全球國家「破壞性網路攻擊」 30 年 | Cybereason情報組報告

引言

近些年，國家間的網路攻擊日益升級——比如去年年末烏克蘭停電事件、2010年的震網攻擊，這些攻擊帶有政治目的之外，還具有破壞性。所以很多安全專家提出「網路戰爭」的概念，這兩年的確也有越來越多的國家攻擊浮出水面。但實際上，這種「破壞性網路攻擊」

（Destructive Cyber Attacks）

已經有了 30 年的歷史。而且這 30 年的發展，還讓此類攻擊形成了一些規律。

近期 Cybereason 出具了一篇報告，針對破壞性網路攻擊進行了分析。破壞性網路攻擊的字面意思看起來像是指那些破壞性很強、造成嚴重後果的網路攻擊。但是在 Cybereason 的報告中，除了這類攻擊，還有一些帶有政治色彩的「威懾性」網路攻擊也在討論範圍內。

這份報告提到，至少到目前為止，即便國家間的網路攻擊已經到了你來我往的程度，但可能政府依然不會直接響應或採取報復行動：一方面是因為「打回去」的策略可能引發進一步的軍事爭端；另一方面也是因為現如今國家間網路攻擊的威懾力尚未形成氣候，所以政府一般不會重視此類攻擊。除此之外，未來很長一段時間內私營企業或許會成為破壞性網路攻擊的犧牲品。

Cybereason 情報組

Cybereason 情報組的獨特使命是分析最複雜的網路攻擊。 情報組由各種政府機構的網路安全專家和國際安全專家組成，包括致力於進行網路攻擊以色列國防軍 8200 部隊。Cybereason 的主要目的是檢查和分析網路攻擊的發起者和攻擊原因，讓公司和個人能夠更好地保護自己。

Cybereason 是基於行為的企業攻擊防護的領先供應商，可以提供端點檢測和響應（EDR），下一代防病毒（NGAV）服務和主動監控服務。 Cybereason 的解決方案可降低安全風險，透明可見，有助於提高分析師的效率和效能。 Cybereason 致力於與企業合作打擊對手。

以下是針對這篇報告的全文編譯：

與日益增長的破壞性網路攻擊作鬥爭

過去 20 年來，破壞性網路攻擊的數量日益增多，特徵日益凸顯，那些與國家支持的黑客有關的破壞性網路攻擊尤其如此。看到破壞性網路攻擊所引起的嚴重後果，人們也許會揣測這些黑客利用了複雜的攻擊工具。然而，事實卻是，大部分破壞性網路攻擊所用到的工具並不複雜。

除了 Stuxnet 和 Crash Override/Industroyer 攻擊，文中提到的其他破壞性網路攻擊中用到的惡意軟體都利用的是擦除引導記錄這類基礎技術。這些技術簡單高效，容易編寫、執行。如果不是因為攻擊的目標日益脆弱（事實上並非如此），那麼上述的特徵和趨勢都足夠令人警醒。此外，破壞性網路攻擊的大部分目標都是個人或私營企業（公開的攻擊數據只是所有攻擊中的一小部分）。

經過詳細分析之後，本報告得出的最終結論是：如果國家利用網路攻擊打起信息戰，那麼最終受傷的會是私營企業。

破壞性網路攻擊：一類特殊的網路攻擊

本文採用了《美國國防部聯合出版物：信息戰》（以下簡稱《信息戰》）中的說法：

計算機網路攻擊是指 「通過計算機網路進行的干擾、拒絕、降級或破壞計算機以及計算機網路中的信息，和/或破壞計算機/計算機網路本身的行為」。

本文在提及破壞性網路攻擊時，特意排除了 DDoS、掛黑頁（ website defacement）以及勒索攻擊的例子。儘管這些也符合《信息戰》中對於網路攻擊的定義，但是這兩項通常被認為是有意的網路破壞。他們造成的後果比破壞性網路攻擊造成的後果輕得多。而在人們的觀念中，勒索軟體則並不在本文探討範圍內，因為勒索軟體的目的是強迫受害者交贖金，而非對網路造成破壞。如果勒索行為正常進行，那麼受害者交贖金後會重獲所有數據。這與破壞性網路攻擊的結果有著根本區別。

破壞性網路攻擊發展趨勢：規模增長，複雜程度有限

本報告的分析涵蓋 1980 年代以來主要的破壞性網路攻擊事件，呈現出一個清晰的趨勢。這些攻擊並非多麼宏大多麼不同尋常，而是使用相對簡單但是有效的破壞性軟體就達到了目的，這種趨勢自2010年以來尤其明顯。最近的 NotPetya 案例中，就使用了一個基礎的破壞性模塊，再加上一個相對複雜難以檢測的後門，造成惡劣影響。這個破壞性的惡意文件並非特別複雜，也並沒有什麼特殊的功能。

由於目前針對網路攻擊的懲罰並不多，越來越多的黑客都開始恣意妄為，實施的破壞性網路攻擊日益增多。將來，大部分破壞性網路攻擊都的複雜程度都將提高，且造成的後果也會比較嚴重。最終，低成本、醜惡而有效的手段將會成為所有實施破壞性網路攻擊的黑客必備的手段。更不幸的是，也會有越來越多的黑客意識到這一點。對於私營企業而言，這意味著遭受不複雜但破壞性強的攻擊的風險會增加。

破壞性網路攻擊大事件時間線

1982 年 / 西伯利亞管道攻擊

在 二十世紀八十年代早期，法國政府提醒 CIA ：蘇聯間諜滲透進了美國的一些實驗室、工廠甚至政府機構。CIA 注意到這件事情，查出間諜並對蘇聯進行反擊。這成為冷戰史上為人所知的最成功反間諜事件之一。

CIA 隨後獲取了一份俄羅斯政府在烏克蘭西部實施新天然氣管道項目所需的軟體清單。CIA 通過欺詐手段，讓蘇聯政府購買了存在漏洞的軟體。這些惡意編碼的軟體用在管道的泵、渦輪和閥門中，在一定的時間間隔後開始運作，導致泵的速率被重置、閥設置產生管道連接處和焊接點遠不能承受的壓力。

此事的最終後果是造成了世界上最大的非核爆炸。據估計，這次管道爆炸的威力相當於二戰期間在日本爆炸的原子彈威力的七分之一。儘管沒有造成傷亡，但這場攻擊卻讓蘇聯一部分跨西伯利亞管道化為泡影。

1998 年 / CIH 病毒

CIH 病毒，也被稱為 Chernobyl 或 Spacefiller

。這種病毒，可以重寫系統關鍵數據。據說，當時全球大約有 6000 萬台計算機被病毒感染，造成大約 10 億美元的商業損失。當時，連波士頓學院也遭到 CIH  感染，幾百台電腦被入侵。

CIH 的作者叫陳盈豪，當時是台灣大同大學的學生，他製作這個病毒主要是為了證明那些所謂的殺毒廠商誇大了自己殺毒軟體的性能。由於沒有受害者提起訴訟，陳盈豪沒有被起訴。

媒體之所以把這個病毒稱為 Chernobyl ，是因為它的一些變種程序在 4 月 26 日的  Chernobyl 核反應堆熔毀一周年的時候激活。CIH 病毒可以刪除硬碟驅動器中的數據並重寫 BIOS 晶元，使計算機無法使用。如果 CIH 的有效載荷激活，那麼受害者的計算機想要恢復就必須要進行硬體修理。

1998 年 / 科索沃攻擊

在科索沃戰爭期間，美國軍方除了進行轟炸攻擊以外，還採取了網路攻擊，以打擊塞爾維亞的防空體系。北約本以為塞爾維亞的防空體系十分複雜，可以對飛行員構成威脅。據美國政府關於科索沃攻擊的簡報，網路攻擊有可能取得「巨大成功」，攻擊中需要用到計算機網路打擊防空體系的指揮控制中心。 不過，美國政府表示，這份簡報只是一個可能會實施的攻擊行動綱要，也沒有闡明襲擊的具體網路攻擊組件。 不過，美國政府承認，他們確實已經組建了一個小組來研究可能實現的的網路攻擊情景。

2008 年 / 喬治亞攻擊

2008年夏天，俄羅斯部隊對喬治亞展開了大規模的聯合武裝攻擊。其中有一些網路攻擊，例如污衊喬治亞的公共和私人網站、展開大規模 DDoS 攻擊，以及將喬治亞的網路流量轉移到俄羅斯等。 喬治亞總統的主頁、國防部和外交部的主頁、一些喬治亞媒體網站和多家私人銀行的網站都收受到了攻擊。

2010  年 / Stuxnet 震網病毒

美國和以色列的網路部隊打擊伊朗核計劃，試圖放慢伊朗製造濃縮鈾的進程。震網病毒可以說是世界上第一個數字武器，與之前的任何其他病毒或蠕蟲都不同。它並不會劫持目標計算機或竊取信息，而是會摧毀濃縮鈾的離心機。Stunext需要經過複雜的編程才能實現這個目的。 此外，Stuxnet 只能攻擊特定的西門子工業控制系統和CPU，還必須確定這些系統在伊朗運作。但是，震網病毒真真切切讓人們開始關注並思考互聯網環境中工控安全的發展。

2012 年 / 沙烏地阿拉伯石油公司事件

在數小時內，沙烏地阿拉伯政府國有石油公司中 35,000 台電腦的部分數據被刪除或完全毀壞，屏幕上顯示的是燃燒的美國國旗。 這起襲擊是伊朗黑客發起的，主要是為了對 震網病毒的攻擊進行報復。

2012 年 / OPI 以色列攻擊

2012 年 4 月，疑似一群反以色列組織和個人針對以色列網路發起 DDoS 攻擊。此事發生在以色列大屠殺紀念日前夜，導致以色列的商業網站、財政網站、非營利組織、教育機構、私營企業以及報紙業務的網站等大量網站受影響。

2012 年 /  印度遇襲事件

有數據顯示，2011 年印度遭遇的網路入侵超過 13000 起。而說起印度遭到的重大網路攻擊，則要提 2012 年黑客竊取印度 1 萬多人郵箱賬戶的事情。這一萬人中有印度內務和外交官員、印度與西藏邊境警察、印度國防研究和發展組織的工作人員等，牽涉的信息機密，後果嚴重。

2013 年 / 黑首爾事件

朝鮮黑客利用 DarkSeoul 惡意軟體攻擊了韓國三家電視台和兩家私人銀行，重寫計算機數據並刪除受感染的驅動器內容。 這次襲擊中，韓國有約 32,000 台電腦受影響，導致許多自動取款機無法操作，客戶無法進行移動支付。

2011 年、2014年 / 索尼攻擊事件

2011 年 4 月，索尼不同部門遭遇了數起黑客入侵事件，導致7700萬個信用卡賬戶被盜。 情況最嚴重的當屬索尼的 PlayStation Network 部門，泄露的信息包括1,200萬張未加密的信用卡號碼，以及用戶全名、密碼和消費記錄等用戶信息。

2014 年，朝鮮黑客攻擊索尼影業，除了造成重大數據竊取和隨後的數據泄露外，還嚴重破壞索尼影業的 IT 基礎架構。攻擊者使用破壞性的硬碟gongju擦除 MBR 並刪除了所有數據。 遭受襲擊後，索尼在盈利報告中表示，公司將花費 3500 萬美元善後，大部分用於恢復索尼的財務和 IT 系統。

2014 年 / 德國鋼廠入侵事件

2014 年，有攻擊者入侵了德國鋼鐵工業控制系統（ICS）。 他們通過操縱和擾亂控制系統，使得高爐不能正常關閉，造成了「大規模」但非特定的損壞。 這是網路攻擊造成物理設備破壞的第二起已知案例。 德意志聯邦信息安全局（BSI）年度報告中闡述這一事件的詳情： 攻擊者使用魚叉式網路釣魚攻擊侵入公司網路， 一旦攻擊者站穩腳跟，他們最終就會入侵「眾多」系統，包括生產網路上的工業組件。 BSI 沒有指明被入侵的公司到底是哪家，也沒有指明攻擊發生的具體時間。 此外，報告還表示，攻擊者和動機都是未知數。

2015 年 / 法國電視台遇襲事件

此次攻擊中，俄羅斯黑客使用惡意軟體摧毀控制電視台操作的硬體，導致法國所有 12 個網路頻道離線將近12個小時。黑客通過多個入口點進入網路，包括工作室使用的遙控攝像機等供應商網路入口。 這次襲擊給法國電視台帶來 560 萬美元的損失，並導致電台增加 340 萬美元支出，用於改進安全管理。

2015 年 / 黑暗能源（Black Energy）事件（烏克蘭電網攻擊）

俄羅斯的攻擊者使用一個主要的開放源碼工具包，設法攻擊了三家烏克蘭能源分銷公司，並造成約 225,000 名客戶斷電。 公開的報告顯示，黑暗能源惡意軟體存在於被入侵公司的計算機網路中。 （黑暗能源惡意軟體在此事中的作用目前尚不清楚，有待進一步分析。）

2016 年 / StoneDrill 攻擊

伊朗黑客利用驅動器擦除工具攻擊沙烏地阿拉伯政府、私營部門，電信和運輸領域的目標。由於攻擊時通過滲透瀏覽器而非驅動器完成的，因此 StoneDrill 在擦除數據時更難以檢測，可以潛藏更長時間。它通過用隨機數重寫物理和邏輯驅動器的方式來實現這一點 。這種方式可以造成驅動器不可用，並且使信息無法恢復。

2016 年 / Crash Override 攻擊

黑客使用 Crash Override 惡意軟體攻擊基輔市北部的電力傳輸站，導致烏克蘭首都的一部分地區停電（相當於烏克蘭總電力容量的五分之一）。 Crash Override 惡意軟體旨在刪除數據並破壞 IT 系統，最終物理損壞 ICS 系統，破壞電網相關的 ICS 系統。美國計算機安全應急響應小組表示，目前「沒有證據表明這種惡意軟體已經影響到美國的關鍵基礎設施。然而，Crash Override 惡意軟體中的策略、技術和程序（TTP）可以修改，進而針對美國關鍵信息網路和系統發起。」

2017 年 / brickerbot 惡意攻擊

Brickerbot 惡意軟體專門攻擊不安全的IoT設備並將其內部快閃記憶體格式化，導致設備不可用。作者的昵稱為 janit0r，聲稱已經入侵超過200萬台設備。這引起了美國 ICS-CERT 的關注，他們（四月份）發出警報，警告企業和機構禁止 Telnet 和 SSH 訪問自己的設備，並要求業主更改設備的默認出廠密碼。

2017 年 / NotPetya 病毒

NotPetya 感染了大約 25,000 台計算機，可以在計算機重新啟動時擦除硬碟數據。NotPetya 的大多數受害者都位於烏克蘭，不過至少有十幾家大型跨國公司也受到了影響，其中包括馬士基航運公司、廣告集團 WPP 以及消費品公司 Reckitt Benckiser。Reckitt Benckiser 的報告表示，由於受 NotPetya 影響，今年銷售額預計只能增長 2％，無法達到 3％。該公司沒有提供財務細節，但參考去年的銷售數據，受 NotPetya 攻擊後，全年銷售額增長缺少 1％ 就意味著約 1 億英鎊（1.3 億美元；按照 2017 年 8 月 1 日匯率大約為 8 億 8799 萬人民幣）的收入不翼而飛。

其他大型網路攻擊還包括 2011 年的 Epsilon 大型郵件泄露事件；2007 年開始的愛沙尼亞網路戰等，造成的影響都很惡劣。

即使目前絕大多數網路事件仍然受到間諜活動或犯罪活動的驅動，但黑客（尤其是國家支持的黑客）越來越多地使用破壞性工具，這種發展趨勢著實驚人。私營部門需要正視這種趨勢帶來的安全影響。

破壞性網路攻擊的優勢：收益高，風險小

國家支持的黑客利用破壞性攻擊達到各種各樣的目的，這些黑客可以在不付出代價的情況下表達不滿、報復他人，或進行破壞性的秘密行動。

全球安全環境易於入侵且入侵代價較低，這就導致各國將繼續試驗破壞性網路攻擊且越來越大膽地進行攻擊。還有一點需要注意，國家無法找到正當理由來阻止這種行為。

儘管有例子表明北約有能力援引《北約》 第 5 條的「集體自衛原則」並用於約束網路攻擊，儘管各國在不斷探討網路空間威懾，但我們目前其實正處於一個混亂、原始的網路環境中，遠遠談不上穩定。

各國對網路攻擊的報復行動不得不持有謹慎態度，他們擔心報復或其他行動會將數字世界的網路攻擊升級到在現實世界中的攻擊，顯然，現實世界的報復和攻擊代價更高。跨領域關係，特別是軍隊之間的跨領域關係，會造成攻擊升級，這是受害者和攻擊者所在的政府都不了解也無法控制的。

這種對不受控制的升級的恐懼，意味著政府不能並且不願意有效地禁止網路中的破壞性攻擊。這種政策缺陷，再加上政府內部引人注目、較為明確的受攻擊案例，讓人很難相信，原本有著最大進攻能力和防禦能力的政府會推動大規模的政策轉變。

事實上，到目前為止，各國暫時無法構成足夠的網路威懾，因此國家目前也不會認真對待網路攻擊，不會將網路攻擊帶來的後果看得很嚴重。大國可以利用物理手段進行信息攻擊，進而威脅另一個大國的關鍵基礎設施——這種說法在政府看來是很荒謬的。正因為如此，這也為那些想要入侵別國關鍵基礎設施的國家的亮起了綠燈，因為這種行為只是為了「威懾」而不是為了攻擊。

政府目前正逐漸嘗試理解網路空間、攻擊升級的概念以及網路攻擊對現實世界帶來的影響。但是，他們又急於使用網路攻擊的能力。利用這些能力，他們可以實現遠程攻擊，可以對抗那些傳統意義上容易挑起爭端的國家。

由於沒有能力甚至無意阻止國家支持的黑客進行破壞性攻擊，私營企業只好一口咽下所有苦果。他們通常是網路攻擊的受害者，因為他們的網路沒有政府網路那麼安全；同時，在復仇者眼裡，他們又是攻擊中「安全的目標」（容易攻擊且幾乎不用付出代價）。

如果網上的行為都不需要付出代價，會發生什麼？

由於黑客實施攻擊後很少受到懲罰，因此各國會繼續嘗試提升網路攻擊能力，並試著用網路攻擊達成多種目的。這意味著，複雜程度相對較低的攻擊可能會持續增長。受害者可能仍然是非政府機構，這些機構多少都容易成為敵國的攻擊目標。

更令人擔憂的趨勢是非國家支持的黑客也開始發起破壞性攻擊。目前，DDoS 攻擊是黑客以及想要進行分裂活動的人最早用也是最常用的攻擊手段。然而，由於破壞性攻擊工具不斷增多，人們對新攻擊日漸麻木，越來越多的網路犯罪分子和活動積極的黑客都會投入到這個領域。發起影響更大的攻擊以及增加攻擊的複雜性（不僅破壞信息系統還會消除取證證據），這都吸引著哪些想要擴展業務的黑客們。泄露的先進工具和能力將會不斷呈現出上述特性和趨勢。

避開慣性思維

如果政府不能採取有效的新措施保護互聯網安全，那麼未來非國家支持的黑客發起的攻擊也會增多，但他們仍舊能逍遙法外，依舊很少有人會起訴、逮捕他們。而私營部門還剩下什麼呢？只剩下短暫而殘酷的一生……

有專家曾討論出幾點方法來應對這種情況。但是，這些方法都是從慣性思維的角度出發，反而會讓大環境變得更殘酷：

拒止威懾

這個概念最近不斷被提出。但是，要想實現拒止威懾，網路安全必須發展到一定程度，讓公司有能力發展防禦性技術並應對其他類似困境。

反擊（黑回去）

這個想法也再次浮出水面。美國眾議院甚至還提出了一項法案，即使在有限的邊界內也允許使用這種行為。然而，私營企業如果採取這類方法只會導致更多的攻擊活動，導致網路更不安全。一般來說，這種方法會使得公司的網路安全生命更短暫、更殘酷。

不幸的是，技術、條約和自我約束都不會阻止這種日益增長的威脅。動機明確、擁有大量資源和時間的攻擊者將能破解任何試圖阻止攻擊的綜合性技術。

應對計劃：把握戰爭開始的時間，然後把控戰場

可操作的信息是最好的武器

對於私營企業而言，如今最有希望抵擋眼前不穩定且敵對性更多的時期的武器，就是可操作信息。破壞性攻擊是企業面臨的整體威脅的一小部分。執行破壞性攻擊的動機，以及有效執行這些攻擊所需的訪問許可權和能力，讓那些有針對性的、

相對準確的攻擊模式得以形成和發展。

私人企業原本很容易遭受這類攻擊，而一旦攻擊模式成型，企業就能對模型進行分析，進而研究出如何最大限度地降低攻擊成功的可能性。如果一家公司能知道自己成為敵國攻擊目標的原因，就能夠採取更有效的對策。

把時間作為優勢

幸運的是，私營企業可以利用好時間這個優勢。一旦攻擊者開始與私營部門的網路接觸，一場時間的賽跑就一觸即發。在被檢測到之前或者在花時間保持對入侵網路的訪問權之前，攻擊者能否實現破壞網路和信息的目標？現在，理論層面大量存在這種競爭狀況。大多數攻擊從入侵到被發現的時間是不是隔了幾個月就是隔了幾周。這個時間間隔太久了，無法及時阻止破壞性攻擊。私營企業只有充分利用情報、探尋和積極的監測，才能減輕受害程度。

當然，目前這些策略必須進行測試並加以完善。雖然現在大規模網路攻擊（破壞性網路攻擊）與企業網路面臨的其他威脅相比較少，但由於破壞性網路攻擊的成本較低、且頻率正在增加，所以事實上我們試驗和建立有效防禦的窗口正在關閉。而目前阻止破壞性網路攻擊的行為，則有可能讓我們目前的用網行為發展成輕易造成網路爭端。

*參考來源：Cybereason 關於破壞性網路攻擊的報告，Securityweek 等，作者 AngelaY，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: