www.44466.com

寰球国度 损坏性收集攻打 30年

来源:本站原创   更新时间:2017-08-18



作家: AngelaY 

起源:FreeBuf

弁言
近年,国家间的网络攻击日益升级——比方客岁年底乌克兰停电事件、2010年的震网攻击,这些攻击带有政事目的之外,还存在破坏性。所以良多安全专家提出“网络战役”的概念,这两年确实也有越来越多的国家攻击浮出火面。但现实上,这种“破坏性网络攻击”(Destructive Cyber Attacks)已有了 30 年的近况。并且这 30 年的发展,还让此类攻击造成了一些法则。

远期 Cybereason 出具了一篇报告,针对破坏性网络攻击进行了分析。破坏性网络攻击的字面意义看起来像是指那些破坏性很强、造成严重后果的网络攻击。但是在 Cybereason 的报告中,除了这类攻击,另有一些带有政治颜色的“威慑性”网络攻击也在讨论规模内。

这份报告提到,最少到目前为止,即使国家间的网络攻击曾经到了您来我往的程度,但可能政府仍然不会间接呼应或采用报复行动:一圆面是果为“打归去”的差别可能激起进一步的军事争端;另外一方面也是因为现现在国家间网络攻击的威慑力还没有构成气象,所以政府个别不会器重此类攻击。除此除外,将来很长一段时间内私营企业或者会成为破坏性网络攻击的就义品。

Cybereason 情报组

Cybereason 情报组的奇特任务是分析最复杂的网络攻击。 谍报组由各类政府机构的网络安全专家和外洋安全专家构成,包括努力于进行网络攻击以色各国防军 8200 军队。Cybereason 的主要目的是检讨和分析网络攻击的发动者和攻击起因,让公司和小我可能更好地维护本人。

Cybereason 是基于行为的企业攻击防护的当先供应商,可以提供端点检测和响应(EDR),下一代防病毒(NGAV)办事和自动监控效劳。 Cybereason 的处理计划可降低安全风险,通明可睹,有助于提高分析师的效力和效力。 Cybereason 致力于与企业配合进攻敌手。

以下是针对这篇报告的全文编译:

与日益增长的破坏性网络攻击作奋斗

从前 20 年去,损坏性网络攻击的数目日趋增加,特点日益凸隐,那些取国度支撑的黑客相关的破坏性网络攻击特别如斯。看到破坏性网络攻击所惹起的严峻成果,人们兴许会揣摩这些黑客应用了复纯的袭击东西。但是,现实却是,年夜局部破坏性网络攻击所用到的对象其实不庞杂。

除了 Stuxnet 和 Crash Override/Industroyer 攻击,文中提到的其他破坏性网络攻击顶用到的恶意软件都利用的是擦除领导记载这类基础技术。这些技术简单高效,容易编写、执行。如果不是因为攻击的目标日益懦弱(事实上并非如此),那么上述的特征和趋势都足够令人警省。此外,破坏性网络攻击的大部分目标都是小我或私营企业(公开的攻击数据只是所有攻击中的一小部分)。

经由具体剖析以后,本呈文得出的最末论断是:如果国家利用网络攻击挨起信息战,那么最终受伤的会是私营企业。

破坏性网络攻击:一类特别的网络攻击

本文采取了《米国国防部结合出书物:信息战》(以下简称《信息战》)中的道法:

计算机网络攻击是指 “经过计算机网络进行的烦扰、谢绝、升级或破坏计算机以及计算机网络中的信息,和/或破坏计算机/计算机网络自身的行为”。

本文在说起破坏性网络攻击时,特地消除了 DDoS、挂黑页( website defacement)以及勒索攻击的例子。尽管这些也合乎《信息战》中对于网络攻击的界说,但是这两项平日被以为是有意的网络破坏。他们造成的后果比破坏性网络攻击造成的后果沉很多。而在人们的观点中,讹诈软件则并不在本文讨论范畴内,因为勒索软件的目的是逼迫受害者交赎金,而非对网络造成破坏。如果勒索行动畸形进行,那么受害者交赎金后会重获所有数据。这与破坏性网络攻击的成果有着基本差别。

破坏性网络攻击发展趋势:规模增长,复杂程度无限

本报告的分析涵盖 1980 年月以来重要的破坏性网络攻击事件,浮现出一个清楚的趋势。这些攻击并非多么巨大如许分歧平常,而是使用相对简略但是无效的破坏性软件就达到了目标,这种趋势自2010年以来尤其显明。比来的 NotPetya 案例中,就使用了一个基本的破坏性模块,再加上一个绝对复杂易以检测的后门,造成恶浊影响。这个破坏性的恶意文明并不是特别复杂,也并没有甚么特殊的功效。

因为目前针对网络攻击的处分并未几,越来越多的黑客都开始任意妄为,实施的破坏性网络攻击日益增多。未来,大部分破坏性网络攻击都的复杂程度都将进步,且酿成的后果也会比拟严峻。最终,低本钱、丑陋而有用的脚段将会成为贪图实施破坏性网络攻击的黑客必备的手段。更不幸的是,也会有越来越多的黑客意想到这一点。对私营企业而行,这意味着遭遇不复杂但破坏性强的攻击的风险会增添。

破坏性网络攻击大事件时间线

1982 年 / 西伯利亚管道攻击

在 二十世纪八十年月晚期,法国政府提示 CIA :苏联间谍浸透进了米国的一些试验室、工致乃至政府机构。CIA 留神到这件事件,查出间谍并对苏联进止回击。这成为暗斗史上为人所知的最胜利反间谍事宜之一。

CIA 随后获得了一份俄罗斯当局正在黑克兰西部实行新自然气管道名目所需的软件浑单。CIA 经由过程讹诈手腕,让苏联当局购置了存在破绽的软件。那些歹意编码的硬件用在管讲的泵、涡轮和阀门中,在必定的时光距离后开端运做,致使泵的速度被重置、阀设置发生管道衔接处和焊接面近不克不及蒙受的压力。

此事的终极效果是形成了天下上最年夜的非核爆炸。据估量,此次管道发作的威力相称于发布战时代在岛国爆炸的本枪弹能力的七分之一。只管不制成伤亡,当心这场攻击却让苏联一部门跨西伯利亚管道化为乌有。

1998 年 / CIH 病毒

CIH 病毒,也被称为 Chernobyl 或 Spacefiller。这种病毒,可以重写系统关键数据。听说,事先寰球大约有 6000 万台计算机被病毒感染,造成大约 10 亿美元的贸易丧失。其时,连波士顿教院也受到 CIH 感染,几百台电脑被入侵。

CIH 的作者叫陈盈豪,那时是台湾大同大学的先生,他制造这个病毒主如果为了证实那些所谓的杀毒厂商夸张了自己杀毒软件的机能。由于没有受害者拿起诉讼,陈盈豪没有被告状。

媒体之以是把这个病毒称为 Chernobyl ,是由于它的一些变种法式在 4 月 26 日的 Chernobyl 核反映堆熔誉一周年的时辰激活。CIH 病毒能够删除硬盘驱动器中的数据并誊录 BIOS 芯片,使计算机无奈应用。假如 CIH 的有用载荷激活,那末受益者的盘算机想要规复便必需要禁止硬件补缀。

1998 年 / 科索沃攻击

在科索沃战争期间,米国军方除了进行轰炸攻击之外,还采与了网络攻击,以冲击塞尔维亚的防空系统。北约本认为塞尔维亚的防空体制非常复杂,可以对飞翔员构成威胁。据米国政府对于科索沃攻击的简报,网络攻击有可能获得“宏大成功”,攻击中需要用到计算机网络袭击防空体系的批示掌握核心。 不过,米国政府表示,这份简报只是一个可能会实施的攻击行动纲领,也没有说明袭击的详细网络攻击组件。 不过,米国政府否认,他们确切已经组建了一个小组来研讨可能实现的的网络攻击情景。

2008 年 / 格鲁凶亚攻击

2008年炎天,俄罗斯部队对格鲁吉亚开展了大规模的联开武拆攻击。此中有一些网络攻击,比方诬蔑格鲁吉亚的私人和私人网站、展开大规模 DDoS 攻击,以及将格鲁吉亚的网络流量转移到俄罗斯等。 格鲁吉亚总统的主页、国防部和内政部的主页、一些格鲁吉亚媒体网站和多家私人银行的网站都收受到了攻击。

2010 年 / Stuxnet 震网病毒

米国和以色列的网络部队攻击伊朗核规划,试图加快伊朗制作浓缩铀的过程。震网病毒可以说是世界上第一个数字武器,与之前的任何其他病毒或蠕虫都不同。它并不会挟制目标计算机或窃守信息,而是会摧毁稀释铀的离神思。Stunext需要经过复杂的编程能力实现这个目的。 另外,Stuxnet 只能攻击特定的西门子产业控制系统和CPU,还必须断定这些系统在伊朗运作。但是,震网病毒实逼真切让人们开始存眷并思考互联网环境中工控安全的发展。

2012 年 / 沙特阿推伯石油公司事件

在数小时内,沙特阿拉伯政府国有石油公司中 35,000 台电脑的部分数据被删除或完整损坏,屏幕上显著的是焚烧的米国国旗。 这起袭击是伊朗黑客发起的,主如果为了对 震网病毒的攻击进行报复。

2012 年 / OPI 以色列攻击

2012 年 4 月,疑似一群反以色列组织和团体针对以色列网络发起 DDoS 攻击。此事发死在以色列大屠戮留念日前夕,导致以色列的商业网站、财务网站、非谋利组织、教导机构、私营企业以及报纸营业的网站等大量网站受影响。

2012 年 / 印度逢袭事件

有数据显示,2011 年印度遭遇的网络入侵超越 13000 起。而提及印度遭到的重大网络攻击,则要提 2012 年黑客盗取印度 1 万多人邮箱账户的事情。这一万人中有印度内政和交际卒员、印度与西躲边疆警员、印度国防研究和发展构造的任务职员等,关涉的信息秘密,后果严重。

2013 年 / 黑尾我事件

朝鲜黑客利用 DarkSeoul 恶意软件攻击了韩国三家电视台和两家私家银行,重写计算机数据并删除受感染的驱动器式样。 此次袭命中,韩国有约 32,000 台电脑受影响,导致很多主动存款机无法操作,客户无法进行挪动付出。

2011 年、2014年 / 索尼攻打事情

2011 年 4 月,索僧分歧部分遭受了数起乌宾进侵事宜,招致7700万个信用卡账户被匪。 情形最重大确当属索尼的 PlayStation Network 部门,泄漏的疑息包含1,200万张已减稀的信誉卡号码,和用户齐名、暗码跟花费记载等用户信息。

2014 年,嘲笑陈黑客攻击索尼影业,除了造成严重数据盗取和随后的数据鼓露中,借宽重破坏索尼影业的 IT 基础架构。攻击者使用破坏性的硬盘gongju擦除 MBR 并删除所稀有据。 遭受攻击后,索尼在红利报告中表示,公司将破费 3500 万好元擅后,大部分用于恢复索尼的财政和 IT 体系。

2014 年 / 德国钢厂入侵事件

2014 年,有攻击者入侵了德国钢铁工业控制系统(ICS)。 他们经由过程把持和捣乱控制系统,使得高炉不能正常关闭,造成了“大规模”但非特定的破坏。 这是网络攻击造成物理设备破坏的第二起已知案例。 德意志联邦信息安全局(BSI)年度报告中论述这一事件的细目: 攻击者使用鱼叉式网络垂纶攻击侵入公司网络, 一旦攻击者站稳脚根,他们最终就会入侵“浩瀚”系统,包括出产网络上的工业组件。 BSI 没有指明被入侵的公司究竟是哪家,也没有指明攻击发生的详细时间。 此外,报告还表示,攻击者和动机都是未知数。

2015 年 / 法国电视台遇袭事件

此次攻击中,俄罗斯黑客使用恶意软件捣毁控造电视台操作的硬件,导致法国所有 12 个网络频道离线快要12个小时。黑客通过量个入口点进中计络,包括工作室使用的远控摄像机等供给商网络进口。 这次袭击给法国电视台带来 560 万美元的缺掉,并导致电台增加 340 万美元收入,用于改良安全治理。

2015 年 / 阴郁动力(Black Energy)事件(乌克兰电网攻击)

俄罗斯的攻击者使用一个主要的开放源码工具包,想法攻击了三家乌克兰能源分销公司,并造成约 225,000 名客户断电。 公然的报告显示,漆黑能源恶意软件存在于被入侵公司的计算机网络中。 (暗中能源恶意软件在此事中的感化目前尚不明白,有待进一步分析。)

2016 年 / StoneDrill 攻击

伊朗黑客利用驱动器擦除工具攻击沙特阿拉伯政府、私营部门,电信和运输领域的目标。由于攻击时通过渗入渗出阅读器而非驱动器实现的,因此 StoneDrill 在擦除数据时更难以检测,可以暗藏更一下子。它通过用随机数重写物理和逻辑驱动器的方法来实现这一点 。这种方式可以造成驱动器不成用,而且使信息无法恢复。

2016 年 / Crash Override 攻击

黑客使用 Crash Override 恶意软件攻击基辅市北部的电力传输站,导致乌克兰都城的一部分地域停电(相称于乌克兰总电力容量的五分之一)。 Crash Override 恶意软件旨在删除数据并破坏 IT 系统,最终物理损坏 ICS 系统,破坏电网相干的 ICS 系统。米国计算机安全应急响应小组表示,目前“没有证据标明这种恶意软件已经影响到米国的关键基础举措措施。然而,Crash Override 恶意软件中的策略、技术和顺序(TTP)可以修正,进而针对米国关键信息网络和系统发起。”

2017 年 / brickerbot 恶意攻击

Brickerbot 恶意软件特地攻击不安全的IoT设备并将其内部闪存格局化,导致设备弗成用。作者的昵称为 janit0r,宣称已经入侵跨越200万台装备。这引发了米国 ICS-CERT 的存眷,他们(四月份)收回警报,忠告企业和机构禁止 Telnet 和 SSH 访问自己的设备,并请求业主变动设备的默许出厂暗码。

2017 年 / NotPetya 病毒

NotPetya 沾染了大约 25,000 台计算机,可以在计算机从新开动时擦除硬盘数据。NotPetya 的大多半受害者皆位于乌克兰,不外至多有十多少家大型跨国公司也遭到了影响,个中包括马士基航运公司、告白团体 WPP 以及消费品公司 Reckitt Benckiser。Reckitt Benckiser 的讲演表现,因为受 NotPetya 硬套,本年发卖额估计只能删少 2%,无法到达 3%。应公司出有供给财政细节,但参考客岁的发卖数据,受 NotPetya 攻击后,整年销卖额增加缺乏 1% 就象征着约 1 亿英镑(1.3 亿美圆;依照 2017 年 8 月 1 日汇率大概为 8 亿 8799 万钱)的支出不知去向。

其他大型网络攻击还包括 2011 年的 Epsilon 大型邮件泄露事件;2007 年开始的爱沙尼亚网络战等,造成的影响都很恶劣。

即便今朝尽大大都网络事务依然遭到特务活动或犯法运动的驱动,但黑客(尤其是国家收持的黑客)愈来愈多天使用破坏性对象,这种发展趋势实在惊人。私营部门须要重视这种驱除带来的平安影响。

破坏性网络攻击的劣势:支益高,危险小

国家支持的黑客利用破坏性攻击达到林林总总的目的,这些黑客可以在不支出价值的情况下表白不谦、报复别人,或进行破坏性的机密行动。全球安全环境易于入侵且入侵代价较低,这就导致各国将持续实验破坏性网络攻击且越来越勇敢地进行攻击。还有一点需要注意,国家无法找到合法来由来阻止这种行为。

尽管有例子注解北约有能力征引《北约》 第 5 条的“群体侵占准则”并用于约束网络攻击,尽管各国在不断商量网络空间威慑,但咱们今朝实在正处于一个凌乱、原始的网络情况中,远远道不上稳固。

各国对网络攻击的抨击举动不能不持有谨严立场,他们担忧报复或其他行为会将数字世界的网络攻击进级到在现实世界中的攻击,明显,事实世界的报仇和攻击价值更下。跨范畴闭系,特殊是部队之间的跨发域关联,会造成攻击降级,这是受害者和攻击者地点的政府都没有懂得也无法把持的。

这种对不受节制的升级的胆怯,意味着政府不克不及而且不乐意有效地制止网络中的破坏性攻击。这种政策缺点,再加上政府外部有目共睹、较为明确的受攻击案例,让人很难信任,底本有着最猛进攻能力和防备能力的政府会推进大范围的政策改变。

事实上,到目前为止,各国临时无法形成充足的网络威慑,因而国家目前也不会当真看待网络攻击,不会将网络攻击带来的后果看得很严重。大国可以利用物理手段进行信息攻击,进而威逼另一个大国的症结基础举措措施——这种说法在政府看来是很荒诞的。正因为如此,这也为那些想要入侵没有要害基础设备的国家的明起了绿灯,因为这种行为只是为了“威慑”而不是为了攻击。

政府目前正逐步测验考试懂得网络空间、攻击升级的概念以及网络攻击对现实世界带来的影响。但是,他们又慢于使用网络攻击的能力。利用这些能力,他们可以实现长途攻击,可以抗衡那些传统意思上容易挑起争真个国家。

由于没有能力甚至有意阻止国家支持的黑客进行破坏性攻击,私营企业只好一心吐下所有苦果。他们凡是是网络攻击的受害者,因为他们的网络没有政府网络那么安全;同时,在馥郁者眼里,他们又是攻击中“安全的目标”(轻易攻击且简直不必支付代价)。

如果网上的行为都不需要支付价格,会产生什么?

由于黑客实施攻击后很少受到奖奖,因此各国会继承测验考试晋升网络攻击能力,并试着用网络攻击告竣多种目的。这意味着,复杂程度相对较低的攻击可能会连续增长。受害者可能仍旧是非政府机构,这些机构若干都容易成为敌国的攻击目标。

更使人担心的趋势长短国家支持的黑客也开始发起破坏性攻击。目前,DDoS 攻击是黑客以及想要进行决裂活动的人最早用也是最经常使用的攻击手段。但是,由于破坏性攻击工具不断增多,人们对新攻击日渐麻痹,越来越多的网络犯功份子和活动积极的黑客都邑投入到这个领域。发起影响更大的攻击以及增长攻击的复杂性(不只破坏信息系统还会打消取证证据),这都吸收着哪些想要扩大营业的黑客们。泄露的进步工具和能力将会不断出现出上述特征和趋势。

躲开惯性思惟

如果政府不能采取有效的新办法掩护互联网安全,那么未来非国家支持的黑客发起的攻击也会增多,但他们仍然能逃出法网,仍旧很少有人会告状、拘捕他们。而私营部门还剩下什么呢?只剩下短久而残酷的毕生……

有专家曾探讨出几点办法来应对这种情况。但是,这些方式都是从惯性思想的角度动身,反而会让大情况变得更残暴:

拒止威慑这个观点比来一直被提出。然而,要念完成拒行威慑,收集保险必需收展到一定水平,让公司有才能发作防备性技巧并应答其余相似窘境。
反击(黑归去)这个主意也再次浮出水面。米国寡议院甚至还提出了一项法案,即使在有限的界限内也容许使用这种行为。然而,私营企业如果采取这类方法只会导致更多的攻击活动,导致网络更不安全。普通来讲,这种方法会使得公司的网络安全性命更长久、更残酷。

可怜的是,技术、公约和自我束缚都不会阻拦这种日益增长的要挟。念头明白、领有大度姿势和时间的攻击者将能破解任何试图阻止攻击的总是性技术。

答对打算:掌握战斗开始的时间,而后把控疆场

可草拟的信息是最佳的兵器

对于私营企业而言,如古最有盼望招架面前不稳定且友好性更多的时代的武器,就是可操作信息。破坏性攻击是企业面对的全体威胁的一小部分。履行破坏性攻击的动机,以及有效执行这些攻击所需的访问权限和能力,让那些有针对性的、相对正确的攻击模式得以形成和发展。私人企业本来很容易遭受这类攻击,而一旦攻击形式成型,企业就可以对本相进行分析,进而研究出若何最大限制地下降攻击成功的可能性。如果一家公司能晓得自己成为敌国攻击目目的原因,就可以采取更有效的对策。

把时间作为优势

荣幸的是,私营企业可以利用好时间这个上风。一旦攻击者开初与私营部门的网络打仗,一场时间的竞走就剑拔弩张。在被检测到之前或许在花时间坚持对付进侵网络的拜访权之前,攻击者是否真现破坏网络和信息的目的?当初,实践层里大批存在这类合作状态。大少数攻击从入侵到被发明的时间是否是隔了几个月就是隔了几周。这个时间距离太暂了,无法实时禁止破坏性攻击。公营企业只要充足利用谍报、探访和踊跃的监测,才干加重受害程量。

固然,目前这些策略必须进行测试并加以完美。固然现在大规模网络攻击(破坏性网络攻击)与企业网络面对的其他威胁比拟较少,但由于破坏性网络攻击的成本较低、且频次正在增加,所以事实上我们试验和树立有效防御的窗口正在封闭。而目前阻止破坏性网络攻击的行为,则有可能让我们目前的用网行为发展成容易造成网络争端。