邱实牟承晋：美国政府驱使网络武器化的一些典型做法

邱实牟承晋：美国政府驱使网络武器化的一些典型做法

2021-03-10

【摘要】“数据作为武器系统”以及网络基础设施与网络应用和服务被“武器化”，是网络技术和应用斗争的产物，也是网络发展及地缘政治和价值观演变的必然。对此，我们的感知和认识必须与之相适应，方能有效地应对潜在的风险和挑战，高质量地提升对国家网络安全和安全数据的保障能力。

一

美国国防部发布《数据战略》（2020年9月30日）强调，“数据作为武器系统”。必须看到，承载数据的是网络基础设施；生成数据的是信息通信技术（ICT）及其应用和服务，由此所形成和构成的供应链是“数据作为武器系统”战略的基本支撑和重要保障。

一方面，网络基础设施是由“点”（设备）和“线”（链路）的集合所组成；“点”是被作为“中间人”（MITM）发动攻击的依靠（据点），“线”是被作为“隐形人”（MOTS）进行攻击的依托（暗道）。因此，（物理）网络基础设施被“武器化”，是“数据作为武器系统”的必要条件，而且是“被动性”的条件。

另一方面，网络入侵与攻击的形式和方式正在发生演变。通过对用户终端下载软件的修改和更新，植入恶意软件以及远程指挥和控制的指令（木马），不需要（传统的）漏洞挖掘，却更具有目标性和针对性，影响范围更大。“太阳风”管理软件安全事件就是一个典型案例。因此，网络服务和技术被“武器化”，是“数据作为武器系统”的充分条件，并且是“主动性”的条件。

“数据作为武器系统”以及网络基础设施与网络应用和服务被“武器化”，是网络技术和应用斗争的产物，也是网络发展及地缘政治和价值观演变的必然。对此，我们的感知和认识必须与之相适应，方能有效地应对潜在的风险和挑战，高质量地提升对国家网络安全和安全数据的保障能力。

事实上，美国国家安全局（NSA）和英国政府通信情报总局（GCHQ），20多年前就已经使互联网（Internet）“武器化”了！

二

2013年11月13日，美国《连线》（Wired）杂志发表索纳尔•乔克希（Sonal Chokshi）署名的专题文章（以下简称《连线》）。尽管当前全球网络信息空间的态势和状况已发生了显著变化，其中一些观点仍具有积极的借鉴和警示意义。

《连线》指出，互联网（Internet，以下同）骨干网（数据流量所依赖的网络基础设施），已经从被动性的通信基础设施，发展成为被用于攻击的主动性武器（系统）。

据被揭露的有关美国“量子”（Quantum）秘密行动计划，美国国家安全局（NSA）可以“猎杀”（Shoot）其锁定的任何目标，就是利用目标数据通信所必须通过的骨干网络（窃听和拦截）。由此证实，是美国国家安全局（NSA）和英国政府通信情报总局（GCHQ），率先使互联网骨干网络“武器化”。看来，即使没有斯诺登揭露美国政府的所作所为，其他国家也都可以做同样的事，然后大家都会说，“这不是我们干的。即便是，你看着办吧。”

《连线》指出，如果NSA入侵巴西国家石油公司（Petrobras），俄罗斯就可以认为其攻击美国美孚石油公司（Exxon Mobil）是合理的；如果GCHQ入侵比利时通信公司（Belgacom）并进行秘密窃听，法国就可以对美国通信公司AT＆T进行同样的操作；如果加拿大针对的目标是巴西的矿产和能源部，中国就可以把美国内政部作为目标。我们现在生活在同一个世界，如果“背运”的话，对我们的网络攻击者，可能就是来自我们的数据流经过的每一个国家，除了我们自己的国家。

▲ 其实也不尽然，从2020年美国总统大选的情势看来，攻击者可能就在国内，就在自己的身边。

《连线》指出，这就意味着我们中间的一部分人，尤其是在经济上或政治上具有重要意义的公司或个人，现在都成为被攻击的目标。所有明文的数据流量不仅是发送与接收的信息，也可能成为攻击载体。

《连线》阐述这一过程称，NSA的秘密行动计划“量子”（QUANTUM）的代号，非常适合被称为是一种“数据包注入”的技术，该技术通过欺骗或伪造数据包窃听目标。NSA的窃听甚至不需要保持静默，只需要先向目标发送一条消息。其工作原理是，向监测目标所发出的（连接）请求，注入看似来自真实收件人的虚假答复，从而掌控和跟踪目标（受害者）的行动。

《连线》称，在这种情况下，数据包注入用于“隐形人”（MOTS，或“链路劫持”）攻击，其比“中间人”（MITM）攻击更能容忍失败，因为允许监听者观察如做“加法”（增加新的跟踪和掌控的线索），不同于“中间人”攻击只能做“减法”。这就是“隐形人”为什么在监听系统中特别受欢迎的缘故。监听漏掉一些线索也没关系，错过几个总比根本没有线索好。

▲ 根据定义，“隐形人”（MOTS：man-on-the-side）攻击，是网络安全中的一种主动攻击形式，类似于“中间人”（MITM：man-in-the-middle）攻击。但“隐形人”的攻击并不同于“中间人”的攻击那样完全控制网络节点，而只是定期访问通信链路，窃听数据流量并注入新消息，且不得修改或删除其他参与者发送的消息。

《连线》指出，“隐形人”技术本身实际上很简单，且在Wi-Fi网络上使用的相同技术，也可以用于骨干网中窃听。作者就曾从零开始，仅用几个小时编写一个数据包注入器的软件程序，一直成为黑客大会（DefCon）恶作剧的主要内容。

三

诸如数据包注入的“武器化”技术，《连线》列出NSA的八种已知的典型做法：

1）监管审查（Censorship）

在斯诺登泄密事件之前，最臭名昭著的就是在网络监管审查中，使用数据包注入。

互联网服务提供商（ISP）通过注入TCP重置数据包（RST），拦截不受欢迎的数据流量。当联网终端接收到一个注入的RST数据包时，以为通信已经完成，就会关闭连接。

尽管公开披露了监管审查的做法，迫使ISP停止这种行为，但网络监管审查仍然继续利用数据包的注入重置，扩展到域名系统（DNS），注入域名请求的虚假回复响应，阻止网络访问连接。

2）用户身份识别（Identification）

网络广告和服务，在客户端插入的Cookie（保存在客户端的纯文本文件），也是NSA定位的重要标识符。

但是，Web浏览器仅在与此类端点进行通信时，才显示这些Cookie。NSA的“量子”Cookie攻击作为一种解决方案，被利用对Tor（洋葱网）的用户进行去匿名化（de-anonymizing）。数据包注入软件程序，可以通过HTTP 302重定向目标站点（例如Hotmail，微软提供的公共电子邮箱），利用回复简单的网页抓取（如小图像），以获取用户端的Cookie。一旦连接到Hotmail时，所有非安全的cookie都被获取和监听，既可以在窃听中识别用户身份，也可以在窃听中使用这些cookie。

于是，对于未使用HTTPS加密的任何Webmail服务，NSA的“量子”Cookie都可以窃听目标登录日志，并读取目标的邮件。由于“量子”Cookie在重定向目标时，所抓取的Cookie也可以被设置或修改以及作身份识别，从而使NSA得以在网络通信中主动发现和跟踪所感兴趣的用户。

3）用户攻击（Attack）

NSA拥有一系列旨在追踪和利用网络访问者的Fox Acid服务器，是美国国家安全局设计的能够针对目标计算机发动各种攻击的系统。

概念上，这些服务器类似于Metasploit（安全漏洞监测工具）的Web Server浏览器自动渗透测试模式，可监测任何正在运行的浏览器，以寻找要利用的弱点。只要目标（受害者）访问网络的一个请求被截获，“量子”窃听就能识别出受害者，即在数据包中注入“302”，受害者的网络通信将被重定向到Fox Acid服务器。一旦受害者的浏览器开始与Fox Acid服务器进行通信，该服务器就会迅速接管受害者的计算机。NSA将此称为“量子嵌入”（Quantum Insert）。

NSA和GCHQ使用此技术，不仅监听“洋葱网”（Tor）中阅读“基地”组织英语宣传杂志（Inspire）的用户，而且还作为窃听比利时电信公司（Belgacom）的切入点。

另一个特别的手段是，识别目标在LinkedIn（社交平台）或Slashdot（技术社区）的账户。当“量子”系统监测到访问LinkedIn或Slashdot的个人时，它会先检查返回的HTML以识别用户身份，然后“猎杀”（跟踪和利用）目标。只要NSA编写一个解析器，就能够从访问的页面内容（包括任何通过HTTP访问的页面）中提取用户身份信息。

4）HTTP 缓存中毒（Poisoning）

网络浏览器通常会缓存关键脚本，例如十分普遍的Google分析脚本“ga.js”。

数据包注入者可以看到对这些脚本的请求，并以恶意版本进行响应，该恶意版本目前在许多网页上运行。由于此类脚本很少更改，因此受害者将持续使用攻击者的恶意脚本，直到服务器更改脚本或浏览器清除其缓存为止。

5）无需漏洞挖掘（Zero-Exploit Exploitation，零漏洞挖掘）

英国伽玛国际（Gamma International）公司的Fin Fly“远程监控”黑客工具被销售给政府，通过对用户终端下载软件的修改和更新，嵌入包含Fin Fisher间谍软件的副本，而无须漏洞挖掘。

虽然Fin Fly黑客工具可以作为“中间人”模式运作，但是数据包注入可以反复地重现效果。数据包注入器只需等待在受害者尝试下载文件时，就会在数据包中注入“302”，受害者的网络通信将被重定向到一个新的服务器，并提取和修改原始文件后，将其传递给受害者。当受害者运行可执行的被修改文件时，就被“猎杀”（跟踪和利用），而无需任何实际的漏洞挖掘。

▲ Fin Fly是伽玛国际公司开发的系列黑客工具，包括Fin Fly-ISP、Fin Fly-Web等。据称，Fin Fly是一种面向国家范围的战略性解决方案，也是一种战术性（移动）工具，可以被集成到ISP的接入和核心网络中，在选定的目标系统上远程安装和远程监控的软件。

6）手机应用程序（APP）

许多安卓（Android）和iOS应用程序简单地通过HTTP获取数据。特别是安卓广告库“Vulna”，是一个容易被攻击的目标，只要等待对该广告库的请求，并注入回应，就可以有效地完全控制受害者的手机。尽管Google删除了应用程序使用这个广告库，但其他广告库和应用程序仍然可能存在类似的漏洞。

7）域名系统衍生的“中间人”（DNS-Derived MITM）

某些网络攻击（例如使用伪造的证书拦截HTTPS流量），需要有一个“中间人”，而不是一个简单的窃听者。由于每一次通信都是以DNS请求开始，且DNS解析服务器极少使用DNSSEC加密验证请求与响应，因此，数据包注入者可以简单地查看DNS请求，并注入恶意的DNS响应。例如，对邮件服务器解析记录（MX）的注入，重定向并拦截和修改电子邮件。这相当于网络攻击能力的提升，将“隐形人”转换成了“中间人”。

▲ “中间人”攻击，是指攻击者与通信的两端分别创建独立的联系，并交换其所收到的数据，使通信的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全控制。

8）放大攻击面（Amplifying Reach）

网络的大流量和多传输路径，使得监听和“量子嵌入”（Quantum Insert）受到约束。通过对被托管的大数据的监听，当期望的目标出现时，使用数据包注入将其重定向到既定的服务器；在决定是否进行攻击之前，只需观察潜在受害者来自哪个IP 地址。这就像是“水坑”攻击，而攻击者不需要破坏“水坑”（Watering Hole）。

▲ “水坑攻击”，是在受害者必经之路设置一个“水坑”（陷阱）。最常见的做法是，黑客分析被攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入恶意代码，一旦被攻击目标访问该网站就会“中招”。

《连线》指出，加密（或类似的系统性方法和手段），不仅可以保护数据流量免受窃听，还可以保护免受攻击。例如，DNSSEC验证可以保护DNS免受篡改，SSL可以保护电子邮件和Web数据。

《连线》认为，虽然加密互联网上的所有数据流量，涉及许多工程和数理逻辑上的困难，但是，如果要保护自己免受骨干网络已被“武器化”（Weaponized）的伤害，我们必须克服这些困难。

（作者：邱实，网络信息安全技术专家；牟承晋，昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任、浙江省北斗未来网际网络空间研究院首席研究员。来源：昆仑策网【原创】）

【本公众号所编发文章欢迎转载，为尊重和维护原创权利，请转载时务必注明原创作者、来源网站和公众号。阅读更多文章，请点击微信号最后左下角“阅读原文”】

【昆仑策研究院】作为综合性战略研究和咨询服务机构，遵循国家宪法和法律，秉持对国家、对社会、对客户负责，讲真话、讲实话的信条，追崇研究价值的客观性、公正性，旨在聚贤才、集民智、析实情、献明策，为实现中华民族伟大复兴的“中国梦”而奋斗。欢迎您积极参与和投稿。

电子邮箱：gy121302@163.com
更多文章请看《昆仑策网》，网址：
http://www.kunlunce.cn
http://www.kunlunce.com

邱实 牟承晋：美国政府驱使网络武器化的一些典型做法

相关文章

邱实牟承晋：美国政府驱使网络武器化的一些典型做法