本周北约发布阐述国家网络战的塔林报告(The Tallinn Papers)。这份资料是一份从全局的角度回顾国家网络战历史和主要APT攻击的文章。本期海外安全回顾将着重解读这份报告。
塔林国家网络战报告解读
世上无新事。一切都是历史的轮回。
在本周,由NATO Cooperative Cyber Defence Centre of Excellence发布的塔林系列报告(以下简称塔林报告)是一件值得关注的事情。本次发布的塔林报告包括两份:一份是“混沌:国家,国家安全和互联网”(PANDEMONIUM:NATION STATES, NATIONAL SECURITY, AND THE INTERNET),另一份是“软件制造商对其缺陷产品的责任”(THE LIABILITY OF SOFTWARE MANUFACTURERS FOR DEFECTIVE PRODUCT)。
本期海外安全事件回顾主要解读一下第一份报告。第二份报告请大家自己阅读。两份报告均可以从NATO CCD COE网站(https://www.ccdcoe.org/)下载,或从本人的微博(http://www.weibo.com/hacktivism)下载。
这份名为“混沌:国家,国家安全和互联网”(PANDEMONIUM:NATION STATES, NATIONAL SECURITY, AND THE INTERNET)的文章由FireEye的资深安全分析师KENNETH GEERS编写。毫无疑问,这是一份概述从1998年以来全球发生的最主要的国家间网络战历史的文章,包括了爱沙尼亚网络战,伊朗震网,巴勒斯坦-以色列网络战,叙利亚网络战以及南北韩网络战等著名事件。
在开始解读之前,先简单介绍一下NATO Cooperative Cyber Defence Centre of Excellence(以下简称NATO CCD COE),即北约卓越网络防卫合作中心。这个中心成立于2008年5月14日。在2008年10月28日得到北约的认可,取得国际军事组织的地位。该中心从事网络安全研究和培训,共有40名员工。NATO CCD COE中心坐落于爱沙尼亚的塔林。
细心的朋友一定有种突然醒悟的感觉。没错,爱沙尼亚。NATO CCD COE的前身是爱沙尼亚的网络安全研究组织。在2007年爱沙尼亚网络战后,其重要作用凸显出来,并最终被北约收纳。
由于NATO CCD COE所在地是的塔林,因此,此番报告命名为塔林报告也就不难理解了。从另一个角度来说,以所在地命名报告,也体现了该报告的重要程度。
GEERS以“Pandemonium”作为标题是有其深刻寓意的。“Pandemonium”源于约翰弥尔顿的史诗《失乐园》,本意是描述一种荒芜而嘈杂的混乱状态。《失乐园》中的“乐”就是人间天堂,即伊甸乐园。人类失去伊甸乐园正是因为人类违背上帝旨意犯下的罪导致的。“Pandemonium”是地狱的一种标准状态。地狱不在地下,而在天堂之外的冥冥荒野。作者在这里以“Pandemonium”为题更是为了表现国家间安全状况的混沌。
文章第一句话是:很久以前,Ecclesiastes(笔者注:即传道书,来自圣经)的作者说到:“世上无新事(There is nothing new under the sun)”。这明显是一种影射。GEERS认为,和很久之前人类丧失伊甸乐土一样,当下国家间本应该是相互和平共处,但是正是这些网络战使得原本和谐的“乐土”变成了野蛮和没有秩序的荒原。
对于网络威胁,GEERS首先把它定义为一种技术和哲学的奇迹:网络攻击可以将远在千里之外的核控制系统瘫痪,也可以记录下载我们所有的一举一动,一段加密的代码可以且只可以破解唯一的目标。网络攻防战已经不简简单单是一个技术问题,而是人类社会几千年来进攻和防御、破坏与反破坏、欺诈与反欺诈经验的结晶以及诸多知识的结合体。
GEERS以划分国家的方式阐述这些导致人类乐土变成荒原的网络战。
首当其冲的是俄罗斯。毋庸置疑,俄罗斯有全球最好的黑客。他们自由出入对方的系统,获取自己需要的数据如囊中取物,手到擒来。1998年北约空袭塞尔维亚时,支持塞尔维亚的俄罗斯黑客就用DDoS了北约网络并在电子邮件植入病毒发起攻击。2007年,俄罗斯是爱沙尼亚网络战背后最主要的推手。2008年俄罗斯入侵格鲁吉亚期间,俄罗斯是通过USB入侵并导致美军中央司令部重要信息泄露的首要嫌犯。2009年,俄罗斯黑客是“气候门”的罪魁祸首,他们阻止大学研究的目的正是为了破坏减缓气候变化的国际谈判。2010年,FBI逮捕并驱逐了Alexey Kafelnikov,在此之前他是微软的软件测试工程师。
在GEERS笔下,俄罗斯的累累罪行真是罄竹难书。当然,GEERS认为美国也不是省油的灯。GEERS引用了Ralph Langner(注:震网病毒最有经验和权威的研究者)的论断,如果将国家网络战定义为通过网络攻击导致物理基础设施遭到破坏,那么震网(Stuxnet)是迄今已来唯一的网络超级武器(“only one” cyber superpower in the world)。
震网是一个完全和彻底的创新,它集诸多进攻手段于一身,成为一种准宗教式(quasi-religious)的经典:多个0day漏洞,强制加密“哈希碰撞”,披着合法操作外衣的格外复杂的破坏行为等等。与此同时,震网具有明确的目标。和Slammer以及Code Red尽可能感染更多系统的理念不同,震网尽可能少地感染系统。对于绝大多数系统来说,震网病毒是安静和安全的。
GEERS对震网的评价非常高,他认为震网改变了人类历史。我同意他的观点。
关于震网到底是不是美国人发明的这个问题,GEERS没有直接回答YES or No。他提到,除了Langner,还有包括纽约时报、美国总统资深反恐官等一票人都相信震网是在一个华盛顿律师团的监管下编写的。此外,Duqu, Flame和Gauss等APT代码和震网一样,都是出自同一帮人之手。事实上,这个问题问的有点多余。GEERS把震网放到美国这个版块而不是中东,就已经给出了明确的回答。
接下来是中东(Middle East)和北韩(North Korea)。在中东版块,除了支持巴勒斯坦的黑客与以色列黑客之间的攻防战之外,GEERS特别着重提到了两个黑客组织:伊朗的Izz ad-Din al-Qassam,以及叙利亚的叙利亚电子军(SyrianElectronic Army ,简称SEA)。Izz ad-Din al-Qassam打得美国几十家金融机构晕头转向、风声鹤唳,SEA更是连下Al-Jazeera(半岛电视台), Anonymous(匿名者组织),Associated Press (美联社),BBC, the Daily Telegraph(每日邮报), the Financial Times(金融时报), the Guardian(卫报),Human Rights Watch(人权观察), National Public Radio(国家公共广播),the New Nork Times(纽约时报),Twitter等系统。SEA的杀手锏是社工和鱼叉式邮件攻击,一旦得手,马上植入RAT代码。
谈到北韩,GEERS则多少表现的有些不屑。北韩从2009年开始对美国和南韩的政府网站发起网络攻击。而北韩的黑客直到2013年才可以称得上“成熟”,开始对南韩的银行、媒体、运营商等目标发起包括DDoS在内的网络攻击。当前,北韩的网络战部门有3000人。有意思的是,相对于南韩的四处救火,北韩自己的服务器非常安全——因为这些服务器根本就没有互联网连接。
报告的最后,是一些标准的FireEye数据,全球C&C分布数据等。如下图所示,图中的圆圈即代表C&C控制服务器,圆圈越大,说明C&C服务器越密集。这些东西已经看过很多次了,没更多的感觉,这里就不再赘述了。
总之,这份资料是一份难得的、从历史和全局的角度回顾主要国家网络战和APT攻击的文章。GEERS认为,网络战体现了国家与国家之前,体制与体制之间的矛盾和冲突,从这个角度上来说,网络战不过是冷战的另外一种形式。人类战争的历史仍在继续,攻防对抗的事件仍在不断轮回。
最后,细心的读者一定会问,文章到这里完了?没错,完了。你可能会问,不会吧,缺了点什么。没错,有一个重要的版块没有解读。哈哈,那部分内容请大家自己阅读吧。原因嘛,你懂得。
本周其他事件:
1、北约网站系统遭受DDoS攻击。
无独有偶,上面刚解读完北约(NATO)发布的塔林报告,本周末,NATO的网站系统就被DDoS攻击了。攻击者自称 "Cyber Berkut",一个乌克兰爱国组织,他们攻击NATO的原因是不满北约干涉乌克兰内政。"Berkut"曾经是一支真实存在的乌克兰特种部队,在前不久因“镇压”乌克兰游行示威而被解散,其成员随后组成亲俄罗斯的军事组织。
被攻击的网站包括北约官网(www.NATO.int)和上面提到的总部在爱沙尼亚的NATO CCD COE(www.ccdcoe.org)。据北约发言人称,攻击并没有对北约的正常事务造成影响。
2、克里姆林宫网站被匿名者组织DDoS,无法访问。
攻击者自称是高加索匿名者(Anonymous Caucasus)。攻击者在Facebook上留言:“这只是热身,俄国猪!(This is just warming up, Russian pig!)
3、中东的DDoS呈上升趋势。
Anonymous和SEA(叙利亚电子军)在中东的一番折腾加剧了数据中心面临的威胁。据统计,中东地区DDoS攻击的平均流量为2.8Gbps,高于全球2.3Gbps的平均水平。有意思的是,中东的数据中心仍旧普遍采用防火墙和IPS来抗DDoS。
(完)