• 網(wǎng)絡(luò)空間攻擊態(tài)勢發(fā)生三大深刻變化：由少數(shù)黑客的肆意妄為轉(zhuǎn)變?yōu)閲伊α坑薪M織的集體行動，由以單一簡單目標(biāo)為主轉(zhuǎn)變?yōu)橐躁P(guān)鍵基礎(chǔ)設(shè)施和復(fù)雜系統(tǒng)機構(gòu)目標(biāo)的規(guī)模行動，由網(wǎng)絡(luò)空間內(nèi)獨立行動轉(zhuǎn)變?yōu)殛懞？仗炀W(wǎng)聯(lián)合行動。
• 網(wǎng)絡(luò)空間攻擊威脅可以歸納為五大類型：網(wǎng)絡(luò)空間單點攻擊、系統(tǒng)攻擊、體系攻擊、聯(lián)合攻擊和總體攻擊，在目標(biāo)、手段、特征、威脅程度等維度均有所不同。

本文通過對網(wǎng)絡(luò)攻擊案例的梳理，歸納整理當(dāng)前面臨的五大網(wǎng)絡(luò)空間攻擊威脅，并提出相關(guān)應(yīng)對策略，以期在未來的網(wǎng)絡(luò)空間攻防對抗中獲得主動。此次發(fā)布為文章的上半部分，主要分析五大網(wǎng)絡(luò)空間攻擊威脅。

一、五大網(wǎng)絡(luò)空間攻擊威脅概述

網(wǎng)絡(luò)空間攻擊態(tài)勢發(fā)生了深刻的變化?，F(xiàn)在網(wǎng)絡(luò)攻擊不僅僅是黑客肆意妄為的個人行為，越來越多的國家級力量參與到網(wǎng)絡(luò)攻擊行動中，網(wǎng)絡(luò)空間業(yè)已成為大國間政治角力的新戰(zhàn)場。

通過對網(wǎng)絡(luò)攻擊案例進行分析梳理，可以將網(wǎng)絡(luò)空間攻擊威脅歸納為五大類型——網(wǎng)絡(luò)空間單點攻擊、系統(tǒng)攻擊、體系攻擊、聯(lián)合攻擊和總體攻擊。(如圖1所示)五大網(wǎng)絡(luò)攻擊威脅在攻擊目標(biāo)、攻擊手段、攻擊特征、威脅程度等維度均有所不同。

圖1 網(wǎng)絡(luò)空間五大攻擊威脅

（一）網(wǎng)絡(luò)空間單點攻擊

網(wǎng)絡(luò)空間單點攻擊是一種對抗烈度較低的攻擊形態(tài)。攻擊目標(biāo)聚焦單一目標(biāo)或簡單系統(tǒng)，攻擊人員由個人或小團隊組成，攻擊裝備主要由漏洞裝備和控守裝備構(gòu)成，攻擊成果往往體現(xiàn)為獲取重要信息或數(shù)據(jù)。

1. 主要特點

• 人員數(shù)量較少：一般由個人或小規(guī)模團隊組成。
• 目標(biāo)規(guī)模較?。阂话汜槍€人賬號(郵箱賬號、論壇賬號)、主機終端(windows終端、Linux終端、MAC終端)移動終端(Android、iPhone)、應(yīng)用服務(wù)器(web服務(wù)器、郵件服務(wù)器)、網(wǎng)絡(luò)設(shè)備(路由器、防火墻、安防設(shè)備)等有限目標(biāo)實施攻擊。
• 裝備性能一般：一般使用公開漏洞或開源滲透工具作為主要實施作戰(zhàn)。
• 攻擊協(xié)同不多：攻擊人員一般全程參與攻擊全過程，較少配合。
• 支撐資源有限：一般通過虛擬專用網(wǎng)、郵箱、DNS等資源開展行動。
• 作戰(zhàn)目標(biāo)單一：以獲取網(wǎng)絡(luò)目標(biāo)情報信息為主要目的。

2. 對抗態(tài)勢

網(wǎng)絡(luò)空間單點攻擊過程中，攻擊方主要有少數(shù)人員組成，使用突破工具和控制工具通過多種攻擊手法向特定具體目標(biāo)實施攻擊，具體行動包括目標(biāo)探測、漏洞攻擊、遠程控制、安防繞過等。

防御方則由系統(tǒng)廠商、設(shè)備廠商、應(yīng)用廠商對目標(biāo)資產(chǎn)進行自我安全防護，以及安全廠商進行外部安全防護，具體行動有修補漏洞、安全加固、病毒查殺等。

攻防雙方對抗的焦點聚焦于具體目標(biāo)的突破與反突破、控制與反控制。具體對抗態(tài)勢如圖2所示。

圖2 網(wǎng)絡(luò)空間單點攻擊對抗態(tài)勢

3. 典型案例

網(wǎng)絡(luò)空間單點攻擊由于實施條件要求不高、攻擊流程相對簡單，是絕大多數(shù)APT組織常用的攻擊樣式。攻擊人員常通過社會工程學(xué)或已知遠程漏洞攻擊等方式獲取目標(biāo)控制權(quán)，達到獲取敏感信息的目的。

(1) RSA SecurID竊取攻擊

EMC公司下屬的RSA公司遭到入侵，黑客通過釣魚郵件攻擊方式獲取公司部分技術(shù)內(nèi)容及客戶資料被竊取。

攻擊流程：

• 攻擊者給RSA的母公司EMC的4名員工發(fā)送了2組惡意郵件，郵件附件為”2011 Recruitment Plan.xls“的文件。
• 其中一位員工將其從垃圾郵件中取出來閱讀，被當(dāng)時的Adobe Flash的0day漏洞(CVE-2011-0609)命中。
• 該員工電腦被植入木馬，開始從僵尸網(wǎng)絡(luò)(BotNet)的C&C服務(wù)器下載指令執(zhí)行。
• 首批受害的使用者并非高地位的人，緊接著IT與非IT服務(wù)器管理員相繼被黑。
• RSA發(fā)現(xiàn)開發(fā)用服務(wù)器遭入侵，攻擊者立即撤回并將所有資料加密以FTP的方式傳送回遠程主機，完成入侵。

(2) 針對馬拉維(Malawi)國民銀行的網(wǎng)絡(luò)攻擊

在這一系列攻擊事件中，有四家馬拉維國民銀行的地方分行，成為攻擊者的重要目標(biāo)，其中大南部區(qū)(southend)官方客服郵箱已經(jīng)被攻擊者盜用。攻擊者利用事先從國民銀行部分地區(qū)分行盜取的官方郵箱口令，向其他分行工作人員發(fā)送帶有惡意文檔附件的郵件，作為附件的惡意文檔利用CVE-2014-6352漏洞發(fā)起攻擊。此漏洞可以繞過“沙蟲”漏洞(SandWorm)補丁MS14-060的安全保護。漏洞利用成功后，樣本會執(zhí)行名為“Target.scr”的可執(zhí)行程序，該程序由攻擊者基于開源代碼修改編譯生成，攻擊者在重寫了main函數(shù)代碼，程序運行時并不會調(diào)用開源代碼原有的功能函數(shù)，而是內(nèi)存展開執(zhí)行內(nèi)嵌的DarkComet遠控木馬，進而向目標(biāo)系統(tǒng)發(fā)起攻擊。

圖3 單點攻擊流程圖

通過以上案例可以看到，攻擊主要利用漏洞和遠程控制等主要攻擊武器，針對終端、WEB服務(wù)器等攻擊面，掌控目標(biāo)控制權(quán)后實施獲取相關(guān)情報。

（二）網(wǎng)絡(luò)空間系統(tǒng)攻擊

網(wǎng)絡(luò)空間系統(tǒng)攻擊是針對大型機構(gòu)或組織的復(fù)雜網(wǎng)絡(luò)開展的對抗烈度較高的攻擊形態(tài)，其攻擊成果體現(xiàn)在針對大型機構(gòu)復(fù)雜網(wǎng)絡(luò)系統(tǒng)進行長期隱蔽控制、獲取重要情報和致癱核心業(yè)務(wù)等。

1. 主要特點

• 攻擊力量協(xié)同更加頻繁：參與攻擊人員分工更加細致，除了滲透人員、情報分析人員、漏洞分析工具研發(fā)人員之外，還有行業(yè)機構(gòu)專家參與其中，實施攻擊前往往需要在模擬環(huán)境下進行演練。
• 目標(biāo)環(huán)境更加復(fù)雜多樣：大型機構(gòu)一般采用跨網(wǎng)跨域網(wǎng)絡(luò)環(huán)境，包含互聯(lián)網(wǎng)、DMZ、辦公內(nèi)網(wǎng)、核心業(yè)務(wù)網(wǎng)等多種場景，在這些這些場景下網(wǎng)絡(luò)資產(chǎn)類型、網(wǎng)絡(luò)防護機制、網(wǎng)絡(luò)組網(wǎng)方式都不盡相同，如圖所示。
• 攻擊裝備品類全性能高：往往利用0Day漏洞利用工具突破大型機構(gòu)的內(nèi)部網(wǎng)絡(luò)和核心系統(tǒng)資產(chǎn)，此外進入內(nèi)網(wǎng)通過后橫向移動和持久化工具完成后續(xù)操作。

圖4 一般大型機構(gòu)跨網(wǎng)跨域復(fù)雜場景示意圖

2. 對抗態(tài)勢

網(wǎng)絡(luò)空間系統(tǒng)攻擊過程中，攻擊方人員具有一定規(guī)模且分工協(xié)作，除了滲透人員還有漏洞挖掘、數(shù)據(jù)分析和行業(yè)專家人員。攻擊裝備方面往往儲備了一批0Day漏洞工具和設(shè)備持久化后門等高等級工具。對攻擊目標(biāo)方面注重攻擊面情況、社工情況以及內(nèi)部未公開情況的收集。

防御方則除系統(tǒng)廠商、設(shè)備廠商、應(yīng)用廠商外還有工控廠商;安全廠商除了傳統(tǒng)安全廠商外，還有威脅分析廠商和安全審計廠商等。此外，還有一些重點機構(gòu)和政府力量進行專門防護。

攻防雙方對抗的焦點聚焦于復(fù)雜系統(tǒng)的整體控制權(quán)。具體對抗態(tài)勢如圖5所示。

圖5 網(wǎng)絡(luò)空間系統(tǒng)攻擊對抗態(tài)勢

3. 典型案例

美軍長期通過網(wǎng)絡(luò)空間系統(tǒng)攻擊實現(xiàn)其網(wǎng)絡(luò)作戰(zhàn)目標(biāo)，美方在開展網(wǎng)絡(luò)攻擊遵循作戰(zhàn)原則，非常注重規(guī)模效益、強調(diào)攻擊效率、突出作戰(zhàn)效果，在攻擊目標(biāo)選取上重點針對“電信運營商、關(guān)鍵基礎(chǔ)設(shè)施、骨干網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)管理人員、應(yīng)用服務(wù)器(郵件服務(wù)器、域名服務(wù)器、WEB服務(wù)器等)”等目標(biāo)，在初次網(wǎng)絡(luò)突破環(huán)節(jié)更多采用“中間人攻擊、供應(yīng)鏈攻擊、網(wǎng)絡(luò)設(shè)備攻擊、擺渡攻擊、網(wǎng)管人員攻擊”等方式，在網(wǎng)絡(luò)目標(biāo)控制攻擊環(huán)節(jié)常用“零日漏洞、控制平臺、持久化后門、內(nèi)網(wǎng)橫向拓展”等手段。在安全隱蔽的前提下，實現(xiàn)對各種網(wǎng)絡(luò)目標(biāo)的規(guī)?；黄坪统志秒[蔽控制。

(1) 奧林匹克(Olympic Game)行動

針對伊朗核設(shè)施的“奧運會”(Olympic Game)行動，最終通過“震網(wǎng)”(Stuxnet) 蠕蟲，成功入侵并破壞伊朗核設(shè)施，嚴(yán)重遲滯了伊朗核計劃，成為首個利用惡意代碼對實體設(shè)施造成重大不可逆損壞的事件。

圖6 震網(wǎng)病毒攻擊示意圖

NSA針對伊朗核設(shè)施關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)采取多種手段綜合運用進行攻擊。

• 核設(shè)施目標(biāo)信息收集，通過各種情報收集方式收集核設(shè)施設(shè)備型號、系統(tǒng)版本及網(wǎng)絡(luò)結(jié)構(gòu)等信息。
• 擺渡方式實施突破植入，通過人力方式將感染U盤帶入內(nèi)部網(wǎng)絡(luò)，借助USB擺渡+基于漏洞的橫向移動。染毒U盤利用快捷方式文件解析漏洞，傳播到內(nèi)部網(wǎng)絡(luò)。
• 內(nèi)網(wǎng)橫向拓展攻擊，在內(nèi)網(wǎng)中，通過快捷方式解析漏洞、RPC遠程執(zhí)行漏洞、印機后臺程序服務(wù)漏洞，實現(xiàn)聯(lián)網(wǎng)主機之間的傳播;最后抵達安裝了WinCC軟件的主機，展開攻擊。
• 工控系統(tǒng)致癱攻擊，在內(nèi)網(wǎng)環(huán)境中橫向拓展過程中，掃描查找安裝有Siemens Step7、WinCC/PCS 7 SCADA控制軟件的主機并進行感染。通過修改管理西門子PLC參數(shù)工具載荷導(dǎo)致核設(shè)施轉(zhuǎn)速不正常從而損毀。

(2) 金色極光(AURORAGOLD)行動

NSA在針對全球手機監(jiān)聽的“金色極光”(AURORAGOLD)行動，通過收集關(guān)于全球移動通訊運營商內(nèi)部系統(tǒng)的信息，以找到其漏洞，供隨后的黑客攻擊使用，該計劃為美國 2011年對利比亞進行軍事干預(yù)提供了利方重要人物的通信信息。

圖7 金色極光行動計劃報告

NSA針對運營商目標(biāo)通常從內(nèi)部員工作為突破口進行迂回攻擊。根據(jù)曝光資料顯示，美方曾對巴基斯坦國家電信公司(簡稱NTC)、黎巴嫩運營商(OGERO ISP)等運營商進行網(wǎng)絡(luò)攻擊。

• 內(nèi)部員工目標(biāo)信息收集，通過棱鏡計劃和關(guān)鍵得分計劃等項目，使用被動定位方式識別到了NTC的員工，評估當(dāng)前識別出其與NTCVIP部門的聯(lián)系。由SIGDEV針對已知的被Selector(NSA精確識別系統(tǒng))標(biāo)記出來的目標(biāo)，去定位其他有聯(lián)系的目標(biāo)。至此成功使用被動方式定位識別到了NTC VIP部門專門運營維護Green Exchange的員工。
• 內(nèi)部員工中間人攻擊，通過與R&T一起使用SECONDDATE 和QUANTUM項目，成功將4個新式CNE accesses植入到Green Exchange中。
• 核心骨干網(wǎng)絡(luò)內(nèi)網(wǎng)攻擊，通過研制的CNE訪問攻擊載荷，成功控制VIP 部門和一個用于收集Green Exchange的基礎(chǔ)線路。該部分是用來維護Green Exchange(綠區(qū)交換機，位于安全區(qū)域)。Green Exchange房間放置著ZXJ-10(程控交換機，用于電話網(wǎng)絡(luò))。這幾臺程控交換機是巴基斯坦 Green Line 通信網(wǎng)絡(luò)的骨干(這個網(wǎng)絡(luò)專門為巴基斯坦高級官員和軍事領(lǐng)導(dǎo)提供服務(wù))，至此實現(xiàn)掌控核心骨干網(wǎng)的網(wǎng)絡(luò)攻擊目標(biāo)。

（三）網(wǎng)絡(luò)空間體系攻擊

網(wǎng)絡(luò)空間體系攻擊是通過體系化建設(shè)提升網(wǎng)絡(luò)攻擊能力且對抗烈度很高的攻擊形態(tài)，網(wǎng)絡(luò)攻防體系不局限于某一類特定目標(biāo)，而是面向整個網(wǎng)絡(luò)空間保持持續(xù)性網(wǎng)絡(luò)攻擊能力，是一個國家網(wǎng)絡(luò)空間綜合能力的集中體現(xiàn)。

1. 主要特點

• 投入巨大：體系建設(shè)需要投入大量人力、物力和財力，同時還要具有相當(dāng)強的技術(shù)儲備，以美國為例，其在網(wǎng)絡(luò)空間體系建設(shè)方面投入了數(shù)百億美元，才建立起相對完整的體系。
• 體系龐大：以美國為例，無論是攻擊體系還是防御體系均由眾多項目組成;其中最大的支撐架構(gòu)稱為“湍流”(TURBULENCE)，由多個系統(tǒng)組成，包括主動情報采集系統(tǒng) TUMULT、被動情報采集系統(tǒng) TURMOIL、任務(wù)邏輯控制系統(tǒng) TURBINE、進攻性網(wǎng)空行動系統(tǒng)“量 子”(QUANTUM)、主動防御系統(tǒng) TUTELAGE(我們在之前介紹過，是帶有積極防御的 CND主要實現(xiàn))、密碼服務(wù) LONGHAUL、數(shù)據(jù)倉庫 PRESSUREWAVE、網(wǎng)絡(luò)流量分析系統(tǒng) TRAFFICTHIEF 和信號情報分析系統(tǒng)CLUSTER WEALTH-2 等。這些系統(tǒng)各司其職，共同支撐信息收集、情報分析、積極防御、決策控制、網(wǎng)絡(luò)作業(yè)等網(wǎng)空行動的攻擊性行動環(huán)節(jié)，共同構(gòu)成了美國強大的網(wǎng)絡(luò)空間進攻性能力支撐體系。
• 目標(biāo)多樣：無論是個體目標(biāo)還是關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)，無論是單一場景還是復(fù)雜場景，均能體系中找到對應(yīng)能力支撐。

2. 對抗態(tài)勢

網(wǎng)絡(luò)空間系統(tǒng)攻擊過程中，攻擊方和防守方是體系與體系的對抗，除了配備大量攻防工具裝備系統(tǒng)之外，還有各種支撐保障系統(tǒng)建設(shè)，此外投入力量方面需要各個環(huán)節(jié)企業(yè)和國家各部門共同參與。具體對抗態(tài)勢如圖所示，攻防雙方對抗的焦點聚焦于整個網(wǎng)絡(luò)空間的的整體控制權(quán)。

圖8 網(wǎng)絡(luò)空間體系攻擊對抗態(tài)勢

3. 典型案例

美方網(wǎng)絡(luò)空間中形成強大的體系化的監(jiān)聽、攻擊和主動防御能力。長期以來，特別重視建設(shè)積極主動的網(wǎng)絡(luò)空間安全架構(gòu)，重點在網(wǎng)絡(luò)空間安全主動防御體系、網(wǎng)絡(luò)空間攻擊支撐體系、網(wǎng)絡(luò)空間攻擊裝備體系三大體系上進行技術(shù)與裝備的變革和發(fā)展。

(1) 網(wǎng)絡(luò)主動防御體系

美軍的網(wǎng)絡(luò)空間安全主動防御體系借助商用技術(shù)和能力，將網(wǎng)絡(luò)空間的威脅預(yù)警、入侵防御和安全響應(yīng)能力相結(jié)合，創(chuàng)建跨領(lǐng)域的網(wǎng)絡(luò)空間態(tài)勢感知系統(tǒng)，為聯(lián)邦政府網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全保障。

由于密級不同，美國的“態(tài)勢感知體系”的防護范圍劃分為兩部分：聯(lián)邦政府網(wǎng)絡(luò)以及軍事網(wǎng)絡(luò)，所以自然地，“態(tài)勢感知體系”也分為兩個子系統(tǒng)：Einstein系統(tǒng)以及TUTELAGE 系統(tǒng)，并分別交由國土安全部的國家網(wǎng)絡(luò)通信整合中心以及國家安全局(也即網(wǎng)絡(luò)戰(zhàn)司令部)的威脅作戰(zhàn)中心進行運行、管理，為了保證兩個領(lǐng)域的態(tài)勢感知能力更加高效，美國國家標(biāo)準(zhǔn)化技術(shù)研究院開發(fā)了威脅情報交換標(biāo)準(zhǔn)(如STIX、TAXII等)，保證了兩個領(lǐng)域敏感數(shù)據(jù)交換的高效、實時。

圖9 TUTELAGE項目架構(gòu)圖

(2) 網(wǎng)絡(luò)攻擊支撐體系

美國國防部認(rèn)為，計算機網(wǎng)絡(luò)對抗(Computer Network Operations, CNO)即實質(zhì)操縱計算機和網(wǎng)絡(luò)，針對計算機或其他網(wǎng)絡(luò)本身或他們它們之上的信息、信息系統(tǒng)，實施攻擊和防御以及兩者所需的支撐行動。按照網(wǎng)空行動目的，可以將 CNO 劃分為計算機網(wǎng)絡(luò)防御(Computer Network Defense, CND)、計算機網(wǎng)絡(luò)刺探(Computer Network Exploitation, CNE)和計算機網(wǎng)絡(luò)攻擊(Computer Network Attack, CNA)，分別對應(yīng)網(wǎng)空積極防御、網(wǎng)空情報行動和網(wǎng)空軍事行動。

斯諾登曝光的2009年8 月的絕密文件中也提到了TURBULENCE項目。文件中解釋了將主動與被動方法結(jié)合起來以達到從目標(biāo)網(wǎng)絡(luò)中滲出數(shù)據(jù)的過程。TURBULENCE 項目包含傳感器(Sensors)、基礎(chǔ)設(shè)施(Infrastructure)及分析(Analysis)三個模塊。

圖10 湍流項目架構(gòu)圖

(3) 網(wǎng)絡(luò)攻擊裝備體系

美國自2008年以來實施了多次進攻性網(wǎng)空行動，并且具備相當(dāng)大的破壞能力，這種進攻性能力不僅來自于完善的后端支撐體系，更來自于強大的網(wǎng)空攻擊裝備體系。美國的網(wǎng)絡(luò)攻擊裝備體系以全平臺、全功能為發(fā)展目標(biāo)，并具有模塊化特點，使得其能夠適應(yīng)于各種網(wǎng)絡(luò)環(huán)境下的行動作業(yè)要求。

通過物流鏈劫持、運營商劫持、源代碼污染等實現(xiàn)戰(zhàn)場預(yù)制;通過大規(guī)模信息采集形成終端、設(shè)備、軟件、用戶身份的信息庫，繪制網(wǎng)絡(luò)地形、尋找關(guān)鍵目標(biāo);通過移動介質(zhì)擺渡攻擊、物流鏈劫持、近場作業(yè)等方式突破物理隔離防線;在內(nèi)網(wǎng)橫向移動，建立持久化據(jù)點，投遞載荷;通過擺渡攻擊、開辟側(cè)信道、隱信道等方式實現(xiàn)遠程控制，最終實現(xiàn)目標(biāo)。

漏洞利用網(wǎng)絡(luò)攻擊裝備。NSA 具有大量的零日漏洞(從未公開披露的漏洞)儲備。2017年4 月14 日，影子經(jīng)紀(jì)人組織曝光了一批NSA 的網(wǎng)空攻擊裝備與相關(guān)漏洞的資料。其中的Fuzzbunch 是針對Windows 操作系統(tǒng)的漏洞利用平臺，能夠向目標(biāo)主機植入有效載荷，在植入的過程中可直接內(nèi)存執(zhí)行，不需要生成實體文件。平臺中還包含數(shù)個針對特定類型目標(biāo)，并且可以直接使用的漏洞，包括“永恒之藍”(EternalBlue)、“永恒浪漫”(Eternalromance)等。

圖11 量子計劃中攻擊裝備

• 突破物理隔離網(wǎng)絡(luò)攻擊裝備。為了配合美方軍事力量抵近展開秘密行動，也需要能夠突破物理隔離并滲透進入對手內(nèi)網(wǎng)的作業(yè)能力，NSA 也開發(fā)了一系列著重于突破物理隔離防護機制的工具和技術(shù)，“水腹蛇-1”(COTTONMOUTH-1)是其中最具代表性的一個。

圖12 水蝮蛇攻擊裝備

• 命令與控制網(wǎng)絡(luò)攻擊裝備。在通常的網(wǎng)絡(luò)入侵行動中，攻擊者需要和已經(jīng)進入目標(biāo)網(wǎng)絡(luò)/系統(tǒng)的惡意代碼進行通信，發(fā)送指令并獲取數(shù)據(jù)，因此需要使用用于命令與控制的工具，盡可能地以安全、隱蔽的方式實現(xiàn)攻擊者與植入惡意代碼之間的通信。以NSA、CIA為代表的美方情報部門開發(fā)了一系列具有命令與控制能力的攻擊平臺和武器裝備，功能原子化、目標(biāo)全覆蓋，典型代表為DanderSpritz平臺，該平臺通過正向、反向、激活包三種方式與受害者建立連接，同時，通過分析發(fā)現(xiàn)，DS 平臺在通訊過程中嚴(yán)格加密，使得安全分析人員即使捕獲了載荷樣本也很難破解通信內(nèi)容。

圖13 DanderSpritz平臺攻擊裝備

• 利用無線信號通信網(wǎng)絡(luò)攻擊裝備。美國國家安全局(NSA)網(wǎng)絡(luò)攻擊裝備的傳播、通信、控制除了依賴于目標(biāo)原有的網(wǎng)絡(luò)或常規(guī)的移動介質(zhì)之外，還有一類不依賴目標(biāo)網(wǎng)絡(luò)，而是利用無線信號實現(xiàn)信息傳遞，進而繞過多數(shù)網(wǎng)絡(luò)安全防護手段，實現(xiàn)信息竊取或內(nèi)網(wǎng)滲透的網(wǎng)絡(luò)攻擊裝備。

NSA 可用于對離線室內(nèi)活動(如高密級會議、研討等)進行信號采集的“憤怒的鄰居”(Angry Neighbor) 裝備， 能夠主動收集視頻、音頻、無線信號，并轉(zhuǎn)換為特定波段的射頻信號，通過隱蔽通信通道回傳;

NSA 利用物理隔離網(wǎng)絡(luò)中Wi-Fi信號(物理隔離網(wǎng)絡(luò)中常常因為管理不到位而存在違規(guī)私接的Wi-Fi 網(wǎng)絡(luò))的漏洞進行重定向并入侵的“床頭柜”(NIGHTSTAND)裝備;

圖14 離線信號采集裝備

• 持久化控制網(wǎng)絡(luò)攻擊裝備。美國一直秉承“持久化一切可以持久化的節(jié)點”的理念，將其作為一種重要的戰(zhàn)略資源儲備，為長期的信息竊取和日后可能的網(wǎng)絡(luò)戰(zhàn)做準(zhǔn)備。

NSA 的相關(guān)裝備主要由特定入侵行動辦公室(TAO)下屬的先進網(wǎng)絡(luò)技術(shù)組(ANT) 開發(fā)。比較有代表性的裝備包括針對Juniper 不同系列防火墻的工具集“ 蛋奶酥槽”(SOUFFLETROUGH) 和“ 給水槽”(FEEDTROUGH)、針對思科Cisco 系列防火墻的“ 噴射犁”(JETPLOW)、針對華為路由器的“水源”(HEADWATER)、針對Dell 服務(wù)器的“神明彈跳”(DEITYBOUNCE)、針對桌面和筆記本電腦的“盛怒的僧侶”(IRATEMONK)等。

圖15 針對華為防火墻持久化后門攻擊裝備

（四）網(wǎng)絡(luò)空間聯(lián)合攻擊

網(wǎng)絡(luò)空間聯(lián)合攻擊是指網(wǎng)絡(luò)空間攻擊行動對陸?？仗斓溶姺N提供各種作戰(zhàn)支持，這一階段進行網(wǎng)絡(luò)對抗作為軍事對抗的組成部分，一定程度上可以體現(xiàn)一個國家的綜合軍事實力。

1. 主要特點

• 軍種聯(lián)合協(xié)同：海陸空天網(wǎng)多軍種聯(lián)合作戰(zhàn)，網(wǎng)絡(luò)攻擊作為軍事作戰(zhàn)行動的一部分，能夠為其他軍種提供行動配合、情報支持、輿論引導(dǎo)等作用。
• 突出軍事效益：網(wǎng)絡(luò)攻擊目標(biāo)往往是軍事指揮系統(tǒng)或者能夠?qū)娛滦袆釉斐捎绊懙母鞣N目標(biāo)。
• 攻擊樣式多樣：網(wǎng)絡(luò)聯(lián)合作戰(zhàn)主要開展對目標(biāo)的致癱、拒絕、擾亂、欺騙等軟殺傷和硬損毀網(wǎng)絡(luò)攻擊。

2. 對抗態(tài)勢

網(wǎng)絡(luò)空間聯(lián)合攻擊過程中，攻擊方和防守方一般處于軍事對抗階段，網(wǎng)絡(luò)攻擊往往軍事指揮機構(gòu)統(tǒng)一指揮，和其他軍種行動密切協(xié)同配合，因此聯(lián)合攻擊呈現(xiàn)出很強的軍事對抗特征。具體對抗態(tài)勢如圖所示，攻防雙方對抗的焦點聚焦于整個軍事對抗的的控制權(quán)。

圖16 網(wǎng)絡(luò)空間聯(lián)合攻擊對抗態(tài)勢

3. 典型案例

美國、俄羅斯是最早在軍事作戰(zhàn)行動應(yīng)用網(wǎng)絡(luò)攻擊的國家，網(wǎng)絡(luò)攻擊取得了一系列令人印象深刻戰(zhàn)果，當(dāng)前網(wǎng)絡(luò)作戰(zhàn)已然成為一種新型軍事作戰(zhàn)樣式。

(1) 海灣戰(zhàn)爭開啟網(wǎng)絡(luò)作戰(zhàn)先河

1991年海灣戰(zhàn)爭中，美國最早將網(wǎng)絡(luò)攻擊引入軍事戰(zhàn)爭，中央情報局通過特工對伊拉克從法國購買的防空系統(tǒng)注入病毒芯片，最終導(dǎo)致伊拉克指揮中心失靈。

第一次海灣戰(zhàn)爭期間，伊拉克從法國購得一批網(wǎng)絡(luò)打印機，美國特工得知此事，將一塊固化病毒程序的芯片與某打印機中的芯片調(diào)了包，并且在空襲發(fā)起前，以遙控手段激活了病毒，使得伊拉克防空指揮中心主計算機系統(tǒng)癱瘓，最后伊軍只有挨打的份。

(2) “舒特”網(wǎng)電攻擊顯威力

2007年，為將敘利亞核計劃扼殺于萌芽之中，以色列空軍第69戰(zhàn)斗機中隊的18架F-16戰(zhàn)機，悄無聲息地突破敘利亞在敘以邊境部署的先進俄制“道爾”-M1防空系統(tǒng)，對敘以邊境以西約100千米、大馬士革東北部約400千米的一處核設(shè)施實施精確轟炸，并從原路安全返回。

據(jù)披露，美軍“舒特”攻擊系統(tǒng)通過遠程無線電入侵，癱瘓雷達、無線電通信系統(tǒng)，使敘防空系統(tǒng)處于失效狀態(tài)。作為針對組網(wǎng)武器平臺及網(wǎng)絡(luò)化信息系統(tǒng)的新型網(wǎng)電攻擊系統(tǒng)，“舒特”代表著軍事技術(shù)和作戰(zhàn)方式的發(fā)展趨勢，勢必將帶來全新戰(zhàn)爭景觀。

(3) “震網(wǎng)”網(wǎng)絡(luò)物理戰(zhàn)先驅(qū)

2010年8月，伊朗在俄羅斯幫助下建成布什爾核電站，但這座計劃于當(dāng)年10月正式發(fā)電運轉(zhuǎn)的核電站，卻多次推遲運行。一年后，據(jù)媒體揭秘，是因為遭到來源不明的計算機網(wǎng)絡(luò)病毒攻擊，超過3萬臺電腦“中招”，位于納坦斯的千臺離心機報廢，剛封頂?shù)牟际矤柡穗娬静坏貌蝗〕龊巳剂喜⒀悠趩?，伊朗核發(fā)展計劃則被迫擱置。這種后來被冠名為“震網(wǎng)”的病毒，開創(chuàng)了通過網(wǎng)絡(luò)控制并摧毀實體的先河。

(4) 俄格沖突中網(wǎng)絡(luò)戰(zhàn)作用突顯

2008年8月俄羅斯對格魯吉亞發(fā)動的網(wǎng)絡(luò)攻擊是第一次與主要常規(guī)軍事行動同時發(fā)生的大規(guī)模網(wǎng)絡(luò)攻擊。這些網(wǎng)絡(luò)攻擊削弱了格魯吉亞人與外界溝通的能力，在信息和心理上對媒體、政府以及公眾產(chǎn)生了重大影響。

開戰(zhàn)后，俄羅斯對格魯吉亞的網(wǎng)絡(luò)攻擊迅即全面展開，使得包括媒體、通信和交通運輸系統(tǒng)在內(nèi)的格魯吉亞官方網(wǎng)站全部癱瘓，直接影響到了格魯吉亞的戰(zhàn)爭動員與支援能力。

被稱為“美國網(wǎng)絡(luò)后果單元(US Cyber Consequence Unit)”的私人非營利性組織的一位安全專家將俄羅斯對格魯吉亞的網(wǎng)絡(luò)攻擊分為兩個階段。

在第一階段中，俄羅斯黑客發(fā)起的攻擊類型主要是分布式拒絕服務(wù)(DDoS)攻擊。俄羅斯的攻擊組織利用僵尸網(wǎng)絡(luò)針對格魯吉亞政府和媒體網(wǎng)站采取攻擊行動。

第二階段的網(wǎng)絡(luò)作戰(zhàn)力求對更多目標(biāo)進行破壞，其破壞目標(biāo)名單上包括金融機構(gòu)、教育機構(gòu)、西方媒體以及格魯吉亞黑客網(wǎng)站。對這些服務(wù)器的攻擊不僅包括 DDoS 攻擊，還包括篡改服務(wù)器的網(wǎng)站。此外，一些俄羅斯黑客利用格魯吉亞政治人物公開可用的電子郵件地址，發(fā)起垃圾郵件攻擊。

（五）網(wǎng)絡(luò)空間總體攻擊

網(wǎng)絡(luò)空間總體攻擊是針對政治、軍事、外交、經(jīng)濟、心理、文化等領(lǐng)域?qū)嵤┤S攻擊，這一階段國家間進入全面對抗階段，可以體現(xiàn)一個國家綜合實力。

1. 主要特點

• 戰(zhàn)略驅(qū)動：網(wǎng)絡(luò)攻擊行動與各個國家戰(zhàn)略目標(biāo)相銜接，可以作為實現(xiàn)國家戰(zhàn)略意圖的一種新型手段。
• 全維對抗：和軍事戰(zhàn)、政治戰(zhàn)、外交戰(zhàn)、經(jīng)濟戰(zhàn)、心理戰(zhàn)、媒體戰(zhàn)、文化戰(zhàn)等多種斗爭形態(tài)配合，在全方位對抗中發(fā)揮突出作用。

2. 對抗態(tài)勢

網(wǎng)絡(luò)空間總體攻擊過程中，攻擊方和防守方一般為國家實體，網(wǎng)絡(luò)攻擊目標(biāo)覆蓋各個行業(yè)，攻擊結(jié)果不僅僅是具體的，往往會產(chǎn)生外溢效應(yīng)。具體對抗態(tài)勢如圖所示，攻防雙方對抗的焦點聚焦于取得國家斗爭主動權(quán)。

圖17 網(wǎng)絡(luò)空間總體攻擊對抗態(tài)勢

3. 典型案例

(1) “郵件門”事件影響美大選走勢

在網(wǎng)絡(luò)黑客涉影響選舉的系列事件中，“郵件門”最為輿論關(guān)注。在民主黨內(nèi)提名大會召開前夕，全球著名的泄密網(wǎng)站維基揭秘公開了美國民主黨高層內(nèi)部絕密的19252封郵件、8034個附件以及29段音頻文件等，大量郵件顯示希拉里勾結(jié)民主黨高層、內(nèi)定黨內(nèi)候選人以及參與“洗錢”和操控媒體等多項丑聞。美國聯(lián)邦調(diào)查局宣布對“郵件門”的調(diào)查，引發(fā)輿論嘩然，特朗普支持率迅速拉近與希拉里的差距。在距離大選不到一天的11月7日，美國聯(lián)邦調(diào)查局宣布維持7月份調(diào)查結(jié)論。在整個選舉過程中，兩位總統(tǒng)候選人借機互揭黑幕。美國政府和主流媒體認(rèn)為俄羅斯是近期美國總統(tǒng)大選遭黑客攻擊的“幕后黑手”，黑客攻擊引發(fā)的郵件泄密等是為幫助有親俄政治傾向的特朗普當(dāng)上總統(tǒng)。

(2) 委內(nèi)瑞拉大規(guī)模停電事件

2019年，委內(nèi)瑞拉發(fā)生全國范圍的大規(guī)模停電，首都加拉加斯以及其他大部分地區(qū)陷入黑暗中，全國18個州電力供應(yīng)中斷，僅有5個州幸免，此次突發(fā)的電力系統(tǒng)崩潰沒有任何預(yù)兆。停電給委內(nèi)瑞拉帶來了重大損失，全國交通癱瘓，地鐵系統(tǒng)關(guān)閉，醫(yī)院手術(shù)中斷，所有通訊線路中斷，航班無法正常起降。委內(nèi)瑞拉官方為代表的觀點，認(rèn)為本次事故是由于委內(nèi)瑞拉最大的古里水電站受到反對派和美國網(wǎng)絡(luò)攻擊導(dǎo)致機組停機所致。

美國多次與哥倫比亞和委反對派合作，從國際互聯(lián)網(wǎng)上對委內(nèi)瑞拉使用類似的網(wǎng)絡(luò)病毒武器，導(dǎo)致該國發(fā)電設(shè)施和供電設(shè)施停轉(zhuǎn)。

接下篇《五大網(wǎng)絡(luò)空間攻擊威脅及應(yīng)對策略(下)》