2019年9月3日,雅虎新闻网站披露了“震网”病毒进入伊朗核设施途径是由于内鬼问题,并较为详细地回顾了“震网”攻击事件的来龙去脉。从作用意义上看,“震网”事件开辟了国家间APT攻击的先例,也展现了国家支持的有组织网络攻击的巨大战略效应。透过“震网”攻击事件整个过程,我们可以发现,国家APT组织网络攻击体现了跨域协同的鲜明特征,这也是其有效发挥作用的主要支撑条件。按照由低到高的层次,国家APT行动组织的跨域协同主要体现在四个维度。

行动维度,“人+工具”的跨专业协同

在“震网”事件中,“人+工具”的跨域协同动作主要体现在两个方面。

一是“工控系统专家和病毒开发人员”专业协同。在病毒研制阶段,首先,美国和以色列情报部门针对伊核电站进口的德国西门子工业控制系统进行了全面剖析,掌握各种控制器件的拓扑结构和指控传输方式,为病毒的摆渡传播奠定基础。同时,利用截获的利比亚同款离心机,开展拆解研究,以开发针对性破坏病毒代码,为病毒武器能够实质发挥作用提供了试验和效果验证目标环境。

二是“内鬼和工具投放”的技战术协同。据雅虎新闻披露,“震网”病毒的投送是通过伊朗核设施的内鬼完成的。在美国中央情报局和以色列情报机构摩萨德的要求下,由荷兰情报机构招募的一名伊朗工程师提供了关键数据,帮助美国开发人员将代码对准纳坦兹的系统。并在需要使用USB闪存驱动器将“震网”病毒植入这些系统时,由这个内应提供了急需的内部访问,在此基础上,震网病毒利用工控系统漏洞实现了对隔离网站的进一步入侵与破坏攻击。

供应链维度,实现了多领域的跨行业协同

此次雅虎新闻网站披露,德国西门子公司在“震网”事件中提供了生产所用工业控制系统的技术规范和知识,这些系统在伊朗工厂用于控制旋转离心机,法国提供了类似的情报,并且“震网”病毒利用了四个0day漏洞对伊朗核设施进行长期而隐蔽的破坏行动,在系统硬件、软件和漏洞利用多个行业领域实施了跨域协同。另外,荷兰情报机构AIVD以及美国和英国的情报机构,渗透了巴基斯坦科学家阿卜杜勒·卡迪尔汗的欧洲顾问和前线公司的供应网络,这些公司帮助在伊朗和利比亚建立核计划。

这种渗透不仅涉及特工手段,而且还采用了黑客行动,这些多行业多领域协同行动为获取伊朗核设施的研发计划和技术进程提供了必要的情报支持。从病毒攻击过程看,首先,病毒入侵环节,用于嵌入工控系统和离心机的电子设备,发现并定位攻击的具体部位,这取决于对入侵目标机理的充分掌握。其次,病毒破坏环节,美国、以色列研发的病毒武器能够对核设施的核心控制程序如电机、阀门、开关、电路实施针对性破坏性操作。

政治维度,“实体空间与网络空间”跨域协同

“震网”病毒作为美国“奥运会”工程秘密行动的重要组成,其目的不是为了彻底摧毁伊朗的核计划,而是将其暂时搁置一段时间,以便为制裁和外交生效腾出时间。从效果上看,该战略成功地帮助伊朗进入谈判桌,并最终在2015年与该国达成协议。而在“震网”病毒的研制过程中,美西方国家政治方面举措也为“震网”病毒的精心设计准备提供了充足的时间。

早在2000年,伊朗在纳坦兹计划建造一座可容纳5万台旋转离心机用于浓缩铀气的设施时,AIVD就入侵了伊朗一个重要国防组织的电子邮件系统,以获取更多有关伊朗核计划的信息。并在接下来的两年里,以色列和西方情报机构一直在秘密监视纳坦兹核项目的进展,直到2002年8月,一个持不同政见的伊朗团体使用情报机构提供的信息,在华盛顿举行的新闻发布会上公开曝光了伊朗的核项目,国际原子能机构核查人员要求进入纳坦兹,伊朗被迫同意停止在纳坦兹的一切活动。2004年全年和2005年的大部分时间,伊朗一直处于暂停状态。在此期间,“震网”病毒攻击代码进行了长时间的开发,于2006年对离心机进行了一次破坏试验,将试验结果提交给了当时美国总统乔治•布什,由此批准了“震网”攻击计划,并根据情况,后续对攻击代码进行了多次修改编辑,为真正实施攻击作好了武器和政策准备。

国际维度,实现了跨国跨部门的国家间协同

美国、以色列在网络空间广泛存在的同盟机制,成为其实施国家间跨域协同的重要保障。“奥运会”工程是一个多国多部门参与的国际性网络空间攻击破坏行动,主要是美国和以色列联合实施,涉及美国国家安全局、中央情报局和以色列摩萨德、国防部、SIGINT国家部队(相当于以色列的国家安全局)。另外,美国和以色列还得到了荷兰、德国、法国其他三个国家的援助,因此使用了“奥运会”工程代号,标志着五环国家。从作用上看,美国、以色列主导了整个攻击活动组织以及病毒武器开发,德国、法国提供了供应链上情报支撑,荷兰提供有关伊朗从欧洲采购非法核计划设备活动的关键情报和有关离心机本身的信息,以及特工渗透的实际行动支撑。除了在研发针对性病毒攻击代码过程中,多个国家协同行动之外,在截获其他国家同款离心机以及在荷兰发展伊朗间谍的关键行动过程中,多个国家也互相协同,促成了有关行动任务的顺利达成。(倪俊

声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。