网络成21世纪火药桶
黑客攻击频发 俄罗斯“躺枪”
本报特约撰稿 史春树
青年参考
(
2017年04月05日
10
版)
2015年4月,武装军警在法国电视五台总部前巡逻。
2014年以来,一个据称来自俄罗斯的黑客组织对欧美各国政府、传媒机构和民间团体多次发起攻击。目前,该组织与俄政府的关系无法得到证实,但在欧美与莫斯科持续发生地缘摩擦的环境下,虚拟世界中的此类纷争无疑会加剧局势紧张。
-------------------------------------------------
按照巴黎人夜生活的标准,在晚上8点40分到凯旋门附近享用一顿海鲜大餐,时间还有点早。在宾客的谈笑声、贝壳的开裂声和清脆的碰杯声中,伊夫·比戈没有注意到手机在不停地震动。“无数个未接来电、短信、邮件,”他回忆说,“我的两部手机都被打爆了。”
那个夜晚,法国电视国际五台的员工惶恐不安,试图以各种方式联系他们的老板,因为这个全球最大的法语广播网络遭到了规模空前的黑客攻击。
2015年4月9日,电视国际五台网络的频道相继瘫痪。从大堂到演播室,数以百计的屏幕变得鸦雀无声。在电视台总部的地下室内,网络服务器中的数据被成批删除。
在看完所有汇报之前,身为电视国际五台总干事的比戈收到同事们发来的一张截图——该电视台网站和社交媒体账户被网络入侵者篡改,电视台徽标原本所在的位置被替换成一行阿拉伯文:“网络‘圣战’开始了。我们奉‘伊斯兰国’之命而来。”
全副武装的反恐警察迅速赶到,工程师们连夜修复设备。反常的是,此后几天,没有任何组织或个人宣称对这次网络袭击负责。过了两个月,法国情报部门负责网络安全的机构“国家信息系统安全办公室”(ANSSI)告诉伊夫·比戈等人,他们并不认为这次袭击是极端组织所为;线索指向一个代号为APT 28的神秘组织,它来自俄罗斯。
俄黑客被指干预欧美政局
法国电视五台遇袭一年后,APT 28组织再度凭借一连串大胆行动登上欧美媒体头条。有消息称,该组织攻击了美国民主党全国委员会,对2016年美国大选造成了直接影响。
此次黑客攻击令美国朝野震惊,其余波直到今天仍未平息。不过,在那些熟悉APT 28行事风格的圈内人看来,前者的所作所为完全是按部就班地进行的。
“谜底尚未彻底揭开,”美国联邦调查局前助理局长、网络安全公司CrowdStrike总裁肖恩·亨利告诉美国“Politico”网站,“因此,多数人仍然无法意识到此类网络入侵的严重性,但我以为,今天的我们离‘确保网络安全’这个目标的距离比8年前更远了。”
“黑客门”事件发酵后,美国、英国、德国和以色列的情报分析人士纷纷表示,APT 28组织与俄罗斯情报部门的关系“非常值得关注”,但支持这一论断的证据并不充分。
可以确定的是,该组织的活动如今仍未告一段落。来自北约和欧盟的匿名官员告诉英国《金融时报》,整个2016年,对北约和欧盟的网络攻击分别上升了60%和20%。
现在,APT 28已成为法德两国在选举年面临的重大威胁之一。一位不愿透露姓名的行业分析师表示,在干预美国大选的同时,该组织悄悄发起了“多次”行动,包括对在叙利亚的数十家非政府组织施加影响。众所周知,俄罗斯和欧美各国就叙利亚问题分歧严重,莫斯科称派兵去叙利亚是为打击恐怖主义,西方则不断指责俄军擅自行动意在保护阿萨德政权。在双方尖锐对立的情况下,来自非政府组织的声音对澄清真相有特殊意义。
“秘密战争”已持续10年
对多起黑客事件的技术分析表明,APT 28已活跃了至少10年,并将越来越多的西方军事和外交机构纳入攻击清单。该组织早期的目标包括“黑水国际”(即原名“黑水公司”的私人军事承包商)、美国国防和情报系统的重要承包商“科学应用国际公司(SAIC)”、法国和匈牙利国防部、欧洲安全与合作组织,以及美国国务院。
一名英国官员此前在接受乌克兰《基辅邮报》采访时表示,APT 28的编码能力是顶级水准,该组织对“钓鱼战术”十分热衷,常常向目标发送内容真实却暗藏陷阱的邮件。例如,2010年,北约驻安卡拉武官曾收到据称来自同事的电子邮件,其附带的Excel文件被植入了木马程序。后来,APT 28对英国驻外大使馆群发恶意邮件,其中包含军方高层人士的联系方式,为了让这个圈套更逼真,邮件中甚至记载了联系人配偶的信息。
打开这些经过伪装的恶意邮件,收件人就会在不经意间把APT 28的后门装进个人电脑。该组织借此将触角向国际互联网伸展,以提升获得机密材料和造成破坏的成功率。
总部位于莫斯科的网络安全公司卡巴斯基实验室的全球研究负责人考斯丁·拉尤说,APT 28有别于其他同类组织,它最大的特点就是“零日”攻击的数量,即利用制造商未知的软件缺陷,在缺陷暴露的第一时间发动集中入侵。据粗略估算,APT 28每次实施行动的成本超过10万美元。2015年一年,该组织就实施了6次“零日”攻击。
通过分析恶意软件的代码,专家发现,该组织最早的活动可以追溯至2007年,但直到2014年,其行动规模才庞大到难以遮掩。专注于网络安全的咨询机构“火眼”(FireEye)的全球情报总监劳拉·加朗特指出,该机构在2014年的一份报告中,首次给这个被称为APT(高级持续性威胁)的组织冠以“28”这个编号。她说,观察与APT 28有牵连的几百起事件,可以发现“其背后是长达10年的专业行动,至少体现了两种倾向:一是开发专用工具,二是研究目标并策划行动,具有间谍活动的典型特征”。
攻击目的从刺探转向破坏
无论黑客组织接下来会对谁出手,问题的焦点都是它与俄罗斯政府的关系。然而,即便在针对法国电视五台事件的调查告一段落后,各国情报机构依然拒绝做出明确表态。
一个间接证据是,法国ANSSI(国家信息系统安全办公室)曾表示,攻击电视五台是相当复杂的工程,需要电信工程师、熟练程序员及统筹全局的参谋人员通力合作。《金融时报》当时援引ANSSI的调查报告指出,入侵者使用了7种路径,其中包括渗透进给电视五台提供硬件的第三方公司,将恶意软件植入电视台工作室使用的摄像机。
法国方面挫败这次攻击纯属侥幸。事发当天,电视台刚好有新频道要推出,当晚有10位IT专家当班,而不是平常的两位。一名加班的IT专家发现了APT 28的入侵行动,抢在后者尚未完全得手前冲进地下室切断了电源。“他是这里的英雄。”伊夫·比戈表示。
比戈说,黑客对电视五台的攻击“就像一部教学影片”。它还牵出了一个问题:为什么APT 28的工作焦点要从隐秘的情报收集转向入侵、破坏等风险更大的行动?
有人认为,这与2013年开始的乌克兰危机有关;有人主张,这一连串事件的背景是俄罗斯对美国肆无忌惮的外交政策愈发不安;更有人相信,相应的时间节点可以向前推得更远——21世纪以来,莫斯科试图复兴苏联时代甚至沙俄时代的地缘政治格局。
“网络空间是新的火药桶”
不过,俄罗斯军方并不像他们的西方同行那样热衷于谈论“网络战”,而是将网络安全视为信息战的组成部分。今年2月底,俄国防部长绍伊古首次证实了该国“信息战部队”的存在,他在对议会下院汇报工作时表示,“宣传必须聪明和高效”。按照俄《生意人报》的说法,俄军信息战部队的编制约为1000人,每年的预算在3亿美元左右。
有分析指出,俄罗斯军事力量对网络空间的重视,背后是军队架构的调整。2013年,克里姆林宫下令对强力部门管控其海外活动的方式进行现代化改革,为此创建了国防控制中心,旨在对“从宣传到传统军事行动的一切事务”进行协调。
在此过程中,格勒乌(GRU,俄总参谋部情报总局)被置于莫斯科与对手交锋的核心位置。“格勒乌变得越来越有话语权,”伦敦皇家国际事务研究所的副研究员詹姆斯·谢尔分析称,“如果一个机构被认为非常重要,那么在俄罗斯的体系中,它的权力就会迅速膨胀。”
这种趋势可能带来更多不确定因素。今后,俄罗斯与西方的摩擦将不止体现为在波罗的海和黑海等地区对峙。一位英国退役将领告诉《金融时报》,“网络空间是新的火药桶”。
2014年以来,一个据称来自俄罗斯的黑客组织对欧美各国政府、传媒机构和民间团体多次发起攻击。目前,该组织与俄政府的关系无法得到证实,但在欧美与莫斯科持续发生地缘摩擦的环境下,虚拟世界中的此类纷争无疑会加剧局势紧张。
-------------------------------------------------
按照巴黎人夜生活的标准,在晚上8点40分到凯旋门附近享用一顿海鲜大餐,时间还有点早。在宾客的谈笑声、贝壳的开裂声和清脆的碰杯声中,伊夫·比戈没有注意到手机在不停地震动。“无数个未接来电、短信、邮件,”他回忆说,“我的两部手机都被打爆了。”
那个夜晚,法国电视国际五台的员工惶恐不安,试图以各种方式联系他们的老板,因为这个全球最大的法语广播网络遭到了规模空前的黑客攻击。
2015年4月9日,电视国际五台网络的频道相继瘫痪。从大堂到演播室,数以百计的屏幕变得鸦雀无声。在电视台总部的地下室内,网络服务器中的数据被成批删除。
在看完所有汇报之前,身为电视国际五台总干事的比戈收到同事们发来的一张截图——该电视台网站和社交媒体账户被网络入侵者篡改,电视台徽标原本所在的位置被替换成一行阿拉伯文:“网络‘圣战’开始了。我们奉‘伊斯兰国’之命而来。”
全副武装的反恐警察迅速赶到,工程师们连夜修复设备。反常的是,此后几天,没有任何组织或个人宣称对这次网络袭击负责。过了两个月,法国情报部门负责网络安全的机构“国家信息系统安全办公室”(ANSSI)告诉伊夫·比戈等人,他们并不认为这次袭击是极端组织所为;线索指向一个代号为APT 28的神秘组织,它来自俄罗斯。
俄黑客被指干预欧美政局
法国电视五台遇袭一年后,APT 28组织再度凭借一连串大胆行动登上欧美媒体头条。有消息称,该组织攻击了美国民主党全国委员会,对2016年美国大选造成了直接影响。
此次黑客攻击令美国朝野震惊,其余波直到今天仍未平息。不过,在那些熟悉APT 28行事风格的圈内人看来,前者的所作所为完全是按部就班地进行的。
“谜底尚未彻底揭开,”美国联邦调查局前助理局长、网络安全公司CrowdStrike总裁肖恩·亨利告诉美国“Politico”网站,“因此,多数人仍然无法意识到此类网络入侵的严重性,但我以为,今天的我们离‘确保网络安全’这个目标的距离比8年前更远了。”
“黑客门”事件发酵后,美国、英国、德国和以色列的情报分析人士纷纷表示,APT 28组织与俄罗斯情报部门的关系“非常值得关注”,但支持这一论断的证据并不充分。
可以确定的是,该组织的活动如今仍未告一段落。来自北约和欧盟的匿名官员告诉英国《金融时报》,整个2016年,对北约和欧盟的网络攻击分别上升了60%和20%。
现在,APT 28已成为法德两国在选举年面临的重大威胁之一。一位不愿透露姓名的行业分析师表示,在干预美国大选的同时,该组织悄悄发起了“多次”行动,包括对在叙利亚的数十家非政府组织施加影响。众所周知,俄罗斯和欧美各国就叙利亚问题分歧严重,莫斯科称派兵去叙利亚是为打击恐怖主义,西方则不断指责俄军擅自行动意在保护阿萨德政权。在双方尖锐对立的情况下,来自非政府组织的声音对澄清真相有特殊意义。
“秘密战争”已持续10年
对多起黑客事件的技术分析表明,APT 28已活跃了至少10年,并将越来越多的西方军事和外交机构纳入攻击清单。该组织早期的目标包括“黑水国际”(即原名“黑水公司”的私人军事承包商)、美国国防和情报系统的重要承包商“科学应用国际公司(SAIC)”、法国和匈牙利国防部、欧洲安全与合作组织,以及美国国务院。
一名英国官员此前在接受乌克兰《基辅邮报》采访时表示,APT 28的编码能力是顶级水准,该组织对“钓鱼战术”十分热衷,常常向目标发送内容真实却暗藏陷阱的邮件。例如,2010年,北约驻安卡拉武官曾收到据称来自同事的电子邮件,其附带的Excel文件被植入了木马程序。后来,APT 28对英国驻外大使馆群发恶意邮件,其中包含军方高层人士的联系方式,为了让这个圈套更逼真,邮件中甚至记载了联系人配偶的信息。
打开这些经过伪装的恶意邮件,收件人就会在不经意间把APT 28的后门装进个人电脑。该组织借此将触角向国际互联网伸展,以提升获得机密材料和造成破坏的成功率。
总部位于莫斯科的网络安全公司卡巴斯基实验室的全球研究负责人考斯丁·拉尤说,APT 28有别于其他同类组织,它最大的特点就是“零日”攻击的数量,即利用制造商未知的软件缺陷,在缺陷暴露的第一时间发动集中入侵。据粗略估算,APT 28每次实施行动的成本超过10万美元。2015年一年,该组织就实施了6次“零日”攻击。
通过分析恶意软件的代码,专家发现,该组织最早的活动可以追溯至2007年,但直到2014年,其行动规模才庞大到难以遮掩。专注于网络安全的咨询机构“火眼”(FireEye)的全球情报总监劳拉·加朗特指出,该机构在2014年的一份报告中,首次给这个被称为APT(高级持续性威胁)的组织冠以“28”这个编号。她说,观察与APT 28有牵连的几百起事件,可以发现“其背后是长达10年的专业行动,至少体现了两种倾向:一是开发专用工具,二是研究目标并策划行动,具有间谍活动的典型特征”。
攻击目的从刺探转向破坏
无论黑客组织接下来会对谁出手,问题的焦点都是它与俄罗斯政府的关系。然而,即便在针对法国电视五台事件的调查告一段落后,各国情报机构依然拒绝做出明确表态。
一个间接证据是,法国ANSSI(国家信息系统安全办公室)曾表示,攻击电视五台是相当复杂的工程,需要电信工程师、熟练程序员及统筹全局的参谋人员通力合作。《金融时报》当时援引ANSSI的调查报告指出,入侵者使用了7种路径,其中包括渗透进给电视五台提供硬件的第三方公司,将恶意软件植入电视台工作室使用的摄像机。
法国方面挫败这次攻击纯属侥幸。事发当天,电视台刚好有新频道要推出,当晚有10位IT专家当班,而不是平常的两位。一名加班的IT专家发现了APT 28的入侵行动,抢在后者尚未完全得手前冲进地下室切断了电源。“他是这里的英雄。”伊夫·比戈表示。
比戈说,黑客对电视五台的攻击“就像一部教学影片”。它还牵出了一个问题:为什么APT 28的工作焦点要从隐秘的情报收集转向入侵、破坏等风险更大的行动?
有人认为,这与2013年开始的乌克兰危机有关;有人主张,这一连串事件的背景是俄罗斯对美国肆无忌惮的外交政策愈发不安;更有人相信,相应的时间节点可以向前推得更远——21世纪以来,莫斯科试图复兴苏联时代甚至沙俄时代的地缘政治格局。
“网络空间是新的火药桶”
不过,俄罗斯军方并不像他们的西方同行那样热衷于谈论“网络战”,而是将网络安全视为信息战的组成部分。今年2月底,俄国防部长绍伊古首次证实了该国“信息战部队”的存在,他在对议会下院汇报工作时表示,“宣传必须聪明和高效”。按照俄《生意人报》的说法,俄军信息战部队的编制约为1000人,每年的预算在3亿美元左右。
有分析指出,俄罗斯军事力量对网络空间的重视,背后是军队架构的调整。2013年,克里姆林宫下令对强力部门管控其海外活动的方式进行现代化改革,为此创建了国防控制中心,旨在对“从宣传到传统军事行动的一切事务”进行协调。
在此过程中,格勒乌(GRU,俄总参谋部情报总局)被置于莫斯科与对手交锋的核心位置。“格勒乌变得越来越有话语权,”伦敦皇家国际事务研究所的副研究员詹姆斯·谢尔分析称,“如果一个机构被认为非常重要,那么在俄罗斯的体系中,它的权力就会迅速膨胀。”
这种趋势可能带来更多不确定因素。今后,俄罗斯与西方的摩擦将不止体现为在波罗的海和黑海等地区对峙。一位英国退役将领告诉《金融时报》,“网络空间是新的火药桶”。
上一版
缩小
全文复制
