美国网络攻击西北工业大学的图谋

作者:江天骄 发布时间:2022-09-28 来源:看看新闻+收藏本文

9月5日,国家计算机病毒应急处理中心发布了关于西北工业大学遭受境外网络攻击的调查报告。报告显示,美国国家安全局下属的特定入侵行动办公室使用41种不同的专属网络攻击武器,对西北工业大学发起上千次攻击窃密行动,窃取了该校关键网络设备配置、网管数据、运维数据等核心技术数据。此外,TAO将一款名为“饮茶”的嗅探窃密类武器植入西工大内部网络服务器,窃取了安全外壳协议等远程管理和远程文件传输服务的登录密码,从而获得内网中其他服务器的访问权限。


国家计算机病毒应急处理中心报告显示,近年TAO对中国国内的网络目标实施了上万次恶意网络攻击,控制了数以万计的网络设备,窃取了超过140GB的高价值数据。网络战大幕拉开,数字化发展暗藏危机,这场看不见硝烟的战争我们该如何打?又该怎么赢?近日,复旦大学发展研究院江天骄副教授做客东方卫视《环球交叉点》栏目,探讨美国网络攻击下中国应该如何应对。以下文字由发展研究院根据视频内容编辑而成,供读者参考。



Q: 众所周知,西北工业大学承担了很多重点科研公关项目,在我国有很重要的战略地位。他们在今年4月遭到了含木马病毒的钓鱼邮件攻击,当获取部分师生的电子邮箱登录权限后,就能直接入侵学校系统。请问这是一种怎样的攻击逻辑?


“钓鱼邮件”的攻击手法实际上比较常见,比如以学校通知的形式哄骗同学老师填写自己的账号和密码,这就等于在学习的安全防线上开了个门。如果后续要利用“零日漏洞”或者其他木马发起攻击,必须先在找到这样一个攻击突破点。美国确实在网络攻击的技术能力上存在一些领先,但同时,无论是程序软件还是相应的硬件,都是由人来设计的,存在客观瑕疵的同时也可能有一些主观设计的漏洞。所以黑市上也有这样一些“建筑商”、“承包商”,他们在完成了软件硬件的研发之后,主动去搜集了可能的“零日漏洞”,并出售给别有用心的人。


Q: 有报道说美国采取了41种专用的网络攻击武器装备,一共包括四大类:漏洞攻击突破类、持久化控制类、嗅探窃密类、隐秘消痕类。这四种武器怎么组合运用来掩盖和完成一整套的作业呢?


我们提到的“饮茶”就是嗅弹类的窃密工具。用一个比较直白的例子来理解,它嗅探的是密钥(用户名和密码),可以理解为你家里有个保险箱,需要一把钥匙才能打开,内网则是一个相对隐蔽和坚固的“安全屋“。这个嗅探工具是个小偷,他专门负责找这间安全屋,并且要潜入到房间里去,把密钥给找出来,打开保险箱。所以首先要想办法找到安全屋的漏洞在哪里,把围墙凿开,或者通过地下管道,或者飞檐走壁,不管使用什么方法必须得先突破进去,嗅探工具就是起到这样的作用。


Q: 虽然在网络上做的任何事情都是有痕迹的,但是能够如此完整且证据确凿地揭露TAO对西北工业大学的攻击,还是一件非常了不起的事情。江老师您怎么看待国家计算机病毒应急中心以及360公司等通力合作完成的这次“破案”?


还是以小偷的例子来讲,如果家里进了小偷,我们叫来110调查,警察肯定要采集指纹,侦查小偷到底是从哪里突破的,找到窃取的手法,然后锁定嫌疑人,并且掌握相当完整的证据链来指控他。网络中当然难度更高一些,因为网络世界是虚拟的,不一定找得到实体的证据,更别说还有可以改变IP地址的“跳板机”这些技术程序。因此,要实现对“犯罪嫌疑人”的固定,必须辅助一些线下的传统的人力情报搜集。整个过程需要强大的调查取证、情报搜索的综合性能力,这项工作的完成的确反映了我们国家在网络溯源、网络防御能力方面有了很大提升。


Q: 其实中国受到美国网络攻击,不只有这次西北工业大学的孤例。今年四月和六月,中国国家计算机病毒应急中心对美国中央情报局的“蜂巢”恶意代码攻击控制武器平台,以及美国国家安全局NSA的“酸狐狸”漏洞攻击武器平台进行技术分析。两份报告都显示,中国多家单位都曾遭到美国的网络安全攻击。所以我们面临的威胁到底有多大?是不是我们已经完全生活在美国黑客的监控之下了呢?


网络空间是中美战略博弈的前沿领域,因为网络空间是物理世界的映射,物理世界当中的政治问题、经济问题、军事问题等,其实都有可能投射到网络空间之中。但凡涉及到中美博弈的重要领域,不仅是刚才提到的比较敏感的国防军工领域,还包括一些大型国有企业,甚至是一些金融企业,以及和我们日常生活相关的医疗信息(内含公民重要的生物信息)、教育信息(可能涉及到科研的重要信息),美国都很“感兴趣”。这样一些关键的基础设施,如果突然遭受网络攻击,并且出现问题的话,的确会对我们的生活带来不小的影响。


Q: 其实在这些攻击行动中,不仅仅是美国政府旗下的NSA或者TAO这样的机构,也有很多美国的知名互联网企业为攻击开了方便之门。关于这一点,我想请问江老师,美国是否利用其技术主导的地位,联合IT产业巨头在全球发起了这样一些网络的不名誉行为?这些IT巨头在其中又扮演了什么样的角色?


这个问题还是要一分为二客观地来看待。这些我们熟悉的科技巨头,比如苹果、谷歌、亚马逊等,其实在一般情况下还是能恪守规则的。考虑到全球市场,他们要对消费者负责,对口碑负责,所以不能乱来。但确实已经有很多确凿的案例发现,这些公司在受到美国政府胁迫的情况下,还是“胳膊拧不过大腿”,有时候也只能照办。此外,消费者的隐私保护问题还比较新,近几年一些国家才开始意识到其重要性并立法保护,早些年相关的规则是空缺的。


Q: 知己知彼,百战不殆。欧盟已经对美国采取了一些反制措施,所以请问江老师,我们能够从他国的经验中吸取怎样的经验和教训呢?


首先在制度法律建设层面,就连美国自身网络安全相关的法律法规体系和网络安全战略建设,其实都持续了很长的过程。近几年,我国网络安全、数据安全相关的法律法规都逐渐开始齐备了,但还需要进一步的细化,要进一步落实相应的管理规定。此外,在对外方面,要动员更多国家一起推动我们提出的数据安全倡议。也可以学习欧洲在数字主权上与美国的博弈,强调网络主权的概念,在法理和制度上把握自己的数字主权。而在体制机制完善之后,需要配套的能力做支撑,要落实到具体的技术实力上。所以我国在国产自主化、网络安全、网络防御能力等方面的建设依然任重道远。刚才提到360能发布这样比较权威的溯源报告,确实已经有了很大的进步,未来希望能看到更多的企业参与到国家网络安全中来并给予更大的支持。