1.4 网络与信息安全新态势
当前,全球网络空间面临的威胁进一步加剧,网络空间安全问题愈加凸显,主要表现在:国家与国家之间的网络空间安全冲突不断升级;针对政府部门的大规模网络攻击事件持续增多;军队频繁遭受网络攻击;基础设施领域持续遭受网络攻击;工控领域网络威胁持续不断[20]。
1.4.1 国家与国家之间的网络空间安全冲突不断升级
2016年,国家与国家之间的冲突行为持续升级。以美国为代表的西方发达国家控制网络空间领域的意图非常明显,美俄之间的网络冲突达到白热化,美国逐步在网络空间安全领域行使制约权,网络空间的军事化趋势已不可避免。
(1)美国对俄罗斯间谍活动实施冷战以来的最大报复
在美国2016年总统选举期间,俄罗斯黑客入侵民主党国家委员会网站,对美国政府和网络系统进行了侵略性的骚扰。之后,美国政府发布了一份FBI与国土安全部对这些网络攻击的详细评估,包括新近解密的入侵细节,如攻击者使用的恶意软件签名列表和相关的IP地址。美国政府已经批准制裁俄罗斯两大情报机构、4名军事情报官员,并正在驱逐35名俄罗斯外交官。对俄罗斯两大情报机构(军情局和联邦情报)的制裁,基于最初于2015年4月签发的总统令13964。该令赋予美国总统还击对美国关键基础设施入侵、大规模的拒绝服务或是经济入侵的权力,但没有包括竞选相关的系统。2016年新扩展的总统令,将其包含在内“对竞选机构或进程,带有干涉目的或产生干涉效果的,影响、改变或是导致信息的不准确。”
(2)美国对“伊斯兰国”发动网络战
为了加快对抗“伊斯兰国”的数字战争进程,美国网络司令部的指挥官迈克尔·罗杰斯在2016年5月成立了由爱德华·卡登中将领导的部门,该部门肩负的职责是开发出由恶意软件等网络工具改造而成的数字化武器,旨在加快破坏和摧毁“伊斯兰国”的网络、计算机和手机。该部门被称为联合特遣部队阿瑞斯(Joint Task Force Ares),目前正与主导“伊斯兰国”对抗战的美国中央司令部展开更加密切的协调与合作。
新近成立的联合特遣部门执行的网络攻击或将破坏支付系统、识别并搞垮“伊斯兰国”成员使用的通信平台,或者捣毁“伊斯兰国”的在线宣传杂志《达比克》。
联合特遣部门的任务并不包括识别可作为空袭打击对象的个人。从本质上而言,“伊斯兰国”并不像一个国家或政府那样拥有易受攻击的庞大机构或基础设施,因此在网络攻击中要将之纳为袭击对象具有挑战性。
针对“伊斯兰国”的网络战争让美国国防部面临着一些挑战。如果实施破坏某处网络的行动,情报部门就可能失去监视此处网络通信的机会。因此,网络安全官员在选择攻击对象、策划攻击行动时须与情报人员更深入地合作。
(3)美国网攻伊朗计划曝光
2016年2月,美国制订计划,准备在外交途径无法解决伊朗核问题时对伊朗核以及军用和民用设施发动网络攻击。美国军方和情报部门分别拟订了打击计划,其中军方行动的代号名为“宙斯一触即发”,目的是使伊朗防空、通信系统和关键电网陷入瘫痪。根据美国五角大楼的说法,“宙斯一触即发”行动预计耗资数千万美元,将由数千名美国军事人员参加,试图在伊朗电脑网络系统中植入电子设备。这套计划的目的是,一旦伊朗核问题谈判失败,美国总统奥巴马能够有其他选择而不必发动常规战争。
美国情报部门也制定了一个更为细化的秘密网络打击计划,旨在使伊朗的福尔多铀浓缩工厂陷入瘫痪。按照计划,美国情报部门将植入蠕虫病毒破坏核设施内的电脑网络系统,以达到拖延甚至彻底破坏这一设施的铀浓缩活动。
(4)英特种部队对IS发动电子战
2016年5月,英国特种部队对利比亚境内的“伊斯兰国”组织(IS)恐怖分子发动了一场极具破坏性的电子战攻击。
这场尖端的“干扰打击”令该组织位于苏尔特的大本营周边的通信网络瘫痪。“黑色行动”是由英国皇家空军的一架侦察机负责的。英国皇家空军的无线电专家找到了敌方最经常使用的频率,侦察机上的工作人员之后利用飞机上的高功率发报机在同一波段发出干扰,从而压过敌方的对话。与此同时,在海外,英国政府通信总部的一个网络战小队通过监控“伊斯兰国”组织领导人在网络上的对话,对干扰打击的结果做出了评估。
1.4.2 针对政府部门的大规模网络攻击事件持续增多
2016年,全球网络空间安全有组织的攻击事件增多,几乎天天都能听到一些公司或政府实体遭受入侵或攻击的报道。这些发生的网络攻击事件,都显示了攻击者所拥有的网络攻击能力,其攻击范围更广,手段愈发复杂。下面是近一年来网络空间安全领域发生的几起具有代表性的重大攻击事件。
(1)爱尔兰政府网站因遭网络攻击而瘫痪
2016年1月22日上午11点,爱尔兰卫生安全管理局(HSE)、中央统计局(Central Statistics Office)、司法部(Department of Justice)、法院服务部(Courts Service)和国防部(Department of Defence)等多个部门和机构的网站遭受到来自第三方的分布式拒绝服务(DDo S)攻击。爱尔兰政府网络遭受不断的网络攻击,对公民和公共服务造成大规模破坏。
(2)俄罗斯政府部门遭受恶意攻击
俄罗斯联邦安全局在2016年7月30日的一份声明中说,俄罗斯约20个政府部门的电脑网络被恶意植入了间谍软件。这些中毒电脑均属于国家重点要害部门,包括国家权力机关、科研单位、军事部门及军工企业等。联邦安全局称,这批间谍软件是根据每一台入侵电脑自身性能区别对待的,通过发送恶意植入病毒的电子邮件完成目标攻击。病毒被植入后,恶意软件就会自动加载,然后就能截获网络信息、实现监听、进行屏幕截图,还可以自动开通录制功能、开启移动设置以及捕捉按键信息。
(3)美国国家安全局遭到黑客攻击
2016年8月,一个之前从未见过的组织宣布它拥有由美国国家安全局(NSA)精英黑客组织所开发的恶意软件库,随后专业安全研究人员就开始展开工作,试图确定该小组公布的代码是否真由美国国家安全局所开发。在检查完自称“影子中间人”的黑客组织所发布的代码中的痕迹后,研究人员推断情况属实,不过新的文档似乎直接从源头证实了代码的出处。根据爱德华·斯诺登所提供的国家安全局的文件并对其拦截审查后,所公布代码中的几个要素与该机构所拥有的手册和资料的详细信息相一致。由于黑客工具从始至终都参与其中,因此该工具允许国家安全局执行拦截网络流量的“中间人”攻击。
(4)日本多个部门网站因遭到网络攻击而瘫痪
日本厚生劳动省和财务省等部门的网站1月31日出现瘫痪,无法阅览,疑似受到了DDo S攻击,日本财务省和众议院的网站也出现了瘫痪。日本金融厅网站主页1月31日深夜起陷入了难以浏览的状况。该厅发现自称是国际黑客组织“匿名者”的人物在网上发布了暗示网络攻击的声明。
(5)韩国军方情报中枢疑遭朝鲜黑客入侵
韩国国会国防委所属的共同民主党金振杓议员办公室收到的国防部报告资料显示,被推测为朝鲜方面的黑客攻击了韩国国防情报网集结的位于京畿道龙仁的国防整合数据中心(DIDC)服务器。DIDC于2015年2月创立,是对军队各网页和内部网等军方所有IT服务进行整合与管理的地方,统管全国几十个军方电算所的情报系统,这意味着韩国军方的情报“神经中枢”被敌军侵入。据韩国国防部披露,共有3 200多台电脑在此次黑客攻击中感染恶意代码,其中有2 500多台外网电脑和700台内网电脑。
1.4.3 军队频繁遭受网络攻击
在网络空间安全领域,2016年军队成为网络空间安全的重灾区,成为黑客攻击重点目标的同时,一些军队也可以利用网络空间武器攻击他国网络系统。
(1)美海军利用潜艇攻击他国网络系统
2016年8月,美国政府被发现曾利用潜艇切断了俄罗斯海岸的水下通信电缆、录下前苏联军队之间传递的消息。如今,美国一些潜艇则安装了先进的天线,它们可以用于拦截、操控他人的通信流量,特别是对于微弱或未加密的网络。而在2015年解密了斯诺登曝光文件的Adam Weinstein和William Arkin指出,美国首屈一指的黑客潜艇——USSAnnapolis被发现跟美国极为广泛的网络监控相关。
斯诺登曝光的其中一份幻灯片显示,美海军展开的数次所谓的“计算机网络开发”其中许多都是潜艇攻击的后果。不过比起海军的下一个目标,上面的都只能算是小儿科。美海军的新一个目标就把潜艇变成水下无人机的母舰,这样即便是在离海岸比较近的地方也能操控潜艇,或对离潜艇比较远的地方也能展开网络干扰或网络攻击。
(2)韩空军官网遭黑客攻击
2016年5月,韩国空军官网主页遭受黑客攻击,已经连续13天无法正常使用。韩国军方已经对恶意代码进行了分析。
韩国军方透露,空军主页主要为现役军人使用,黑客欲通过恶意代码使军人电脑成为“僵尸电脑”,此后可传播恶意代码。由于韩国军方核心网络国防网直接与作战指挥等相连接,因此黑客可能是为进入国防网而攻击空军主页。
(3)乌克兰军队操纵榴弹炮的APP被种木马
2016年12月,与俄罗斯支持的叛军作战的乌克兰军方,其士兵的安卓手机被埋藏着木马的APP入侵,而这个APP正是军队指挥官鼓励士兵在战场中使用安装的。
俄罗斯军方情报部门或是乌克兰叛军,可通过这个APP跟踪乌克兰炮兵部队的部署,将其暴露在反攻打击的目标之下。网络安全公司 CrowdStrike 公布了由“Fancy Bear”黑客小组实施的这一入侵行为,而“Fancy Bear”正是2016年入侵美国民主党国家委员会的黑客小组,其幕后支持者被业内安全专家认为是俄罗斯政府。同时CrowdStrike公司认为“Fancy Bear”与俄罗斯军方情报机构有关联,并在东乌克兰和俄罗斯边境紧密与俄罗斯军方合作。
1.4.4 基础设施领域持续遭受网络攻击
2016年,针对能源、医疗、银行金融系统和供应链等关键基础设施的网络攻击甚为活跃,攻击的复杂性与频度持续升高。关键信息基础设施面临较大风险隐患,网络安全防护能力弱,难以应对高精度的网络攻击。一旦受到攻击,可能产生重大网络安全事件,甚至引发交通中断、金融紊乱、电力瘫痪,严重威胁经济社会乃至国家安全。
(1)银行系统遭受网络连续攻击
2016年6月,黑客入侵了俄罗斯央行,并从该行的代理商行窃取了20亿卢布(约合3 100万美元);12月,俄罗斯国有银行VTB银行(俄罗斯外贸银行)证实称,其网站已经受到网络攻击侵扰。这也是最近曝光的最新攻击活动。
2016年11月,俄罗斯5家主流大型银行遭遇长达两天的DDo S攻击。来自30个国家或地区、2.4万台计算机构成的僵尸网络持续不间断发动强大的DDo S攻击。
卡巴斯基实验室提供的分析表明,超过50%的僵尸网络位于以色列、中国台湾、印度和美国。每波攻击持续至少1个小时,最长的不间断持续超过12个小时,攻击的强度达到每秒发送66万次请求。卡巴斯基实验室还指出,有些银行反复遭受攻击。
(2)电信领域遭受持续攻击
2016年10月,新加坡电信运营商星和宣布,该公司遭受蓄意网络攻击,造成其部分家庭宽带用户在10月22日和24日断网。星和公司表示,已经分析了断网事故的网络日志,发现其域名服务器(DNS)遭到了蓄意攻击,有可能是恶意的DDo S攻击。DDo S攻击利用来自多个系统的海量信息“淹没”服务器来攻击网站,让其无法回应用户的正当访问。
2016年11月,德国电信遭遇了一次大范围的网络故障,受影响用户达90万,也是继2016年10月的美国网络大规模瘫痪事件后的又一大规模DDo S攻击。
自德国电信遭到攻击后,英国赫尔地区的宽带用户,又被网络攻击切断了网络连接。赫尔地区的电信运营商表示,黑客针对自己部署特定型号的路由器发动了网络攻击,攻击持续了一段时间,导致大量用户无法访问互联网。问题出现在了合勤科技的AMG1302-T10B路由器上,这款路由器被黑客发现了漏洞。
(3)互联网领域遭受大规模攻击
2016年10月,在美国提供动态DNS服务的Dyn DNS遭到了大规模DDo S攻击,攻击主要影响其位于美国东区的服务。此次攻击导致许多使用Dyn DNS服务的网站遭遇访问问题,其中包括Git Hub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、Sound Cloud、Spotify和Shopify。攻击导致这些网站一度瘫痪,Twitter甚至出现了近24小时零访问的局面。
攻击者在实战场地上向我们演示了新的攻击武器,对于网络安全从业者而言,这毫无疑问是个坏消息。在可预见的未来,还会有更多的新型DDo S攻击手段被开发出来,2017年这个领域的攻防还会继续对抗下去。
1.4.5 工控领域网络威胁持续不断
工控领域逐渐成为网络攻击的重点,全年工业控制网络设备漏洞数量仍居高位,工控安全事件逐年增加。
(1)乌克兰电力供应网络系统遭到黑客攻击
2015年12月,乌克兰电力公司的网络系统遭到黑客攻击,导致西部地区大规模停电。乌克兰官员指出,这是由俄罗斯黑客发起的攻击。同时,为了让电力公司的维修部门无法正常工作,黑客利用恶意软件定时打电话,让维修人员一直保持忙碌。俄罗斯方面则拒绝承认,认为乌克兰官员只是希望借此引起国际媒体的注意。
乌克兰的国家安全局(SBU)表示,俄罗斯的特工在乌克兰的国家电网中植入了恶意软件,导致发电站意外关闭。现在,乌克兰国家安全局声称他们已经在其电力网络中发现了这个恶意软件,并成功地将其从电网中移除了。乌克兰地区的多家电力公司同样也遭受到了拒绝服务攻击,这使得各大电力公司的呼叫支持中心不堪重负。
这些针对乌克兰的网络攻击也暴露出了美国电力系统的设计缺陷。例如Energetic Bear和Dragonfly等安全威胁,外界广泛认为这些攻击事件是由俄罗斯政府在背后进行操作的。
(2)德国核电系统遭受严重网络攻击
2016年4月,德国Gundremmingen核电站的计算机系统,在常规安全检测中发现了恶意程序。此恶意程序是在核电站负责燃料装卸系统的Block B IT网络中发现的。
据说该恶意程序仅感染了计算机的IT系统,而没有涉及与核燃料交互的ICS/SCADA设备。核电站表示,此设施的角色是装载和卸下核电站Block B的核燃料,随后将旧燃料转至存储池。
该IT系统并未连接至互联网,所以应该是有人通过USB驱动设备意外将恶意程序带进来的,可能是从家中或者核电站内的计算机中。他们并没有公布该恶意程序的名字,只是说并不严重,并将整个事故分级为“N”(表示Normal)。
(3)中东国家遭到定向网络入侵
2016年8月,卡巴斯基实验室揭露了针对工控行业的“食尸鬼”网络攻击活动,攻击通过伪装阿联酋国家银行电邮,使用鱼叉式钓鱼邮件,对中东和其他国家的工控组织发起了定向网络入侵。攻击使用键盘记录程序Haw Key收集受害系统相关信息。“食尸鬼”攻击行动使用了商业现成的恶意软件,虽然没有创新,但是其结合了社会工程学中人的因素,针对目标机构特定人员进行了成功的定向入侵渗透。