網路間諜活動的前世今生

縱觀歷史，無論是間諜，破壞，還是其他手段，國家之間總會通過一些秘密行動來滲透對方。20世紀90年代是互聯網開始迅速發展的時代，而這個時代正開創了國際間諜活動的新篇章。在那不久之後，我們就閱讀到了關於網路戰爭的猜想與警告：對立國家的敵人是否有能力關閉電網，或者接管電信系統，甚至劫持核武器？

出於其極其隱蔽的本質，我們並不知道網路間諜活動何時開始，以及如何開始，如果必須要猜的話，早期的行動可能並不像007那樣，甚至還很普通。通信情報 – 攔截並解密敵方通信 – 長期以來一直是情報機構的家常便飯，後來逐漸擴張到了網路空間。

溯源第一例

第一個記錄在案的網路間諜活動發生自網路本身。1986年，當時在加利福尼亞州勞倫斯伯克利國家實驗室管理電腦的Clifford Stoll，發現了計算機計算時間的記錄的異常活動，這直接導致了他發現了一名黑客，而這名黑客此前一直在系統地針對美國軍事基地的計算機來尋找軍事機密。之後Clifford Stoll為攻擊者創造了一個蜜罐，果不其然，黑客落網了，這名黑客是當時的西德人Markus Hess，他一直在向克格勃出售情報信息。

西伯利亞天然氣管道爆炸事件

據稱在此之前的1982年，美國的中央情報局的行動就導致了西伯利亞天然氣管道爆炸事件，當時CIA欺騙了蘇聯特工，讓他們偷取了設計好的工業控制軟體，最終導致了天然氣管道故障。長年以來這都被當成是謠言，但是在2004年這個事件似乎被確認，因為當時里根總統的國家安全委員會中的一名成員Thomas Reed在書中寫下了這件事，不過Reed的解釋到現在還在被一些專家，包括知名的網路安全研究員Jeffrey Carr所爭議。

真正引起公眾關注的網路間諜活動是Moonlight Maze，這是以美國政府為目標起的名字，它於1999年在新聞周刊中被發表。聯邦調查局的調查發現，這個組織已經滲入了美國海軍，空軍，能源部，航空航天局甚至五角大樓，並竊取了很多的文件，如果要把這些文件堆起來，那麼「一定會比華盛頓紀念碑高」。

（點擊查看卡巴斯基實驗室對」月光迷宮「的研究報告）

不過Moonlight Maze並不是首次發現的行動之一，這也絕對不是唯一進行的活動，雖然高度先進，資源充足的方程式組織在2015年才被公開，但證據表明早在2001年，它就開始運作了。

雖然當時苗頭不高（至少對公眾來說），但隨後的幾年，這種活動明顯有所增加，很多主流的網路間諜組織就是在2005年到2010年間出現了萌芽。

網路間諜活動花了幾年來發展，十年之後，它已經成了焦點，這一次，谷歌披露至少20家大型公司已經被一個叫Aurora（Hidden Lynx）的黑客集團當作目標。據我們估算，Hidden Lynx擁有大約50-100人負責操作，且有能力對多個目標同時進行數百次的攻擊，這些都表明了近年來網路間諜活動的規模一直在擴大。

網路間諜活動最有戲劇性的發展是震網（Stuxnet）的發現。這可能是現實世界中第一個具有高度破壞性的網路攻擊的例子，但迄今為止，這個例子只被用於教科書式的警告。

震網（Stuxnet）完全可以另外再寫一篇文章（如果你還沒看Alex Gibney的紀錄片，點這裡），總結一下是這樣：Stuxnet是2010年（可追溯到2009年6月，但最終編譯時間為2010年2月3日）出現的惡意軟體中神秘的一部分，最初引起關注的原因是它使用0day漏洞（MS10-046、MS10-061、MS10-073、MS10-092）通過可移動磁碟傳播，在Eric和Liam的廣泛調查後，其背後的真實目的才逐漸顯現出來。

震網病毒被設計用於針對工業控制系統，尤其是劫持可編程邏輯控制器（PLC），而PLC被用於運行和監控工業系統，不過Stuxne只t針對特定類型的PLC即西門子公司控制系統，也就是伊朗核設施使用的PLC，這便是當時外交爭議點所在。

震網病毒可以在短時間內改變PLC的輸出頻率，並覆蓋修改以避免操作員收到警報，這種修改直接導致了系統故障，基本上可以破壞當前正在使用的設備。賽門鐵克安全響應中心高級主任凱文·霍根（Kevin Hogan）指出，當時伊朗約60%的個人電腦被感染，這意味著其目標是當地的工業基礎設施。俄羅斯安全公司卡巴斯基實驗室發布了一個聲明，認為Stuxnet蠕蟲「是一種十分有效並且可怕的網路武器原型，這種網路武器將導致新的軍備競賽，一場網路軍備競賽時代的到來。」並認為「除非有國家和政府的支持和協助，否則很難發動如此規模的攻擊。」

事實確實如此，2012年，《紐約時報》報道稱，美國官員承認這個病毒是由美國國家安全局（NSA）在以色列協助下研發，以Olympic Games為計劃代號，目的在於阻止伊朗發展核武。

即使在現在，也就是7年後，震網的複雜性和威力也在同類中也可以脫穎而出，不過攻擊者在開始之前需要收集廣泛的情報，這樣才能對目標設備進行充分了解，其次，如果目標計算機沒有連接互聯網（僅通過可移動設備傳播），部署惡意軟體的難度會大大增加。

這段時間以來，我們看到了Stuxnet，也看到了網路間諜活動的未來，我們正面臨著一個時代，各國在網路空間的戰場上拿下對手的基礎設施的時代。在Stuxnet出現之後，磁碟擦除蠕蟲Shamoon緊隨而來，後者被用於針對沙烏地阿拉伯的能源部門的攻擊。

Shamoon又稱Disttrack，是Seculert在2012年發現的一種模塊化的計算機病毒，針對最近的基於NT內核的Microsoft Windows版本。這個病毒的行為與其他惡意軟體攻擊有所不同，Shamoon可以從受感染的機器傳播到網路上的其他計算機。一旦系統被感染，病毒將從系統上的特定目錄編譯文件列表，並將其上傳到攻擊者，然後再將其擦除。最後，病毒會覆寫受感染計算機的主引導記錄，使其無法啟動。

不過隨著時間的推移，Stuxnet和Shamoon顯然已經不是新的規範，回想起來這並不奇怪，因為破壞作為其本質，無論是對於攻擊者還是和這些工具本身，鬧出動靜實在是太大了，相比之下，傳統情報搜集就低調了許多，還能夠降低被發現的風險。

保持低調只能說成功了一部分，在過去的十年中，諸如賽門鐵克這類安全公司逐漸發現一大批有國家背景的網路間諜組織，且不再局限於超級大國，很多地區也出現了自己的網路間諜組織，另外的證據表明，一些小國家也通過購買現成的間諜軟體來進入這個領域。

如果要列出近年來發現的每一個網路間諜組織，那得洋洋洒洒地寫一本書，不過我們已經有了一些非常有趣的發現。目前遇到的最高階的威脅之一是Regin，在2014年，我們發現了一款非常複雜而隱秘的惡意軟體，它可以根據目標定製一系列有效載荷，並被用於針對政府，基礎設施，企業，研究人員或是任何公民。

但是，Regin並不是一直獨佔鰲頭，比如說2014年我們額外調查的一個組織Dragonfly，這個組織以美國和歐洲能源領域的戰略性設施為目標，如電網，發電公司，石油運營商，能源行業的設備供應商。該組織使用的惡意軟體不僅包含間諜功能，還有破壞功能 ，不過攻擊者似乎沒有啟用後者。

網路間諜活動也不再局限於國家背景支持，例如在2015年，我們發現了Butterfly組織，在過去的三年中，為了竊取諸如信息和知識產權情報此類，這個組織已經滲透了一些主流公司，值得注意的是這個組織並沒有國家背景支持的跡象，似乎是收到了利益的驅使。

對主流網路間諜組織的發現已經在一定程度上削弱了這些組織。不僅安全公司能更好地保護他們的客戶，最終用戶也會意識到這個威脅，越來越多的組織開始意識到他們不僅可以攻擊政府，還可以攻擊其他相對較小的組織。在某些情況下，供應鏈中的薄弱環節可以被利用，攻擊者可以利用這個來攻擊目標；在其他情況下，攻擊者可能會有意地竊取他們的知識產權的情報或客戶資料。

除此之外，一系列高調的情報與數據泄露也會引起網路間諜組織的關注，如斯諾登的稜鏡門事件，維基解密公布的Vault 7以及NSA麾下的方程式組織的工具泄露。

這些東西的公之於眾可能預示著網路間諜活動的黃金時代的結束。越來越多的軟體和網路公司默認加密了客戶的數據，政府因此與技術部門爭論不休，一些政府認為，執法機構需要一種訪問加密消息的方式來保護國家安全；而技術部門則指出，給自己的產品留後門會讓好人和壞人都得到好處。這並不是說網路間諜活動在任何方面都處於逐漸消失的狀態，而是說國家或國家背景的組織在今後可能會變本加厲地滲透目標。

（拓展閱讀：前軍情五處長官警告稱：無需打擊加密信息的應用）

網路間諜活動在過去的12個月中再次出現，特別是美國總統選舉的時候，當時對民主黨的入侵導致了內部郵件的泄露，美國情報界的一項聯合調查得出結論認為，這與俄羅斯情報部門有聯繫的兩個組織有關。

其中一個叫Swallowtail（又名APT28和Fancy Bear），與針對世界反興奮劑機構（WADA）的網路攻擊有關，WADA發現一些美國奧運選手，英國自行車選手以及其他運動員的數據被盜，與大多數組織不同，Fancy Bear十分高調，甚至創建了自己的網站發布被盜數據。他們稱小威在2010、2014和2015年被WADA允許使用含有鹽酸羥考酮（oxycodone）、氫化可的松（hydrocortisone）、強的松（prednisone）等禁藥成分的藥物，而其姐姐大威廉姆斯在2010至2013年間，被WADA允許使用含有潑尼松（prednisone）、潑尼松龍 （prednisolone）、曲安西龍（triamcinolone）等禁藥成分的藥物，但揭秘的文件中並沒有顯示有醫生的診斷書作為WADA允許她們使用這些含禁藥成分的藥物。

鑒於對美國民主黨攻擊的破壞性與影響，法國大選被採用了同樣的策略，其實這一點也不奇怪。在具有決定性的第二輪民意調查前夕，最終的獲勝者馬克隆被曝郵件泄露，數以萬計的文件和電子郵件被發布出來。

其中一份文件

不過這次泄露並沒有力挽狂瀾，從而扭轉局勢，可能是因為它的姍姍來遲，效果受到了影響，除此此外，馬克隆團隊表示他們利用了蜜罐賬號欺騙了俄羅斯黑客，一定程度上延遲了泄露發生的時間。

這算什麼事？為什麼花了很多年隱藏在公眾視線之外的組織，一夜之間開始明目張胆的行動？答案部分在於這些組織目的的轉變，他們的目標不再局限於情報收集，他們或許想要顛覆，另外境外勢力或許是幕後主謀，這會引起目標的懷疑與困擾。

縱觀過去12個月，網路間諜活動的趨勢在上文已經提到，具體方向仍有待考究，雖然最近的攻擊說明了更多的網路間諜活動具有潛在破壞性，但是同時也能證明其局限性（參照法國大選）。震驚之後，政治家和投票的公眾應該意識到當前網路安全情形之嚴峻是以前的」沒在意「造成的，互聯網剛出現時，什麼事都可以原諒，但是現在的情況不一樣了，黑客和bug帶來的風險日益增長，我們沒有理由重複任何錯誤，另外，如果我們意識到威脅並加以防範，那麼潛在的影響會小很多。

世界還沒有看到震網的續集，但這或許只是時間問題。令人毛骨悚然的是，開發核武需要大量錢財，人力，原材料和大型設施，而網路間諜組織或許僅僅需要電腦和互聯網連接。

轉載自FreeBuf

推薦閱讀：