◎安天研究院

上一期中，我們對(duì)美國(guó)網(wǎng)絡(luò)空間安全主動(dòng)防御體系進(jìn)行了分析，包括“愛(ài)因斯坦”計(jì)劃的三個(gè)不同階段和積極防御（在上一期中被稱為“主動(dòng)防御”，但是由于該詞在殺毒領(lǐng)域已有使用，容易引起歧義，因此在這里我們使用跟接近軍事意義的“積極防御”，意為分析人員對(duì)處于所防御網(wǎng)絡(luò)內(nèi)的威脅進(jìn)行監(jiān)控、響應(yīng)、學(xué)習(xí)和應(yīng)用知識(shí)的過(guò)程）系統(tǒng)TUTELAGE，展現(xiàn)了美國(guó)通過(guò)不斷建設(shè)和演進(jìn)，形成了一套具有完備有效的感知能力、積極防御及反制能力的國(guó)家網(wǎng)絡(luò)空間安全防御體系。在本期中，我們將聚焦美國(guó)網(wǎng)絡(luò)空間進(jìn)攻性能力支撐體系，這些進(jìn)攻性能力被應(yīng)用在包括網(wǎng)空情報(bào)、網(wǎng)空積極防御和網(wǎng)空軍事等行動(dòng)等，并簡(jiǎn)單剖析美國(guó)在這些能力背后強(qiáng)大的支撐體系及其運(yùn)作方式。

2015年，美國(guó)《國(guó)防部網(wǎng)絡(luò)空間戰(zhàn)略》指出，“一旦得到指示，美國(guó)國(guó)防部（DoD）應(yīng)有能力發(fā)起網(wǎng)絡(luò)戰(zhàn)行動(dòng)，癱瘓敵對(duì)方的指揮及控制網(wǎng)絡(luò)、與軍事相關(guān)且不可替代的關(guān)鍵基礎(chǔ)設(shè)施和裝備性能”。2017年12月，美國(guó)總統(tǒng)特朗普發(fā)布了新版《國(guó) 家安全戰(zhàn)略》，強(qiáng)調(diào)了網(wǎng)絡(luò)空間中的競(jìng)爭(zhēng)性，美國(guó)宣稱會(huì)考慮采取各種手段威懾和擊敗針對(duì)美國(guó)的網(wǎng)絡(luò)攻擊，并“根據(jù)需求”對(duì)敵對(duì)方實(shí)施網(wǎng)絡(luò)行動(dòng)。目前已進(jìn)入立法程序的《主動(dòng)網(wǎng)絡(luò)防御明確法案》也強(qiáng)調(diào)網(wǎng)絡(luò)防御中的“積極”部分，允許網(wǎng)絡(luò)空間受害者越過(guò)自身網(wǎng)絡(luò)邊界進(jìn)行帶有反擊性質(zhì)的行動(dòng)，這體現(xiàn)出了美國(guó)在網(wǎng)絡(luò)政策中的進(jìn)攻性色彩愈加濃厚。

美國(guó)國(guó)防部認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)對(duì)抗（Computer Network Operations, CNO）即實(shí)質(zhì)操縱計(jì)算機(jī)和網(wǎng)絡(luò)，針對(duì)計(jì)算機(jī)或其他網(wǎng)絡(luò)本身或他們它們之上的信息、信息系統(tǒng)，實(shí)施攻擊和防御以及兩者所需的支撐行動(dòng)。按照網(wǎng)空行動(dòng)目的，可以將CNO劃分為計(jì)算機(jī)網(wǎng)絡(luò)防御（Computer Network Defense, CND）、計(jì)算機(jī)網(wǎng)絡(luò)刺探（Computer Network Exploitation, CNE）和計(jì)算機(jī)網(wǎng)絡(luò)攻擊（Computer Network Attack, CNA），分別對(duì)應(yīng)網(wǎng)空積極防御、網(wǎng)空情報(bào)行動(dòng)和網(wǎng)空軍事行動(dòng)動(dòng)。

為支撐上述能力，美國(guó)開(kāi)展了一系列的網(wǎng)絡(luò)空間進(jìn)攻性能力支撐體系建設(shè)項(xiàng)目，這些項(xiàng)目主要由國(guó)家安全局（NSA）負(fù)責(zé)開(kāi)發(fā)和實(shí)施，其中最大的支撐架構(gòu)稱為“湍流”（TURBULENCE，我們?cè)谥敖榻B“關(guān)鍵得分”X-KEYSCORE項(xiàng)目時(shí)曾提到），由多個(gè)系統(tǒng)組成，包括主動(dòng)情報(bào)采集系統(tǒng)TUMULT、被動(dòng)情報(bào)采集系統(tǒng)TURMOIL、任務(wù)邏輯控制系統(tǒng)TURBINE、進(jìn)攻性網(wǎng)空行動(dòng)系統(tǒng)“量子”（QUANTUM）、主動(dòng)防御系統(tǒng)TUTELAGE（我們?cè)谥敖榻B過(guò)，是帶有積極防御的CND主要實(shí)現(xiàn)）、密碼服務(wù)LONGHAUL、數(shù)據(jù)倉(cāng)庫(kù)PRESSUREWAVE、網(wǎng)絡(luò)流量分析系統(tǒng)TRAFFICTHIEF和信號(hào)情報(bào)分析系統(tǒng)CLUSTER WEALTH-2等。這些系統(tǒng)各司其職，共同支撐信息收集、情報(bào)分析、積極防御、決策控制、網(wǎng)絡(luò)作業(yè)等網(wǎng)空行動(dòng)的攻擊性行動(dòng)環(huán)節(jié)，共同構(gòu)成了美國(guó)強(qiáng)大的網(wǎng)絡(luò)空間進(jìn)攻性能力支撐體系。

“湍流”（TURBULENCE）框架

NSA Turbulence項(xiàng)目由于預(yù)算超支和管理不善等問(wèn)題在2007年首次被巴爾的摩太陽(yáng)報(bào)披露。斯諾登曝光的一份絕密文件中也提到了TURBULENCE項(xiàng)目，這份絕密文件的日期為2009年8月。TURBULENCE項(xiàng) 目 的 文件中解釋了將主動(dòng)與被動(dòng)方法結(jié)合起來(lái)以達(dá)到從目標(biāo)網(wǎng)絡(luò)中滲出數(shù)據(jù)的過(guò)程。TURBULENCE項(xiàng)目包含傳感器（Sensors）、基礎(chǔ)設(shè)施（Infrastructure）及分析（Analysis）三個(gè)模塊。

“湍流”架構(gòu)

被動(dòng)情報(bào)采集系統(tǒng)：TURMOIL

TURMOIL計(jì)劃是NSA的一種全球高速被動(dòng)信號(hào)情報(bào)收集系統(tǒng)，用于攔截全球范圍內(nèi)傳播的目標(biāo)衛(wèi)星、微波和有線通信。據(jù)推測(cè)，所有這些數(shù)據(jù)的收集都與互聯(lián)網(wǎng)數(shù)據(jù)（DNI）相關(guān)。TURMOIL是在數(shù)據(jù)包層面的操作，因此它可以采取特殊的方式來(lái)處理某些類型的流量，如VPN和VoIP流量。通過(guò)NSA的被動(dòng)能力與積極能力整合工作，TURMOIL能夠識(shí)別重點(diǎn)目標(biāo)的數(shù)據(jù)特征觸發(fā)TURBINE系統(tǒng)，而且使NSA具備可以仿冒任何國(guó)家IP地址的高級(jí)反溯源能力。

任務(wù)邏輯控制系統(tǒng)TURBINE

TURBINE是任務(wù)邏輯系統(tǒng)，與NSA的使用的CNE技術(shù)深度集成。當(dāng)TURMOIL的處理分析識(shí)別出重點(diǎn)目標(biāo)，則TURBINE進(jìn)行進(jìn)一步判定，是否需要對(duì)某個(gè)目標(biāo)進(jìn)行攻擊。一旦判斷為需要，則會(huì)觸發(fā)TURBINE系統(tǒng)中的程序，試圖使用QUANTUM侵入目標(biāo)計(jì)算機(jī)竊取信息。

進(jìn)攻性網(wǎng)空行動(dòng)系統(tǒng)QUANTUM（量子）

“量子”系統(tǒng)是進(jìn)攻性網(wǎng)空行動(dòng)系統(tǒng)，能夠向互聯(lián)網(wǎng)側(cè)目標(biāo)部署作業(yè)工具，或操縱已部署工具。“量子”系統(tǒng)部署于NSA內(nèi)網(wǎng)，由定制訪問(wèn)辦公室(TAO)遠(yuǎn)程作業(yè)人員操縱，其作業(yè)能力覆蓋廣泛，包括域名系統(tǒng)（DNS）和HTTP注入式攻擊等多種網(wǎng)絡(luò)攻擊工具、數(shù)據(jù)庫(kù)注入工具、僵尸網(wǎng)絡(luò)控制工具等?！傲孔印毕到y(tǒng)可通過(guò)多種方式劫持目標(biāo)，包括應(yīng)用廣泛的“量子插入”（QUANTUMINSERT，針對(duì)HTML訪問(wèn)）和“量子之手”（QUANTUMHAND，針對(duì)FACEBOOK訪問(wèn)）等，在神不知鬼不覺(jué)的情況下將用戶的正常網(wǎng)絡(luò)訪問(wèn)劫持到偽裝的服務(wù)器，并將一些網(wǎng)絡(luò)攻擊框架、系統(tǒng)或工具植入到用戶計(jì)算機(jī)。

集成“關(guān)鍵得分”（X-KEYSCORE）項(xiàng)目

X-KEYSCORE是可以對(duì)各種網(wǎng)上行為進(jìn)行監(jiān)視和分析處理的系統(tǒng)，是與谷歌功能類似的分布式數(shù)據(jù)采集和分析框架，運(yùn)行于LINUX系統(tǒng)和MySQL數(shù)據(jù)庫(kù)。TURMOIL會(huì)篩選出“有意義”的數(shù)據(jù)包，并將包轉(zhuǎn)發(fā)給X-KEYSCORE，X-KEYSCORE 將會(huì)話數(shù)據(jù)化并通過(guò)XKS界面為NSA人員提供分析和搜索的功能，這樣互聯(lián)網(wǎng)上的一切活動(dòng)都會(huì)盡在NSA的掌握之中，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)空間攻擊目標(biāo)的發(fā)現(xiàn)與確定。

針對(duì)恐怖組織的應(yīng)用案例

2012年6月，美反恐活動(dòng)部隊(duì)利用與某恐怖組織頭目相關(guān)的Yahoo篩選條件成功地探測(cè)到其使用的系統(tǒng)，在“湍流”下，通過(guò)“量子”將其劫持到NSA的攻擊服務(wù)器FOXACID并在系統(tǒng)中植入惡意程序UNITEDRAKE，后者在目標(biāo)系統(tǒng)中植入惡意軟件鍵盤(pán)記錄程序GROK和USB監(jiān)控/收集軟件SALVAGERABBIT，通過(guò)分析它們傳回的情報(bào)，獲得了與該恐怖組織頭目一起活動(dòng)的人員名單，以及其與基地組織之間的通信等重要信息。

在這套支撐體系的支持下，美國(guó)的網(wǎng)絡(luò)攻擊行動(dòng)才能夠獲得強(qiáng)大的后端支持，包括較完善的信號(hào)收集（從網(wǎng)絡(luò)收集和從其合作伙伴、國(guó)防承包商、大型IT企業(yè)獲取的各種信息，涵蓋從電子郵件、視頻音頻、消息、社交媒體等，）、處理基礎(chǔ)設(shè)施，包括音頻、視頻、郵件等大規(guī)模網(wǎng)絡(luò)活動(dòng)與個(gè)人數(shù)據(jù)庫(kù)及相關(guān)加工處理機(jī)制。而攻擊行動(dòng)必然需要具體的攻擊裝備，美國(guó)有哪些網(wǎng)絡(luò)空間攻擊裝備，美國(guó)的網(wǎng)絡(luò)空間攻擊裝備體系有何特點(diǎn)，我們將在后續(xù)的文章中為您一一解答。