一周海外安全事件回顧(2014.03.10–2014.03.16)

作者：blackscreen 2014-03-18 11:33:03

本周北約發布闡述國家網絡戰的塔林報告(The Tallinn Papers)。這份資料是一份從全局的角度回顧國家網絡戰歷史和主要APT攻擊的文章。本期海外安全回顧將著重解讀這份報告。

塔林國家網絡戰報告解讀

世上無新事。一切都是歷史的輪回。

在本周，由NATO Cooperative Cyber Defence Centre of Excellence發布的塔林系列報告(以下簡稱塔林報告)是一件值得關注的事情。本次發布的塔林報告包括兩份：一份是“混沌：國家，國家安全和互聯網”(PANDEMONIUM:NATION STATES, NATIONAL SECURITY, AND THE INTERNET)，另一份是“軟件制造商對其缺陷產品的責任”(THE LIABILITY OF SOFTWARE MANUFACTURERS FOR DEFECTIVE PRODUCT)。

本期海外安全事件回顧主要解讀一下第一份報告。第二份報告請大家自己閱讀。兩份報告均可以從NATO CCD COE網站(https://www.ccdcoe.org/)下載，或從本人的微博(http://www.weibo.com/hacktivism)下載。

這份名為“混沌：國家，國家安全和互聯網”(PANDEMONIUM:NATION STATES, NATIONAL SECURITY, AND THE INTERNET)的文章由FireEye的資深安全分析師KENNETH GEERS編寫。毫無疑問，這是一份概述從1998年以來全球發生的最主要的國家間網絡戰歷史的文章，包括了愛沙尼亞網絡戰，伊朗震網，巴勒斯坦-以色列網絡戰，敘利亞網絡戰以及南北韓網絡戰等著名事件。

在開始解讀之前，先簡單介紹一下NATO Cooperative Cyber Defence Centre of Excellence(以下簡稱NATO CCD COE)，即北約卓越網絡防衛合作中心。這個中心成立于2008年5月14日。在2008年10月28日得到北約的認可，取得國際軍事組織的地位。該中心從事網絡安全研究和培訓，共有40名員工。NATO CCD COE中心坐落于愛沙尼亞的塔林。

細心的朋友一定有種突然醒悟的感覺。沒錯，愛沙尼亞。NATO CCD COE的前身是愛沙尼亞的網絡安全研究組織。在2007年愛沙尼亞網絡戰后，其重要作用凸顯出來，并最終被北約收納。

由于NATO CCD COE所在地是的塔林，因此，此番報告命名為塔林報告也就不難理解了。從另一個角度來說，以所在地命名報告，也體現了該報告的重要程度。

GEERS以“Pandemonium”作為標題是有其深刻寓意的。“Pandemonium”源于約翰彌爾頓的史詩《失樂園》，本意是描述一種荒蕪而嘈雜的混亂狀態。《失樂園》中的“樂”就是人間天堂，即伊甸樂園。人類失去伊甸樂園正是因為人類違背上帝旨意犯下的罪導致的。“Pandemonium”是地獄的一種標準狀態。地獄不在地下，而在天堂之外的冥冥荒野。作者在這里以“Pandemonium”為題更是為了表現國家間安全狀況的混沌。

[[110154]]

文章第一句話是：很久以前，Ecclesiastes(筆者注：即傳道書，來自圣經)的作者說到：“世上無新事(There is nothing new under the sun)”。這明顯是一種影射。GEERS認為，和很久之前人類喪失伊甸樂土一樣，當下國家間本應該是相互和平共處，但是正是這些網絡戰使得原本和諧的“樂土”變成了野蠻和沒有秩序的荒原。

對于網絡威脅，GEERS首先把它定義為一種技術和哲學的奇跡：網絡攻擊可以將遠在千里之外的核控制系統癱瘓，也可以記錄下載我們所有的一舉一動，一段加密的代碼可以且只可以破解唯一的目標。網絡攻防戰已經不簡簡單單是一個技術問題，而是人類社會幾千年來進攻和防御、破壞與反破壞、欺詐與反欺詐經驗的結晶以及諸多知識的結合體。

GEERS以劃分國家的方式闡述這些導致人類樂土變成荒原的網絡戰。

首當其沖的是俄羅斯。毋庸置疑，俄羅斯有全球最好的黑客。他們自由出入對方的系統，獲取自己需要的數據如囊中取物，手到擒來。1998年北約空襲塞爾維亞時，支持塞爾維亞的俄羅斯黑客就用DDoS了北約網絡并在電子郵件植入病毒發起攻擊。2007年，俄羅斯是愛沙尼亞網絡戰背后最主要的推手。2008年俄羅斯入侵格魯吉亞期間，俄羅斯是通過USB入侵并導致美軍中央司令部重要信息泄露的首要嫌犯。2009年，俄羅斯黑客是“氣候門”的罪魁禍首，他們阻止大學研究的目的正是為了破壞減緩氣候變化的國際談判。2010年，FBI逮捕并驅逐了Alexey Kafelnikov，在此之前他是微軟的軟件測試工程師。

在GEERS筆下，俄羅斯的累累罪行真是罄竹難書。當然，GEERS認為美國也不是省油的燈。GEERS引用了Ralph Langner(注：震網病毒最有經驗和權威的研究者)的論斷，如果將國家網絡戰定義為通過網絡攻擊導致物理基礎設施遭到破壞，那么震網(Stuxnet)是迄今已來唯一的網絡超級武器(“only one” cyber superpower in the world)。

震網是一個完全和徹底的創新，它集諸多進攻手段于一身，成為一種準宗教式(quasi-religious)的經典：多個0day漏洞，強制加密“哈希碰撞”，披著合法操作外衣的格外復雜的破壞行為等等。與此同時，震網具有明確的目標。和Slammer以及Code Red盡可能感染更多系統的理念不同，震網盡可能少地感染系統。對于絕大多數系統來說，震網病毒是安靜和安全的。

GEERS對震網的評價非常高，他認為震網改變了人類歷史。我同意他的觀點。

關于震網到底是不是美國人發明的這個問題，GEERS沒有直接回答YES or No。他提到，除了Langner，還有包括紐約時報、美國總統資深反恐官等一票人都相信震網是在一個華盛頓律師團的監管下編寫的。此外，Duqu, Flame和Gauss等APT代碼和震網一樣，都是出自同一幫人之手。事實上，這個問題問的有點多余。GEERS把震網放到美國這個版塊而不是中東，就已經給出了明確的回答。

接下來是中東(Middle East)和北韓(North Korea)。在中東版塊，除了支持巴勒斯坦的黑客與以色列黑客之間的攻防戰之外，GEERS特別著重提到了兩個黑客組織：伊朗的Izz ad-Din al-Qassam，以及敘利亞的敘利亞電子軍(SyrianElectronic Army ，簡稱SEA)。Izz ad-Din al-Qassam打得美國幾十家金融機構暈頭轉向、風聲鶴唳，SEA更是連下Al-Jazeera(半島電視臺), Anonymous(匿名者組織),Associated Press (美聯社),BBC, the Daily Telegraph(每日郵報), the Financial Times(金融時報), the Guardian(衛報),Human Rights Watch(人權觀察), National Public Radio(國家公共廣播),the New Nork Times(紐約時報),Twitter等系統。SEA的殺手锏是社工和魚叉式郵件攻擊，一旦得手，馬上植入RAT代碼。

[[110155]]

談到北韓，GEERS則多少表現的有些不屑。北韓從2009年開始對美國和南韓的政府網站發起網絡攻擊。而北韓的黑客直到2013年才可以稱得上“成熟”，開始對南韓的銀行、媒體、運營商等目標發起包括DDoS在內的網絡攻擊。當前，北韓的網絡戰部門有3000人。有意思的是，相對于南韓的四處救火，北韓自己的服務器非常安全——因為這些服務器根本就沒有互聯網連接。

報告的最后，是一些標準的FireEye數據，全球C&C分布數據等。如下圖所示，圖中的圓圈即代表C&C控制服務器，圓圈越大，說明C&C服務器越密集。這些東西已經看過很多次了，沒更多的感覺，這里就不再贅述了。

總之，這份資料是一份難得的、從歷史和全局的角度回顧主要國家網絡戰和APT攻擊的文章。GEERS認為，網絡戰體現了國家與國家之前，體制與體制之間的矛盾和沖突，從這個角度上來說，網絡戰不過是冷戰的另外一種形式。人類戰爭的歷史仍在繼續，攻防對抗的事件仍在不斷輪回。

最后，細心的讀者一定會問，文章到這里完了?沒錯，完了。你可能會問，不會吧，缺了點什么。沒錯，有一個重要的版塊沒有解讀。哈哈，那部分內容請大家自己閱讀吧。原因嘛，你懂得。

本周其他事件：

1、北約網站系統遭受DDoS攻擊。

無獨有偶，上面剛解讀完北約(NATO)發布的塔林報告，本周末，NATO的網站系統就被DDoS攻擊了。攻擊者自稱 "Cyber Berkut",一個烏克蘭愛國組織，他們攻擊NATO的原因是不滿北約干涉烏克蘭內政。"Berkut"曾經是一支真實存在的烏克蘭特種部隊，在前不久因“鎮壓”烏克蘭游行示威而被解散，其成員隨后組成親俄羅斯的軍事組織。