根据对美方相关武器和攻击行动的分析,总结出美方网络攻击作业的六大特点。
首先,超强的边界突防能力。美方针对网络防火墙、路由器、交换机、VPN等网络设备0day漏洞储备丰富,能隐蔽打入控制边界和网络设备,进行流量转发,并将此作为持续攻击内网目标的中继站。例如在对中东最大SWIFT服务提供商EastNets攻击中,美方就先后入侵了外层的VPN防火墙和内层企业级防火墙,并在防火墙上安装了木马。
其次,进行全面的前期侦查与信息搜集。例如在2010年7月“震网”(Stuxnet)蠕虫攻击事件中(Stuxnet是一个面向工业系统进行攻击的病毒,是世界上首个网络“超级破坏性武器”,美方经历了超过4年的准备过程,在攻击伊朗核设施之前,美方已经完全渗透了伊朗的基础工业机构,包括设备生产商、供应商、软件开发商等,完整研究与模拟了伊朗核工业体系,知己知彼后才实施最后攻击。
第三,美方攻击手段已经实现人力、电磁、网空作业三结合。美方将网络空间仅视为达成窃密的通道之一,组合人力手段和电磁手段达到最优攻击效果。例如:代号为水蝮蛇I号的设备,就融合了基于USB接口的木马注入和数据无线回传机制,根据资料,最大通讯距离可达8英里。
第四,广泛采用无文件实体技术。采用直接内存加载执行或建立隐藏磁盘存储空间等方式隐蔽样本,同时通过固件等方式实现更隐蔽的持久化。例如,DanderSprit木马框架中就包括写入硬盘固件的组件,在攻击过程中,针对符合预设条件的主机,将木马写入到硬盘固件中。即使用户重新安装系统,木马依然能重新加载。
第五,恶意代码载荷基本覆盖所有操作系统平台。在已曝光的美方攻击行动中,已发现各类操作系统平台样本,如Windows、Linux、Solaris、Android、OSX、iOS等。可以说面对美方攻击能力,没有安全的系统。
第六,超强的突破物理隔离网络能力。美方基于物流链劫持、人工带入等方式,借助外设和辅助信号装置,实现建立桥头堡、构建第二电磁信道等方式,突破物理隔离网络。例如在震网攻击中,根据相关信息,由荷兰情报机构人员进入到现场,将带有震网病毒的USB设备接入到隔离内网发起攻击。#网络攻击