我的位置 态势感知  >  漏洞态势

前NSA/CIA网络间谍畅谈史上经典网络攻击TTPs,建言当前俄美网络攻防对抗可能恶化升级态势

来源:网空闲话 时间:2022-03-15 阅读次数:

3月12日,POLITICO刊文,称三位在网络行动方面有经验的专家-前美国NSA/CIA网络间谍进行了采访,以期探寻在俄乌冲突期间,美国和俄罗斯如何应对日益扩大外溢的网络战威胁。黑客们告诉POLITICO,他们希望华盛顿和莫斯科在如何使用数字武器时表现出谨慎态度。但就目前而言,美国最可能的做法是缓慢而谨慎地应对与俄罗斯的任何网络冲突,同时希望俄罗斯人也这样做。在俄罗斯军事打击乌克兰期间,对这两个前冷战对手之间的网络战的担忧已成为一个反复出现的焦虑。形势促使拜登警告说,他将“以同样的方式回应”莫斯科针对美国的任何敌对网络攻击。但在美国网络战方面有经验的黑客人士表示,任何一方都不太可能将破坏性攻击作为第一步——任何猛烈的打击之前都会先释放警告和信号。

三位前网络间谍透露出的一些信息非常耐人寻味。

1、描述了使用华盛顿强大的黑客武器库的复杂性。这些工具包括情报机构出于间谍目的而植入外国网络的工具,但这些工具也可能被重新用于攻击为军事设施服务的设施。(联想到3月14日国家计算机病毒应急处理中心正式发布的NSA专用“NOPEN”远程控制木马,精巧度、复杂度、隐蔽性等超乎想象)

2、专注于俄罗斯的攻击团队拥有自己的专家,他们具有特殊的语言和技术技能,可以帮助他们了解他们所针对的网络。研究俄罗斯目标的分析员会说俄语,其他小组中很少有人知道目标国家的国歌,但俄罗斯队的所有人都知道。

3、伊朗可能是地球上受美国网络力量控制最严重的国家之一,该国内部没有一个网络没有来自美国或其他国家的情报机构的植入物。俄罗斯虽具挑战性,是因网络目标的规模和数量以及俄自己的黑客和反情报技能。即使如此,NSA也深深地嵌入俄罗斯的许多关键基础设施中。不是说像电网基础设施,是指基础设施,无论是情报基础设施还是其他。2016年之前,俄罗斯并非美网络空间的重点对手,中国和伊朗才是。可以想象此前,中国是否如同伊朗一样?

4、2018年,时任总统特朗普签署命令授权,消除了间谍机构获得白宫批准的需要时,中央情报局进行网络攻击的余地扩大了。中央情报局现在自己可以批准对俄罗斯、中国、伊朗和朝鲜进行网络攻击。这也潜在地扩大了中央情报局可以自行开展的行动类型,为以前对美国黑客禁区的银行和其他金融机构进行攻击打开了大门,还有类似的黑客攻击和泄密行动。

5、有效的网络攻击不是自发的、机会主义的事件。攻入某些系统可能需要数月或数年的时间,然后可能需要广泛的侦察和研究——甚至是物理访问——来设计和实施攻击。比如Stuxnet攻击,以色列利用了线人将恶意程序带入高度隔离的场所。比如被卡巴曝光的一项长达六年的行动,该行动在多个国家的路由器上植入了木马,以监视ISIS和基地组织恐怖分子。

6、理想情况下,NSA、CIA、CyberCom之间是协同行动的,即网络司令部的攻击性黑客不会使用美国国家安全局和中央情报局用于情报收集的相同植入物和受损系统对目标发动破坏性攻击,以免破坏他们的间谍能力。偶尔也有例外,Lee说他在NSA期间,网络司令部经常利用间谍小组努力获得的访问权限。本来希望网络司令部拥有自己的能力和访问权限,但事实并非如此。

7、最困难的部分通常不是攻入系统获得访问权,而是秘密地维护它数月或数年。这也是区分高级攻击团队和低水平小团队的重要标志。(这不就是APT的P嘛,能做到P才算厉害。)

中央情报局和国家安全局多年来一直在渗透俄罗斯的关键计算机网络以收集情报,并获得可以利用的访问权限,以便对普京的政权进行破坏性网络攻击。

受访者之一,是在奥巴马政府期间担任国家安全委员会网络安全协调员的迈克尔丹尼尔。“在你破坏关键基础设施之前,有一些渐变/症候信息”。

(2018年6月20 日在华盛顿特区举行的参议院情报委员会听证会上,前白宫网络安全协调员兼前总统巴拉克奥巴马的特别助理迈克尔丹尼尔作证) | 亚历克斯黄/盖蒂图片社

受访者之二,是网络安全公司Dragos的CEO和创始人Robert M Lee,美国会听证会上的坐上客,公司的威胁情报平台为CISA、NSA之御用共享平台。此人在2015年之前在美国国家安全局从事网络战行动。即使是为了应对俄罗斯对美国或北约的网络攻击,美国也很可能会避免追踪俄罗斯公民的电力等民用目标。相反,美国的任何行动都将是渐进的、相称的,并旨在警告俄罗斯停止行动。

“他们会关闭[莫斯科]的电网吗?不,”。他补充说:“你[只是]试图塑造行为和信号,'嘿,我们看到你了,我们愿意升级。请不要回击,否则我们将进入下一阶段。”

受访者之三,是2013年之前一直在NSA工作的前黑客Jake Williams。“关闭继电器是一回事。了解当你关闭继电器时会发生什么是另一回事”。

李和另外两名前NSA黑客在接受采访时表示,目前,美国政府黑客可能正在避免采取任何普京政府可能将其理解为事态升级的行动,从而引发报复。间谍活动将照常进行,但不鼓励深入挖掘关键基础设施或寻找尚未受到威胁的新系统。

他们说,出于同样的原因,美国可能不会通过对俄罗斯军队或政府发起进攻性网络攻击来协助乌克兰的防御,以避免被卷入冲突。

原文主要内容摘编整理如下:

在接受POLITICO采访时,李和另外两名参与针对外国网络的网络行动的前美国政府黑客以及参与讨论此类行动的前情报官员描述了使用华盛顿强大的黑客武器库的复杂性。这些工具包括情报机构出于间谍目的而植入外国网络的工具,但这些工具也可能被重新用于攻击为军事设施服务的发电厂,停止管道中的天然气或导致俄罗斯指挥中心的通信中断。

三位专家表示,几十年来,俄罗斯并不是美国黑客攻击的首要任务,他们的首要目标是伊朗和中国等国家。但在普京自己的黑客试图干预2016年大选后,情况发生了变化,而美国如今已深深融入俄罗斯的基础设施。

这位前政府黑客和情报官员,以及一名前国家安全官员,还与POLITICO讨论了进入其他国家核心系统所需的大量努力——以及多年来保持该秘密访问权限的挑战。他们描述了与普京的对峙带来的困难,包括决定何时对能够以实物回应的对手发起破坏性网络攻击的谋划和算计。

这位前美国情报官员说,美国有足够的攻击性黑客能力“做我们需要做的事情,产生我们想要的效果”。但他对俄罗斯在美国基础设施中的隐藏并控制的程度表示不太确定,这可能会限制美国愿意做的事情。

“他们能转过身来还给我们吗?有人可以做出一些合理的断言说他们不能吗?” 这位前官员说,他要求保持匿名,因为他无权就此类问题发言。“如果人们不能这么说,那么我认为很难唤起执行[一次]攻击的政治意愿。”

这是美国高级领导人通常不喜欢在公开场合进行的对话——关于美国网络能力的细节和使用它们的计算长期以来一直是保密的。

丹尼尔说,美国只能希望普京政权也能保持类似的克制,因为双方都面临网络冲突的不可预测的危险,这可能对双方造成持久的伤害。

“就[西方]制裁对[俄罗斯]经济造成或可能造成的损害而言,它们是可逆的,”他说。“西方可以选择关闭它们。[但是]你不能破坏某些东西。”

一个巨大的警告:如果普京到了他认为俄罗斯没有什么可失去的地步,那么他更有可能下令对美国进行破坏性攻击。“但我认为我们还没有走到那一步,”丹尼尔说。

持续进攻

NSA、CIA和CYBERCOM是美国政府负责破坏外国网络的主要部门。

国家安全局和中央情报局都设有复杂的网络行动部门,各自的团队专注于特定国家或地区以收集情报。美国网络司令部于2010年成立,它为与作战相关的进攻行动而不是情报收集而对网络进行黑客攻击。它最近还打击了针对美国的勒索软件组织。

这三个实体在不同的法律权力下运作,通常限制了每个实体可以做的事情。但也有一些重叠之处:在过去几年中,如果NSA或CIA团队需要破坏或打击某个目标系统,它可以得到白宫的授权,或者网络司令部的战士可以负责与他们合作。

但在2018年,当时任总统唐纳德特朗普签署一项秘密调查结果,消除了间谍机构获得白宫批准的需要时,中央情报局进行此类攻击的余地扩大了。相反,中央情报局现在可以批准对俄罗斯、中国、伊朗和朝鲜进行网络攻击。这也潜在地扩大了中央情报局可以自行开展的行动类型,为以前对美国黑客禁区的银行和其他金融机构进行攻击打开了大门,还有类似的黑客攻击和泄密行动。俄罗斯在2016年与民主党全国委员会合作。

将俄罗斯作为美国网络情报工作的重中之重是一个相对较新的现象。

三名专家告诉POLITICO,在2001年9月11日发生恐怖袭击后,情报机构将资源和人员转移到反恐上——后来又转向伊朗和中国。这种情况持续了近15年。“我不会说俄罗斯是一潭死水,但它肯定没有被高度重视,”这位要求保持匿名的前情报官员说。

另一位与前NSA情报分析师熟悉的消息人士证实,NSA的俄罗斯任务团队——包括黑客、帮助确定目标和评估情报的分析师以及任务负责人——在2001年之后失去了很多资源和人员。

分析师表示,但剩下的人因此变得更加专注和自律,而且效率也不低。与其他团队不同,专注于俄罗斯的团队拥有自己的专家,他们具有特殊的语言和技术技能,可以帮助他们了解他们所针对的网络。

“研究俄罗斯目标的分析员会说俄语,”他说。“其他小组中很少有人知道目标国家的国歌,但俄罗斯队的所有人都知道。”

然而,与许多其他国家的系统相比,俄罗斯的目标更难攻克和维护。

“从技术角度来看,伊朗可能是地球上受害最严重的国家之一,”这位前情报官员说。“该国内部没有一个网络没有来自美国或其他国家的情报机构的植入物。”

俄罗斯更具挑战性,这既是因为该国的规模和值得瞄准的网络数量,也因为俄罗斯自己的黑客和反情报技能。尽管如此,李说:“我们深深地嵌入俄罗斯的许多关键基础设施中。我不是说像电网基础设施。我只是指基础设施,无论是情报基础设施还是其他。对于我们最近解密的非同寻常的[信息],这一点应该很明显。”

最困难的部分通常不是访问系统,而是秘密地维护它数月或数年。

这位前情报官员说:“正是这一点将地球上最复杂的网络行动者与较小的网络行动者区分开来。”

软件补丁或升级到新操作系统可以为入侵者关闭大门。因此,NSA和CIA黑客将寻求更深入的访问权限,例如在软件升级不会影响他们的系统核心植入间谍工具。

即便如此,包含间谍植入物的硬件可能会突然下线,让黑客怀疑是否有人发现了他们的后门。俄罗斯网络安全公司卡巴斯基实验室公开曝光了美国及其盟国多年来在世界各地植入的大量间谍工具,其中包括一项长达六年的行动,该行动在多个国家的路由器上植入了木马,以监视ISIS和基地组织恐怖分子。有时,竞争对手的间谍机构会窃取某个机构的黑客工具,据报道,一个名为Shadow Brokers的组织(据信是来自俄罗斯的民族国家间谍组织)泄露了窃取NSA的恶意软件工具包。

这位前情报官员说:“外行的假设是,您只需将已被破坏的东西换成未被破坏的新东西。” “但是,更换工具的过程本身会大大增加你被发现或抓到的机会。”

NSA还必须提防其他黑客——民族国家和熟练的网络罪犯——他们可能在该机构想要破坏的系统内部。这些黑客可能会监视该机构在受感染机器内的活动,或者获取他们的工具来研究和重用它们。

间谍活动与网络攻击

政府可能不喜欢外国间谍破坏他们的网络并窃取数据,但这是一种可以接受和预期的做法,即使它涉及破坏能源公司和电网等关键基础设施以收集情报。这些目标可以产生有价值的信息,关于如何在全国范围内发电和输电,以及电网的脆弱部分对物理或数字伤害的程度。美国、俄罗斯和其他国家都破坏了这些网络。

这位前情报官员说,当俄罗斯出于间谍目的侵入这些目标时,“我们可能会对此大喊大叫,但他们是完全有效的目标。”

李说,获得发电厂的使用权并不意味着外国政府即将拆除它。“从字面上看,他们的工作就是获取访问权限并在人们请求时维护它,”他说。

但政府也考虑对电力供应进行更具破坏性的攻击。这种可能性在2019年引起了新的关注,当时《纽约时报》报道称,美国网络司令部在俄罗斯的电网系统中植入了“潜在的破坏性”恶意软件,以防美国未来可能想要破坏电网。

但李说,文章中描述的行动并不是美国通常会如何进行这样的行动。

“在你利用它们之前,你不会将你的攻击能力[放在网络中],”他说,因为你冒着让它们被发现的风险。然而,攻击者会留下植入物用于情报目的,以后可以利用这些植入物来破坏系统或植入破坏性代码。

丹尼尔说,理想情况下,网络司令部的攻击性黑客不会使用美国国家安全局和中央情报局用于情报收集的相同植入物和受损系统对目标发动破坏性攻击,以免破坏他们的间谍能力。但李说,在他在NSA期间,网络司令部经常利用间谍小组努力获得的访问权限。“我们本来希望网络司令部拥有自己的能力和访问权限,但事实并非如此。”

有效的网络攻击不是自发的、机会主义的事件。攻入某些系统可能需要数月或数年的时间,然后可能需要广泛的侦察和研究——甚至是物理访问——来设计和实施攻击。

在最著名的破坏性网络行动中,美国和以色列在2007年至2010年期间发起的秘密Stuxnet攻击以破坏伊朗核计划,中央情报局和摩萨德使用为荷兰情报工作的鼹鼠将间谍软件携带到高度安全的设施中并将其植入到未连接到 Internet 的计算机上。在该间谍软件收集到有关用于浓缩铀气的离心机的情报后,鼹鼠将破坏性代码植入相同的系统。以色列和美国的研究人员甚至建立了离心机测试实验室来研究潜在影响设备上可能会受到各种数字攻击。该行动成功地降低了1,000至2,000台离心机的性能,并导致伊朗的浓缩活动暂时延迟,尽管伊朗很快从挫折中恢复过来。

同样,当俄罗斯黑客在2015年关闭乌克兰部分电网数小时后,他们通过向员工发送载有恶意软件的电子邮件进入发电厂网络,然后花了六个月的时间进行侦察,研究配电厂的各种控制系统模型并设计特定于每个系统的恶意软件。

为了让美国准备在冲突期间对外国目标发动军事网络攻击,网络司令部团队将列出他们可能需要访问的系统,然后调查NSA和CIA黑客团队,看看谁已经可以访问它们,并是否需要破坏其他网络。

但是,在两国之间的冲突开始之前,在现有的美俄紧张局势中攻击损害新网络是非常危险的,李说,美国黑客现在将采取额外的克制。无论美国的意图如何,俄罗斯都可能将新的间谍入侵误解为攻击的先行工作。

李说,许多人可能会认为,对于像俄罗斯入侵这样的危机,美国网络战士会在俄罗斯网络内部变得更加激进。但他说,“我对美国情报的经验恰恰相反。……现在不是闲逛的时候。除非你非常需要去那里,否则不要去做可能被视为升级的事情。”

Lee指出,他的公司在10月份发现了一个事件,当时一个名为Xenotime的俄罗斯黑客组织被发现正在探测美国主要电力和液化天然气站点的网络。黑客只是对漏洞进行例行探测——美国也这样做——但由于与俄罗斯的紧张局势日益加剧以及Xenotime参与了先前的破坏性攻击,这些信息向上汇报到了政府高级官员。这一事件发生在拜登警告普京不要对美国关键基础设施进行攻击性网络攻击几个月后。

“它变成了非同寻常的担忧,因为它被视为一种信号,”李说。“[俄罗斯人]表明他们可能有意攻击电力和天然气设施。”

美国将如何应对攻击

李认为,无论对乌克兰的军事入侵变得多么可怕,美国都不会对俄罗斯进行破坏性或损毁性的网络攻击。就像美国小心翼翼地避免直接参与乌克兰的防御一样,除了提供情报和设备外,它也不想在网络空间与俄罗斯发生直接冲突。然而,如果俄罗斯攻击美国或其北约盟国,这种情况可能会改变。

但前NSC网络协调员丹尼尔表示,俄罗斯可能正在对发动针对美国的攻击进行同样的计算。例如,为了报复西方制裁在俄罗斯引入的金融危机,普京的部队可能会对美国或欧洲金融数据的完整性发起复杂且可能造成混乱的攻击,但此类攻击需要广泛的提前计划,俄罗斯尚不清楚已经完成了这项工作。

丹尼尔说,俄罗斯也不太可能一开始就发动破坏性攻击。相反,俄罗斯可能会发起大量恶意在线流量来关闭美国银行网站,就像伊朗过去为报复制裁所做的那样。俄罗斯还可以劫持银行流量,将其重定向到俄罗斯网络,或释放网络犯罪团伙对金融部门进行勒索软件攻击。

无论俄罗斯做什么,丹尼尔说,美国都希望在做出任何回应时受到衡量。选项可能包括泄露有关普京及其亲信的秘密金融交易的信息,以进一步使俄罗斯公众反对普京,尽管美国必须为俄罗斯做同样的事情做好准备。

丹尼尔说:“美国将寻求会造成一些痛苦但不会导致身体破坏或生命损失或必然是永久性的行动,因此如果俄罗斯退让,美国也可以退让。”

丹尼尔说,美国的任何回应都可能只针对军方或政府——这与美国全国广播公司 ( NBC) 新闻最近的一篇报道相反,该报道遭到白宫强烈质疑,该报道称美国网络战士向拜登提出了关闭网络等选项。

丹尼尔说:“我们不希望采取措施将俄罗斯民众推向亲普京一边。”

原文链接:

https://www.politico.com/news/2022/03/12/cyber-russia-hacking-security-00016598

 

 

原文来源:网空闲话

“投稿联系方式:孙中豪 010-82992251   sunzhonghao@cert.org.cn”

8条评论