• 網(wǎng)絡(luò)空間攻擊態(tài)勢(shì)發(fā)生三大深刻變化：由少數(shù)黑客的肆意妄為轉(zhuǎn)變?yōu)閲?guó)家力量有組織的集體行動(dòng)，由以單一簡(jiǎn)單目標(biāo)為主轉(zhuǎn)變?yōu)橐躁P(guān)鍵基礎(chǔ)設(shè)施和復(fù)雜系統(tǒng)機(jī)構(gòu)目標(biāo)的規(guī)模行動(dòng)，由網(wǎng)絡(luò)空間內(nèi)獨(dú)立行動(dòng)轉(zhuǎn)變?yōu)殛懞？仗炀W(wǎng)聯(lián)合行動(dòng)。
• 網(wǎng)絡(luò)空間攻擊威脅可以歸納為五大類型：網(wǎng)絡(luò)空間單點(diǎn)攻擊、系統(tǒng)攻擊、體系攻擊、聯(lián)合攻擊和總體攻擊，在目標(biāo)、手段、特征、威脅程度等維度均有所不同。

本文通過對(duì)網(wǎng)絡(luò)攻擊案例的梳理，歸納整理當(dāng)前面臨的五大網(wǎng)絡(luò)空間攻擊威脅，并提出相關(guān)應(yīng)對(duì)策略，以期在未來(lái)的網(wǎng)絡(luò)空間攻防對(duì)抗中獲得主動(dòng)。此次發(fā)布為文章的上半部分，主要分析五大網(wǎng)絡(luò)空間攻擊威脅。

一、五大網(wǎng)絡(luò)空間攻擊威脅概述

網(wǎng)絡(luò)空間攻擊態(tài)勢(shì)發(fā)生了深刻的變化?，F(xiàn)在網(wǎng)絡(luò)攻擊不僅僅是黑客肆意妄為的個(gè)人行為，越來(lái)越多的國(guó)家級(jí)力量參與到網(wǎng)絡(luò)攻擊行動(dòng)中，網(wǎng)絡(luò)空間業(yè)已成為大國(guó)間政治角力的新戰(zhàn)場(chǎng)。

通過對(duì)網(wǎng)絡(luò)攻擊案例進(jìn)行分析梳理，可以將網(wǎng)絡(luò)空間攻擊威脅歸納為五大類型——網(wǎng)絡(luò)空間單點(diǎn)攻擊、系統(tǒng)攻擊、體系攻擊、聯(lián)合攻擊和總體攻擊。(如圖1所示)五大網(wǎng)絡(luò)攻擊威脅在攻擊目標(biāo)、攻擊手段、攻擊特征、威脅程度等維度均有所不同。

圖1 網(wǎng)絡(luò)空間五大攻擊威脅

（一）網(wǎng)絡(luò)空間單點(diǎn)攻擊

網(wǎng)絡(luò)空間單點(diǎn)攻擊是一種對(duì)抗烈度較低的攻擊形態(tài)。攻擊目標(biāo)聚焦單一目標(biāo)或簡(jiǎn)單系統(tǒng)，攻擊人員由個(gè)人或小團(tuán)隊(duì)組成，攻擊裝備主要由漏洞裝備和控守裝備構(gòu)成，攻擊成果往往體現(xiàn)為獲取重要信息或數(shù)據(jù)。

1. 主要特點(diǎn)

• 人員數(shù)量較少：一般由個(gè)人或小規(guī)模團(tuán)隊(duì)組成。
• 目標(biāo)規(guī)模較?。阂话汜槍?duì)個(gè)人賬號(hào)(郵箱賬號(hào)、論壇賬號(hào))、主機(jī)終端(windows終端、Linux終端、MAC終端)移動(dòng)終端(Android、iPhone)、應(yīng)用服務(wù)器(web服務(wù)器、郵件服務(wù)器)、網(wǎng)絡(luò)設(shè)備(路由器、防火墻、安防設(shè)備)等有限目標(biāo)實(shí)施攻擊。
• 裝備性能一般：一般使用公開漏洞或開源滲透工具作為主要實(shí)施作戰(zhàn)。
• 攻擊協(xié)同不多：攻擊人員一般全程參與攻擊全過程，較少配合。
• 支撐資源有限：一般通過虛擬專用網(wǎng)、郵箱、DNS等資源開展行動(dòng)。
• 作戰(zhàn)目標(biāo)單一：以獲取網(wǎng)絡(luò)目標(biāo)情報(bào)信息為主要目的。

2. 對(duì)抗態(tài)勢(shì)

網(wǎng)絡(luò)空間單點(diǎn)攻擊過程中，攻擊方主要有少數(shù)人員組成，使用突破工具和控制工具通過多種攻擊手法向特定具體目標(biāo)實(shí)施攻擊，具體行動(dòng)包括目標(biāo)探測(cè)、漏洞攻擊、遠(yuǎn)程控制、安防繞過等。

防御方則由系統(tǒng)廠商、設(shè)備廠商、應(yīng)用廠商對(duì)目標(biāo)資產(chǎn)進(jìn)行自我安全防護(hù)，以及安全廠商進(jìn)行外部安全防護(hù)，具體行動(dòng)有修補(bǔ)漏洞、安全加固、病毒查殺等。

攻防雙方對(duì)抗的焦點(diǎn)聚焦于具體目標(biāo)的突破與反突破、控制與反控制。具體對(duì)抗態(tài)勢(shì)如圖2所示。

圖2 網(wǎng)絡(luò)空間單點(diǎn)攻擊對(duì)抗態(tài)勢(shì)

3. 典型案例

網(wǎng)絡(luò)空間單點(diǎn)攻擊由于實(shí)施條件要求不高、攻擊流程相對(duì)簡(jiǎn)單，是絕大多數(shù)APT組織常用的攻擊樣式。攻擊人員常通過社會(huì)工程學(xué)或已知遠(yuǎn)程漏洞攻擊等方式獲取目標(biāo)控制權(quán)，達(dá)到獲取敏感信息的目的。

(1) RSA SecurID竊取攻擊

EMC公司下屬的RSA公司遭到入侵，黑客通過釣魚郵件攻擊方式獲取公司部分技術(shù)內(nèi)容及客戶資料被竊取。

攻擊流程：

• 攻擊者給RSA的母公司EMC的4名員工發(fā)送了2組惡意郵件，郵件附件為”2011 Recruitment Plan.xls“的文件。
• 其中一位員工將其從垃圾郵件中取出來(lái)閱讀，被當(dāng)時(shí)的Adobe Flash的0day漏洞(CVE-2011-0609)命中。
• 該員工電腦被植入木馬，開始從僵尸網(wǎng)絡(luò)(BotNet)的C&C服務(wù)器下載指令執(zhí)行。
• 首批受害的使用者并非高地位的人，緊接著IT與非IT服務(wù)器管理員相繼被黑。
• RSA發(fā)現(xiàn)開發(fā)用服務(wù)器遭入侵，攻擊者立即撤回并將所有資料加密以FTP的方式傳送回遠(yuǎn)程主機(jī)，完成入侵。

(2) 針對(duì)馬拉維(Malawi)國(guó)民銀行的網(wǎng)絡(luò)攻擊

在這一系列攻擊事件中，有四家馬拉維國(guó)民銀行的地方分行，成為攻擊者的重要目標(biāo)，其中大南部區(qū)(southend)官方客服郵箱已經(jīng)被攻擊者盜用。攻擊者利用事先從國(guó)民銀行部分地區(qū)分行盜取的官方郵箱口令，向其他分行工作人員發(fā)送帶有惡意文檔附件的郵件，作為附件的惡意文檔利用CVE-2014-6352漏洞發(fā)起攻擊。此漏洞可以繞過“沙蟲”漏洞(SandWorm)補(bǔ)丁MS14-060的安全保護(hù)。漏洞利用成功后，樣本會(huì)執(zhí)行名為“Target.scr”的可執(zhí)行程序，該程序由攻擊者基于開源代碼修改編譯生成，攻擊者在重寫了main函數(shù)代碼，程序運(yùn)行時(shí)并不會(huì)調(diào)用開源代碼原有的功能函數(shù)，而是內(nèi)存展開執(zhí)行內(nèi)嵌的DarkComet遠(yuǎn)控木馬，進(jìn)而向目標(biāo)系統(tǒng)發(fā)起攻擊。

圖3 單點(diǎn)攻擊流程圖

通過以上案例可以看到，攻擊主要利用漏洞和遠(yuǎn)程控制等主要攻擊武器，針對(duì)終端、WEB服務(wù)器等攻擊面，掌控目標(biāo)控制權(quán)后實(shí)施獲取相關(guān)情報(bào)。

（二）網(wǎng)絡(luò)空間系統(tǒng)攻擊

網(wǎng)絡(luò)空間系統(tǒng)攻擊是針對(duì)大型機(jī)構(gòu)或組織的復(fù)雜網(wǎng)絡(luò)開展的對(duì)抗烈度較高的攻擊形態(tài)，其攻擊成果體現(xiàn)在針對(duì)大型機(jī)構(gòu)復(fù)雜網(wǎng)絡(luò)系統(tǒng)進(jìn)行長(zhǎng)期隱蔽控制、獲取重要情報(bào)和致癱核心業(yè)務(wù)等。

1. 主要特點(diǎn)

• 攻擊力量協(xié)同更加頻繁：參與攻擊人員分工更加細(xì)致，除了滲透人員、情報(bào)分析人員、漏洞分析工具研發(fā)人員之外，還有行業(yè)機(jī)構(gòu)專家參與其中，實(shí)施攻擊前往往需要在模擬環(huán)境下進(jìn)行演練。
• 目標(biāo)環(huán)境更加復(fù)雜多樣：大型機(jī)構(gòu)一般采用跨網(wǎng)跨域網(wǎng)絡(luò)環(huán)境，包含互聯(lián)網(wǎng)、DMZ、辦公內(nèi)網(wǎng)、核心業(yè)務(wù)網(wǎng)等多種場(chǎng)景，在這些這些場(chǎng)景下網(wǎng)絡(luò)資產(chǎn)類型、網(wǎng)絡(luò)防護(hù)機(jī)制、網(wǎng)絡(luò)組網(wǎng)方式都不盡相同，如圖所示。
• 攻擊裝備品類全性能高：往往利用0Day漏洞利用工具突破大型機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)和核心系統(tǒng)資產(chǎn)，此外進(jìn)入內(nèi)網(wǎng)通過后橫向移動(dòng)和持久化工具完成后續(xù)操作。

圖4 一般大型機(jī)構(gòu)跨網(wǎng)跨域復(fù)雜場(chǎng)景示意圖

2. 對(duì)抗態(tài)勢(shì)

網(wǎng)絡(luò)空間系統(tǒng)攻擊過程中，攻擊方人員具有一定規(guī)模且分工協(xié)作，除了滲透人員還有漏洞挖掘、數(shù)據(jù)分析和行業(yè)專家人員。攻擊裝備方面往往儲(chǔ)備了一批0Day漏洞工具和設(shè)備持久化后門等高等級(jí)工具。對(duì)攻擊目標(biāo)方面注重攻擊面情況、社工情況以及內(nèi)部未公開情況的收集。

防御方則除系統(tǒng)廠商、設(shè)備廠商、應(yīng)用廠商外還有工控廠商;安全廠商除了傳統(tǒng)安全廠商外，還有威脅分析廠商和安全審計(jì)廠商等。此外，還有一些重點(diǎn)機(jī)構(gòu)和政府力量進(jìn)行專門防護(hù)。

攻防雙方對(duì)抗的焦點(diǎn)聚焦于復(fù)雜系統(tǒng)的整體控制權(quán)。具體對(duì)抗態(tài)勢(shì)如圖5所示。

圖5 網(wǎng)絡(luò)空間系統(tǒng)攻擊對(duì)抗態(tài)勢(shì)

3. 典型案例

美軍長(zhǎng)期通過網(wǎng)絡(luò)空間系統(tǒng)攻擊實(shí)現(xiàn)其網(wǎng)絡(luò)作戰(zhàn)目標(biāo)，美方在開展網(wǎng)絡(luò)攻擊遵循作戰(zhàn)原則，非常注重規(guī)模效益、強(qiáng)調(diào)攻擊效率、突出作戰(zhàn)效果，在攻擊目標(biāo)選取上重點(diǎn)針對(duì)“電信運(yùn)營(yíng)商、關(guān)鍵基礎(chǔ)設(shè)施、骨干網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)管理人員、應(yīng)用服務(wù)器(郵件服務(wù)器、域名服務(wù)器、WEB服務(wù)器等)”等目標(biāo)，在初次網(wǎng)絡(luò)突破環(huán)節(jié)更多采用“中間人攻擊、供應(yīng)鏈攻擊、網(wǎng)絡(luò)設(shè)備攻擊、擺渡攻擊、網(wǎng)管人員攻擊”等方式，在網(wǎng)絡(luò)目標(biāo)控制攻擊環(huán)節(jié)常用“零日漏洞、控制平臺(tái)、持久化后門、內(nèi)網(wǎng)橫向拓展”等手段。在安全隱蔽的前提下，實(shí)現(xiàn)對(duì)各種網(wǎng)絡(luò)目標(biāo)的規(guī)?；黄坪统志秒[蔽控制。

(1) 奧林匹克(Olympic Game)行動(dòng)

針對(duì)伊朗核設(shè)施的“奧運(yùn)會(huì)”(Olympic Game)行動(dòng)，最終通過“震網(wǎng)”(Stuxnet) 蠕蟲，成功入侵并破壞伊朗核設(shè)施，嚴(yán)重遲滯了伊朗核計(jì)劃，成為首個(gè)利用惡意代碼對(duì)實(shí)體設(shè)施造成重大不可逆損壞的事件。

圖6 震網(wǎng)病毒攻擊示意圖

NSA針對(duì)伊朗核設(shè)施關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)采取多種手段綜合運(yùn)用進(jìn)行攻擊。

• 核設(shè)施目標(biāo)信息收集，通過各種情報(bào)收集方式收集核設(shè)施設(shè)備型號(hào)、系統(tǒng)版本及網(wǎng)絡(luò)結(jié)構(gòu)等信息。
• 擺渡方式實(shí)施突破植入，通過人力方式將感染U盤帶入內(nèi)部網(wǎng)絡(luò)，借助USB擺渡+基于漏洞的橫向移動(dòng)。染毒U盤利用快捷方式文件解析漏洞，傳播到內(nèi)部網(wǎng)絡(luò)。
• 內(nèi)網(wǎng)橫向拓展攻擊，在內(nèi)網(wǎng)中，通過快捷方式解析漏洞、RPC遠(yuǎn)程執(zhí)行漏洞、印機(jī)后臺(tái)程序服務(wù)漏洞，實(shí)現(xiàn)聯(lián)網(wǎng)主機(jī)之間的傳播;最后抵達(dá)安裝了WinCC軟件的主機(jī)，展開攻擊。
• 工控系統(tǒng)致癱攻擊，在內(nèi)網(wǎng)環(huán)境中橫向拓展過程中，掃描查找安裝有Siemens Step7、WinCC/PCS 7 SCADA控制軟件的主機(jī)并進(jìn)行感染。通過修改管理西門子PLC參數(shù)工具載荷導(dǎo)致核設(shè)施轉(zhuǎn)速不正常從而損毀。

(2) 金色極光(AURORAGOLD)行動(dòng)

NSA在針對(duì)全球手機(jī)監(jiān)聽的“金色極光”(AURORAGOLD)行動(dòng)，通過收集關(guān)于全球移動(dòng)通訊運(yùn)營(yíng)商內(nèi)部系統(tǒng)的信息，以找到其漏洞，供隨后的黑客攻擊使用，該計(jì)劃為美國(guó) 2011年對(duì)利比亞進(jìn)行軍事干預(yù)提供了利方重要人物的通信信息。

圖7 金色極光行動(dòng)計(jì)劃報(bào)告

NSA針對(duì)運(yùn)營(yíng)商目標(biāo)通常從內(nèi)部員工作為突破口進(jìn)行迂回攻擊。根據(jù)曝光資料顯示，美方曾對(duì)巴基斯坦國(guó)家電信公司(簡(jiǎn)稱NTC)、黎巴嫩運(yùn)營(yíng)商(OGERO ISP)等運(yùn)營(yíng)商進(jìn)行網(wǎng)絡(luò)攻擊。

• 內(nèi)部員工目標(biāo)信息收集，通過棱鏡計(jì)劃和關(guān)鍵得分計(jì)劃等項(xiàng)目，使用被動(dòng)定位方式識(shí)別到了NTC的員工，評(píng)估當(dāng)前識(shí)別出其與NTCVIP部門的聯(lián)系。由SIGDEV針對(duì)已知的被Selector(NSA精確識(shí)別系統(tǒng))標(biāo)記出來(lái)的目標(biāo)，去定位其他有聯(lián)系的目標(biāo)。至此成功使用被動(dòng)方式定位識(shí)別到了NTC VIP部門專門運(yùn)營(yíng)維護(hù)Green Exchange的員工。
• 內(nèi)部員工中間人攻擊，通過與R&T一起使用SECONDDATE 和QUANTUM項(xiàng)目，成功將4個(gè)新式CNE accesses植入到Green Exchange中。
• 核心骨干網(wǎng)絡(luò)內(nèi)網(wǎng)攻擊，通過研制的CNE訪問攻擊載荷，成功控制VIP 部門和一個(gè)用于收集Green Exchange的基礎(chǔ)線路。該部分是用來(lái)維護(hù)Green Exchange(綠區(qū)交換機(jī)，位于安全區(qū)域)。Green Exchange房間放置著ZXJ-10(程控交換機(jī)，用于電話網(wǎng)絡(luò))。這幾臺(tái)程控交換機(jī)是巴基斯坦 Green Line 通信網(wǎng)絡(luò)的骨干(這個(gè)網(wǎng)絡(luò)專門為巴基斯坦高級(jí)官員和軍事領(lǐng)導(dǎo)提供服務(wù))，至此實(shí)現(xiàn)掌控核心骨干網(wǎng)的網(wǎng)絡(luò)攻擊目標(biāo)。

（三）網(wǎng)絡(luò)空間體系攻擊

網(wǎng)絡(luò)空間體系攻擊是通過體系化建設(shè)提升網(wǎng)絡(luò)攻擊能力且對(duì)抗烈度很高的攻擊形態(tài)，網(wǎng)絡(luò)攻防體系不局限于某一類特定目標(biāo)，而是面向整個(gè)網(wǎng)絡(luò)空間保持持續(xù)性網(wǎng)絡(luò)攻擊能力，是一個(gè)國(guó)家網(wǎng)絡(luò)空間綜合能力的集中體現(xiàn)。

1. 主要特點(diǎn)

• 投入巨大：體系建設(shè)需要投入大量人力、物力和財(cái)力，同時(shí)還要具有相當(dāng)強(qiáng)的技術(shù)儲(chǔ)備，以美國(guó)為例，其在網(wǎng)絡(luò)空間體系建設(shè)方面投入了數(shù)百億美元，才建立起相對(duì)完整的體系。
• 體系龐大：以美國(guó)為例，無(wú)論是攻擊體系還是防御體系均由眾多項(xiàng)目組成;其中最大的支撐架構(gòu)稱為“湍流”(TURBULENCE)，由多個(gè)系統(tǒng)組成，包括主動(dòng)情報(bào)采集系統(tǒng) TUMULT、被動(dòng)情報(bào)采集系統(tǒng) TURMOIL、任務(wù)邏輯控制系統(tǒng) TURBINE、進(jìn)攻性網(wǎng)空行動(dòng)系統(tǒng)“量 子”(QUANTUM)、主動(dòng)防御系統(tǒng) TUTELAGE(我們?cè)谥敖榻B過，是帶有積極防御的 CND主要實(shí)現(xiàn))、密碼服務(wù) LONGHAUL、數(shù)據(jù)倉(cāng)庫(kù) PRESSUREWAVE、網(wǎng)絡(luò)流量分析系統(tǒng) TRAFFICTHIEF 和信號(hào)情報(bào)分析系統(tǒng)CLUSTER WEALTH-2 等。這些系統(tǒng)各司其職，共同支撐信息收集、情報(bào)分析、積極防御、決策控制、網(wǎng)絡(luò)作業(yè)等網(wǎng)空行動(dòng)的攻擊性行動(dòng)環(huán)節(jié)，共同構(gòu)成了美國(guó)強(qiáng)大的網(wǎng)絡(luò)空間進(jìn)攻性能力支撐體系。
• 目標(biāo)多樣：無(wú)論是個(gè)體目標(biāo)還是關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)，無(wú)論是單一場(chǎng)景還是復(fù)雜場(chǎng)景，均能體系中找到對(duì)應(yīng)能力支撐。

2. 對(duì)抗態(tài)勢(shì)

網(wǎng)絡(luò)空間系統(tǒng)攻擊過程中，攻擊方和防守方是體系與體系的對(duì)抗，除了配備大量攻防工具裝備系統(tǒng)之外，還有各種支撐保障系統(tǒng)建設(shè)，此外投入力量方面需要各個(gè)環(huán)節(jié)企業(yè)和國(guó)家各部門共同參與。具體對(duì)抗態(tài)勢(shì)如圖所示，攻防雙方對(duì)抗的焦點(diǎn)聚焦于整個(gè)網(wǎng)絡(luò)空間的的整體控制權(quán)。

圖8 網(wǎng)絡(luò)空間體系攻擊對(duì)抗態(tài)勢(shì)

3. 典型案例

美方網(wǎng)絡(luò)空間中形成強(qiáng)大的體系化的監(jiān)聽、攻擊和主動(dòng)防御能力。長(zhǎng)期以來(lái)，特別重視建設(shè)積極主動(dòng)的網(wǎng)絡(luò)空間安全架構(gòu)，重點(diǎn)在網(wǎng)絡(luò)空間安全主動(dòng)防御體系、網(wǎng)絡(luò)空間攻擊支撐體系、網(wǎng)絡(luò)空間攻擊裝備體系三大體系上進(jìn)行技術(shù)與裝備的變革和發(fā)展。

(1) 網(wǎng)絡(luò)主動(dòng)防御體系

美軍的網(wǎng)絡(luò)空間安全主動(dòng)防御體系借助商用技術(shù)和能力，將網(wǎng)絡(luò)空間的威脅預(yù)警、入侵防御和安全響應(yīng)能力相結(jié)合，創(chuàng)建跨領(lǐng)域的網(wǎng)絡(luò)空間態(tài)勢(shì)感知系統(tǒng)，為聯(lián)邦政府網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全保障。

由于密級(jí)不同，美國(guó)的“態(tài)勢(shì)感知體系”的防護(hù)范圍劃分為兩部分：聯(lián)邦政府網(wǎng)絡(luò)以及軍事網(wǎng)絡(luò)，所以自然地，“態(tài)勢(shì)感知體系”也分為兩個(gè)子系統(tǒng)：Einstein系統(tǒng)以及TUTELAGE 系統(tǒng)，并分別交由國(guó)土安全部的國(guó)家網(wǎng)絡(luò)通信整合中心以及國(guó)家安全局(也即網(wǎng)絡(luò)戰(zhàn)司令部)的威脅作戰(zhàn)中心進(jìn)行運(yùn)行、管理，為了保證兩個(gè)領(lǐng)域的態(tài)勢(shì)感知能力更加高效，美國(guó)國(guó)家標(biāo)準(zhǔn)化技術(shù)研究院開發(fā)了威脅情報(bào)交換標(biāo)準(zhǔn)(如STIX、TAXII等)，保證了兩個(gè)領(lǐng)域敏感數(shù)據(jù)交換的高效、實(shí)時(shí)。

圖9 TUTELAGE項(xiàng)目架構(gòu)圖

(2) 網(wǎng)絡(luò)攻擊支撐體系

美國(guó)國(guó)防部認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)對(duì)抗(Computer Network Operations, CNO)即實(shí)質(zhì)操縱計(jì)算機(jī)和網(wǎng)絡(luò)，針對(duì)計(jì)算機(jī)或其他網(wǎng)絡(luò)本身或他們它們之上的信息、信息系統(tǒng)，實(shí)施攻擊和防御以及兩者所需的支撐行動(dòng)。按照網(wǎng)空行動(dòng)目的，可以將 CNO 劃分為計(jì)算機(jī)網(wǎng)絡(luò)防御(Computer Network Defense, CND)、計(jì)算機(jī)網(wǎng)絡(luò)刺探(Computer Network Exploitation, CNE)和計(jì)算機(jī)網(wǎng)絡(luò)攻擊(Computer Network Attack, CNA)，分別對(duì)應(yīng)網(wǎng)空積極防御、網(wǎng)空情報(bào)行動(dòng)和網(wǎng)空軍事行動(dòng)。

斯諾登曝光的2009年8 月的絕密文件中也提到了TURBULENCE項(xiàng)目。文件中解釋了將主動(dòng)與被動(dòng)方法結(jié)合起來(lái)以達(dá)到從目標(biāo)網(wǎng)絡(luò)中滲出數(shù)據(jù)的過程。TURBULENCE 項(xiàng)目包含傳感器(Sensors)、基礎(chǔ)設(shè)施(Infrastructure)及分析(Analysis)三個(gè)模塊。

圖10 湍流項(xiàng)目架構(gòu)圖

(3) 網(wǎng)絡(luò)攻擊裝備體系

美國(guó)自2008年以來(lái)實(shí)施了多次進(jìn)攻性網(wǎng)空行動(dòng)，并且具備相當(dāng)大的破壞能力，這種進(jìn)攻性能力不僅來(lái)自于完善的后端支撐體系，更來(lái)自于強(qiáng)大的網(wǎng)空攻擊裝備體系。美國(guó)的網(wǎng)絡(luò)攻擊裝備體系以全平臺(tái)、全功能為發(fā)展目標(biāo)，并具有模塊化特點(diǎn)，使得其能夠適應(yīng)于各種網(wǎng)絡(luò)環(huán)境下的行動(dòng)作業(yè)要求。

通過物流鏈劫持、運(yùn)營(yíng)商劫持、源代碼污染等實(shí)現(xiàn)戰(zhàn)場(chǎng)預(yù)制;通過大規(guī)模信息采集形成終端、設(shè)備、軟件、用戶身份的信息庫(kù)，繪制網(wǎng)絡(luò)地形、尋找關(guān)鍵目標(biāo);通過移動(dòng)介質(zhì)擺渡攻擊、物流鏈劫持、近場(chǎng)作業(yè)等方式突破物理隔離防線;在內(nèi)網(wǎng)橫向移動(dòng)，建立持久化據(jù)點(diǎn)，投遞載荷;通過擺渡攻擊、開辟側(cè)信道、隱信道等方式實(shí)現(xiàn)遠(yuǎn)程控制，最終實(shí)現(xiàn)目標(biāo)。

漏洞利用網(wǎng)絡(luò)攻擊裝備。NSA 具有大量的零日漏洞(從未公開披露的漏洞)儲(chǔ)備。2017年4 月14 日，影子經(jīng)紀(jì)人組織曝光了一批NSA 的網(wǎng)空攻擊裝備與相關(guān)漏洞的資料。其中的Fuzzbunch 是針對(duì)Windows 操作系統(tǒng)的漏洞利用平臺(tái)，能夠向目標(biāo)主機(jī)植入有效載荷，在植入的過程中可直接內(nèi)存執(zhí)行，不需要生成實(shí)體文件。平臺(tái)中還包含數(shù)個(gè)針對(duì)特定類型目標(biāo)，并且可以直接使用的漏洞，包括“永恒之藍(lán)”(EternalBlue)、“永恒浪漫”(Eternalromance)等。

圖11 量子計(jì)劃中攻擊裝備

• 突破物理隔離網(wǎng)絡(luò)攻擊裝備。為了配合美方軍事力量抵近展開秘密行動(dòng)，也需要能夠突破物理隔離并滲透進(jìn)入對(duì)手內(nèi)網(wǎng)的作業(yè)能力，NSA 也開發(fā)了一系列著重于突破物理隔離防護(hù)機(jī)制的工具和技術(shù)，“水腹蛇-1”(COTTONMOUTH-1)是其中最具代表性的一個(gè)。

圖12 水蝮蛇攻擊裝備

• 命令與控制網(wǎng)絡(luò)攻擊裝備。在通常的網(wǎng)絡(luò)入侵行動(dòng)中，攻擊者需要和已經(jīng)進(jìn)入目標(biāo)網(wǎng)絡(luò)/系統(tǒng)的惡意代碼進(jìn)行通信，發(fā)送指令并獲取數(shù)據(jù)，因此需要使用用于命令與控制的工具，盡可能地以安全、隱蔽的方式實(shí)現(xiàn)攻擊者與植入惡意代碼之間的通信。以NSA、CIA為代表的美方情報(bào)部門開發(fā)了一系列具有命令與控制能力的攻擊平臺(tái)和武器裝備，功能原子化、目標(biāo)全覆蓋，典型代表為DanderSpritz平臺(tái)，該平臺(tái)通過正向、反向、激活包三種方式與受害者建立連接，同時(shí)，通過分析發(fā)現(xiàn)，DS 平臺(tái)在通訊過程中嚴(yán)格加密，使得安全分析人員即使捕獲了載荷樣本也很難破解通信內(nèi)容。

圖13 DanderSpritz平臺(tái)攻擊裝備

• 利用無(wú)線信號(hào)通信網(wǎng)絡(luò)攻擊裝備。美國(guó)國(guó)家安全局(NSA)網(wǎng)絡(luò)攻擊裝備的傳播、通信、控制除了依賴于目標(biāo)原有的網(wǎng)絡(luò)或常規(guī)的移動(dòng)介質(zhì)之外，還有一類不依賴目標(biāo)網(wǎng)絡(luò)，而是利用無(wú)線信號(hào)實(shí)現(xiàn)信息傳遞，進(jìn)而繞過多數(shù)網(wǎng)絡(luò)安全防護(hù)手段，實(shí)現(xiàn)信息竊取或內(nèi)網(wǎng)滲透的網(wǎng)絡(luò)攻擊裝備。

NSA 可用于對(duì)離線室內(nèi)活動(dòng)(如高密級(jí)會(huì)議、研討等)進(jìn)行信號(hào)采集的“憤怒的鄰居”(Angry Neighbor) 裝備， 能夠主動(dòng)收集視頻、音頻、無(wú)線信號(hào)，并轉(zhuǎn)換為特定波段的射頻信號(hào)，通過隱蔽通信通道回傳;

NSA 利用物理隔離網(wǎng)絡(luò)中Wi-Fi信號(hào)(物理隔離網(wǎng)絡(luò)中常常因?yàn)楣芾聿坏轿欢嬖谶`規(guī)私接的Wi-Fi 網(wǎng)絡(luò))的漏洞進(jìn)行重定向并入侵的“床頭柜”(NIGHTSTAND)裝備;

圖14 離線信號(hào)采集裝備

• 持久化控制網(wǎng)絡(luò)攻擊裝備。美國(guó)一直秉承“持久化一切可以持久化的節(jié)點(diǎn)”的理念，將其作為一種重要的戰(zhàn)略資源儲(chǔ)備，為長(zhǎng)期的信息竊取和日后可能的網(wǎng)絡(luò)戰(zhàn)做準(zhǔn)備。

NSA 的相關(guān)裝備主要由特定入侵行動(dòng)辦公室(TAO)下屬的先進(jìn)網(wǎng)絡(luò)技術(shù)組(ANT) 開發(fā)。比較有代表性的裝備包括針對(duì)Juniper 不同系列防火墻的工具集“ 蛋奶酥槽”(SOUFFLETROUGH) 和“ 給水槽”(FEEDTROUGH)、針對(duì)思科Cisco 系列防火墻的“ 噴射犁”(JETPLOW)、針對(duì)華為路由器的“水源”(HEADWATER)、針對(duì)Dell 服務(wù)器的“神明彈跳”(DEITYBOUNCE)、針對(duì)桌面和筆記本電腦的“盛怒的僧侶”(IRATEMONK)等。

圖15 針對(duì)華為防火墻持久化后門攻擊裝備

（四）網(wǎng)絡(luò)空間聯(lián)合攻擊

網(wǎng)絡(luò)空間聯(lián)合攻擊是指網(wǎng)絡(luò)空間攻擊行動(dòng)對(duì)陸?？仗斓溶姺N提供各種作戰(zhàn)支持，這一階段進(jìn)行網(wǎng)絡(luò)對(duì)抗作為軍事對(duì)抗的組成部分，一定程度上可以體現(xiàn)一個(gè)國(guó)家的綜合軍事實(shí)力。

1. 主要特點(diǎn)

• 軍種聯(lián)合協(xié)同：海陸空天網(wǎng)多軍種聯(lián)合作戰(zhàn)，網(wǎng)絡(luò)攻擊作為軍事作戰(zhàn)行動(dòng)的一部分，能夠?yàn)槠渌姺N提供行動(dòng)配合、情報(bào)支持、輿論引導(dǎo)等作用。
• 突出軍事效益：網(wǎng)絡(luò)攻擊目標(biāo)往往是軍事指揮系統(tǒng)或者能夠?qū)娛滦袆?dòng)造成影響的各種目標(biāo)。
• 攻擊樣式多樣：網(wǎng)絡(luò)聯(lián)合作戰(zhàn)主要開展對(duì)目標(biāo)的致癱、拒絕、擾亂、欺騙等軟殺傷和硬損毀網(wǎng)絡(luò)攻擊。

2. 對(duì)抗態(tài)勢(shì)

網(wǎng)絡(luò)空間聯(lián)合攻擊過程中，攻擊方和防守方一般處于軍事對(duì)抗階段，網(wǎng)絡(luò)攻擊往往軍事指揮機(jī)構(gòu)統(tǒng)一指揮，和其他軍種行動(dòng)密切協(xié)同配合，因此聯(lián)合攻擊呈現(xiàn)出很強(qiáng)的軍事對(duì)抗特征。具體對(duì)抗態(tài)勢(shì)如圖所示，攻防雙方對(duì)抗的焦點(diǎn)聚焦于整個(gè)軍事對(duì)抗的的控制權(quán)。

圖16 網(wǎng)絡(luò)空間聯(lián)合攻擊對(duì)抗態(tài)勢(shì)

3. 典型案例

美國(guó)、俄羅斯是最早在軍事作戰(zhàn)行動(dòng)應(yīng)用網(wǎng)絡(luò)攻擊的國(guó)家，網(wǎng)絡(luò)攻擊取得了一系列令人印象深刻戰(zhàn)果，當(dāng)前網(wǎng)絡(luò)作戰(zhàn)已然成為一種新型軍事作戰(zhàn)樣式。

(1) 海灣戰(zhàn)爭(zhēng)開啟網(wǎng)絡(luò)作戰(zhàn)先河

1991年海灣戰(zhàn)爭(zhēng)中，美國(guó)最早將網(wǎng)絡(luò)攻擊引入軍事戰(zhàn)爭(zhēng)，中央情報(bào)局通過特工對(duì)伊拉克從法國(guó)購(gòu)買的防空系統(tǒng)注入病毒芯片，最終導(dǎo)致伊拉克指揮中心失靈。

第一次海灣戰(zhàn)爭(zhēng)期間，伊拉克從法國(guó)購(gòu)得一批網(wǎng)絡(luò)打印機(jī)，美國(guó)特工得知此事，將一塊固化病毒程序的芯片與某打印機(jī)中的芯片調(diào)了包，并且在空襲發(fā)起前，以遙控手段激活了病毒，使得伊拉克防空指揮中心主計(jì)算機(jī)系統(tǒng)癱瘓，最后伊軍只有挨打的份。

(2) “舒特”網(wǎng)電攻擊顯威力

2007年，為將敘利亞核計(jì)劃扼殺于萌芽之中，以色列空軍第69戰(zhàn)斗機(jī)中隊(duì)的18架F-16戰(zhàn)機(jī)，悄無(wú)聲息地突破敘利亞在敘以邊境部署的先進(jìn)俄制“道爾”-M1防空系統(tǒng)，對(duì)敘以邊境以西約100千米、大馬士革東北部約400千米的一處核設(shè)施實(shí)施精確轟炸，并從原路安全返回。

據(jù)披露，美軍“舒特”攻擊系統(tǒng)通過遠(yuǎn)程無(wú)線電入侵，癱瘓雷達(dá)、無(wú)線電通信系統(tǒng)，使敘防空系統(tǒng)處于失效狀態(tài)。作為針對(duì)組網(wǎng)武器平臺(tái)及網(wǎng)絡(luò)化信息系統(tǒng)的新型網(wǎng)電攻擊系統(tǒng)，“舒特”代表著軍事技術(shù)和作戰(zhàn)方式的發(fā)展趨勢(shì)，勢(shì)必將帶來(lái)全新戰(zhàn)爭(zhēng)景觀。

(3) “震網(wǎng)”網(wǎng)絡(luò)物理戰(zhàn)先驅(qū)

2010年8月，伊朗在俄羅斯幫助下建成布什爾核電站，但這座計(jì)劃于當(dāng)年10月正式發(fā)電運(yùn)轉(zhuǎn)的核電站，卻多次推遲運(yùn)行。一年后，據(jù)媒體揭秘，是因?yàn)樵獾絹?lái)源不明的計(jì)算機(jī)網(wǎng)絡(luò)病毒攻擊，超過3萬(wàn)臺(tái)電腦“中招”，位于納坦斯的千臺(tái)離心機(jī)報(bào)廢，剛封頂?shù)牟际矤柡穗娬静坏貌蝗〕龊巳剂喜⒀悠趩?dòng)，伊朗核發(fā)展計(jì)劃則被迫擱置。這種后來(lái)被冠名為“震網(wǎng)”的病毒，開創(chuàng)了通過網(wǎng)絡(luò)控制并摧毀實(shí)體的先河。

(4) 俄格沖突中網(wǎng)絡(luò)戰(zhàn)作用突顯

2008年8月俄羅斯對(duì)格魯吉亞發(fā)動(dòng)的網(wǎng)絡(luò)攻擊是第一次與主要常規(guī)軍事行動(dòng)同時(shí)發(fā)生的大規(guī)模網(wǎng)絡(luò)攻擊。這些網(wǎng)絡(luò)攻擊削弱了格魯吉亞人與外界溝通的能力，在信息和心理上對(duì)媒體、政府以及公眾產(chǎn)生了重大影響。

開戰(zhàn)后，俄羅斯對(duì)格魯吉亞的網(wǎng)絡(luò)攻擊迅即全面展開，使得包括媒體、通信和交通運(yùn)輸系統(tǒng)在內(nèi)的格魯吉亞官方網(wǎng)站全部癱瘓，直接影響到了格魯吉亞的戰(zhàn)爭(zhēng)動(dòng)員與支援能力。

被稱為“美國(guó)網(wǎng)絡(luò)后果單元(US Cyber Consequence Unit)”的私人非營(yíng)利性組織的一位安全專家將俄羅斯對(duì)格魯吉亞的網(wǎng)絡(luò)攻擊分為兩個(gè)階段。

在第一階段中，俄羅斯黑客發(fā)起的攻擊類型主要是分布式拒絕服務(wù)(DDoS)攻擊。俄羅斯的攻擊組織利用僵尸網(wǎng)絡(luò)針對(duì)格魯吉亞政府和媒體網(wǎng)站采取攻擊行動(dòng)。

第二階段的網(wǎng)絡(luò)作戰(zhàn)力求對(duì)更多目標(biāo)進(jìn)行破壞，其破壞目標(biāo)名單上包括金融機(jī)構(gòu)、教育機(jī)構(gòu)、西方媒體以及格魯吉亞黑客網(wǎng)站。對(duì)這些服務(wù)器的攻擊不僅包括 DDoS 攻擊，還包括篡改服務(wù)器的網(wǎng)站。此外，一些俄羅斯黑客利用格魯吉亞政治人物公開可用的電子郵件地址，發(fā)起垃圾郵件攻擊。

（五）網(wǎng)絡(luò)空間總體攻擊

網(wǎng)絡(luò)空間總體攻擊是針對(duì)政治、軍事、外交、經(jīng)濟(jì)、心理、文化等領(lǐng)域?qū)嵤┤S攻擊，這一階段國(guó)家間進(jìn)入全面對(duì)抗階段，可以體現(xiàn)一個(gè)國(guó)家綜合實(shí)力。

1. 主要特點(diǎn)

• 戰(zhàn)略驅(qū)動(dòng)：網(wǎng)絡(luò)攻擊行動(dòng)與各個(gè)國(guó)家戰(zhàn)略目標(biāo)相銜接，可以作為實(shí)現(xiàn)國(guó)家戰(zhàn)略意圖的一種新型手段。
• 全維對(duì)抗：和軍事戰(zhàn)、政治戰(zhàn)、外交戰(zhàn)、經(jīng)濟(jì)戰(zhàn)、心理戰(zhàn)、媒體戰(zhàn)、文化戰(zhàn)等多種斗爭(zhēng)形態(tài)配合，在全方位對(duì)抗中發(fā)揮突出作用。

2. 對(duì)抗態(tài)勢(shì)

網(wǎng)絡(luò)空間總體攻擊過程中，攻擊方和防守方一般為國(guó)家實(shí)體，網(wǎng)絡(luò)攻擊目標(biāo)覆蓋各個(gè)行業(yè)，攻擊結(jié)果不僅僅是具體的，往往會(huì)產(chǎn)生外溢效應(yīng)。具體對(duì)抗態(tài)勢(shì)如圖所示，攻防雙方對(duì)抗的焦點(diǎn)聚焦于取得國(guó)家斗爭(zhēng)主動(dòng)權(quán)。

圖17 網(wǎng)絡(luò)空間總體攻擊對(duì)抗態(tài)勢(shì)

3. 典型案例

(1) “郵件門”事件影響美大選走勢(shì)

在網(wǎng)絡(luò)黑客涉影響選舉的系列事件中，“郵件門”最為輿論關(guān)注。在民主黨內(nèi)提名大會(huì)召開前夕，全球著名的泄密網(wǎng)站維基揭秘公開了美國(guó)民主黨高層內(nèi)部絕密的19252封郵件、8034個(gè)附件以及29段音頻文件等，大量郵件顯示希拉里勾結(jié)民主黨高層、內(nèi)定黨內(nèi)候選人以及參與“洗錢”和操控媒體等多項(xiàng)丑聞。美國(guó)聯(lián)邦調(diào)查局宣布對(duì)“郵件門”的調(diào)查，引發(fā)輿論嘩然，特朗普支持率迅速拉近與希拉里的差距。在距離大選不到一天的11月7日，美國(guó)聯(lián)邦調(diào)查局宣布維持7月份調(diào)查結(jié)論。在整個(gè)選舉過程中，兩位總統(tǒng)候選人借機(jī)互揭黑幕。美國(guó)政府和主流媒體認(rèn)為俄羅斯是近期美國(guó)總統(tǒng)大選遭黑客攻擊的“幕后黑手”，黑客攻擊引發(fā)的郵件泄密等是為幫助有親俄政治傾向的特朗普當(dāng)上總統(tǒng)。

(2) 委內(nèi)瑞拉大規(guī)模停電事件

2019年，委內(nèi)瑞拉發(fā)生全國(guó)范圍的大規(guī)模停電，首都加拉加斯以及其他大部分地區(qū)陷入黑暗中，全國(guó)18個(gè)州電力供應(yīng)中斷，僅有5個(gè)州幸免，此次突發(fā)的電力系統(tǒng)崩潰沒有任何預(yù)兆。停電給委內(nèi)瑞拉帶來(lái)了重大損失，全國(guó)交通癱瘓，地鐵系統(tǒng)關(guān)閉，醫(yī)院手術(shù)中斷，所有通訊線路中斷，航班無(wú)法正常起降。委內(nèi)瑞拉官方為代表的觀點(diǎn)，認(rèn)為本次事故是由于委內(nèi)瑞拉最大的古里水電站受到反對(duì)派和美國(guó)網(wǎng)絡(luò)攻擊導(dǎo)致機(jī)組停機(jī)所致。

美國(guó)多次與哥倫比亞和委反對(duì)派合作，從國(guó)際互聯(lián)網(wǎng)上對(duì)委內(nèi)瑞拉使用類似的網(wǎng)絡(luò)病毒武器，導(dǎo)致該國(guó)發(fā)電設(shè)施和供電設(shè)施停轉(zhuǎn)。

接下篇《五大網(wǎng)絡(luò)空間攻擊威脅及應(yīng)對(duì)策略(下)》