美國中央情報(bào)局(CIA)“蜂巢”惡意代碼攻擊控制武器平臺(tái)分析報(bào)告
——關(guān)于美國中情局主戰(zhàn)網(wǎng)絡(luò)武器的預(yù)警
近日,國家計(jì)算機(jī)病毒應(yīng)急處理中心對(duì)“蜂巢”(Hive)惡意代碼攻擊控制武器平臺(tái)(以下簡(jiǎn)稱“蜂巢平臺(tái)”)進(jìn)行了分析,蜂巢平臺(tái)由美國中央情報(bào)局(CIA)數(shù)字創(chuàng)新中心(DDI)下屬的信息作戰(zhàn)中心工程開發(fā)組(EDG,以下簡(jiǎn)稱“美中情局工程開發(fā)組”)和美國著名軍工企業(yè)諾斯羅普·格魯曼(NOC)旗下XETRON公司聯(lián)合研發(fā),由美國中央情報(bào)局(CIA)專用。蜂巢平臺(tái)屬于“輕量化”的網(wǎng)絡(luò)武器,其戰(zhàn)術(shù)目的是在目標(biāo)網(wǎng)絡(luò)中建立隱蔽立足點(diǎn),秘密定向投放惡意代碼程序,利用該平臺(tái)對(duì)多種惡意代碼程序進(jìn)行后臺(tái)控制,為后續(xù)持續(xù)投送“重型”武器網(wǎng)絡(luò)攻擊創(chuàng)造條件。美國中央情報(bào)局(CIA)運(yùn)用該武器平臺(tái)根據(jù)攻擊目標(biāo)特征定制適配多種操作系統(tǒng)的惡意代碼程序,對(duì)受害單位信息系統(tǒng)的邊界路由器和內(nèi)部主機(jī)實(shí)施攻擊入侵,植入各類木馬、后門,實(shí)現(xiàn)遠(yuǎn)程控制,對(duì)全球范圍內(nèi)的信息系統(tǒng)實(shí)施無差別網(wǎng)絡(luò)攻擊。
一、技術(shù)分析
(一)攻擊目標(biāo)
為滿足美國中央情報(bào)局(CIA)針對(duì)多平臺(tái)目標(biāo)的攻擊需求,研發(fā)單位針對(duì)不同CPU架構(gòu)和操作系統(tǒng)分別開發(fā)了功能相近的蜂巢平臺(tái)適配版本。根據(jù)目前掌握的情況,蜂巢平臺(tái)可支持ARMv7、x86、PowerPC和MIPS等主流CPU架構(gòu),覆蓋Windows、Unix、Linux、Solaris等通用操作系統(tǒng),以及RouterOS(一種由MikroTik公司開發(fā)的網(wǎng)絡(luò)設(shè)備專用操作系統(tǒng))等專用操作系統(tǒng)。
(二)系統(tǒng)構(gòu)成
蜂巢平臺(tái)采用C/S架構(gòu),主要由主控端(hclient)、遠(yuǎn)程控制平臺(tái)(cutthroat,譯為:“割喉”)、生成器(hive-patcher)、受控端程序(hived)等部分組成。為了掩護(hù)相關(guān)網(wǎng)絡(luò)間諜行動(dòng),美中情局工程開發(fā)組還專門研發(fā)了一套名為“蜂房”(honeycomb)的管理系統(tǒng),配合多層跳板服務(wù)器實(shí)現(xiàn)對(duì)大量遭受蜂巢平臺(tái)感染的受害主機(jī)的遠(yuǎn)程隱蔽控制和數(shù)據(jù)歸集。
(三)攻擊場(chǎng)景復(fù)現(xiàn)
國家計(jì)算機(jī)病毒應(yīng)急處理中心深入分析蜂巢平臺(tái)樣本的技術(shù)細(xì)節(jié),結(jié)合公開渠道獲得的相關(guān)資料,基本完成了對(duì)蜂巢平臺(tái)典型攻擊場(chǎng)景的復(fù)現(xiàn)。
1、利用生成器(hive-patcher)生成定制化的受控端惡意代碼程序
美國中央情報(bào)局(CIA)攻擊人員首先根據(jù)任務(wù)需求和目標(biāo)平臺(tái)特點(diǎn),使用生成器(hive-patcher)生成待植入的定制化受控端惡意代碼程序(即hived)。在生成受控端程序前,可以根據(jù)實(shí)際任務(wù)需求進(jìn)行參數(shù)配置(如表1所示)。
表1 生成器參數(shù)
美國中央情報(bào)局(CIA)攻擊人員完成上述參數(shù)配置后,生成器(hive-patcher)可生成新的受控端植入體(如圖1所示)。
圖1 受控制惡意代碼程序生成器
值得注意的是,從攻擊目標(biāo)類型上看,美國中央情報(bào)局(CIA)特別關(guān)注MikroTik系列網(wǎng)絡(luò)設(shè)備。MikroTik公司的網(wǎng)絡(luò)路由器等設(shè)備在全球范圍內(nèi)具有較高流行度,特別是其自研的RouterOS操作系統(tǒng),被很多第三方路由器廠商所采用,美國中央情報(bào)局(CIA)對(duì)這種操作系統(tǒng)的攻擊能力帶來的潛在風(fēng)險(xiǎn)難以估量。
2、將服務(wù)器端惡意代碼程序植入目標(biāo)系統(tǒng)
美國中央情報(bào)局(CIA)特別開發(fā)了一個(gè)名為“Chimay-Red”的MikroTik路由器漏洞利用工具,并編制了詳細(xì)的使用說明。該漏洞利用工具利用存在于MikroTikRouterOS 6.38.4及以下版本操作系統(tǒng)中的棧沖突遠(yuǎn)程代碼執(zhí)行漏洞,實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的遠(yuǎn)程控制。漏洞利用工具的使用說明如表2。
表2 “Chinay-Red"漏洞利用工具使用說明
據(jù)美國政府內(nèi)部人士公開披露,美國中央情報(bào)局(CIA)和美國國家安全局(NSA)同屬美國國防部,他們?cè)趯?duì)外網(wǎng)絡(luò)戰(zhàn)行動(dòng)中經(jīng)常相互配合,美國國家安全局的特定入侵行動(dòng)辦公室擁(TAO)擁有“酸狐貍”(FoxAcid)等漏洞攻擊武器平臺(tái)和系統(tǒng)化網(wǎng)絡(luò)攻擊工具,可以高效支援美國中央情報(bào)局(CIA)的間諜軟件植入行動(dòng)。
3、喚醒服務(wù)器端惡意代碼程序并進(jìn)行命令控制
服務(wù)器端惡意代碼程序被植入目標(biāo)系統(tǒng)并正常運(yùn)行后,會(huì)處于靜默潛伏狀態(tài),實(shí)時(shí)監(jiān)聽受控信息系統(tǒng)網(wǎng)絡(luò)通訊流量中具有觸發(fā)器特征的數(shù)據(jù)包,等待被 “喚醒”。美國中央情報(bào)局(CIA)攻擊人員可以使用客戶端向服務(wù)器端發(fā)送“暗語”,以“喚醒”潛伏的惡意代碼程序并執(zhí)行相關(guān)指令。美國中央情報(bào)局(CIA)攻擊人員利用名為“cutthroat(割喉)”的控制臺(tái)程序?qū)蛻舳诉M(jìn)行操控。其主要命令參數(shù)如表3所示。
表3 ”割喉“(cuttroat)主要命令行參數(shù)說明
主控端與被控端建立連接后,可以執(zhí)行相應(yīng)控制命令(如圖2所示)。
圖2 遠(yuǎn)程命令控制
為躲避入侵檢測(cè),主控端通過發(fā)送“暗語”喚醒受控端惡意代碼程序,隨后模仿HTTP over TLS建立加密通信信道,以迷惑網(wǎng)絡(luò)監(jiān)測(cè)人員、規(guī)避技術(shù)監(jiān)測(cè)手段(如圖3所示)。
圖3 喚醒并建立加密通信道
至此,主控端實(shí)現(xiàn)了對(duì)受控端惡意代碼程序的完全控制,可以在隱蔽狀態(tài)下隨時(shí)投送其他惡意負(fù)載,或開展后續(xù)滲透竊密行動(dòng)。
(四)掩護(hù)措施
為進(jìn)一步提高網(wǎng)絡(luò)間諜行動(dòng)的隱蔽性,美國中央情報(bào)局(CIA)在全球范圍內(nèi)精心部署了蜂巢平臺(tái)相關(guān)網(wǎng)絡(luò)基礎(chǔ)設(shè)施。從已經(jīng)監(jiān)測(cè)到的數(shù)據(jù)分析,美國中央情報(bào)局(CIA)在主控端和被控端之間設(shè)置了多層跳板服務(wù)器和VPN通道,這些服務(wù)器廣泛分布于加拿大、法國、德國、馬來西亞和土耳其等國,有效隱藏自身行蹤,受害者即使發(fā)現(xiàn)遭受蜂巢平臺(tái)的網(wǎng)絡(luò)攻擊,也極難進(jìn)行技術(shù)分析和追蹤溯源。
二、運(yùn)作方式
基于維基解密公開揭露的美國中央情報(bào)局(CIA)內(nèi)部資料,結(jié)合國家計(jì)算機(jī)病毒應(yīng)急處理中心的技術(shù)分析成果,可以清晰了解蜂巢平臺(tái)的運(yùn)作方式如下:
(一)開發(fā)過程及開發(fā)者
蜂巢平臺(tái)由美國中央情報(bào)局(CIA)工程開發(fā)組(EDG)牽頭研發(fā)完成,項(xiàng)目周期至少從2010年10月持續(xù)到2015年10月,軟件版本至少為2.9.1,并且至少從2011年開始就支持對(duì)MikroTik系統(tǒng)設(shè)備及相關(guān)操作系統(tǒng)的遠(yuǎn)程攻擊。參與開發(fā)人員包括但不限于:Mike Russell、Jack McMahon、Jeremy Haas和Brian Timmons等人(如圖4所示)。
圖4 開發(fā)人員信息
另外,蜂巢平臺(tái)項(xiàng)目還融入了合作機(jī)構(gòu)的研發(fā)成果,其中包括美國著名軍工企業(yè)諾斯羅普·格魯曼(Northrop Grumman)公司旗下的XETRON公司編寫的項(xiàng)目代碼(如圖5所示)。
圖5 XETRON 公司開發(fā)的功能組件
XETRON公司成立于1972年,1986年被美國西屋電氣集團(tuán)收購,1996年與西屋電氣一并被美國諾斯羅普·格魯曼公司收購,總部現(xiàn)位于美國俄亥俄州辛辛那提市郊區(qū),公開信息顯示,在2013年其擁有6.8萬名員工。XETRON長期以來一直是美國中央情報(bào)局(CIA)的承包商,其產(chǎn)品范圍包括軍用傳感器、通信系統(tǒng)和網(wǎng)絡(luò)安全軟件等。據(jù)維基解密揭露的資料,XETRON公司除參與蜂巢平臺(tái)項(xiàng)目外,還向美國中央情報(bào)局(CIA)提供了入侵思科(Cisco)路由器的工具“Cinnamon”。另據(jù)諾斯羅普·格魯曼公司描述,XETRON致力于為政府客戶的行動(dòng)提供技術(shù)支持,并且專注于“計(jì)算機(jī)網(wǎng)絡(luò)行動(dòng)”,優(yōu)勢(shì)技術(shù)包括:加密、入侵檢測(cè)、逆向工程和滲透攻擊。XETRON長期以來一直從辛辛那提大學(xué)和戴頓大學(xué)招錄網(wǎng)絡(luò)安全人才。
(二)蜂巢平臺(tái)網(wǎng)絡(luò)基礎(chǔ)設(shè)施
在“蜂房”(honeycomb)中的腳本中,研究人員發(fā)現(xiàn)了一批曾經(jīng)被美國中央情報(bào)局(CIA)用于控制蜂巢平臺(tái)受控端惡意代碼程序的服務(wù)器IP地址(如表4所示)。服務(wù)器所在地區(qū)覆蓋歐洲、美洲和亞洲(如圖6所示)。
表4 蜂巢平臺(tái)控制服務(wù)器信息
圖6 蜂巢平臺(tái)網(wǎng)絡(luò)基礎(chǔ)設(shè)施
三、總結(jié)
上述分析表明,美國中央情報(bào)局(CIA)對(duì)他國發(fā)動(dòng)網(wǎng)絡(luò)黑客攻擊的武器系統(tǒng)已經(jīng)實(shí)現(xiàn)體系化、規(guī)?;o痕化和人工智能化。其中,蜂巢平臺(tái)作為CIA攻擊武器中的“先鋒官”和“突擊隊(duì)”,承擔(dān)了突破目標(biāo)防線的重要職能,其廣泛的適應(yīng)性和強(qiáng)大的突防能力向全球互聯(lián)網(wǎng)用戶發(fā)出了重大警告。
(一)美國中央情報(bào)局(CIA)擁有強(qiáng)大而完備的網(wǎng)絡(luò)攻擊武器庫
蜂巢平臺(tái)作為美國中央情報(bào)局(CIA)的主戰(zhàn)網(wǎng)絡(luò)武器裝備之一,其強(qiáng)大的系統(tǒng)功能、先進(jìn)的設(shè)計(jì)理念和超前的作戰(zhàn)思想充分體現(xiàn)了CIA在網(wǎng)絡(luò)攻擊領(lǐng)域的突出能力。其網(wǎng)絡(luò)武器涵蓋遠(yuǎn)程掃描、漏洞利用、隱蔽植入、嗅探竊密、文件提取、內(nèi)網(wǎng)滲透、系統(tǒng)破壞等網(wǎng)絡(luò)攻擊活動(dòng)的全鏈條,具備統(tǒng)一指揮操控能力,已基本實(shí)現(xiàn)人工智能化。美國中央情報(bào)局(CIA)依托蜂巢平臺(tái)建立的覆蓋全球互聯(lián)網(wǎng)的間諜情報(bào)系統(tǒng),正在對(duì)世界各地的高價(jià)值目標(biāo)和社會(huì)名流實(shí)施無差別的網(wǎng)絡(luò)監(jiān)聽。
(二)美國中央情報(bào)局(CIA)對(duì)全球范圍的高價(jià)值目標(biāo)實(shí)施無差別的攻擊控制和通訊竊密
美國中央情報(bào)局的黑客攻擊和網(wǎng)絡(luò)間諜活動(dòng)目標(biāo)涉及俄羅斯、伊朗、中國、日本、韓國等世界各國政府、政黨、非政府組織、國際組織和重要軍事目標(biāo),各國政要、公眾人物、社會(huì)名人和技術(shù)專家,教育、科研、通訊、醫(yī)療機(jī)構(gòu),大量竊取受害國的秘密信息,大量獲取受害國重要信息基礎(chǔ)設(shè)施的控制權(quán),大量掌握世界各國的公民個(gè)人隱私,服務(wù)于美國維持霸權(quán)地位。
(三)全球互聯(lián)網(wǎng)和世界各地的重要信息基礎(chǔ)設(shè)施已經(jīng)成為美國情治部門的“情報(bào)站”
從近期中國網(wǎng)絡(luò)安全機(jī)構(gòu)揭露的美國國家安全局(NSA)“電幕行動(dòng)”“APT-C-40”“NOPEN”“量子”網(wǎng)絡(luò)攻擊武器和此次曝光的美國中央情報(bào)局(CIA)“蜂巢”武器平臺(tái)的技術(shù)細(xì)節(jié)分析,現(xiàn)有國際互聯(lián)網(wǎng)的骨干網(wǎng)設(shè)備和世界各地的重要信息,基礎(chǔ)設(shè)施中(服務(wù)器、交換設(shè)備、傳輸設(shè)備和上網(wǎng)終端),只要包含美國互聯(lián)網(wǎng)公司提供的硬件、操作系統(tǒng)和應(yīng)用軟件,就極有可能包含零日(0day)或各類后門程序(Backdoor),就極有可能成為美國情治機(jī)構(gòu)的攻擊竊密目標(biāo),全球互聯(lián)網(wǎng)上的全部活動(dòng)、存儲(chǔ)的全部數(shù)據(jù)都會(huì)“如實(shí)”展現(xiàn)在美國情治機(jī)構(gòu)面前,成為其對(duì)全球目標(biāo)實(shí)施攻擊破壞的“把柄”和“素材”。
(四)美國情治部門的網(wǎng)絡(luò)攻擊武器已經(jīng)實(shí)現(xiàn)人工智能化
蜂巢平臺(tái)典型的美國軍工產(chǎn)品,模塊化、標(biāo)準(zhǔn)化程度高,擴(kuò)展性好,表明美國已實(shí)現(xiàn)網(wǎng)絡(luò)武器的“產(chǎn)學(xué)研一體化”。這些武器可根據(jù)目標(biāo)網(wǎng)絡(luò)的硬件、軟件配置和存在后門、漏洞情況自動(dòng)發(fā)起網(wǎng)絡(luò)攻擊,并依托人工智能技術(shù)自動(dòng)提高權(quán)限、自動(dòng)竊密、自動(dòng)隱藏痕跡、自動(dòng)回傳數(shù)據(jù),實(shí)現(xiàn)對(duì)攻擊目標(biāo)的全自動(dòng)控制。
國家計(jì)算機(jī)病毒應(yīng)急處理中心提醒廣大互聯(lián)網(wǎng)用戶,美國情治部門的網(wǎng)絡(luò)攻擊是迫在眉睫的現(xiàn)實(shí)威脅,針對(duì)帶有美國“基因”的計(jì)算機(jī)軟硬設(shè)備的攻擊竊密如影隨形。避免遭受美國黑客攻擊的權(quán)宜之計(jì)是采用自主可控的國產(chǎn)化設(shè)備。
原文來源:國家計(jì)算機(jī)病毒應(yīng)急處理中心