步的军事争端;另一方面也是因为现如今国家间网络攻击的威慑力尚未形成气候,所以政府一般不会重视此类攻击。除此之外,未来很长一段时间内私营企业或许会成为破坏性网络攻击的牺牲品。
Cybereason 情报组[出自:jiwo.org]
Cybereason 情报组的独特使命是分析最复杂的网络攻击。 情报组由各种政府机构的网络安全专家和国际安全专家组成,包括致力于进行网络攻击以色列国防军 8200 部队。Cybereason 的主要目的是检查和分析网络攻击的发起者和攻击原因,让公司和个人能够更好地保护自己。
Cybereason 是基于行为的企业攻击防护的领先供应商,可以提供端点检测和响应(EDR),下一代防病毒(NGAV)服务和主动监控服务。 Cybereason 的解决方案可降低安全风险,透明可见,有助于提高分析师的效率和效能。 Cybereason 致力于与企业合作打击对手。
以下是针对这篇报告的全文编译:
与日益增长的破坏性网络攻击作斗争
过去 20 年来,破坏性网络攻击的数量日益增多,特征日益凸显,那些与国家支持的黑客有关的破坏性网络攻击尤其如此。看到破坏性网络攻击所引起的严重后果,人们也许会揣测这些黑客利用了复杂的攻击工具。然而,事实却是,大部分破坏性网络攻击所用到的工具并不复杂。
除了 Stuxnet 和 Crash Override/Industroyer 攻击,文中提到的其他破坏性网络攻击中用到的恶意软件都利用的是擦除引导记录这类基础技术。这些技术简单高效,容易编写、执行。如果不是因为攻击的目标日益脆弱(事实上并非如此),那么上述的特征和趋势都足够令人警醒。此外,破坏性网络攻击的大部分目标都是个人或私营企业(公开的攻击数据只是所有攻击中的一小部分)。
经过详细分析之后,本报告得出的最终结论是:如果国家利用网络攻击打起信息战,那么最终受伤的会是私营企业。
破坏性网络攻击:一类特殊的网络攻击
本文采用了《美国国防部联合出版物:信息战》(以下简称《信息战》)中的说法:
计算机网络攻击是指 “通过计算机网络进行的干扰、拒绝、降级或破坏计算机以及计算机网络中的信息,和/或破坏计算机/计算机网络本身的行为”。
本文在提及破坏性网络攻击时,特意排除了 DDoS、挂黑页( website defacement)以及勒索攻击的例子。尽管这些也符合《信息战》中对于网络攻击的定义,但是这两项通常被认为是有意的网络破坏。他们造成的后果比破坏性网络攻击造成的后果轻得多。而在人们的观念中,勒索软件则并不在本文探讨范围内,因为勒索软件的目的是强迫受害者交赎金,而非对网络造成破坏。如果勒索行为正常进行,那么受害者交赎金后会重获所有数据。这与破坏性网络攻击的结果有着根本区别。
破坏性网络攻击发展趋势:规模增长,复杂程度有限
本报告的分析涵盖 1980 年代以来主要的破坏性网络攻击事件,呈现出一个清晰的趋势。这些攻击并非多么宏大多么不同寻常,而是使用相对简单但是有效的破坏性软件就达到了目的,这种趋势自2010年以来尤其明显。最近的 NotPetya 案例中,就使用了一个基础的破坏性模块,再加上一个相对复杂难以检测的后门,造成恶劣影响。这个破坏性的恶意文件并非特别复杂,也并没有什么特殊的功能。
由于目前针对网络攻击的惩罚并不多,越来越多的黑客都开始恣意妄为,实施的破坏性网络攻击日益增多。将来,大部分破坏性网络攻击都的复杂程度都将提高,且造成的后果也会比较严重。最终,低成本、丑恶而有效的手段将会成为所有实施破坏性网络攻击的黑客必备的手段。更不幸的是,也会有越来越多的黑客意识到这一点。对于私营企业而言,这意味着遭受不复杂但破坏性强的攻击的风险会增加。
破坏性网络攻击大事件时间线
1982 年 / 西伯利亚管道攻击
在 二十世纪八十年代早期,法国政府提醒 CIA :苏联间谍渗透进了美国的一些实验室、工厂甚至政府机构。CIA 注意到这件事情,查出间谍并对苏联进行反击。这成为冷战史上为人所知的最成功反间谍事件之一。
CIA 随后获取了一份俄罗斯政府在乌克兰西部实施新天然气管道项目所需的软件清单。CIA 通过欺诈手段,让苏联政府购买了存在漏洞的软件。这些恶意编码的软件用在管道的泵、涡轮和阀门中,在一定的时间间隔后开始运作,导致泵的速率被重置、阀设置产生管道连接处和焊接点远不能承受的压力。
此事的最终后果是造成了世界上最大的非核爆炸。据估计,这次管道爆炸的威力相当于二战期间在日本爆炸的原子弹威力的七分之一。尽管没有造成伤亡,但这场攻击却让苏联一部分跨西伯利亚管道化为泡影。
1998 年 / CIH 病毒
CIH 病毒,也被称为 Chernobyl 或 Spacefiller。这种病毒,可以重写系统关键数据。据说,当时全球大约有 6000 万台计算机被病毒感染,造成大约 10 亿美元的商业损失。当时,连波士顿学院也遭到 CIH 感染,几百台电脑被入侵。
CIH 的作者叫陈盈豪,当时是台湾大同大学的学生,他制作这个病毒主要是为了证明那些所谓的杀毒厂商夸大了自己杀毒软件的性能。由于没有受害者提起诉讼,陈盈豪没有被起诉。
媒体之所以把这个病毒称为 Chernobyl ,是因为它的一些变种程序在 4 月 26 日的 Chernobyl 核反应堆熔毁一周年的时候激活。CIH 病毒可以删除硬盘驱动器中的数据并重写 BIOS 芯片,使计算机无法使用。如果 CIH 的有效载荷激活,那么受害者的计算机想要恢复就必须要进行硬件修理。
1998 年 / 科索沃攻击
在科索沃战争期间,美国军方除了进行轰炸攻击以外,还采取了网络攻击,以打击塞尔维亚的防空体系。北约本以为塞尔维亚的防空体系十分复杂,可以对飞行员构成威胁。据美国政府关于科索沃攻击的简报,网络攻击有可能取得“巨大成功”,攻击中需要用到计算机网络打击防空体系的指挥控制中心。 不过,美国政府表示,这份简报只是一个可能会实施的攻击行动纲要,也没有阐明袭击的具体网络攻击组件。 不过,美国政府承认,他们确实已经组建了一个小组来研究可能实现的的网络攻击情景。
2008 年 / 格鲁吉亚攻击
2008年夏天,俄罗斯部队对格鲁吉亚展开了大规模的联合武装攻击。其中有一些网络攻击,例如污蔑格鲁吉亚的公共和私人网站、展开大规模 DDoS 攻击,以及将格鲁吉亚的网络流量转移到俄罗斯等。 格鲁吉亚总统的主页、国防部和外交部的主页、一些格鲁吉亚媒体网站和多家私人银行的网站都收受到了攻击。
2010 年 / Stuxnet 震网病毒
美国和以色列的网络部队打击伊朗核计划,试图放慢伊朗制造浓缩铀的进程。震网病毒可以说是世界上第一个数字武器,与之前的任何其他病毒或蠕虫都不同。它并不会劫持目标计算机或窃取信息,而是会摧毁浓缩铀的离心机。Stunext需要经过复杂的编程才能实现这个目的。 此外,Stuxnet 只能攻击特定的西门子工业控制系统和CPU,还必须确定这些系统在伊朗运作。但是,震网病毒真真切切让人们开始关注并思考互联网环境中工控安全的发展。
2012 年 / 沙特阿拉伯石油公司事件
在数小时内,沙特阿拉伯政府国有石油公司中 35,000 台电脑的部分数据被删除或完全毁坏,屏幕上显示的是燃烧的美国国旗。 这起袭击是伊朗黑客发起的,主要是为了对 震网病毒的攻击进行报复。
2012 年 / OPI 以色列攻击
2012 年 4 月,疑似一群反以色列组织和个人针对以色列网络发起 DDoS 攻击。此事发生在以色列大屠杀纪念日前夜,导致以色列的商业网站、财政网站、非营利组织、教育机构、私营企业以及报纸业务的网站等大量网站受影响。
2012 年 / 印度遇袭事件
有数据显示,2011 年印度遭遇的网络入侵超过 13000 起。而说起印度遭到的重大网络攻击,则要提 2012 年黑客窃取印度 1 万多人邮箱账户的事情。这一万人中有印度内务和外交官员、印度与西藏边境警察、印度国防研究和发展组织的工作人员等,牵涉的信息机密,后果严重。
2013 年 / 黑首尔事件
朝鲜黑客利用 DarkSeoul 恶意软件攻击了韩国三家电视台和两家私人银行,重写计算机数据并删除受感染的驱动器内容。 这次袭击中,韩国有约 32,000 台电脑受影响,导致许多自动取款机无法操作,客户无法进行移动支付。
2011 年、2014年 / 索尼攻击事件
2011 年 4 月,索尼不同部门遭遇了数起黑客入侵事件,导致7700万个信用卡账户被盗。 情况最严重的当属索尼的 PlayStation Network 部门,泄露的信息包括1,200万张未加密的信用卡号码,以及用户全名、密码和消费记录等用户信息。
2014 年,朝鲜黑客攻击索尼影业,除了造成重大数据窃取和随后的数据泄露外,还严重破坏索尼影业的 IT 基础架构。攻击者使用破坏性的硬盘gongju擦除 MBR 并删除了所有数据。 遭受袭击后,索尼在盈利报告中表示,公司将花费 3500 万美元善后,大部分用于恢复索尼的财务和 IT 系统。
2014 年 / 德国钢厂入侵事件
2014 年,有攻击者入侵了德国钢铁工业控制系统(ICS)。 他们通过操纵和扰乱控制系统,使得高炉不能正常关闭,造成了“大规模”但非特定的损坏。 这是网络攻击造成物理设备破坏的第二起已知案例。 德意志联邦信息安全局(BSI)年度报告中阐述这一事件的详情: 攻击者使用鱼叉式网络钓鱼攻击侵入公司网络, 一旦攻击者站稳脚跟,他们最终就会入侵“众多”系统,包括生产网络上的工业组件。 BSI 没有指明被入侵的公司到底是哪家,也没有指明攻击发生的具体时间。 此外,报告还表示,攻击者和动机都是未知数。
2015 年 / 法国电视台遇袭事件
此次攻击中,俄罗斯黑客使用恶意软件摧毁控制电视台操作的硬件,导致法国所有 12 个网络频道离线将近12个小时。黑客通过多个入口点进入网络,包括工作室使用的遥控摄像机等供应商网络入口。 这次袭击给法国电视台带来 560 万美元的损失,并导致电台增加 340 万美元支出,用于改进安全管理。
2015 年 / 黑暗能源(Black Energy)事件(乌克兰电网攻击)
俄罗斯的攻击者使用一个主要的开放源码工具包,设法攻击了三家乌克兰能源分销公司,并造成约 225,000 名客户断电。 公开的报告显示,黑暗能源恶意软件存在于被入侵公司的计算机网络中。 (黑暗能源恶意软件在此事中的作用目前尚不清楚,有待进一步分析。)
2016 年 / StoneDrill 攻击
伊朗黑客利用驱动器擦除工具攻击沙特阿拉伯政府、私营部门,电信和运输领域的目标。由于攻击时通过渗透浏览器而非驱动器完成的,因此 StoneDrill 在擦除数据时更难以检测,可以潜藏更长时间。它通过用随机数重写物理和逻辑驱动器的方式来实现这一点 。这种方式可以造成驱动器不可用,并且使信息无法恢复。
2016 年 / Crash Override 攻击
黑客使用 Crash Override 恶意软件攻击基辅市北部的电力传输站,导致乌克兰首都的一部分地区停电(相当于乌克兰总电力容量的五分之一)。 Crash Override 恶意软件旨在删除数据并破坏 IT 系统,最终物理损坏 ICS 系统,破坏电网相关的 ICS 系统。美国计算机安全应急响应小组表示,目前“没有证据表明这种恶意软件已经影响到美国的关键基础设施。然而,Crash Override 恶意软件中的策略、技术和程序(TTP)可以修改,进而针对美国关键信息网络和系统发起。”
2017 年 / brickerbot 恶意攻击
Brickerbot 恶意软件专门攻击不安全的IoT设备并将其内部闪存格式化,导致设备不可用。作者的昵称为 janit0r,声称已经入侵超过200万台设备。这引起了美国 ICS-CERT 的关注,他们(四月份)发出警报,警告企业和机构禁止 Telnet 和 SSH 访问自己的设备,并要求业主更改设备的默认出厂密码。
2017 年 / NotPetya 病毒
NotPetya 感染了大约 25,000 台计算机,可以在计算机重新启动时擦除硬盘数据。NotPetya 的大多数受害者都位于乌克兰,不过至少有十几家大型跨国公司也受到了影响,其中包括马士基航运公司、广告集团 WPP 以及消费品公司 Reckitt Benckiser。Reckitt Benckiser 的报告表示,由于受 NotPetya 影响,今年销售额预计只能增长 2%,无法达到 3%。该公司没有提供财务细节,但参考去年的销售数据,受 NotPetya 攻击后,全年销售额增长缺少 1% 就意味着约 1 亿英镑(1.3 亿美元;按照 2017 年 8 月 1 日汇率大约为 8 亿 8799 万人民币)的收入不翼而飞。
其他大型网络攻击还包括 2011 年的 Epsilon 大型邮件泄露事件;2007 年开始的爱沙尼亚网络战等,造成的影响都很恶劣。
即使目前绝大多数网络事件仍然受到间谍活动或犯罪活动的驱动,但黑客(尤其是国家支持的黑客)越来越多地使用破坏性工具,这种发展趋势着实惊人。私营部门需要正视这种趋势带来的安全影响。
破坏性网络攻击的优势:收益高,风险小
国家支持的黑客利用破坏性攻击达到各种各样的目的,这些黑客可以在不付出代价的情况下表达不满、报复他人,或进行破坏性的秘密行动。全球安全环境易于入侵且入侵代价较低,这就导致各国将继续试验破坏性网络攻击且越来越大胆地进行攻击。还有一点需要注意,国家无法找到正当理由来阻止这种行为。
尽管有例子表明北约有能力援引《北约》 第 5 条的“集体自卫原则”并用于约束网络攻击,尽管各国在不断探讨网络空间威慑,但我们目前其实正处于一个混乱、原始的网络环境中,远远谈不上稳定。
各国对网络攻击的报复行动不得不持有谨慎态度,他们担心报复或其他行动会将数字世界的网络攻击升级到在现实世界中的攻击,显然,现实世界的报复和攻击代价更高。跨领域关系,特别是军队之间的跨领域关系,会造成攻击升级,这是受害者和攻击者所在的政府都不了解也无法控制的。
这种对不受控制的升级的恐惧,意味着政府不能并且不愿意有效地禁止网络中的破坏性攻击。这种政策缺陷,再加上政府内部引人注目、较为明确的受攻击案例,让人很难相信,原本有着最大进攻能力和防御能力的政府会推动大规模的政策转变。
事实上,到目前为止,各国暂时无法构成足够的网络威慑,因此国家目前也不会认真对待网络攻击,不会将网络攻击带来的后果看得很严重。大国可以利用物理手段进行信息攻击,进而威胁另一个大国的关键基础设施——这种说法在政府看来是很荒谬的。正因为如此,这也为那些想要入侵别国关键基础设施的国家的亮起了绿灯,因为这种行为只是为了“威慑”而不是为了攻击。
政府目前正逐渐尝试理解网络空间、攻击升级的概念以及网络攻击对现实世界带来的影响。但是,他们又急于使用网络攻击的能力。利用这些能力,他们可以实现远程攻击,可以对抗那些传统意义上容易挑起争端的国家。
由于没有能力甚至无意阻止国家支持的黑客进行破坏性攻击,私营企业只好一口咽下所有苦果。他们通常是网络攻击的受害者,因为他们的网络没有政府网络那么安全;同时,在复仇者眼里,他们又是攻击中“安全的目标”(容易攻击且几乎不用付出代价)。
如果网上的行为都不需要付出代价,会发生什么?
由于黑客实施攻击后很少受到惩罚,因此各国会继续尝试提升网络攻击能力,并试着用网络攻击达成多种目的。这意味着,复杂程度相对较低的攻击可能会持续增长。受害者可能仍然是非政府机构,这些机构多少都容易成为敌国的攻击目标。
更令人担忧的趋势是非国家支持的黑客也开始发起破坏性攻击。目前,DDoS 攻击是黑客以及想要进行分裂活动的人最早用也是最常用的攻击手段。然而,由于破坏性攻击工具不断增多,人们对新攻击日渐麻木,越来越多的网络犯罪分子和活动积极的黑客都会投入到这个领域。发起影响更大的攻击以及增加攻击的复杂性(不仅破坏信息系统还会消除取证证据),这都吸引着哪些想要扩展业务的黑客们。泄露的先进工具和能力将会不断呈现出上述特性和趋势。
避开惯性思维
如果政府不能采取有效的新措施保护互联网安全,那么未来非国家支持的黑客发起的攻击也会增多,但他们仍旧能逍遥法外,依旧很少有人会起诉、逮捕他们。而私营部门还剩下什么呢?只剩下短暂而残酷的一生……
有专家曾讨论出几点方法来应对这种情况。但是,这些方法都是从惯性思维的角度出发,反而会让大环境变得更残酷:
拒止威慑这个概念最近不断被提出。但是,要想实现拒止威慑,网络安全必须发展到一定程度,让公司有能力发展防御性技术并应对其他类似困境。
反击(黑回去)这个想法也再次浮出水面。美国众议院甚至还提出了一项法案,即使在有限的边界内也允许使用这种行为。然而,私营企业如果采取这类方法只会导致更多的攻击活动,导致网络更不安全。一般来说,这种方法会使得公司的网络安全生命更短暂、更残酷。
不幸的是,技术、条约和自我约束都不会阻止这种日益增长的威胁。动机明确、拥有大量资源和时间的攻击者将能破解任何试图阻止攻击的综合性技术。
应对计划:把握战争开始的时间,然后把控战场
可操作的信息是最好的武器
对于私营企业而言,如今最有希望抵挡眼前不稳定且敌对性更多的时期的武器,就是可操作信息。破坏性攻击是企业面临的整体威胁的一小部分。执行破坏性攻击的动机,以及有效执行这些攻击所需的访问权限和能力,让那些有针对性的、相对准确的攻击模式得以形成和发展。私人企业原本很容易遭受这类攻击,而一旦攻击模式成型,企业就能对模型进行分析,进而研究出如何最大限度地降低攻击成功的可能性。如果一家公司能知道自己成为敌国攻击目标的原因,就能够采取更有效的对策。
把时间作为优势
幸运的是,私营企业可以利用好时间这个优势。一旦攻击者开始与私营部门的网络接触,一场时间的赛跑就一触即发。在被检测到之前或者在花时间保持对入侵网络的访问权之前,攻击者能否实现破坏网络和信息的目标?现在,理论层面大量存在这种竞争状况。大多数攻击从入侵到被发现的时间是不是隔了几个月就是隔了几周。这个时间间隔太久了,无法及时阻止破坏性攻击。私营企业只有充分利用情报、探寻和积极的监测,才能减轻受害程度。
当然,目前这些策略必须进行测试并加以完善。虽然现在大规模网络攻击(破坏性网络攻击)与企业网络面临的其他威胁相比较少,但由于破坏性网络攻击的成本较低、且频率正在增加,所以事实上我们试验和建立有效防御的窗口正在关闭。而目前阻止破坏性网络攻击的行为,则有可能让我们目前的用网行为发展成轻易造成网络争端。
*参考来源:Cybereason 关于破坏性网络攻击的报告,Securityweek 等,作者 AngelaY,转载请注明来自 FreeBuf.COM
