網(wǎng)絡戰(zhàn)完全指南 |
來源:聚銘網(wǎng)絡 發(fā)布時間:2019-11-01 瀏覽次數(shù): |
信息來源:安全牛 網(wǎng)絡戰(zhàn)威脅籠罩未來:新型沖突可跨越國界,令距前線千里之外的平民瞬間陷入混亂。
就在不久之前,網(wǎng)絡戰(zhàn)場景隨令人驚懼的假定而起:如果黑客國家隊發(fā)動大規(guī)模攻擊搞崩整個城市的電網(wǎng)會怎么樣?整個國家的銀行停業(yè),ATM 變磚?貨運公司、煉油廠、工廠關閉?機場和醫(yī)院癱瘓? 如今,這些場景不再是假想和推測:上述每一個事件都已真實發(fā)生。安全事件、災難性事件接二連三,網(wǎng)絡戰(zhàn)已躍出熱銷科幻小說紙面,脫出五角大樓推演沙盤,環(huán)繞在我們身旁。如今,事實比以往更為明晰,黑客威脅已超越簡單的破壞公物、犯罪牟利,甚至間諜活動,涵蓋曾經(jīng)只能通過軍事打擊和恐怖主義襲擊才能造成的現(xiàn)實世界破壞。 截止目前,直接造成人員傷亡的網(wǎng)絡戰(zhàn)攻擊案例尚無明確記錄。但造成100 億美元經(jīng)濟損失的網(wǎng)絡戰(zhàn)攻擊已切實發(fā)生。網(wǎng)絡戰(zhàn)被用于恐嚇公司企業(yè)和暫時致癱整個政府。短時切斷居民供電供暖等基本服務,長期剝奪交通運輸和貨幣供給能力等,也在網(wǎng)絡戰(zhàn)的 “成效” 列表中。最令人擔憂的是,隨著伊朗、朝鮮和俄羅斯等國家持續(xù)開發(fā)新的破壞性網(wǎng)絡攻擊技術,網(wǎng)絡戰(zhàn)似乎在這些國家的手中不斷發(fā)展進化。美國和同講英語的五眼聯(lián)盟中的其他國家同樣擁有世界上最先進的網(wǎng)絡戰(zhàn)能力,但最近幾年相比其他網(wǎng)絡戰(zhàn)參與國還是稍微克制一些。 所有這些都意味著網(wǎng)絡戰(zhàn)威脅已陰云壓境:新型沖突可跨越國界,將混亂瞬移至距前線千里之外的平民。 網(wǎng)絡戰(zhàn)的歷史和含義 要理解網(wǎng)絡戰(zhàn)對人類文明造成的獨特威脅,就要先了解這個詞到底是怎么產(chǎn)生的。畢竟,網(wǎng)絡戰(zhàn)一詞也歷經(jīng)了幾十年發(fā)展演變。托馬斯·里德 (Thomas Rid) 的網(wǎng)絡萬物史《機器崛起》(Rise of the Machines) 詳細記錄了其演變歷程。但長期的變化發(fā)展也攪渾了其含義:網(wǎng)絡戰(zhàn)這個詞最開始出現(xiàn)在 1987 年美國老牌科普/科幻雜志《Omni》登載的一篇文章中,那篇文章描述了以巨型機器人、自治飛行器和自治武器系統(tǒng)作戰(zhàn)的未來戰(zhàn)爭場面。但到了 1990 年代,計算機和互聯(lián)網(wǎng)日益改變?nèi)祟惿?,這種終結(jié)者風格的機器人網(wǎng)絡戰(zhàn)意象也就讓位于更關注這兩種技術的網(wǎng)絡戰(zhàn)概念了:美國智庫蘭德公司 (RAND) 的兩位分析師在 1993 年發(fā)表文章《網(wǎng)絡戰(zhàn)來了!》,講述軍隊黑客將很快不止對敵方系統(tǒng)執(zhí)行偵察和監(jiān)視任務,還會攻擊和破壞敵人用于指揮和控制的計算機。 然而幾年之后,蘭德公司的分析師就會開始認識到,軍方黑客的破壞性攻擊可未必局限于軍用計算機。他們也能很容易地攻擊敵方關鍵基礎設施的計算機化和自動化部分,可能對平民造成災難性后果:在越來越依賴計算機的世界中,這種攻擊可能意味著破壞鐵路、股票交易所、航空系統(tǒng),甚至毀壞支撐諸多此類關鍵系統(tǒng)的電網(wǎng)。 黑客攻擊無需局限在戰(zhàn)爭外圍的一些戰(zhàn)術上:網(wǎng)絡攻擊本身就能成為戰(zhàn)爭武器。美國前總統(tǒng)克林頓在 2001 年的一次講話中警告稱:今天,我們的關鍵系統(tǒng),從電網(wǎng)到空中交通管制,都由計算機連接并運行,有人可以同樣坐在計算機前,黑進計算機系統(tǒng),搞垮一家公司、一座城市,或者一個政府。他在發(fā)表此番講話時腦子里想的網(wǎng)絡戰(zhàn)定義,恐怕就是將網(wǎng)絡攻擊本身作為武器的戰(zhàn)爭。 自那以后,網(wǎng)絡戰(zhàn)的定義逐漸歸攏,直到 2010 年出版的《網(wǎng)絡戰(zhàn)》一書將之清晰表述出來。該書由老布什、克林頓和小布什三位美國總統(tǒng)的御用國家安全顧問理查德·克拉克 (Ricchard Clarke) 和后來擔任奧巴馬總統(tǒng)網(wǎng)絡安全顧問的羅伯特·科奈克 (Robert Knake) 合著??死撕涂颇慰藢⒕W(wǎng)絡戰(zhàn)定義為 “民族國家滲透另一國家計算機或網(wǎng)絡以造成破壞的行為”。簡單講,該定義大致包含了業(yè)內(nèi)通常理解的 “戰(zhàn)爭行為”,只不過是通過數(shù)字化方式進行的戰(zhàn)爭行為。但隨時光流逝,克拉克和科奈克的定義已攏不住世界前進的腳步,數(shù)字攻擊完全有潛力超出計算機的范疇而對現(xiàn)實世界造成實際后果。 早期網(wǎng)絡戰(zhàn) 切實符合克拉克和科奈克網(wǎng)絡戰(zhàn)定義的首個歷史性事件出現(xiàn)在十幾年前,有些人也稱之為第一次 Web 大戰(zhàn) (Web War I)。襲擊目標是世界上網(wǎng)絡化程度相當高的愛沙尼亞。 2007 年春,前所未見的拒絕服務攻擊 (DDoS) 浪潮席卷愛沙尼亞一百多個網(wǎng)站,造成該國網(wǎng)上銀行、數(shù)字新聞媒體、政務網(wǎng)站等宕機掉線,幾乎任何有 Web 界面的服務皆不可用。攻擊緣起愛沙尼亞政府移除首都塔林中心區(qū)一座蘇聯(lián)時期雕像的決定,此決定激怒了該國說俄語的少數(shù)族裔,引發(fā)塔林各處街道的抗議游行和網(wǎng)上抗議活動。 然而,網(wǎng)絡攻擊持續(xù)數(shù)周后,情況漸漸明朗,這不僅僅是一場網(wǎng)上騷亂:攻擊來自遭惡意軟件劫持的 PC 集結(jié)而成的僵尸網(wǎng)絡,可能的操控者是俄羅斯有組織網(wǎng)絡犯罪團伙。某些攻擊源甚至與早前有著明確政治意圖的 DDoS 攻擊相重合,包括曾襲擊俄羅斯棋王兼反對黨政治領袖加里·卡斯帕羅夫 (Gary Kasparov) 的那些攻擊。如今,安全分析師普遍認為,即便沒有主動組織,俄羅斯政府也可能縱容了這些攻擊。 到了第二年,俄羅斯政府與政治性網(wǎng)絡攻擊的聯(lián)系愈加明顯。另一場非常相似的 DDoS 攻擊涌向又一個俄羅斯鄰邦——格魯吉亞。這次,數(shù)字攻擊伴隨著實體入侵:為“保護”格魯吉亞境內(nèi)親俄羅斯的分裂分子,俄羅斯大軍壓境,坦克開入格魯吉亞首都,艦隊在封鎖格魯吉亞黑海海岸線。一些案例中,數(shù)字攻擊會作為軍事打擊的先導,預先襲擊軍隊即將進入的特定城市相關網(wǎng)站,展現(xiàn)出二者間的協(xié)同性。 2008 格魯吉亞戰(zhàn)爭或許是第一場結(jié)合了常規(guī)軍事力量與黑客攻擊力量的真實混合戰(zhàn)爭。但鑒于格魯吉亞的低互聯(lián)網(wǎng)普及率(當時僅約 7% 的格魯吉亞人用互聯(lián)網(wǎng)),以及俄羅斯相對簡單粗暴的網(wǎng)絡攻擊(僅僅是搞垮和丑化網(wǎng)站),此役更像是網(wǎng)絡戰(zhàn)的歷史性先兆而非真正意義上的網(wǎng)絡戰(zhàn)。 網(wǎng)絡戰(zhàn)不是…… 1、網(wǎng)絡諜報 網(wǎng)絡戰(zhàn)不是簡單的信息盜竊,既不是各國相互監(jiān)視對方政府的大動作,也不是美國長期構(gòu)陷中國的那類更富爭議的私營產(chǎn)業(yè)經(jīng)濟間諜行為。 2、網(wǎng)絡犯罪 網(wǎng)絡戰(zhàn)不是追求金錢收益的黑客活動,銀行欺詐或勒索軟件攻擊那種動輒攫取受害者數(shù)百萬美元的黑客活動式網(wǎng)絡犯罪,無論其效果有時顯得多么殘酷無情和損失慘重。 3、信息戰(zhàn) 盡管可能頗受爭議,但網(wǎng)絡戰(zhàn)不是旨在散布虛假信息和政治宣傳,或泄露對手負面信息試圖傷害對手的 “影響力行動”。沒錯,“影響力行動” 包括 2016 年可能是俄羅斯政府黑客針對民主黨目標發(fā)起的一系列入侵和泄露行動,最終歸結(jié)為政治腐敗和黑料,而不是真正網(wǎng)絡戰(zhàn)的直接強勢致癱性破壞。 第一槍 2010 年,人類社會對網(wǎng)絡戰(zhàn)有了全新認知。認知顛覆的序幕由白俄羅斯安全公司 VirusBlokAda 拉開。該公司先是發(fā)現(xiàn)一款神秘的惡意軟件搞崩了運行自家殺毒軟件的計算機。到了 2010 年 9 月,安全研究社區(qū)得出令人震驚的結(jié)論:該名為 “震網(wǎng)” (Stuxnet) 的惡意軟件樣本實際上是迄今為止專為網(wǎng)絡攻擊設計的最為復雜的代碼,專門用于破壞伊朗核濃縮設施里用的離心機。近兩年之后,《紐約時報》才證實 “震網(wǎng)” 是美國國家安全局 (NSA) 和以色列情報機構(gòu)打造的,目的在于妨礙伊朗嘗試制造原子彈。 2009 至 2010 年間,“震網(wǎng)” 摧毀了伊朗納坦茲 (Natanz) 地下核濃縮工廠中安裝的一千多臺兩米高的鋁制離心機,令該設施陷入混亂和迷惑。在伊朗人的網(wǎng)絡上廣泛散布后,“震網(wǎng)” 將指令注入了管理離心機的可編程邏輯控制器 (PLC),令離心機加速或調(diào)亂其內(nèi)部壓力,造成離心機自毀?!罢鹁W(wǎng)” 可被認為是史上首個直接毀壞實體設備的網(wǎng)絡攻擊,也是摧毀性破壞效果至今無可超越的網(wǎng)絡戰(zhàn)行為。也可以說,“震網(wǎng)” 擊發(fā)了全球網(wǎng)絡軍備競賽的第一槍,拉開了網(wǎng)絡軍備競賽的大幕。 伊朗迅速跟進,從網(wǎng)絡戰(zhàn)受害者角色變身攻擊者。2012 年 8 月,沙特阿拉伯沙特阿美公司——全球最大的石油生產(chǎn)商,遭遇 Shamoon 惡意軟件襲擊,占公司計算機總數(shù)約 3/4 的 3.5 萬臺計算機被清理,石油生產(chǎn)運營基本癱瘓。在受襲計算機的屏幕上,惡意軟件留下了一張美國國旗被點燃的圖片。事后一個自稱 “正義利劍” 的激進組織宣布為此事負責,但網(wǎng)絡安全分析師很快就懷疑,伊朗才是最終背后主謀,將沙特作為報復 “震網(wǎng)” 的代理目標。 接下來的一個月里,自稱 “燕子行動” (Operation Ababil) 的伊朗黑客襲擊了美國各大銀行,用一波接一波的 DDoS 攻擊搞癱銀行網(wǎng)站。這些攻擊可謂俄羅斯在愛沙尼亞和格魯吉亞所用技戰(zhàn)術的針對性攻擊升級版。同樣地,雖然披著 “黑客激進主義者” 的外衣,但網(wǎng)絡安全分析師從攻擊的復雜性中檢測到了伊朗政府的影子,或許,伊朗黑客國家隊釋放出了更為直接的信息——會對未來美國的任何網(wǎng)絡攻擊加以反擊/報復。一年多后,2014 年 2 月,伊朗黑客對美國本土發(fā)起了又一波更有針對性的攻擊:猶太復國主義者,億萬富翁 Sheldon Adelson 公開建議美國對伊朗動用核武后,高端黑客襲擊了 Adelson 位于拉斯維加斯的金沙賭場,用破壞性惡意軟件清空了數(shù)千臺計算機,就像沙特阿美案例中那樣。 到了 2014 年,伊朗不再是僅有的利用網(wǎng)絡攻擊跨越國界,給全球民事目標帶來傷害的流氓國家。朝鮮也開始秀出它的網(wǎng)絡戰(zhàn)肌肉了。多年持之以恒對其宿敵韓國傾瀉 DDoS 攻擊后,朝鮮黑客發(fā)起了更為大膽的行動:2014 年 12 月,講述朝鮮領導人金正恩刺殺陰謀的低俗喜劇電影《刺殺金正恩》上映前,黑客宣稱已深度滲透其發(fā)行方索尼影業(yè)的網(wǎng)絡。黑客自稱 “和平衛(wèi)士” (Guardians of Peace),盜取并泄露了索尼影業(yè)內(nèi)部大量電子郵件和幾部未發(fā)行的電影。他們以清空數(shù)千臺計算機的方式突襲成功。(盡管數(shù)據(jù)泄露或許稱得上是純粹的影響力行動,但破壞性數(shù)據(jù)刪除操作就將該事件推入了網(wǎng)絡戰(zhàn)的范疇。)黑客在被搞癱的計算機上留下了恐嚇性骷髏圖片,并附上了勒索信息;既要錢,也要求取消《刺殺金正恩》上映。雖說打著網(wǎng)絡犯罪的幌子,但美國聯(lián)邦調(diào)查局 (FBI) 根據(jù)黑客的一個疏漏——留下了已知為朝鮮黑客使用的中國 IP 地址,公開宣稱此攻擊是朝鮮政府所為。加入網(wǎng)絡戰(zhàn)競爭圈的國際勢力名單越來越長了。 焦土 即便有朝鮮和伊朗黑客在金沙賭場和索尼影業(yè)攻擊中肆虐,2014 年前后的網(wǎng)絡戰(zhàn)仍局限于單獨的事件和階段性的破壞活動。但就在差不多同一時間,烏克蘭正在經(jīng)歷顏色革命,可能招致俄羅斯入侵并布局[全球首場真正全面網(wǎng)絡戰(zhàn)。 2015 年秋,俄羅斯軍隊吞并烏克蘭克里米亞半島,穿越烏克蘭東部邊境,在頓巴斯地區(qū)支持親俄羅斯的分裂分子運動,俄羅斯情報機構(gòu)黑客開始發(fā)動一系列清除性惡意軟件攻擊。他們針對烏克蘭媒體和基礎設施,包括其國有鐵路和首都基輔的機場,破壞了這些受害者網(wǎng)絡中數(shù)百臺計算機。然后,圣誕節(jié)前夜,同一批黑客執(zhí)行了前所未見的更加令人震驚的破壞活動:他們攻擊了三家烏克蘭地區(qū)性能源設施,讓約 22.5 萬戶居民陷入黑暗,終成史上首次由網(wǎng)絡攻擊引發(fā)的大斷電事件。斷電僅持續(xù)了六小時,但向烏克蘭人民明確傳達了其面對遠程攻擊的脆弱性,也向世界表明了俄羅斯黑客不斷精進的高超技藝。 隨著烏克蘭戰(zhàn)爭的持續(xù),俄羅斯黑客在 2016 年底又發(fā)起了一系列比上一年更大規(guī)模、更具破壞性的攻擊。他們襲擊了該國養(yǎng)老基金、國庫、港口城市政府和基礎設施、國防及財政部,刪除了包含下一年預算在內(nèi)的數(shù) TB 數(shù)據(jù)。烏克蘭鐵道公司也遭襲,在線訂票系統(tǒng)在假日旅游季掉線數(shù)天。 此后,圣誕節(jié)前一周,黑客觸發(fā)了另一場斷電事件,這次是在烏克蘭首都基輔。攻擊僅使該市部分地區(qū)斷電一小時,但與一年前通過攻擊配變電站造成斷電不同,這次黑客攻擊的是輸變電站,可能導致更大規(guī)模的停電。第二次斷電攻擊還使用了新型預兆性工具,安全研究人員稱之為 Industroyer 或 Cras Override。該定制惡意軟件旨在向受害設施中的斷路器直接發(fā)送接二連三的指令,自動化、規(guī)模化該斷電過程,以便在未來能針對多個電力設施同時使用。 該俄羅斯惡意軟件是自震網(wǎng)之后發(fā)現(xiàn)的首個針對實體設備的代碼樣本。此工具展現(xiàn)出模塊化結(jié)構(gòu),可方便改造適用于西歐或美國的電網(wǎng)目標,表明俄羅斯黑客不僅想要對烏克蘭施以更大破壞和恐怖,還在驗證可能輕易用在其他地方的破壞技術。 事實上,所有這些攻擊都只是網(wǎng)絡戰(zhàn)大戲的序曲。2017 年6 月底,俄羅斯黑客利用烏克蘭會計公司 Lindos Group 的被黑服務器,推送了日后被安全研究員稱為 NotPetya 的惡意代碼。NotPetya 結(jié)合了 NSA 被泄黑客程序 “永恒之藍” (EternalBlue) 與密碼盜竊工具 Mimikatz,是一款自動化蠕蟲,幾乎立即就感染了烏克蘭近乎 10% 的計算機,用偽裝成勒索軟件的破壞性攻擊載荷加密了電腦上的內(nèi)容,但并沒有在受害者支付贖金后解密文件的機制。(該惡意軟件初看像是網(wǎng)絡罪犯之前使用的老版 Petya 勒索軟件,但其實并不是,這也是其得名 NotPetya 的原因。)NotPetya 關停了烏克蘭的銀行、ATM 和銷售終端系統(tǒng),幾乎癱瘓了烏克蘭全境的政府機構(gòu),中斷了機場和鐵路等基礎設施,擾亂了醫(yī)院、國家郵政,甚至切爾諾貝利核電站廢墟的放射性水平監(jiān)測工作。 而且,NotPetya 的致病力不受國境線約束。全球最大航運公司馬士基航運集團、美國制藥公司默克、聯(lián)邦快遞歐洲子公司天遞集團 (TNT Express)、法國建筑公司圣戈班 (Saint-Gobain)、食品生產(chǎn)商億滋國際和國際家化巨頭利潔時,均是 NotPetya 的受害者。上述受害案例中,NotPetya 滲透了網(wǎng)絡,讓數(shù)千臺計算機變磚,造成數(shù)億美元的業(yè)務損失和清理成本。該惡意軟件襲擊了至少兩家美國醫(yī)院,關停了語音轉(zhuǎn)文字軟件公司 Nuance——該公司為 100 多家醫(yī)院和診所提供醫(yī)療記錄轉(zhuǎn)錄服務。NotPetya 甚至傳回了俄羅斯,給俄羅斯國家石油公司 Rosneft、鋼鐵生產(chǎn)商耶弗拉茲 (Evraz)、醫(yī)療技術公司 Invitro 和俄羅斯聯(lián)邦儲蓄銀行 (Sberbank) 等受害者帶來了更深遠的連帶傷害。白宮后來估計,NotPetya 造成的總損失至少是 100 億美元,但其整個破壞程度永遠也無法確知。 網(wǎng)絡戰(zhàn)的未來 別懷疑,網(wǎng)絡戰(zhàn)只會愈演愈烈。沒有哪個網(wǎng)絡安全分析師會賭 NotPetya 只是絕無僅有的一過性災難。畢竟,僅僅一個月之前,朝鮮黑客就放出了他們自己的 WannaCry 勒索軟件,破壞力幾乎與 NotPetya 相當。WannaCry 搞癱的網(wǎng)絡延伸至中國的大學、印度的警局,甚至英國國民健康服務 (NHS),造成英國數(shù)千就診預約被取消,最終導致 40 億到 80 億美元的損失。(雖然 WannaCry 顯露出其他民族國家發(fā)起此類大型蠕蟲攻擊的可能性,但其本身未必能算作明確的網(wǎng)絡戰(zhàn),因為 WannaCry 看起來確實想要從受害者身上拿到贖金。全球網(wǎng)絡力量中朝鮮政府尤為獨特,將網(wǎng)絡犯罪盈利與政治性攻擊同等看待,政治利益與經(jīng)濟收益兩手都抓。) 已有跡象表明,未來的網(wǎng)絡攻擊可能會造成更大傷害,甚至實體破壞。2017 年 8 月,名為 Triton 或 Trisis 的惡意軟件關停了沙特阿拉伯 Petro Rabigh 公司所屬的一家煉油廠。幾個月的逆向工程后,安全研究人員確定,該惡意代碼其實無意造成停機,而是旨在悄悄禁用工廠中所謂的安全儀表系統(tǒng)——防止溫度或壓力升高等不安全情況的最后一道防線。秘密禁用這些系統(tǒng)可能導致爆炸或燃氣泄漏等致命意外。 至今仍不清楚該超危險的惡意軟件背后是哪些黑客,也不知道他們在為哪個國家服務。盡管伊朗是安全行業(yè)猜測的主要目標——鑒于伊朗和沙特阿拉伯之間的緊張關系和代理戰(zhàn)爭,但 2018 年末安全公司火眼發(fā)現(xiàn)的跡象顯露出于俄羅斯中央化學力學科學研究院的關聯(lián)。這有兩種解釋,要么是俄羅斯直接攻擊,要么僅僅是俄羅斯惡意軟件開發(fā)者在為伊朗或其他國家黑客干活。同時,伊朗在過去三年來一直持續(xù)修改其攻擊沙特阿美公司時所用的 Shamoon 數(shù)據(jù)清除惡意軟件,針對沙特阿拉伯、卡塔爾和阿聯(lián)酋境內(nèi)的目標,階段性地發(fā)動一波又一波數(shù)據(jù)破壞活動。 除了安全系統(tǒng)攻擊的預期和另一場 NotPetya 類蠕蟲可能性的陰云,還有許多其他噩夢般的假設讓網(wǎng)絡戰(zhàn)專家夜不能寐。他們擔心對供水系統(tǒng)、金融系統(tǒng)、油氣管道、醫(yī)院的網(wǎng)絡攻擊,或許這些網(wǎng)絡攻擊還會伴隨有大規(guī)模傷亡的實體攻擊。而在烏克蘭兩次圣誕斷電之后,網(wǎng)絡戰(zhàn)專家警告稱,更嚴重的電網(wǎng)攻擊也是有可能的。比如說,早在 2007 年,美國愛達荷國家實驗室的研究人員就演示過,僅靠惡意代碼就能破壞坦克大小的柴油發(fā)電機組。網(wǎng)絡攻擊不僅可以禁用電網(wǎng)設備,還能物理破壞其組件,這樣的觀念一直讓專注電網(wǎng)網(wǎng)絡安全的分析師憂慮不已。他們警告稱,這種戰(zhàn)術,尤其是同時對多個目標展開時,可能引發(fā)遠超烏克蘭黑客拉閘那種僅持續(xù)幾小時的超級大斷電——持續(xù)幾天乃至數(shù)周那種。 雖然美國很大程度上幸免于正對性網(wǎng)絡戰(zhàn)攻擊——NotPetya 的連帶傷害除外,美國情報機構(gòu)警告:俄羅斯等國家已滲透美國基礎設施,為未來的網(wǎng)絡沖突 “準備好了戰(zhàn)場”。今年早些時候,美國國家情報總監(jiān)辦公室的一份報告指出:中國有能力對美國關鍵基礎設施發(fā)起網(wǎng)絡攻擊,造成地區(qū)性暫時中斷效果,比如天然氣管道輸氣中斷數(shù)天到數(shù)周。莫斯科正繪制美國的關鍵基礎設施地圖,其長期目標是能夠造成實質(zhì)性破壞。 此類報告中未宣之于口的是:美國自己的黑客也正在往外國網(wǎng)絡中植入同樣的邏輯炸彈,這一點近乎確定。 網(wǎng)絡空間? 網(wǎng)絡戰(zhàn)破壞性的激增似乎不可避免,人類如何面對大規(guī)模網(wǎng)絡沖突無窮無盡的混亂未來?最明顯的答案自然是網(wǎng)絡安全:政府和私營產(chǎn)業(yè)的關鍵基礎設施擁有者無疑可以在網(wǎng)絡防護上投入更多,盡可能地將重要系統(tǒng)與互聯(lián)網(wǎng)隔離開來。但在網(wǎng)絡戰(zhàn)領域,正如廣義上的網(wǎng)絡安全領域,攻擊者占據(jù)明顯優(yōu)勢地位:別指望有什么安全技術可以阻止所有未來網(wǎng)絡攻擊?;蛟S最重要的是,關鍵基礎設施運營商、政府機構(gòu)和公司企業(yè)需要關注構(gòu)建彈性系統(tǒng)——擁有能夠從網(wǎng)絡攻擊中快速恢復的備份和冗余的那種系統(tǒng)。 但網(wǎng)絡戰(zhàn)專家也指出,老式的威懾仍需發(fā)揮作用??山邮芎筒豢山邮艿暮诳托袆佣加袊H慣例,有些不可觸碰的紅線,發(fā)起突破這些紅線的網(wǎng)絡攻擊,就得面對所引發(fā)的一系列嚴重后果。奧巴馬和特朗普政府已邁出了此類威懾政策的步伐:奧巴馬政府對攻擊美國銀行業(yè)的七名伊朗黑客提起了訴訟。奧巴馬自己在一次講話中指出朝鮮應為索尼影業(yè)網(wǎng)絡攻擊負責,并對朝鮮施加了新一輪制裁。特朗普政府雖傳言善待俄羅斯黑客,最終也確實對俄羅斯情報官員再加制裁,以回應 NotPetya 大混亂和滲透美國電網(wǎng)的攻擊行動。 但這些動作仍不足夠,因為他們尋求實施的紅線仍處于構(gòu)建過程中。近十年來,網(wǎng)絡政策鴿派一直在呼吁簽署某種形式的全球協(xié)議或公約,建立網(wǎng)絡戰(zhàn)規(guī)范,但他們的努力大多無果。2010 年出版的《網(wǎng)絡戰(zhàn)》一書中,克拉克和科奈克提出了《網(wǎng)絡戰(zhàn)限制條約》,旨在禁止對他國關鍵基礎設施首先使用網(wǎng)絡攻擊。最近,微軟總裁布拉德·史密斯 (Brad Smith) 呼吁簽署《數(shù)字日內(nèi)瓦公約》,阻止對非軍事目標的網(wǎng)絡攻擊。美國智庫大西洋理事會網(wǎng)絡治國倡議前主席喬什·科曼 (Josh Corman) 曾建議簽署更限制性的協(xié)議,設立圍繞醫(yī)院的 “網(wǎng)絡禁飛區(qū)”——實際上就是通過將針對醫(yī)療設施的任意致命性攻擊定義為戰(zhàn)爭罪,而切實開啟限制網(wǎng)絡戰(zhàn)的進程。 但隨著網(wǎng)絡戰(zhàn)軍備競賽的不斷升級,所有這些網(wǎng)絡空間倡議幾乎都被無視了。批評家指出,網(wǎng)絡攻擊的動機難以定義——網(wǎng)絡間諜或網(wǎng)絡偵察入侵常??雌饋硐袷钦谶M行中的網(wǎng)絡戰(zhàn)攻擊,而確定黑客的身份更是難上加難。所謂的歸因溯源問題未能阻擋美國政府言之鑿鑿地點名某些政府,指責他們該為過去十年間影響西方目標的重大攻擊負責。美國情報機構(gòu)可以使用人力情報來源和他們自己非常強大的黑客能力,找出(或者捏造出)網(wǎng)絡攻擊背后的主謀,甚至在安全社區(qū)都無法確定的時候。 更重要的是,各國政府一直無意簽署網(wǎng)絡戰(zhàn)限制條約,因為他們不想限制自己對敵人發(fā)起網(wǎng)絡攻擊的自由。美國或許在面對敵人的重大網(wǎng)絡攻擊時并非無懈可擊,但美國領導人仍然無意妨礙美國自己的 NSA 和網(wǎng)絡司令部——全球最具才華、資源最充足的黑客群體。特朗普政府則繼續(xù)給網(wǎng)絡司令部松綁,提升其權限,徹底放開網(wǎng)絡司令部對敵方基礎設施發(fā)起先發(fā)制人攻擊的自由。就在今年,據(jù)稱網(wǎng)絡司令部動用這些新權限摧毀了俄羅斯互聯(lián)網(wǎng)研究機構(gòu) (Internet Research Agency) 的服務器,對伊朗網(wǎng)絡間諜實施破壞性攻擊,并在俄羅斯電網(wǎng)中深植潛在破壞性惡意軟件。 換句話說,美國和其他大國仍未意識到互扔焦土式網(wǎng)絡攻擊只會得不償失。除非他們轉(zhuǎn)變認知,否則網(wǎng)絡戰(zhàn)機器仍將前行,一步步碾壓現(xiàn)代文明基礎設施。 網(wǎng)絡戰(zhàn)攻擊簡史
愛沙尼亞,2007:愛沙尼亞政府決定于 2007 年 4 月移除首都塔林中心區(qū)一座蘇聯(lián)士兵雕像,此決定激怒了該國說俄語的少數(shù)族裔,引發(fā)大規(guī)模抗議。暴亂伴隨著一波分布式拒絕服務攻擊,造成數(shù)百個愛沙尼亞網(wǎng)站掉線。該攻擊可能有俄羅斯政府背后支持。
格魯吉亞,2008:到了第二年,俄格戰(zhàn)爭中再現(xiàn)非常相似的網(wǎng)絡攻擊,俄羅斯坦克開向格魯吉亞首都,軍艦封鎖其海岸線的同時,一系列拒絕服務攻擊轟向該國網(wǎng)站。雖說這些在線攻擊看起來相對粗糙,但或許是史上首次伴隨著實體入侵的大規(guī)模數(shù)字攻擊。
震網(wǎng),2009:2009 年開始,名為震網(wǎng) (Stuxnet) 的獨創(chuàng)性惡意軟件開始滲透伊朗納坦茲核濃縮設施的網(wǎng)絡,悄悄篡改其脆弱的離心機設置,造成離心機自毀,嚴重挫傷伊朗的核武意圖。僅在2010 年該蠕蟲意外擴散到世界其他地方時,該行動才暴露,而兩年之后,被證實是美國國家安全局 (NSA) 和以色列情報機構(gòu)的杰作。
沙特阿美,2012:震網(wǎng)被證實是美國和以色列主導的攻擊行動后僅僅兩個月,Shamoon 惡意軟件襲擊了石油巨頭沙特阿美公司,摧毀 3.5 萬臺計算機。該攻擊是當時現(xiàn)世的此類攻擊中最大型的,被迅速鎖定為伊朗黑客所為,并被認為是報復美國震網(wǎng)破壞行為的代理攻擊。
索尼,2014:2014 年底,自稱 “和平衛(wèi)士” (Guardians of Peace) 的黑客團伙撕開索尼影業(yè)網(wǎng)絡,盜取并泄露包括未發(fā)行影片在內(nèi)的大量數(shù)據(jù),破壞了數(shù)千臺電腦,要求索尼取消上映其喜劇電影《刺殺金正恩》。盡管黑客最初表現(xiàn)得像是要求贖金的網(wǎng)絡罪犯,但 FBI 很快便宣布他們實際上是朝鮮黑客國家隊。
烏克蘭,2015:2015 年圣誕節(jié)前兩天,俄羅斯黑客觸發(fā)了史上首起由網(wǎng)絡攻擊引起的大斷電,切斷了數(shù)萬烏克蘭家庭的電力供應。該攻擊發(fā)生在俄羅斯實體入侵該國東部和克里米亞半島的中途,前后均伴隨有一系列嚴重的數(shù)據(jù)清除攻擊,以 2016 年末烏克蘭首都基輔的另一場大斷電為高潮結(jié)束。
NotPetya,2017 年 6 月:俄羅斯對烏克蘭的網(wǎng)絡戰(zhàn)在 2016 年 6 月到達了高峰,當時俄羅斯放出了 NotPetya 惡意軟件,通過劫持烏克蘭會計軟件 M.E.Doc 的軟件更新,將該數(shù)據(jù)摧毀型蠕蟲植入了數(shù)千臺計算機中。但 NotPetya 不僅摧毀了烏克蘭的網(wǎng)絡,還擴散到了馬士基航運、默克公司、聯(lián)邦快遞等跨國公司,導致破紀錄的 100 億美元損失。 Triton/Trisis,2017 年 8 月:NotPetya 之后僅僅數(shù)月,沙特阿拉伯煉油廠 Petro Rabigh 遭名為 Triton 或 Trisis 的高級惡意軟件關停。這還不是最糟的:分析師發(fā)現(xiàn),這一顯露出俄羅斯科學研究院蹤跡的神秘惡意軟件,原本是要關停該廠安全系統(tǒng)的——可能引發(fā)人身傷亡事件。
|
上一篇:支付勒索軟件前需要回答的8個問題 |