【导读】这两天,安全界又发生了一件大事。俄罗斯联邦安全局FSB外包商ODT(Oday)LLC公司被“数字革命”(Digital Revolution)黑客组织入侵,疑似俄用来秘密监控全球的“网络武器”—— “Fronton”物联网僵尸网络计划细节被公之于众。此事一出,无疑又一场轩然大波。为什么一网络强国的安全局能接连屡次被黑,“Fronton”物联网僵尸网络计划又是什么,为什么能令全球为之一震……等等疑团齐涌而来。本文,智库将透过事件本身,逐一剖析其背后的深层之意,而这些无形之中又与未来网络战争的走向直接相连。
俄罗斯联邦安全局(简称FSB),其前身为苏联克勒勃秘密警察系统,是负责俄罗斯国内事务的情报机构,包括反情报、反斗争、反恐军事行动、监视以及维护边境安全等,它可以指挥国内军队、特种部队的分遣队或是大规模的市民情报网。此外,FSB内部还设有一个政府单位FAPSI,专门进行国外的电子监控,在必要时可以透过总统直接下令。
关于FSB的影响力,它与美国联邦调查局(FBI)十分相似。现任总统普京掌权之前就曾是这个机构的负责人,如今更是其掌握俄罗斯权力的象征。
然而,就是这样一个重磅级机密组织,在近期爆出重大“安全漏洞”……
美国国家安全局NSA棱镜门事件再上演?
俄罗斯联邦安全局被爆重磅级“安全漏洞”!
3月20日,俄罗斯黑客组织“数字革命”(Digital Revolution)对外宣布,它称已成功入侵俄罗斯联邦安全局的外包商ODT(Oday)LLC公司,发现俄罗斯正在布局“全球间谍”——“Fronton”物联网僵尸网络计划。该计划,效仿Mirai经验,通过构建僵尸网络对全球对互联网安全摄像机和数字录像机(NVR)发动攻击。
DigitalRevolution(数字革命),一个声称为权利和自由而战的黑客组织,是克里姆林宫的强烈反对者,曾制造了数次针对政府机构的情报攻击事件。
随即,“数字革命”还公布了12份有关于“Fronton”项目的技术文档、图表和代码片段。ZDNet和BBC Russia第一时间对这些文档、报告截图进行分析后,基本上确认FSB外包商建设"Fronton"项目具有可行性。
世界四大情报机构之一被黑客间接袭击,国家级机密计划被轻易泄露,“网络武器”被公然公之于众。此消息的曝出,不亚于当年斯诺登披露美国国家安全局NSA棱镜门事件。
然而,为什么网络强国的安全局却能接连屡次“爆雷”,“Fronton”物联网僵尸网络计划为什么能令全球为之一震,它背后又有何“隐情”……等等疑团也齐涌而来。透过这些疑团,智库也提出了自己的几点反思:
反思一
一国之安全命脉,为何屡遭黑客“间接攻陷”?
其实,这并非联邦安全局首次被黑客“间接攻陷”:
2018年12月,联邦安全局管辖下的一家封闭式研究所Quatum遭“数字革命”组织攻击, FSB社交媒体监控项目的详细信息被“窃取”;间隔不足一年,同样的事情再次发生。2019年7月,负责俄罗斯机要部门近20个非公共IT项目的莫斯科SyTech遭遇黑客攻击。在那次袭击中,俄罗斯联邦安全局六个大型网络监控项目的重要信息惨遭泄露。
回到本事件中,资料显示:目前披露的12份Fronton技术文档,均是由FSB内部部门No. 64829(FSB信息安全中心)采购的。其外包商为Inform Invest Group(这家公司和俄罗斯政府内部建立着紧密的合作,并创建了物联网入侵工具)。
然而,Inform Invest Group又将该项目分包给了总部位于莫斯科的软件公司ODT(Oday)LLC。这也正是此次“数字革命”能够取得成功的关键点,即“数字革命”再次通过入侵FSB的外包商,成功“破局”。
纵观这三起攻击事件,我们不难发现:俄罗斯联邦安全局屡次深陷“险境”,其外包商无疑在其中充当着“威胁发源地”的重要角色。
而这,则透露出一个极为重要的信号:安全不是绝对的安全,自身的安全并不能万事大吉。未来,政府、企业安全的薄弱环节可能在于合作伙伴和供应商。
具体而言,当今黑客组织改变了既往直击型的攻击方式,他们采取了更为“保险有效”的供应链攻击方式,即先攻击于目标相关的外部合作伙伴、供应商,通过攻陷这些“第三方”的系统与数据,进而潜入或者完成对目标的攻击。
可以说,当今网络安全问题绝不再是过去的一城一隅,而是演变成牵一发而动全身的全新格局。一旦“中间供应链”有任何疏漏,所造成的任何结果都是致命的。
反思二
FSB并非被"首黑",为何这次引动轩然大波?
因为,它是“Fronton”物联网僵尸网络计划;因为,它是一次疯狂的“全世界间谍”计划。
1.可怕的僵尸网络
我们从已泄露的文件中看到,FSB外包商引用了Mirai经验,构建类似的物联网僵尸网络。这里我们需要老生常谈下僵尸网络的两大特色。
其一,它依赖于一对多的命令控制机制,一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDoS)攻击,同时发送大量的垃圾邮件等等,可以说是,千类似于军万马尽归一人指挥,以极低的代价高效地控制大量的资源,为攻击者服务;
其二,它能攻陷任何连接互联网的设备,包括但不限于电脑、手机、服务器、路由器以及其他的物联网设备,感染一个,便可实现以一己之力攻破“千军万马”的效果,进而将被感染设备组成一个庞大的“僵尸帝国”。
2.极强的隐秘管理
不止于上述内容,此次计划的极其重视隐秘性。首先,僵尸网络通过基于Web的管理面板进行管理,基于Web的管理面板托管在VPN服务器和代理服务器网络后面的命令和控制(C&C)服务器上,这样强化了隐藏其实际位置的目的.
与此同时,根据Fronton规范,在整个项目和源代码中,严格禁止使用俄语和西里尔字母。C&C服务器还需要受密码保护,并且所有未使用的端口都应关闭,以防其他黑客接管僵尸网络的后端基础结构。
由此可见,在未来网络战场上,在针对IOT物联网的攻击上,僵尸网络将成为各国战术手法上一个不错的选择。一旦被利用,便能轻易为攻击国快速完成网络流量劫持的目的,通过监测网络数据信息数据,完成重要情报被窃取的工作。
尤其,一旦此类僵尸网络被类似于俄罗斯联邦安全局的国家级黑客组织投入使用,威胁绝不止于基础设施,工业运转、军事对抗等各关键领域都将乌云密布,到时它或将任意割据世界军事版图,将全球网络战推向前所未有的高度。所以,僵尸网络攻击成为未来网络攻防战场上,不容忽略的一环。
反思三
IOT物联网为何成为此次攻陷目标的“焦点”?
在具体攻击目标上,这次该计划瞄准全球互联网安全摄像机和数字录像机(NVR),并认为这是进行DDoS攻击的理想选择。
因为在整个僵尸网络中,大约95%应由这两类设备组成,通过传输视频,能够为有效执行DDoS攻击获取足够大的通信渠道。其次,每个受感染的设备,还针对其他设备进行密码攻击,不仅能快速实现“僵尸感染”,还能保持僵尸网络的活力。
然而,这也正为我们发起第三个信号:IoT物联网安全。
IOT作为新时代下网络空间联系现实空间的核心介质,其相关应用蓬勃发展,目前已进入到全面实践应用的新阶段,紧随而至的安全问题自然也如影随形。
而且,僵尸网络常常落地到IOT物联网攻击当中,当二者结合时,或许仅仅是一个摄像头的沦陷,能掀起一场全国性IOT设备出现故障的海啸式风浪。而这并非耸人听闻,而是也早有先例。
2016年,黑客组织通过入侵、控制了全世界十多万台智能硬件设备,组成了Mirai僵尸网络,进而对美国互联网域名解析服务商DYN进行DDoS攻击,导致美国东海岸大面积断网,当时,不止Twitter、亚马逊、华尔街日报等数百个重要网站无法访问,美国主要公共服务、社交平台、民众网络服务瘫痪,严重影响当地人民生活秩序和社会稳定。
而此次事件爆发后,令360公司董事长兼CEO周鸿祎发出:“十多万台设备被控制,发起的攻击已经让半个美国网络瘫痪;那么,数十亿设备如果被控制,是不是就足以让全球互联网瘫痪”的感叹。
所以,在如今,万物皆可互联的当下,在“新基建”逐步展开的趋势中,保障物联网设备的安全性,保障国家网络基础设施的安全性,也变得尤为重要。
智 库 时 评
从第三方攻击入手,从一个小小物联网设备入手,通过僵尸网络攻击手法,这些,无疑成为此次俄罗斯联邦安全局FSB外包商被黑、机密计划被泄事件背后的“乌云”。环环相扣又互为补充,一个“监控全球”的“完美计划”跃然纸上,如此这般,又岂能不引起轩然大波、令世界为之一颤呢?