作为一名网络安全从业者,我在安天从事威胁分析工作已经23年了,这些年让我印象最深刻的就是和战友们一起对抗最高级别的威胁,这些威胁来自大洋彼岸。
工作起点与轨迹
安天对美国情报机构APT(高级持续性威胁)攻击活动的分析始于“震网”事件的快速跟进。2010年7月,美国和以色列情报机构联合攻击伊朗工业基础设施的事件被曝光。我们迅速搭建了模拟环境,还原了“震网”的机理,并在分析其USB渡线控制条件机理上形成了专门的分析成果。但当时我们并没有从网络空间军事化风险的角度更加深入地看待“震网”事件,而仅仅将其视为工业场景安全的一个新型“技术风险”。
直到我们试图将震网攻击与以色列空军对伊拉克核反应堆的突袭(代号为“巴比伦行动”)进行比较时,我们才意识到美国已经打开了潘多拉魔盒,利用网络攻击实现了与传统战争行动部分等同的效果。
从还原“震网”机制到与“斗渠”同源,再到对“火焰”蠕虫众多模块进行马拉松式接力分析,两年多来我们几乎耗费了所有高级分析人力,却依然无法完成所有模块和分支的分析。国际同行卡巴斯基也给予“火焰”“攻击机制最复杂、威胁程度最高的计算机病毒之一,其结构复杂程度是‘震网’病毒的20倍”的评价。
我们意识到面临着多套史无前例的大规模超级恶意代码工程体系,直到2019年才基本完成了“震网”“火焰”“毒歌”“高斯”等系列攻击事件背后的恶意代码工程体系整体图景。
2012年以后,我们开始分析更加隐蔽的攻击方式,这些攻击平台样本更加复杂,通信指令全加密。借助分析“震网”系列攻击积累的经验,我们克服重重困难,完成了多个平台样本的分析,包括从未遇到过的Sun Sparc架构(系统)样本、破解加密方式、恢复控制指令集等。
遗憾的是,由于种种因素,我们未能立即公布这些分析结果,直到国际同行将相关攻击组织命名为“”,并公开其平台样本后,我们才陆续公布了对Linux、iOS等平台样本的分析结果。
卡巴斯基的分析成果还为我们带来了一项之前没有分析过的能力,那就是“方程式”面对硬盘固件的持久化能力。面对多种多样的硬盘型号,同事、高校联合研究员等都加入了分析团队,大家按照硬盘品牌分工协作,开发出了4个主流品牌的硬盘固件提取工具。威胁分析工作的重要魅力就在于,我们会不断遇到新的场景和挑战。
有效载荷全平台覆盖能力
这一阶段的工作,我们重点关注组件化的样本结构、积累的0day漏洞储备的组合运用、复杂的加密机制、更深层次的持久化能力等。整体上,我们还停留在恶意代码和作用机制的技术分析层面。2013年斯诺登事件爆发,几年间美国情报机构NSA大量内部文件被曝光,我们意识到,我们面对的威胁行为者是一座巨大的冰山,而我们过去的分析工作其实只是水面以上的部分。
以全球信号情报获取能力为基础,由“棱镜”“核”“坞站”等系统组成的“星风”系统构建了全球网络空间地形测绘和覆盖目标剖析能力,建立了以“湍流”为代表的进攻能力支撑体系,支撑了具有精确定位能力、高隐蔽性和反追踪能力的“21世纪信号情报框架”。数十个相互关联的工程系统构成了美国网络空间攻击活动的庞大支撑体系,并以IC(情报云)一体化建设为基础,将获取的、窃取的海量数据汇聚到网络空间,形成情报的浓缩效应。
这些都是冰山一角,也是其霸权体系的组成部分。正如我的同事、安天创始人肖新光同志指出的:
“它的情报活动和运作已经有了一个成熟和进步的体系,APT是这个体系中众多手段之一,必然有其固有的特征和痕迹。”
为此,我们在 2015 年之后开始使用“超高能力网络威胁行为者”来指代美国 NSA 等情报机构,并使用 A2PT(即高级持续性威胁)来标识他们的攻击活动,以区别于其他威胁行为者的针对性攻击活动。同时,这也提醒我们对抗和分析此类攻击能力的难度有多大。更进一步的困难是封闭源头并全面审查某一攻击行动。由于有大量外围设备、电磁中继器等的支持,而且许多攻击活动在互联网端可能无法封闭,因此在 TCP/IP 层面对其进行全面审查也十分困难。我们只能努力分析所获取的每一个样本和线索,等待更好的机会。
幸运的是,2017年4月14日,一个名为“影子经纪人”的攻击组织曝光了一批与NSA相关的数据,其中一个名为“SWIFT”的文件夹引起了安天工程师的注意。经过分析发现,这些数据正是NSA在入侵中东地区最大的SWIFT金融服务提供商(位于阿联酋迪拜)时记录的相关文件和日志。我们可以将前期对恶意代码样本和攻击战术的历史分析结果作为珍珠,将相关日志线索拼凑起来,形成溯源的“珍珠链”,完整还原美国攻击跳板、目标场景环境、攻击操作路径、攻击设备清单及应用、战术流程和操作后果。
为了帮助公众更好的理解这个复杂的攻击过程,我们还做了完整的可视化呈现。每次分析上线,分析工程师团队都连续工作了一夜。然而分析结果形成之后,往往不会立即发布。分析的工作就是战斗-等待-再战斗-再等待。这份报告最终在2019年6月正式向公众发布。
我们已经形成了完整的能够从攻击装备、攻击手法、攻击支撑基础设施等角度全面分析美国网络攻击活动的分析框架方法,并开始以更加深入和广阔的视角审视美国网络攻击活动背后的国家意志。
点名、压制和我们的回应
当我们回顾这些工作,以及这些过程中相关的磨难和艰辛时,我们意识到在如此漫长而艰辛的解开谜团、拨开迷雾的过程中,虽然我们的初衷是通过分析工作洞察威胁,守护客户的安全,推动防御技术的提升,但我们触及的却是一个难以想象的庞然大物。
2010年,当我们开始从安天实验室走向企业化运营的时候,我们就设想,凭借十年磨练出来的反病毒引擎,成为全球网络安全行业检测能力的上游供应商。从向美日等发达国家出口网关设备的检测引擎,到在手机反病毒引擎上进行广泛的国际合作,我们以为我们已经在国际市场上站稳了脚跟。特别是2012年至2014年,我们的手机引擎在AV-TEST月度测试中首次夺得第一名,并荣获年度最佳大奖。我们坚信,凭借我们的技术优势,我们有望成为网络安全领域的“联发科”。
但从2013年开始,安天在美国的业务突然遇到了很多阻碍,合作伙伴的法律部门告诉我们,不能再使用来自中国的杀毒引擎了。这时我们才注意到,2012年,美国国会美中经济与安全审查委员会就所谓的“中国网络安全问题”举行了第一次听证会,但那时我们并不知道,安天已经成为人们关注的焦点。
2015年,当我们还在为首届全球网络空间安全创新500强榜单中位列第95名(中国厂商排名最高)而沾沾自喜时,却意外在斯诺登泄露的一份文件中看到了安天的名字。美国国家安全局(NSA)和“五眼联盟”(美英澳加新四国情报共享机制)秘密实施了“Arch计划”,监控卡巴斯基等23家具备发现和追踪威胁能力的全球安全公司,安天是唯一一家“上榜”的中国公司。该计划始于2010年,那一年我们重点关注“震网”分析。
这份泄露的文件再次证明,美国情报机构和其他“五眼”情报机构通过入侵全球运营商,在网络侧构建了广泛的监控能力。这份文件的主标题“An Easy Win”就是基于这一机制。NSA在渠道侧获取网络攻击受害者发给网络安全厂商的电子邮件,判断其攻击活动是否暴露,并分析目标主机遭遇的其他网络攻击,看能否劫持并加以利用。
斯诺登文件中有一句话解释了这项秘密计划的目的:“卡巴斯基反病毒软件等安全产品不断挑战英国政府通信总部(GCHQ,即英国情报机构)的作战能力,而软件逆向工程的目的就是追踪这类软件的能力,否则我们的行动就会被发现。”
出于职业习惯,我们在威胁分析对抗中总是尽量保持冷静。但这次,我们感到震惊和愤怒。我们发表声明:“我们认为,监控恶意代码受害者的电子邮件以获取帮助,从而获得某种利益和优势是一种卑鄙的行为。”
但抛开愤怒,我们的声明更多的是从国际合作和全球网络安全产业发展的角度发出的警告:
“相关情报机构将本国以外的国际反病毒、安全厂商视为其全球攻击、窃听活动的绊脚石,同时又与本国安全厂商进行潜移默化的互动,就是要强行将反病毒、安全厂商划分成阵营。这种思维一旦蔓延,必然导致各国好不容易建立起来的安全产业合作与应急协调机制不复存在,也会极大损害全球其他国家用户对相关情报机构所在国安全厂商的基本信任,最终迫使网络安全产业彻底回归‘篱笆’定义的地缘经济。”
作为中国应急体系中积极参与国际合作的重要企业节点,我们十分珍惜国际反病毒产业的协调机制,珍惜全球网络安全产业的分工合作。但当有人撕裂世界时,阵营的形成是不可避免的。
防御A2PT攻击是一个巨大的挑战,揭露A2PT攻击同样是一个巨大的挑战。中国不仅是网络攻击的受害者,更是西方控制的国际舆论场中的弱势一方,我们的声音难以被重视,发表报道揭露国外攻击威胁的工作在中国也长期得不到广泛的关注和支持。
因此,直到卡巴斯基曝光了“方程式”的两项重要分析结果(组件木马和加密协议分析)后,我们才选择以纯技术报告的形式发布。尤其是2015年5月,我们和国内同行曾直接点名国外威胁分析报告,并陆续发布,但都遭遇了数次波折,导致国内业界在随后的几个月里多少有些泄气和沉寂。
工作很快出现转机。2016年4月19日召开的网络安全研讨会,勾勒出了网络安全工作的战略目标和宏伟蓝图。2016年4月底,肖新光同志作为中国业界代表,参加了网络空间安全主题的国际论坛,并有机会公开发表了一份技术报告。我们决定揭露美国情报机构等对华实施的APT攻击,并给这份报告起了一个非常文艺的名字——《熊猫的伤疤》。
这是中国技术专家第一次在国际论坛上正式披露相关内容。同志们很关心报告的效果。到了晚上,我打电话问他报告进行得怎么样。他用很微弱的声音说,自己挤出了“效果很好”。报告结束后,可能是因为长时间积累的压力突然释放,他的喉咙突然肿胀,呼吸非常困难。回到酒店后,他在卫生间吐了一口血。他告诉我,“我的肺没事,但喉咙里的毛细血管破裂了。”
安天实验室报告封面“熊猫的伤痕”
随后,我们通力合作,迅速组织发布另外两项重要分析成果,即审阅美国情报机构样本的全平台覆盖能力并绘制其杀伤链执行功能模块图。
2016年12月,美国网络安全机构发表文章分析中国网络空间安全协会(CSAC)的会员资格,其中专门分析了安天,肯定了安天的分析成果对于方程式组织的价值,并将安天定义为“新的代言人”(指中国政府)。或许美国很难理解一家中国安全公司对本国的热爱和对抗威胁的本能,又或许这是故意扣帽子。总之,从2017年开始,安天在美国市场的所有业务和合作被彻底中断。
2022年2月,美中经济与安全审查委员会继2012年之后,再次就所谓“中国网络空间能力”举行听证会。出席听证会的美方人员建议采取多重措施压制中国网络空间能力。在中国网络空间能力方面,会议特别点名两家中国网络安全公司“安天实验室和奇虎360”,称它们“分析并揭露了美国国家安全局和中央情报局的网络行动”,并称由于安天和奇虎360是中国“历史最悠久的两家反病毒公司”,它们公布这些信息可能会让公众更加信服。相关内容再次出现在美国国会的相关年度报告中。连锁反应是,我们在亚洲国家的合作伙伴也通知我们,不再使用安天的引擎。
2024年2月,一份报告发布,用低质量的证据罗列和推断“中国的网络安全能力不足以指控美国的攻击行为”。报告中多次点名安天,其中三次直指肖新光同志,是北约技术支持机构的旋转门公司。从他们的报告中,我们读到了十足的殖民者式的傲慢。这也让安天CERT梳理历史工作,最终发布了我们的应对报告《如何让“雄鹰”在迷雾中清晰可见》。
报道还特意引用了我们2016年报道《熊猫的伤疤》的封面。所以在《鹰的表现型》报道中,我们增加了如下结尾:
“加害者不会因加害者的聪明而高尚,反抗者也不会因反抗的艰难而卑微”。
