國際間的APT攻擊到底有多可怕
責編:mhshi |2015-06-15 13:50:112010年,卡巴斯基的一位安全專家發現在U盤上存在一種特殊的病毒——震網病毒。通過分析震網,揭穿了伊朗核電站遭受的多年黑客攻擊。這次攻擊是某個國家為阻止伊朗核武器計劃,通過高強度手段滲透進伊朗物理隔離的最高絕密核電站網絡。攻擊的強大和可怕在于——滲入一個國家的最高機密,并且能夠穿透物理隔離網。
這種攻擊就是APT(AdvancedPersistentThreat),一種高級持續性的攻擊模式。APT并不特定指某種病毒,而是黑客利用先進的攻擊手段對特定目標進行長期、持續性網絡攻擊的形式。
APT攻擊的目標,通常是高價值的企業、政府機構以及敏感數據信息。主要目的是竊取商業機密,破壞競爭甚至是國家間的網絡戰爭。
國家和國家之間的APT攻擊,已經變得非常可怕。斯諾登曾為美國國家安全局進行基礎設施分析,他掌握了美國國家安全局大規模搜集個人信息的計劃,這些計劃中的黑客技術是很多安全專家都無法想象的。今天我們已經發現的震網攻擊僅僅是美國05年的水平,安全專家說,現在的技術已經發展到即便你的電腦不插上電源線都有可能被黑客竊取到信息。
「棱鏡事件」爆發后,中國已明確成為遭受國際網絡攻擊最嚴重的國家之一。
在APT攻擊技術現狀上,美國一支獨秀,其他國家力量均衡。這所以形成這樣的格局,是因為互聯網的很多基礎設施都是由美國確立的,比如基礎協議、路由器、CPU芯片和操作系統。
攻擊者的潛伏鏈路
直到2012年,火焰病毒被曝光之后,大家才明白,伊朗的核武器被攻擊早在05年就開始潛伏了。攻擊者利用微軟軟件在認證上的一個安全漏洞:登陸時,你必須證明你是A,但是攻擊者可以偽造出一個假的A身份,卻不被發覺。利用這個漏洞,攻擊者在中東大量散布火焰病毒,控制了中東幾百萬PC主機,收集了大量主機上的郵件、聊天等各種各樣的信息。通過個人隱私信息做情報和數據的分析,最終鎖定其中十~二十臺設備。
這些設備是伊朗核物理研究人員的家人,黑客就鎖定這些設備發起密集攻擊,一旦這十多臺主機當中有一個U盤接入,震網病毒就會散入到這個U盤當中。如果這個U盤被工作人員帶回到物理隔離的主機上,震網就會利用系統漏洞,控制主機。
黑客修改了核電站離心機的轉速,比如原來正常是30轉,改成60轉,但是給工作人員顯示的還是正常轉速,工作人員根本不知道是什么原因導致的,最終伊朗核電計劃五分之一的離心機報廢。直到12年,病毒偶然在U盤上被發現,才使得整個攻擊事件曝光,阻斷了攻擊鏈條。
傳統的安全產品是沒有辦法阻擋這些專業未知的攻擊。APT攻擊是長期持續性的,攻擊者尋找漏洞,構造專門代碼,并開發針對受害者特定環境和防御體系的特種木馬。這些特定代碼都是防護者或防護體系所不知道的未知威脅。
進入云計算時代,APT攻擊更容易借助云拓展。云與安全也成為矛與盾的關系,將數據聚集在云端,則被攻擊的風險更高。同時,安全專家通過云,掌握的數據更多,則更容易發現安全隱患,追蹤黑客。最近國內阿里巴巴并購安全公司瀚海源,百度收購安全寶,都與旗下云業務安全問題密切相關。
病毒發現時,為時已晚
在APT型攻擊中,攻擊者很聰明,他們有針對的目標,在攻擊的時候只針一個攻擊目標,避免大量散播。當病毒被發現的時候,攻擊往往已經發生好多年,攻擊者把該拿走的信息都拿走了。
另一起可怕而相似的攻擊是在2013年,韓國農協銀行。當時農協銀行將IT系統外包給IBM,IBM的一位施工人員在午間休息時獲取了一個免費電影鏈接,晚上就用自己的電腦看電影。據說這個鏈接是由朝鮮黑客制作的,IBM員工把電腦上的病毒傳染給了銀行IT系統,黑客近而侵入農協銀行2個月。2個月的時間里,黑客不僅破壞銀行正在運行的IT系統,還破壞了全部數據副本。最終農協銀行系統癱瘓,全部數據都丟失。一部分紙質數據通過人工上傳回系統,而網上交易數據已經永遠無法找回,農協銀行不得不停業3天,在后期賠償中付出了巨大的代價。
現在,APT攻擊已經逐步受到了整個業界的重視,在中國也發生了一個案例。13年12月底,一次APT攻擊被成功捕獲,當時黑客向國內政府機構的辦公人員發放釣魚郵件。郵件發件人以「2014年中國經濟形勢解析高層報告組委會」的標題發出,如果政府工作人員用WPS打開文件,就會被感染病毒,而且這種病毒無法被殺毒軟件查殺。攻擊者就是利用WPS2012/2013版本0DAY漏洞試圖侵入政府辦公人員電腦。
當這個攻擊被發現時,攻擊者在2個小時內就快速把控制端的服務器停掉。這說明攻擊者時一個非常專業的組織,非常了解國內誰在做安全防護,黑客快速撤退讓后期取證變得非常艱難。表面上看,這次攻擊被快速地阻斷。
但是攻擊者始終存在,他們不會因為一次阻斷而消失,并會采用全新的招法再次發起攻擊。
面對這種涉及到國際、機密信息的安全對抗,本質上是人和人在智力知識和情報體系上的相拼。攻擊者是高智力的人,是專業有知識有組織的黑客。攻擊者往往對被攻擊者深入了解,知道有價值的資產在哪里,對方的系統構成是怎樣的,對方的組織架構是怎樣的,而且往往通過人員的組織架構滲透完成攻擊。
網友關于攜程網安全問題微博。攜程安全問題已經不止出現一次,而前不久的數據泄漏成為安全業界諱莫如深的話題。有傳言是競爭對手導致,或者員工肆意報復。但在云計算時代,信息被更多地聚集到“母體”,我們是否要更多反思自己是否給了黑客可乘之機?
2014年12月,在國內云平臺阿里云上也被檢測到一起攻擊。通過對整個攻擊進行情報追蹤分析,發現攻擊者的攻擊面已經非常大,遍及三萬多臺主機,阿里云和國外的云平臺都成為被攻擊的對象。黑客控制這些主機的目的就是竊取特定國家的公民隱私,60萬個國家公民的信息已經被竊取。
安全專家鎖定到的攻擊者個人主頁。
通過對攻擊者控制的木馬病毒監控追蹤,發現了攻擊者用來進行內部通訊的一個IRC服務器,最終在互聯網上鎖定這次攻擊的黑客組織,這一組織從2000年成立,十年間攻擊了大量政府的網站。直到2014年10月份,通過這次大規模攻擊,他們掌握了大量的資源,在一些黑客地下論壇開始招募成員。從攻擊者竊取的公民信息看,他們的背景可能有2種,第一是國家政府的行為,為的是收集更多國家的個人信息。第二種可能就是黑色的地下產業鏈,比如詐騙集團,為了獲取高機密的金融信息。
下一篇:網絡黑市與數據價值