美國網絡空間攻擊與主動防御能力解析
——美國網絡空間攻擊支撐體系

◎安天研究院

上一期中，我們對美國網絡空間安全主動防御體系進行了分析，包括“愛因斯坦”計劃的三個不同階段和積極防御（在上一期中被稱為“主動防御”，但是由于該詞在殺毒領域已有使用，容易引起歧義，因此在這里我們使用跟接近軍事意義的“積極防御”，意為分析人員對處于所防御網絡內的威脅進行監(jiān)控、響應、學習和應用知識的過程）系統(tǒng)TUTELAGE，展現了美國通過不斷建設和演進，形成了一套具有完備有效的感知能力、積極防御及反制能力的國家網絡空間安全防御體系。在本期中，我們將聚焦美國網絡空間進攻性能力支撐體系，這些進攻性能力被應用在包括網空情報、網空積極防御和網空軍事等行動等，并簡單剖析美國在這些能力背后強大的支撐體系及其運作方式。

2015年，美國《國防部網絡空間戰(zhàn)略》指出，“一旦得到指示，美國國防部（DoD）應有能力發(fā)起網絡戰(zhàn)行動，癱瘓敵對方的指揮及控制網絡、與軍事相關且不可替代的關鍵基礎設施和裝備性能”。2017年12月，美國總統(tǒng)特朗普發(fā)布了新版《國 家安全戰(zhàn)略》，強調了網絡空間中的競爭性，美國宣稱會考慮采取各種手段威懾和擊敗針對美國的網絡攻擊，并“根據需求”對敵對方實施網絡行動。目前已進入立法程序的《主動網絡防御明確法案》也強調網絡防御中的“積極”部分，允許網絡空間受害者越過自身網絡邊界進行帶有反擊性質的行動，這體現出了美國在網絡政策中的進攻性色彩愈加濃厚。

美國國防部認為，計算機網絡對抗（Computer Network Operations, CNO）即實質操縱計算機和網絡，針對計算機或其他網絡本身或他們它們之上的信息、信息系統(tǒng)，實施攻擊和防御以及兩者所需的支撐行動。按照網空行動目的，可以將CNO劃分為計算機網絡防御（Computer Network Defense, CND）、計算機網絡刺探（Computer Network Exploitation, CNE）和計算機網絡攻擊（Computer Network Attack, CNA），分別對應網空積極防御、網空情報行動和網空軍事行動動。

為支撐上述能力，美國開展了一系列的網絡空間進攻性能力支撐體系建設項目，這些項目主要由國家安全局（NSA）負責開發(fā)和實施，其中最大的支撐架構稱為“湍流”（TURBULENCE，我們在之前介紹“關鍵得分”X-KEYSCORE項目時曾提到），由多個系統(tǒng)組成，包括主動情報采集系統(tǒng)TUMULT、被動情報采集系統(tǒng)TURMOIL、任務邏輯控制系統(tǒng)TURBINE、進攻性網空行動系統(tǒng)“量子”（QUANTUM）、主動防御系統(tǒng)TUTELAGE（我們在之前介紹過，是帶有積極防御的CND主要實現）、密碼服務LONGHAUL、數據倉庫PRESSUREWAVE、網絡流量分析系統(tǒng)TRAFFICTHIEF和信號情報分析系統(tǒng)CLUSTER WEALTH-2等。這些系統(tǒng)各司其職，共同支撐信息收集、情報分析、積極防御、決策控制、網絡作業(yè)等網空行動的攻擊性行動環(huán)節(jié)，共同構成了美國強大的網絡空間進攻性能力支撐體系。

“湍流”（TURBULENCE）框架

NSA Turbulence項目由于預算超支和管理不善等問題在2007年首次被巴爾的摩太陽報披露。斯諾登曝光的一份絕密文件中也提到了TURBULENCE項目，這份絕密文件的日期為2009年8月。TURBULENCE項 目 的 文件中解釋了將主動與被動方法結合起來以達到從目標網絡中滲出數據的過程。TURBULENCE項目包含傳感器（Sensors）、基礎設施（Infrastructure）及分析（Analysis）三個模塊。

“湍流”架構

被動情報采集系統(tǒng)：TURMOIL

TURMOIL計劃是NSA的一種全球高速被動信號情報收集系統(tǒng)，用于攔截全球范圍內傳播的目標衛(wèi)星、微波和有線通信。據推測，所有這些數據的收集都與互聯(lián)網數據（DNI）相關。TURMOIL是在數據包層面的操作，因此它可以采取特殊的方式來處理某些類型的流量，如VPN和VoIP流量。通過NSA的被動能力與積極能力整合工作，TURMOIL能夠識別重點目標的數據特征觸發(fā)TURBINE系統(tǒng)，而且使NSA具備可以仿冒任何國家IP地址的高級反溯源能力。

任務邏輯控制系統(tǒng)TURBINE

TURBINE是任務邏輯系統(tǒng)，與NSA的使用的CNE技術深度集成。當TURMOIL的處理分析識別出重點目標，則TURBINE進行進一步判定，是否需要對某個目標進行攻擊。一旦判斷為需要，則會觸發(fā)TURBINE系統(tǒng)中的程序，試圖使用QUANTUM侵入目標計算機竊取信息。

進攻性網空行動系統(tǒng)QUANTUM（量子）

“量子”系統(tǒng)是進攻性網空行動系統(tǒng)，能夠向互聯(lián)網側目標部署作業(yè)工具，或操縱已部署工具?！傲孔印毕到y(tǒng)部署于NSA內網，由定制訪問辦公室(TAO)遠程作業(yè)人員操縱，其作業(yè)能力覆蓋廣泛，包括域名系統(tǒng)（DNS）和HTTP注入式攻擊等多種網絡攻擊工具、數據庫注入工具、僵尸網絡控制工具等?！傲孔印毕到y(tǒng)可通過多種方式劫持目標，包括應用廣泛的“量子插入”（QUANTUMINSERT，針對HTML訪問）和“量子之手”（QUANTUMHAND，針對FACEBOOK訪問）等，在神不知鬼不覺的情況下將用戶的正常網絡訪問劫持到偽裝的服務器，并將一些網絡攻擊框架、系統(tǒng)或工具植入到用戶計算機。

集成“關鍵得分”（X-KEYSCORE）項目

X-KEYSCORE是可以對各種網上行為進行監(jiān)視和分析處理的系統(tǒng)，是與谷歌功能類似的分布式數據采集和分析框架，運行于LINUX系統(tǒng)和MySQL數據庫。TURMOIL會篩選出“有意義”的數據包，并將包轉發(fā)給X-KEYSCORE，X-KEYSCORE 將會話數據化并通過XKS界面為NSA人員提供分析和搜索的功能，這樣互聯(lián)網上的一切活動都會盡在NSA的掌握之中，從而實現對網絡空間攻擊目標的發(fā)現與確定。

針對恐怖組織的應用案例

2012年6月，美反恐活動部隊利用與某恐怖組織頭目相關的Yahoo篩選條件成功地探測到其使用的系統(tǒng)，在“湍流”下，通過“量子”將其劫持到NSA的攻擊服務器FOXACID并在系統(tǒng)中植入惡意程序UNITEDRAKE，后者在目標系統(tǒng)中植入惡意軟件鍵盤記錄程序GROK和USB監(jiān)控/收集軟件SALVAGERABBIT，通過分析它們傳回的情報，獲得了與該恐怖組織頭目一起活動的人員名單，以及其與基地組織之間的通信等重要信息。

在這套支撐體系的支持下，美國的網絡攻擊行動才能夠獲得強大的后端支持，包括較完善的信號收集（從網絡收集和從其合作伙伴、國防承包商、大型IT企業(yè)獲取的各種信息，涵蓋從電子郵件、視頻音頻、消息、社交媒體等，）、處理基礎設施，包括音頻、視頻、郵件等大規(guī)模網絡活動與個人數據庫及相關加工處理機制。而攻擊行動必然需要具體的攻擊裝備，美國有哪些網絡空間攻擊裝備，美國的網絡空間攻擊裝備體系有何特點，我們將在后續(xù)的文章中為您一一解答。