集顶尖研究团队 提供最新的安全研究成果

安全解析 研究报告 安全团队 研究机构

当你能够突破重围,就能连接一切

2020-06-03

【导读】近日,伴随美国与俄罗斯在政治、军事等多维度持续“较量”之下,双方在网络空间的“明争暗斗”也逐步升级。上周四,美国国家安全局(NSA)重磅发布安全通告称,自2019年8月以来,俄罗斯军事情报局GRU旗下的APT组织Sandworm,正利用CVE-2019-10149高危漏洞持续攻击全球Exim邮件服务器。按往常,相关机构发布黑客攻击邮件服务器的警告本为“小事”,然而当这份警告来自美国家安全局(NSA),且直指另一大国的APT组织时,一切就不再简单。此事背后,所凸显的正是:“高级持续威胁(APT)已成为当前网络空间的最大威胁”这一中心论断。


Exim:一款全球广泛使用的开源邮件传输代理服务器软件,主要用于将电子邮件从发件人中继到收件人,是Exchange和Sendmail等较大代理厂商的替代产品。

该软件基于GPL协议开发,常运行于类UNIX系统,有关数据显示,截至2019年6月全球约有57%的互联网电子邮件服务器都在运行Exim。

然而,就在2019年6月,Exim服务器软件被曝存在一个高危远程命令执行漏洞CVE-2019-10149。该漏洞可允许本地或者远程攻击者以Root身份在目标服务器上执行恶意命令。

尽管该漏洞在去年已被修补,但当下网络中仍存在诸多邮件服务器系统并未及时打补丁。


美国国家安全局(NSA)发布重磅安全通告

全球Exim邮件服务器遭俄罗斯黑客攻击


近日,美国国家安全局(NSA)重磅发布安全通告称:俄罗斯军方黑客组织已利用CVE-2019-10149漏洞,攻击全球Exim邮件服务器长达数月之久。

据悉在这起攻击中黑客组织可拦截所有传入邮件并查阅历史邮件存档,并通过向受害服务器添加特权账户、禁用网络安全设置,进一步运行恶意脚本,直至控制目标网络。

尽管通告中并未明确受害范围,但因中招服务器可以作为黑客组织扩大攻击面的枢纽点,故而这类攻击一旦蔓延开来,必将给全球网络带来难以估量的损失。

前美国家安全局(NSA)黑客、安全公司Rendition Infosec创始人杰克·威廉姆斯评价称:


当黑客突破防线,它就能连接一切


鉴于这一攻击强大的破坏性,美国国家网络安全局(NSA)呼吁相关部门尽快做好防御措施,抵御此类攻击:


SandWorm黑客组织被指为幕后主使

高级持续性威胁APT成大国博弈御用手段


关于这起攻击的发起者,据NSA发布的文件称,幕后主使正是俄罗斯军事情报总局GRU旗下的王牌APT组织——Sandworm。自2000年代中期以来,该组织便一直活跃在各国网络空间国防高地的“大后方”。

资料显示,2015年12月、2016年12月,SandWorm使用BlackEnergy恶意工具瘫痪了乌克兰的电力设施,导致乌克兰当地大面积断电,遭遇其史上的至暗时刻。此外,美国情报方面还一度认为SandWorm曾参与到“破坏”2016年美国总统大选的黑客大案中。

2017年,SandWorm又被指开发臭名昭著的NotPetya勒索软件,针对乌克兰政府、金融和能源机构发起大规模攻击。几个小时内,该软件从乌克兰政府办公室迅速扩散到了全球网络,超过200000台计算机被感染,可以说制造了一场威力丝毫不亚于WannaCry的“噩梦”。

从钳制敌对国关键基础设施,到干涉一国总统大选,再到攻入全球计算机网络,可以说,APT组织SandWorm早已成为俄罗斯应对大国网络攻防的重要“先锋兵”。

尤其,在面临美国大选的这一关键时期里,FireEye情报总监霍特奎斯特曾特别强调说:


选举指日可待,要时刻谨防他国APT组织的攻击。尤其考虑到SandWorm 组织过去曾参与过与选举有关的黑客攻击,因此,涉及该APT组织的任何动态须保持高度警惕。



  智 库 时 评  

如开篇所言,相关机构发布黑客攻击邮件服务器的警告似乎为“小事”,但当它与大国、与APT组织、APT攻击相关联时,一切将变成“未知”。

众所周知,高级持续性威胁(APT)具备攻击手段高超、攻击链条复杂、持续时间长等得天独厚的攻击条件,尤其在近些年来,大国网络空间战上,成为重要攻击方式:

2019年4月,外媒曝光俄罗斯背景组织APT28(FancyBear)攻击乌克兰2019年大选活动;

2019年7月,委内瑞拉再度因网络攻击上演大停电,这一次首都亦未能幸免,全境陷入“末日”一般的悲惨世界;

2019年11月,印度独立网络核电站Kudankulam遭遇疑似朝鲜APT组织Lazarus攻击,据传攻击已渗透至核心系统;

2019年12月,IBM披露中东工业和能源行业,遭伊朗APT34(Oilrig)恶意数据擦除软件ZeroCleare的“摧毁型”攻击;

……

更为值得注意的是,当前这一网络空间最大威胁,这一大国博弈的“御用手段”——高级持续性威胁(APT),还将其攻击目标锁定在关键基础设施等高价值目标之上,这不得不引发我们的高度重视。

更令人唏嘘的是,在如此强势攻击之下,我们还发现传统单一、片面式的网络安全防护理念与手段,早已难以有效应对。

因时而变,随势而制。当前,在应对APT组织及其攻击时,我们需要新的观念、新的思路、新的打法、新的模式、新的方案。

具体而言,我们需要从统一感知、整体协防的网络安全新理念出发,以安全大数据、知识库和安全专家为核心,以安全运营、威胁分析、漏洞管理为抓手,以实战攻防、能力建设为保障的云原生的网络安全服务体系,需要新一代全新的安全解决方案。

这将是关系整个网络空间安全的重要需求,也是关系一国国防安全的重要保障。