网络军火民用化加速:2017年APT攻击全球泛滥
2017年5月份,永恒之蓝勒索蠕虫病毒(WannaCry)肆虐全球,导致150多个国家,30多万受害者遭遇勒索软件攻击,医疗、交通、能源、教育等行业领域遭受巨大损失。该勒索软件之所以有如此大的威力,主要是其借助了军火级的网络漏洞利用工具。黑客分子拿着军用武器,冲入民用设施,扫荡所到之处,破坏与掠夺之惨烈可想而知。
近日,360威胁情报中心发布了《2017年中国高级持续性威胁(APT)研究报告》,其中提到,以永恒之蓝为代表的漏洞利用武器库大规模试水,标志着网络军火进入民用化的阶段,也使业界和公众进一步加深对APT攻击与威胁的认识和理解。
据《报告》介绍,2017年泄露的网络武器库的最终源头主要有两个:一个是据称是NSA旗下的方程式组织,另一个据称是美国中情局(CIA)直属的网络情报中心。
网络军火两大泄露源头助纣为虐
影子经纪人最早在2016年8月就开始对外兜售据称是NSA的网络武器或攻击工具。该组织自称获得了方程式组织的网络武器,并在GitHub公开拍卖。随后,斯诺登则隔空响应了影子经纪人的判断,公开了NSA绝密文档中几处技术细节,证实NSA攻击工具与方程式组织攻击武器属于同源软件。
图:影子经纪人兜售的武器与斯诺登曝光的NSA武器细节特征完全吻合
而中情局也雇佣了大批计算机网络顶尖技术人员,配合各个项目、行动持续进行武器研发。据报道,截止2016年底,CIA直属的网络情报中心拥有超过5000名员工,总共设计了超过1000个木马、病毒和其他“武器化恶意代码”。而2017年,从特朗普政府大幅提高军事预算的政策倾向看,CIA从事网络武器库开发人员数量会大幅增加。
《报告》中提到,CIA开发的一些网络武器,在命名上非常具有欺骗性。比如一款名为“精致美食”的黑客工具,貌似一款普通的打广告的推广软件而已。而“蜂房”也看似一个无害的程序,但实际可以攻击 互联网 路由器,建立被感染设备之间的通讯链路。
关于这些网络武器是否已经流入民用领域,维基解密表示:中情局对其黑客武器库已经“失控”,其中大部分工具“似乎正在前美国政府的黑客与承包商中未被授权地传播”,存在“极大的扩散风险”。
WannaCry背后竟有APT组织的影子
不论是已经借助漏洞武器爆发的WannaCry和petya,还是正面临扩散风险的其他黑客武器,这背后似乎也暗藏着APT组织的影子:Google的研究员发现,2017年2月的一个疑似WannaCry的早期版本和APT组织的样本之间具有一定的相似性。由此可见APT组织与漏洞武器几乎如影随形,因为只有掌握最新的漏洞武器,他们才能针对目标发起更加精准、致命的攻击。
图:疑似WannaCry的早期版本与某APT组织的样本对比
从安全角度看,武器库的泄露致使大量高精尖的攻击性恶意程序,散播到开放的互联网,给一般的黑客、网络不法分子可乘之机,利用这些武器级工具肆意渗透系统、窃取数据信息、破坏信息基础设施等,将给广大普通互联网用户带来巨大危害,WannaCry就是最典型的代表。
而且武器级工具和普通的恶意软件、渗透工具等结合,让很多攻击行为同时具备高级攻击手段和一般手段的特性,增加了犯罪分子的隐蔽性,也会干扰监测识别高级威胁。某种程度上,抬升了安全研究者的门槛,增加了APT的防控难度,网络安全企业仍然任重道远。