记者高萌
12日起,一场规模空前的网络病毒攻击事件在全球范围内的爆发,150多个国家因勒索病毒沦陷。黑客如此大规模公然向全球计算机用户直接勒索,史无前例。
有专家称,网络攻击所用的黑客工具“永恒之蓝”,来源于早期美国国家安全局(NSA)泄露的网络武器库,在整个事件中,美国国家安全局难逃干系。
什么能称之为“网络武器”?武器库里藏着什么?它的“杀伤力”有多大?昨日,长江日报记者连线国家互联网应急中心朱云茜和亚信安全资深技术经理黄海涛为大家揭秘。
16日上午,国家互联网应急中心朱云茜向长江日报记者介绍,这种名为“WannaCry”的病毒属于蠕虫式勒索软件,通过利用编号为MS17-010的Windows漏洞(即“永恒之蓝”)主动传播感染受害者。表现方式为对计算机内的文档、图片等实施高强度加密,并向用户索取以比特币支付的赎金,否则七天后“撕票”。
由于其加密方式非常复杂,且每台计算机都有不同加密序列号,以目前的技术手段,解密几乎“束手无策”。用户即使支付赎金亦无法恢复数据。
“具体爆发时间为北京时间2017年5月12日20时左右。”国家互联网应急中心博士、工程师朱云茜告诉长江日报记者,截至14日10时30分,国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击;被该勒索软件感染的IP地址数量近3.5万个,其中中国境内IP约1.8万个。另监测发现5471个IP连接“Wannacry”蠕虫病毒的内置域名及IP,表明可能已感染该病毒,IP主要分布在中国内地的广东、浙江、北京和上海等地。
网络武器设计者专门挖掘各种操作系统漏洞
“黑客所使用的‘永恒之蓝’,就是美国国家安全局(NSA)针对微软MS17-010漏洞所开发的网络武器。这些危险的工具被美国国家情报机构隐匿,具有更多的政治色彩,所以称之为网络武器。”15日晚,从事大型网络安全软件系统研发的亚信科技安全专家黄海涛向长江日报记者介绍,网络武器是国家之间用来利用计算机软件漏洞,以窃取情报和破坏网络为目的,而研发设计的软件工具。
据了解,这些黑客利用的网络武器中,除了“永恒之蓝”外,还包括永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查等九款影响windows个人用户的“黑客工具”。这些工具能够远程攻破全球约70%的windows系统,无需用户任何操作,只要联网就可以入侵电脑,就像冲击波、震荡波等著名蠕虫一样可以瞬间血洗互联网。
黄海涛揭秘,通常网络武器的设计者,专门从事挖掘各种操作系统、数据库、中间件、各种应用软件的功能性和安全性的漏洞。针对这些漏洞,他们制作“攻击”工具程序。
美国国家安全局又称国家保密局,隶属于美国国防部,是美国政府机构中最大的情报部门,专门负责收集和分析外国及本国通讯资料。NSA手里握有大量开发好的网络武器,?2013年6月,“永恒之蓝”等十几个武器被黑客组织“影子经纪人”(ShadowBreakers)窃取。
根据维基解密的说法,不仅美国国家安全局(NSA)手里有网络武器库,美国中央情报局(CIA)手里也有。据2013年斯诺登确认的数量,他们的网络情报中心创造了超过1000种电脑病毒和黑客系统。
伪装成原有系统“发号施令”“谎报军情”
“网络武器‘杀伤力’最大的要属利用具备远程代码执行能力、远程代码植入、内存溢出的零日漏洞。它们可以直接使被攻击者网络或者主机瘫痪停止工作。”黄海涛向长江日报记者透露,这一类利用零日漏洞的“网络武器”区别于其他已公开的已知漏洞利用工具,成为“网络武器”中的大规模杀伤性武器。
他透露,通常国家层面使用网络武器目的以瘫痪目标为主,一般涉及对象关键基础设施,比如:电力、水利、能源、医疗、通信服务运营商等领域。“一旦发动大规模攻击,可导致一个国家电力、油气燃料供应中断、医疗服务停摆、通讯失联,对社会秩序造成极大的破坏”。
例如,2010年12月,美国和以色列联合进行的针对伊朗核设施的“震网”行动。这种病毒就是利用工业控制系统软件的漏洞,代替其对生产线“发号施令”:一是使伊朗的离心机运行失控;二是掩盖发生故障的情况,“谎报军情”,以“正常运转”记录回传给管理部门,造成决策的误判。在2011年2月的攻击中,伊朗纳坦兹铀浓缩基地至少有1/5的离心机因感染该病毒造成不可逆转的损坏而被迫关闭。
在黄海涛看来,近几年,在黑客个人层面使用的网络武器明显转向以获取经济利益为目的,通常是利用软件漏洞窃取受害方的敏感信息,表现为网络钓鱼诈骗以及如今猖獗的勒索软件。“以往的案例,92%以上勒索软件以邮件为载体,通过仿冒/垃圾邮件进行传播。主要的受害者往往是业务对邮件较为依赖的企业组织,涉及的行业主要为制造业和运营商”。
不能延续单一国家防治模式,需要全球合作共同应对
“像此次的勒索病毒这样,一旦中招几乎无解、面临自身重要资料被“绑架”的严重情况,实属罕见。”黄海涛解释,此次“永恒之蓝”事件和以往大不相同的是,以往的勒索软件都需要受害者点击邮件附件,或者访问带毒网页才能触发。而“永恒之蓝”则采用了美国国家安全局NSA泄漏的蠕虫工具进行传播,“不需要受害者任何动作,就可以主动传播和触发”,传播速度更快,破坏性更大,范围更广。
“美国自己用来‘防御’的网络武器,变成了黑客手中攻击世界公民的武器,这不得不引起我们反思。”黄海涛说,互联网等信息技术的快速发展,在给人们带来巨大福祉的同时,也带来了前所未有的网络安全挑战。此次‘永恒之蓝’事件再一次给人们敲响了警钟,“网络武器”是具有攻击性的软件,必然会被不友好的国家或者犯罪分子利用,无疑会对国家和个人的信息安全带来风险,弊端显而易见。
他表示,目前全球尚没有形成一致的网络安全规范或监管条约,而我国成为首先提出网络空间安全全球共治的国家。
有专家表示,此次勒索病毒在全球同步爆发,令各国企业和政府措手不及,凸显全球化背景下的网络安全问题,不能再延续单一国家防治的模式了,需要全球合作,共同应对。
“无论是基于现实状况还是历史经验,互联网治理的国际协调都应该成为世界各国的一种必然选择,这种选择的核心就是网络空间安全的全球共治。”黄海涛也认为,互联网具有显著的国际性,世界各国应围绕互联网开发、建设、运用、管理等展开全面的国际竞争与合作,这应成为当代国际关系的重要内容。
美国国安局“网络武器库”
网络武器库中的黑客工具主要分为三类
1、破坏性武器
通过网络释放一些病毒,使得对方的整个计算机网络或者城市陷入瘫痪、破坏
2、类似于木马
木马程序即植入到计算机网络,每天可以监视你的一举一动,也可以窃取你相关文件,这一类武器对平时计算机运行并不产生影响,但它窃取监视监听带来的危害实际是很大的
3、第三种
可根据植入者的意图起到监视性作用或者窃取机密材料,一定情况下也可以下达指令,摧毁整个计算机网络或者里面所有的程序或者文件