2024年2月12日,美国网络安全公司SentinelOne在其官网上发布题为“China’s Cyber Revenge/Why the PRC Fails to Back Its Claims of Western Espionage”的报告[1],(以下简称“SentinelOne报告”),对“中国三家知名网络安全企业360、奇安信、安天及中国网络安全产业联盟(CCIA)”等机构揭露美方情报机构网络攻击的相关报告进行解读。我们先直接概括其报告中的观点和关键逻辑。
SentinelOne报告对我们公开的分析报告基于时间线进行了梳理,并引述一些美方人士观点,设定了如下观点:
1、中方报告是对国际其他机构对美方分析的跟进,存在长期滞后;
2、中方分析工作严重依赖美方自身的信息泄露;
3、中方报告没有“PCAP包”级别的技术实证。
SentinelOne报告的逻辑并不是应答全球网络安全业界和研究者过去二十年来对美方情报机构攻击活动和能力的持续分析曝光,包括在美方多次信息泄露中所暴露出来的触目惊心的真相,而是试图把国际关注度转移到中国网络安全工作者的技术能力和水平是否能够支撑其持续独立发现、分析、研究、溯源美方的攻击上,并将实证的概念窄化为一种具体的技术格式。美西方此前长时间习惯性地从宏观层面夸大中国网络安全能力,以便为其情报机构和军工复合体争取巨额的网络安全预算,而此时,突然又在微观层面开启一波认为中国分析溯源能力很差的“嘲讽”流,并宣判:作为被霸凌者,你们反抗无效!
对SentinelOne报告所提及的中国安全企业的分析报告,有很大比例来自安天安全研究与应急处理中心(安天CERT),我们当然承认:作为一个企业级别的安全分析团队,分析美国情报机构这种超级网空威胁行为体的网络攻击活动和支撑体系,是非常艰苦的工作。我们知道其中有巨大的能力、资源等方面的落差。我们就如同一只警觉的白兔,努力睁大双眼去发现和分析在迷雾森林中吞噬咀嚼各种弱小动物的巨型鹰鹫,我们希望努力画出它的样貌,提醒森林里的其他动物警惕它的袭击。
2015年,我们提出了A2PT(即高级的高级持续性威胁)这一名词,以此明确其空前的能力和威胁,也提醒我们自己,对抗和分析这种攻击能力会有多么困难。
分析、溯源APT攻击本身是一个长期、复杂、需要大量资源,需要高度严谨的科学态度和耐心定力的工作,对于更为复杂的A2PT的分析则需要付出更大的代价。我们的工作过程基本不为常人所知,分析成果又只有专业人士才能充分理解。所以尽管SentinelOne报告整体逻辑如此之荒谬,但如果我们不向SentinelOne(我们愿意称呼他们为美国同行)点破若干他们视而不见的真相,包括向他们分享一点我们(也包括国际网络安全业界)对APT分析工作的真正理解,就不足以让人们看清SentinelOne报告貌似专业、甚至“公正”的梳理和分析下面隐藏的对世界的欺骗。
因此我们很感谢SentinelOne报告,让我们有机会以自己的回忆视角串联若干历史分析工作,包括促成我们公布这些工作中的一些未出现在历史报告中的过程线索。由于这段历程过于漫长,我们一度认为若干有价值的分析成果已经覆满尘土,但SentinelOne报告让我们可以把它们重新摘选出来,重新对世界发出告知与提醒。让所有寻求真相的人们,把我们的这份报告与SentinelOne报告摆放在一起,看看何为诡辩,何为逻辑与真相!
我们并不自诩正确,但我们总还有讲述自己经历的权力!
美方情报机构的网络攻击不是孤立的行动,而是基于0day漏洞、高级恶意代码持久化和基于人力、电磁和网空混合作业的长期布局,并有庞大的工程体系作为支撑。在长期作业过程中可能经历大型恶意代码工程的多次迭代,这使得国际网络安全业界的分析曝光工作看起来像一场工作接力。第一个接力高峰期,2010年由“震网”事件所触发,并沿着“火焰”“毒曲”“高斯”等复杂的恶意代码展开。SentinelOne的时间线开始就选错了起点,包括中国网络安全工作者在内的国际网安业界分析工作起跑于2010年,我们的工作和国际业内同仁是基本同步启动的,而不是2012年。2010年7月13日国际网络安全企业最早曝光相关消息后,我们在7月15日依托设定的关键字符串守候到了样本,并着手搭建“震网”的模拟分析环境,开始模拟分析相关机理。
图2‑1 安天搭建的“震网”简易模拟分析沙盘(2010.7)
针对“震网”的接力分析,是由很多复杂而琐碎的工作组成的。例如几乎所有参与分析的机构,都在其中找到了感染USB设备的摆渡感染代码。但多数没有成功触发复现USB摆渡行为。安天的分析贡献之一是对其摆渡的关键机理进行了深入分析,指出了其摆渡传播的控制条件,从而解释了其与其他蠕虫差异明显的受控传播特性。在2010年10月11日的《对Stuxnet的后续分析》[2]中,我们解读了:
Stuxnet是否感染到U盘,取决于配置数据中的多个域,包括:
-
偏移0x6c、0x70、0xc8处的标记位;
-
偏移0x78、0x7c处的时间戳;
-
偏移0x80、0x84处的数值。
只有当每个域对应的条件都满足时,才会感染U盘。其中,偏移0xc8处的位默认设置为不感染。
图2‑2 “震网”文件释放结构和USB传播逻辑图(2010.10)
但我们对当时的分析精细度并不满意,在九年后的“震网”事件最终报告[3]中,我们对完整的标志位做了更新:
图2‑3 震网摆渡配置内容解析(2019.9)
2010年面对如此复杂的攻击时,我们承认自己匮乏资源与经验,作为从病毒分析组转型的应急分析团队,我们太习惯于代码功能逆向的视角,而并未将其所使用的多个0day漏洞进行逐一验证,也就留下了一个严重的分析错误,把针对Windows打印后台程序漏洞的利用当作了对打印机的攻击,还留下了如下带有错误的图示。这也间接导致了多份国内外的文献由于引用了我们的图示而产生关联错误。
图2‑4 Stuxnet蠕虫突破物理隔离环境的传播方式的错误图示(2010.9)
尽管对“震网”事件的深入分析了解是全球所有APT分析研究者的基本功,但我们笃定的是:SentinelOne不会比我们更了解“震网”,因为如果他们分析过样本,恐怕就不会不知道“震网”会提取主机信息并追加于Payload尾部。显然,基于我们样本库中大量的“震网”样本对主机信息的还原,会提取出大量中国计算机被感染的证据。而这恰恰就是SentinelOne报告所说的实证。
图2‑5 安天基于样本提炼整理的感染中国计算机节点的部分数据
当美方领导人和政府人士不仅在多次场合中暗示承认“震网”与其情报机构的关系,甚至明显以此作为拥有强大网络攻击威慑的一种宣示时,对事件的分析就已经不能停留在样本分析和技术实证层面,而必须更深入的判断打开信息战“潘多拉魔盒”的影响。在对“震网”的分析中,安天量化对比了“震网”事件与二十年前的凋零利刃与巴比伦行动,明确提出“震网”的灾难性里程碑意义,在于其证明了网络攻击能达成传统作战行动的局部等效性。
|
凋谢利刃与巴比伦行动(传统作战行动) |
震网行动(网络战行动) |
|
|
发起攻击者 |
以色列、伊朗、美国 | 美国、以色列 |
|
被攻击目标 |
伊拉克核反应堆 | 伊朗铀离心设施 |
|
时间周期 |
1977-1981年 | 2006-2010年 |
|
人员投入 |
以色列空军、特工人员、伊朗空军、美国空军和情报机构 | 美、以情报和军情领域的软件和网络专家,工业控制和核武器的专家 |
|
产出 |
多轮前期侦查和空袭,核反应堆情报 | 战场预制、病毒的传播和伊朗核设施情报 |
|
各方装备投入 |
伊:2架F-4鬼怪式以12枚MK82减速炸弹-轰炸核反应堆假设工地;10架F-4袭击伊拉克H-3空军基地。
以:2架F-4E(S)-侦查任务;8架F-16A(美方提供)、4架F-15A、2架F-15B、16枚MK84炸弹-空袭反应堆 模拟搭建反应堆 特工人员暗杀伊拉克关键人员 美方:战略卫星和情报、空中加油机 |
震网病毒
模拟搭建离心机和控制体系 |
|
效费比 |
打击快速,准备期长,耗资巨大,消耗大,行动复杂,风险高 | 周期长,耗资相对军事打击低,但更加精准、隐蔽,不确定性后果更低 |
|
训练成本 |
18个月模拟空袭训练,2架F-4鬼怪攻击坠毁,3名飞行员阵亡 | 跨越两位总统任期,经历了5年的持续开发和改进 |
|
消耗 |
人力、军力、财力、装备力、情报 | 人力、财力、情报 |
|
毁伤效果 |
反应堆被炸毁,吓阻了法国供应商,伊拉克核武器计划永久迟滞 | 导致1000台至2000台离心机瘫痪,铀无法满足武器要求,几乎永久性迟滞了伊朗核武器计划 |
在“震网”之后,全球网络安全业界陆续发现了“毒曲”“火焰”“高斯”并发布报告,并陆续证明它们与“震网”的相关性。在面对“火焰”时,卡巴斯基指出,其攻击是当时发现的最为复杂的攻击之一,要对其完全分析清楚可能要耗费数年时间。我们意识到国际安全企业和从业者需要进行分工协同,我们尝试开启了一段马拉松式的分析赛跑,尝试完成更多的工作,对“火焰”主样本进行了分析[4],并提取了子模块清单,对其中重点模块进行了分析。从目前的公开资料检索看,在业内完成“火焰”的分析成果中,安天在模块层面的分析贡献占比是最高的。
图2‑6 “火焰”病毒主模块与子模块启动加载顺序(2012.5)
我们对“毒曲”和“震网”的同源分析报告晚于国际厂商[5],这的确是一个事实。“震网”“火焰”“毒曲”“高斯”系列存在同源关联是当时参与这些样本深度分析的各厂商的共同的猜测与判断。卡巴斯基的工作最为敏捷和坚决,而我们则没有把找到的相似点在第一时间沉淀为公开的分析成果,但如果比较这两份同源分析,其实也可以看到:安天所提供的同源点大部分与卡巴斯基并不相同,将分析成果叠加起来可以为APT样本体系间的同源性到代码复用占比分析提供更完整的线索和依据。
图2‑7 安天公布的震网、毒曲同源关键代码基因对比(2012.5)
APT分析是一个社会协同过程,其中有大量的疑问是需要长时间的分析积累、关联回溯才能解决的,“震网”就是一个例子。例如在非常长的时间内都没有组织机构正式解答:作为高度定向的攻击所使用的样本,且大版本只有两个,总模块数只有数十个,但为什么其样本数量多达数千个,包括为什么在技术验证中,USB摆渡开关是默认关闭的,却能形成一条从中东到东南亚并渗透到中国的感染扩散链。我们在《震网事件的九年再复盘与思考》[3]对上述问题进行了分析解答,尽管这个解答迟来了九年,但这是中国网络安全工程师的独创内容。相比之下,急功近利的组织机构和研究者很难取得深度和系统的成果。
同样的,我们以软件工程的视角,梳理“震网”“火焰”“高斯”“毒曲”之间的代码复用关系,并输出了一个完整的图谱:
图2‑8 安天发布Stuxnet和Duqu、Flame、Fanny、Flowershop关系图(2019.9)
既与时间赛跑,又在时间面前保持定力;既尊重他人的分析成果,又有自己的独创贡献,这就是中国网络安全工作者在这场接力中扮演的角色。
A2PT组织攻击装备的重要特点是恶意代码和漏洞利用工具攻击武器几乎覆盖所有平台与场景。把这个全貌完整绘制出来,成为全球优秀的网络安全研究机构携手共同努力才能破解的斯芬克斯之谜。在2013年之后,针对“方程式组织”(NSA下属的TAO团队)的分析协同就是一次集体解谜历险。“方程式组织”的新攻击活动与此前“震网”“火焰”系列攻击至关重要的差异是,“震网”是面向隔离网络的攻击作业,所以Payload必须包含所有的功能模块组件,这就便于完整的关联分析。而新的攻击波次主要是依托互联网侧的高度模块化,针对场景按需投放。由于各国的IT基础环境、各安全企业服务的客户场景都有很大不同,任何一家网络安全厂商都不可能在短时内完整捕获其各平台样本和各种功能模块。如果说我们看到“震网”“火焰”“毒曲”“高斯”是依靠同源线索关联所形成的分析接力的研究,那么对“方程式组织”的分析实际上就是依靠自身的感知捕获能力,逐个解开其在各个平台上的免杀,直到最终完整解开它全平台覆盖能力。每一个平台捕获、分析、拼接到最终曝光,都走过了很长的过程。其中我们将iOS样本的曝光,与我们正式捕获完成分析的时间,已经相隔了8年。我们依靠自身的捕获能力,先后捕获了其Windows、Solaris、Linux、iOS平台的攻击样本,破解了样本加密机制。和国际产业界协同完成了其全操作系统平台覆盖能力的分析,并最终使其完整曝光。
图3‑1 全球网络安全厂商披露的方程式组织平台覆盖能力
2015年初,卡巴斯基率先开始公布了方程式组织对硬盘固件的攻击能力,安天跟进公布了分析报告[6],针对攻击组件结构、通信指令代码和控制结构提供了有价值的成果。
图3‑2 安天公布的捕获的C2和通信密钥(2015.3)
安天该报告中还对硬盘固件写入模块进行了分析和过程研究,并在当时对可能被持久化主机硬盘进行了固件提取比对分析。
图3‑3 安天分析硬盘固件升级流程(2015.3)
我们在2013年对“方程式”组织的捕获分析中,就监测发现大量回连攻击者C2的机器,确定国内存在被攻击目标。
图3‑4 国内回连方程式组织C2监测流量
2015年5月,安天发布报告,公开了“方程式”组织内置的数据加密和网络通信加密算法,公布了解密密钥和解密算法[7]。
图3‑5 方程式组织通信加解密算法分析(2015.4)
2023年,安天曝光了“方程式”组织针对iOS的样本[9],报告与卡巴斯基报告“三角测量行动”互动,分别曝光了美方通过“量子”系统劫持投放和基于手机iMessage服务漏洞投放攻击iOS手机的攻击方式。安天在报告中还发布了“量子”系统的攻击能力图谱和美方支撑攻击系统运行的关系图谱。
带给全球网络安全工作者巨大压力和干扰的,并不只是A2PT攻击本身。如果从事件的数量、攻击的范围这种统计学指标来看,美方对网络军备扩散的纵容和网络军火管理失控导致的网络黑产与犯罪给全球带来了更大的麻烦。
2015年,我们发现一例针对中国某机构的APT攻击事件[10]。从最开始捕获的加密数据包,到后来发现其利用注册表数据块完成的持久化,我们都以为这是一起A2PT组织发起的攻击,但直到将其导入到安天赛博超脑平台进行同源性比对后才发现:这是由美国企业发布的自动化攻击测试平台Cobalt Strike生成的攻击载荷,被利用来对我们发动攻击。
图4‑1 样本模块与Beacon生成模块的对比分析图(2015.5)
图4‑2 对Cobalt Strike创始人军事背景的分析(2015.5)
安天在报告中指出“网络空间已经存在严峻的网络军备扩散风险,超级大国能否合理控制自身网络军备发展的速度和规模,并对因自身未有效履行责任而使网络领域发生可能的军备扩散,进行有效的干预和控制,是我们能否达成一个更安全的网络世界的关键因素。”
结果一语成谶。时隔两年,美方便带给全球一次更大的麻烦,因美方的影子经纪人泄露事件导致使用“永恒之蓝”漏洞的WannaCry蠕虫事件,该蠕虫仅利用美国NSA“网络军火”中的“永恒之蓝”(Eternalblue)漏洞,就制造了一场遍及全球的巨大网络灾难。
尽管我们在2016年的网络安全威胁年报[11]中,对勒索病毒有可能和蠕虫合流的趋势做了预判,但我们并没有想到几个月后就以如此迅猛的方式表现。尽管如此,在针对WannaCry的溯源判断上,我们还是坚持了中国网络安全工作者的客观和严谨。虽然其使用的高级漏洞利用工具毫无疑问的来自美方的武器泄露,我们依然依靠WannaCry的历史样本同源等多组线索,向中国网络安全应急组织给出了我们对于WannaCry的来源判断,以及其并非由美方开发的结论。但这一结论并不意味着,包括中国用户在内的WannaCry受害者不需要追究美方网络军备失控的责任,包括这起事件让安天作为中国应急体系重要的企业节点,不得不展开72小时连续紧急响应,并支撑了长达数十天综合处置的投入。
图4‑3 安天响应WannaCry事件跟进时间表(2017.5)
而“影子经纪人”泄露带来的相关风险并非只有一个“永恒之蓝”,其每一个漏洞利用工具都对信息系统有着巨大风险,为此我们发布了关于系统化应对NSA网络军火装备的操作手册[12]并绘制了这些漏洞的风险图谱,见下图。
图4‑4 泄露的NSA网络军火装备与相关漏洞、系统版本关系图(2017.5)
回顾这些工作,有助于澄清对中国网络安全工作者分析APT攻击目标的刻板偏见。帮助自己的客户应对好安全威胁、防范好安全风险,才是我们工作的第一维度;指认攻击方和麻烦制造者,只是我们分析成果的价值之一。
A2PT攻击与其他网络攻击最大的不同,是其攻击活动并不是简单的漏洞与恶意代码的组合,而是依托庞大的情报工程体系进行的复杂作业。想要完整地理解A2PT攻击,就不可能不去分析这个庞大的工程体系,而显然这种分析从理论上就无法通过现场环境、样本、漏洞和战术利用来完成。
SentinelOne报告对中国网络安全工作者最滑稽的嘲笑,是认为我们的全部工作或者来自于对国际其他安全机构分析成果的跟进模仿,或者依赖于美方自己情报机构的破窗效应带来的一系列的信息泄露,包括斯诺登、“影子经纪人”、维基解密等等。从我们前面所介绍的经历,就可以看到中国网络安全工作者在分析工作中有自己独创的成果。但面对这些庞大的工程体系,如果没有斯诺登和维基解密,就不可能让世界人民看到这只鹰鹫的全貌。
2017年,安天发表系列文章,深度解析斯诺登泄露文件中的“星风”计划项目等。安天报告梳理了美方大量的信号情报获取项目和计划,分析美方通过大型海底光缆监听、重点特殊区域监听、计算机网络利用(CNE,即网络入侵)、卫星监听和第三方情报共享等方式,获取各类信号情报,实现对全球目标的完整画像,从而形成比较精准的目标定位能力,为美方从战略层面构建网络空间霸权到微观层面实施网络攻击,形成了超级工程支撑。
图5-1 安天对“星风”计划项目结构分析(2018.3)
我们后续的工作是需要分析这些工程体系和A2PT攻击中的攻击平台、高级恶意代码、漏洞利用工具战术运用连接起来进行猜测分析。包括在前端攻击中值得关注的是信号设备,这些信号设备本质上不是一种传统的网络作业装备,是从传统的电磁作业装备传承而来的。也就是说,从美方情报机构来看,没有真正意义上的网络攻击的概念,美方只有情报作业和军事打击两个概念。所谓的“CNE/CE”只是其在众多体系和装备中的一个路径选择。
图5‑2 网络攻击的装备体系、支撑体系和作业方式图(2018.1)
除此以外,还需要关注这套体系的运营机制,包括它为什么可以获得如此丰沛的漏洞和技术。长期以来尽管有很多合理的猜测,但缺少深入的梳理,包括像Pwn2Own这样的黑客大赛活动与美方的情报机构到底有何关联。
图5‑3 方程式组织的资源运营和作业关系图谱(2023.6)
基于泄露出来的海量信息对美方情报工程体系进行梳理分析,是中国安全从业者基于国际主义责任视角来完成的。通常来看,多数安全企业分析曝光攻击活动,更多的都是为了通过自身的威胁发现能力,推广自身的产品和服务。而显然如此庞大的体系攻击,需要构建高水平动态综合的防御体系和大量的资源投入,而不是简单部署产品和购买服务能防范的,我们将分析成果公开也是希望带来这些警示和提醒。
2024年初,有一些A2PT组织的历史攻击活动的细节被进一步曝光[13],例如美国情报机构买通荷兰工程师,在赴伊朗进行工业系统安装维护过程中,向伊朗投放震网病毒。“美方进行的网络攻击在针对他国物理隔离体系、或高价值目标时,往往采用人力、电磁等手段对网络攻击进行辅助,有鲜明的混合作业特点。”显然攻击活动先天就不存在TCP/IP层面完整链条,面对这种混合攻击即使在内网捕获到了横向移动的数据包,本身也无法构成技术层面的指向作用。
同时,A2PT和APT的区别不只是前端利用漏洞和样本的复杂性,而是依托于巨大的作业方的体系,本身构筑了美方在网络攻击活动的作业形式,支撑了相关的反溯源性,构造了大量劫持第三方的武器,使美方可以将攻击流量混入到正常流量中去。同时也可以利用对海底光缆等劫持手段回收所窃取数据。显然A2PT的这种混合作业、无需在互联网闭环的范式,给了SentinelOne报告索要PCAP包证据的底气,如同一个恶霸对着被自己用枪打伤的被害人说,“来,你拿出我用刀砍你的证据”。
但终究这种混合作业并不是A2PT攻击活动的全部,也终有网络上完成的攻击作业闭环。美方自己的信息记录成为了铁证,正是依靠“影子经纪人”事件中泄露的信息,安天得以把泄露事件信息和历史样本分析结合到一起,完整复盘了“方程式组织”攻击中东最大的SWIFT金融服务提供商EastNets事件[14]。该分析报告在2019年6月发布,是全球网络安全业界分析曝光美方攻击活动中,首个完整还原美方攻击跳板、作业路径、装备运用、战术过程、场景环境和后果的分析报告。
图6‑1 “方程式组织”对EastNets网络的总体攻击过程复盘(2019.6)
安天在报告中总结了美方此次作业使用的攻击装备信息,根据功能目的分为漏洞利用工具和平台类、持久化植入武器类、控制后门类,并对武器功能、适用场景和关联漏洞进行描述,指出美方拥有覆盖全平台全系统的攻击能力和大量的0day储备。
|
攻击装备名称 |
漏洞编号 |
针对设备及功能 |
|
未知装备A |
CVE-2015-7755 |
未知装备A是针对Juniper ScreenOS(Juniper SSG及NetScreen防火墙产品使用的操作系统)的漏洞攻击装备,在通过SSH与Telnet登录Juniper防火墙时存在身份认证绕过漏洞; |
|
EPICBANANA |
CVE-2016-6367 |
EPICBANANA是针对Cisco ASA and PIX设备中command-line interface (CLI)解析器的漏洞攻击装备; |
|
EXTRABACON |
CVE-2016-6366 |
EXTRABACON针对Cisco ASA 设备的SNMP服务(端口161、162)漏洞攻击装备; |
|
ENTERNALCHAMPION |
CVE-2017-0146 |
ENTERNALCHAMPION(永恒冠军)是针对Windows Server 2008 SP1 x86等的“永恒”系列漏洞攻击装备,利用Windows的SMBv1远程代码执行漏洞; |
|
ETERNALSYNERGY |
CVE-2017-0146 |
ETERNALSYNERGY(永恒协作)是针对Windows 8等的“永恒”系列漏洞攻击装备,利用Windows的SMBv1远程代码执行漏洞; |
|
ETERNALBLUE |
CVE-2017-0143 CVE-2017-0144 CVE-2017-0145 CVE-2017-0146 CVE-2017-0148 |
ETERNALBLUE(永恒之蓝)是针对Windows 7/8/XP等的“永恒”系列漏洞攻击装备,利用Windows的SMBv1远程代码执行漏洞; |
|
ETERNALROMANCE |
CVE-2017-0143 |
ETERNALROMANCE(永恒浪漫)是针对Windows XP、Vista 7、Windows Server 2003/2008/2008 R2等的“永恒”系列漏洞攻击装备,利用Windows全平台的SMBv1远程代码执行漏洞; |
|
EXPLODINGCAN |
CVE-2017-7269 |
EXPLODINGCAN(爆炸之罐)是利用IIS6.0 webDAV漏洞的攻击装备; |
世界上每个希望完整了解A2PT攻击威胁的人们,都可以阅读一下这篇复盘分析报告。
图7‑1 SentinelOne梳理全球分析美方报告时间线及与“疏忽遗漏”安天报告对比
也正是在这种不断的反思中成长,我们逐渐取得了更多的分析成果。随着全球各方十多年来的努力,美方这头网空巨型鹰鹫逐渐在迷雾中显现出来。通过各方披露的组织机构、能力资源、网空工程体系、武器装备、作业手法和运营模式,可以看到美方网空攻击庞大的体系规模与深度的技术能力储备。在这场接力赛中,有人已经退场,欧美厂商早期披露曝光过美方网空样本,但在后续研究中不得不缄默其口。有人始终保持高水平的输出,卡巴斯基则保持始终如一的持续披露。而中国安全厂商也在不断跟进分析曝光中成长,中国安全企业贡献的分析成果已经占有越来越高的比例,在安全厂商和机构的共同努力下,这个庞然大物的全貌逐渐被拼接挖掘出来。
(安天根据赛博超脑平台积累的各方报告统计,如认为有统计问题,请与我们联系)
尽管自2010年“震网”事件被发现以来,各方对美方的分析曝光不断,但由于美方攻击体系极为庞大,很难独立形成完整分析成果。国际安全业界和研究者,协同接力分析曝光已成常态,分析成果相互补充或相互验证,这种集体协同分析的攻击活动与攻击体系更是全球网络安全学术界和业界对美方网络攻击的一种共同认定。我们梳理了当前全球网络安全机构对美网空能力及武器分析资料,以桑基图形式绘制了相关图谱,从下图可以看出全球网络安全机构彼此接力、协同分析美方间谍机构活动的分析历程,全球网空机构共同尝试解密美方的网空魔兽。
(安天根据赛博超脑平台积累的各方报告统计,如认为有统计问题,请与我们联系)
图7‑4 全球安全厂商对美系列网络攻击活动分析梳理(甘特图形式)
(安天根据赛博超脑平台积累的各方报告统计,如认为有统计问题,请与我们联系)
与这样的网空魔兽进行斗争,本身就需要莫大的勇气,也可能面临各种综合风险,我们的统计数据来自我们赛博超脑平台对各方分析报告成果的自动统计,可能并不完整,没有完整体现同仁的分析结果,我们会根据反馈修正。列举数据不是为了证明我们的能力有多强,而是为了说明:分析巨型鹰鹫,需多方协作、共同努力。
SentinelOne报告包裹了太多的傲慢,作为一个显而易见的“旋转门”机构,我们深知其背后力量的强大;从“广场协议”到长臂管辖,从法国的阿尔斯通到中国的华为,当有任何一个民族因勤奋的耕耘取得了令鹰鹫艳羡的收获时,这个力量的打击就会如约而至,A2PT攻击只是这些打击活动中很小的一部分。但世界上没有任何一个机构或企业能够独立对抗这种攻击,即使是被视为欧洲网络安全最强力量的卡巴斯基,都至少遭遇了被NSA的CamberDaDa计划列为监听目标,被“毒曲2”入侵,源代码被窃取,关键人员iOS手机被植入木马等多波打击。甚至可以说,不要说是一家安全企业,世界上多数国家的整个安全产业,都不足以对抗这个庞然大物。因此总有人试图提醒我们:这种力量的悬殊,就像原始部落的人类面对着奥林匹斯山上的诸神,让我们不要反抗,但我们依然希望解开A2PT攻击的真相。在东方的传说里,愚公终可以移走大山;在西方的神话里,普罗米修斯会把火种带到人间。而美国情报机构包括他们的“旋转门”机构就像来啄食普罗米修斯内脏的鹰鹫,不仅要持续伤害,还要束缚住被伤害者的双手,使之不得反抗。当施加伤害的一方将被害方能力的不足作为一种原罪来奚落的时候,我们看到的是两百年来的殖民者与侵略者习惯的傲慢,将被殖民、被侵略和被伤害者没有足够的反抗实力视为一种原罪。
当基于上帝模式作业,依托其庞大的情报工程体系、大规模建制化的攻击队伍、覆盖全平台全场景的攻击武器,基于人力、电磁和网空混合作业的A2PT攻击者,自以为可以“杀人于无形”,“事了拂衣去”,又反过来嘲笑被攻击方时,我们是不是读到了两百年来同样的剧本。
施害者不因施害的高明而高贵,反抗者不因反抗的艰难而卑微。
施加侵害是一种事实,遭遇伤害也是一种事实,这就是我们工作所还原的真相。
晨光终将射穿迷雾!
附录一:参考资料
https://www.SentinelOne.com/labs/chinas-cyber-revenge-why-the-prc-fails-to-back-its-claims-of-western-espionage/
https://www.antiy.cn/research/notice&report/research_report/20101011.html
https://www.antiy.com/response/20190930.html
https://www.antiy.com/response/flame/Analysis_on_the_Flame.html
https://www.antiy.cn/research/notice&report/research_report/261.html
https://www.antiy.com/response/EQUATION_ANTIY_REPORT.html
https://www.antiy.com/response/Equation_part_of_the_component_analysis_of_cryptographic_techniques.html
https://www.antiy.com/response/EQUATIONS/EQUATIONS.html
https://www.antiy.com/response/EQUATION_iOS_Malware_Analysis.html
https://www.antiy.com/response/APT-TOCS.html
https://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html
https://www.antiy.com/response/Antiy_Wannacry_NSA.html
https://www.volkskrant.nl/kijkverder/v/2024/sabotage-in-iran-een-missie-in-duisternis~v989743/
https://www.antiy.com/response/20190601.html
https://www.sans.org/blog/why-stuxnet-isnt-apt/
原文始发于微信公众号(安天集团):如何让“鹰鹫”在迷雾中显形——接力协同与我们的贡献
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论