信息來源：安全內(nèi)參

近日，美國通過網(wǎng)絡(luò)對全球進行監(jiān)控竊密的又一主戰(zhàn)裝備曝光，這一主戰(zhàn)裝備即為美國中央情報局（CIA）專用的“蜂巢”惡意代碼攻擊控制武器平臺（以下簡稱“蜂巢平臺”）。國家計算機病毒應(yīng)急處理中心的研究人員在接受采訪時對《環(huán)球時報》記者表示，全球互聯(lián)網(wǎng)和世界各地的重要信息基礎(chǔ)設(shè)施已經(jīng)成為美國情治部門的“情報站”，從技術(shù)細節(jié)分析，現(xiàn)有國際互聯(lián)網(wǎng)的骨干網(wǎng)設(shè)備和世界各地的重要信息基礎(chǔ)設(shè)施中，只要包含美國互聯(lián)網(wǎng)公司提供的硬件、操作系統(tǒng)和應(yīng)用軟件，就極有可能成為美國情治機構(gòu)的攻擊竊密目標，全球互聯(lián)網(wǎng)上的全部活動、存儲的全部數(shù)據(jù)或都“如實”展現(xiàn)在美國情治機構(gòu)面前。

近一段時間以來，中國網(wǎng)絡(luò)安全機構(gòu)連續(xù)揭開美國國家安全局（NSA）“電幕行動”“APT-C-40”“NOPEN”“量子”網(wǎng)絡(luò)攻擊武器的真面目。相較而言，此次曝光的“蜂巢”平臺有哪些新的特點？對全球網(wǎng)絡(luò)用戶有哪些新提示？國家計算機病毒應(yīng)急處理中心研究人員接受《環(huán)球時報》獨家專訪做出進一步解釋。

根據(jù)介紹，“蜂巢”平臺由CIA下屬部門和美國著名軍工企業(yè)諾斯羅普·格魯曼（NOC）旗下公司聯(lián)合研發(fā)，系CIA專用的網(wǎng)絡(luò)攻擊武器裝備，該裝備具有五大特點。

首先，“蜂巢”平臺智能化程度高。該武器是典型的美國軍工產(chǎn)品，模塊化、標準化程度高，擴展性好，表明美國已實現(xiàn)網(wǎng)絡(luò)武器的“產(chǎn)學研一體化”。這些武器可根據(jù)目標網(wǎng)絡(luò)的硬件、軟件配置和存在后門、漏洞情況自主確定攻擊方式并發(fā)起網(wǎng)絡(luò)攻擊，可依托人工智能技術(shù)自動提高權(quán)限、自動竊密、自動隱藏痕跡、自動回傳數(shù)據(jù)，實現(xiàn)對攻擊目標的全自動控制。其強大的系統(tǒng)功能、先進的設(shè)計理念和超前的作戰(zhàn)思想充分體現(xiàn)了CIA在網(wǎng)絡(luò)攻擊領(lǐng)域的能力。其網(wǎng)絡(luò)武器涵蓋遠程掃描、漏洞利用、隱蔽植入、嗅探竊密、文件提取、內(nèi)網(wǎng)滲透、系統(tǒng)破壞等網(wǎng)絡(luò)攻擊活動的全鏈條，具備統(tǒng)一指揮操控能力，已基本實現(xiàn)人工智能化。這同時也可以證明，CIA對他國發(fā)動網(wǎng)絡(luò)黑客攻擊的武器系統(tǒng)已經(jīng)實現(xiàn)體系化、規(guī)?；o痕化和人工智能化。

其次，“蜂巢”平臺隱蔽性強。該平臺采用C/S架構(gòu)，主要由主控端、遠程控制平臺、生成器、受控端程序等4部分組成。CIA攻擊人員利用生成器生成定制化的受控端惡意代碼程序，服務(wù)器端惡意代碼程序被植入目標系統(tǒng)并正常運行后，會處于靜默潛伏狀態(tài)，實時監(jiān)聽受控信息系統(tǒng)網(wǎng)絡(luò)通訊流量中具有觸發(fā)器特征的數(shù)據(jù)包，等待被 “喚醒”。CIA攻擊人員可以使用客戶端向服務(wù)器端發(fā)送“暗語”，以“喚醒”潛伏的惡意代碼程序并執(zhí)行相關(guān)指令，之后CIA攻擊人員利用名為“割喉”的控制臺程序?qū)蛻舳诉M行操控（如圖1所示）。為躲避入侵檢測，發(fā)送“暗語”喚醒受控端惡意代碼程序后，會根據(jù)目標環(huán)境情況臨時建立加密通信信道，以迷惑網(wǎng)絡(luò)監(jiān)測人員、規(guī)避技術(shù)監(jiān)測手段。

此外，為進一步提高網(wǎng)絡(luò)間諜行動的隱蔽性，CIA在全球范圍內(nèi)精心部署了蜂巢平臺相關(guān)網(wǎng)絡(luò)基礎(chǔ)設(shè)施。從已經(jīng)監(jiān)測到的數(shù)據(jù)分析，CIA在主控端和被控端之間設(shè)置了多層動態(tài)跳板服務(wù)器和VPN通道，這些服務(wù)器廣泛分布于加拿大、法國、德國、馬來西亞和土耳其等國，有效隱藏自身行蹤，受害者即使發(fā)現(xiàn)遭受“蜂巢”平臺的網(wǎng)絡(luò)攻擊，也極難進行技術(shù)分析和追蹤溯源。

圖1 “割喉”（cutthroat）主要命令行參數(shù)說明

主控端與被控端建立連接后可執(zhí)行相應(yīng)控制命令（如圖2所示）：

圖2 遠程命令控制

為躲避入侵檢測，主控端通過發(fā)送“暗語”喚醒受控端惡意代碼程序，隨后模仿HTTP over TLS建立加密通信信道，以迷惑網(wǎng)絡(luò)監(jiān)測人員、規(guī)避技術(shù)監(jiān)測手段（如圖3所示）。

圖3 喚醒并建立加密通信信道

第三，“蜂巢”平臺攻擊涉及面廣。CIA為了滿足針對多平臺目標的攻擊需求，針對不同CPU架構(gòu)和操作系統(tǒng)分別開發(fā)了功能相近的“蜂巢”平臺適配版本。根據(jù)目前掌握的情況，“蜂巢”平臺可支持現(xiàn)有主流的CPU架構(gòu)，覆蓋Windows、Unix、Linux、Solaris等通用操作系統(tǒng)，以及網(wǎng)絡(luò)設(shè)備專用操作系統(tǒng)等。

第四，“蜂巢”平臺設(shè)定有重點攻擊對象。從攻擊目標類型上看，CIA特別關(guān)注MikroTik系列網(wǎng)絡(luò)設(shè)備。MikroTik公司的路由器等網(wǎng)絡(luò)設(shè)備在全球范圍內(nèi)具有較高流行度，特別是其自研的RouterOS操作系統(tǒng)，被很多第三方路由器廠商所采用，因此CIA對這種操作系統(tǒng)的攻擊能力帶來的潛在風險難以估量。CIA特別開發(fā)了一個名為“Chimay-Red”的MikroTik路由器漏洞利用工具，并編制了詳細的使用說明。該漏洞利用工具利用存在于MikroTik RouterOS 6.38.4及以下版本操作系統(tǒng)中的棧沖突遠程代碼執(zhí)行漏洞，實現(xiàn)對目標系統(tǒng)的遠程控制。

第五，“蜂巢”平臺突防能力強，應(yīng)引起全球互聯(lián)網(wǎng)用戶警惕。“蜂巢”平臺屬于“輕量化”網(wǎng)絡(luò)武器，其戰(zhàn)術(shù)目的是在目標網(wǎng)絡(luò)中建立隱蔽立足點，秘密定向投放惡意代碼程序，利用該平臺對多種惡意代碼程序進行集中控制，為后續(xù)持續(xù)投送“重型”網(wǎng)絡(luò)攻擊武器創(chuàng)造條件。“蜂巢”平臺作為CIA攻擊武器中的“先鋒官”和“突擊隊”，承擔了突破目標防線的重要職能，其廣泛的適應(yīng)性和強大的突防能力向全球互聯(lián)網(wǎng)用戶發(fā)出了重大警告。

這位研究人員指出，與此前NSA被曝光的美國網(wǎng)絡(luò)攻擊武器一樣，CIA對全球范圍的高價值目標實施無差別的攻擊控制和間諜竊密。CIA的黑客攻擊和網(wǎng)絡(luò)間諜活動目標涉及世界各國政府、政黨、非政府組織、國際組織和重要軍事目標，各國政要、公眾人物、社會名人和技術(shù)專家，教育、科研、通訊、醫(yī)療機構(gòu)，大量竊取受害國的秘密信息，大量獲取受害國重要信息基礎(chǔ)設(shè)施的控制權(quán)，大量掌握世界各國的公民個人隱私，服務(wù)于美國維持霸權(quán)地位。而且，全球互聯(lián)網(wǎng)和世界各地的重要信息基礎(chǔ)設(shè)施已經(jīng)成為美國情治部門的“情報站”?！皬募夹g(shù)細節(jié)分析，現(xiàn)有國際互聯(lián)網(wǎng)的骨干網(wǎng)設(shè)備和世界各地的重要信息基礎(chǔ)設(shè)施中（服務(wù)器、交換設(shè)備、傳輸設(shè)備和上網(wǎng)終端），只要包含美國互聯(lián)網(wǎng)公司提供的硬件、操作系統(tǒng)和應(yīng)用軟件，就極有可能包含零日（0day）或各類后門程序（Backdoor），就極有可能成為美國情治機構(gòu)的攻擊竊密目標，全球互聯(lián)網(wǎng)上的全部活動、存儲的全部數(shù)據(jù)或都‘如實’展現(xiàn)在美國情治機構(gòu)面前，成為其對全球目標實施攻擊破壞的 ‘把柄’和 ‘素材’?！?

針對“蜂巢”平臺高度智能化、高度隱蔽性的特點，互聯(lián)網(wǎng)使用者該如何發(fā)現(xiàn)和應(yīng)對“蜂巢”平臺的威脅。國家計算機病毒應(yīng)急處理中心提醒廣大互聯(lián)網(wǎng)用戶，美國情治部門的網(wǎng)絡(luò)攻擊是迫在眉睫的現(xiàn)實威脅，針對帶有美國“基因”的計算機軟硬設(shè)備的攻擊竊密如影隨形?，F(xiàn)階段避免遭受美國政府黑客攻擊的權(quán)宜之計是采用自主可控的國產(chǎn)化設(shè)備。此外，該中心的研究人員也建議互聯(lián)網(wǎng)使用者及時更新網(wǎng)絡(luò)設(shè)備、上網(wǎng)終端的操作系統(tǒng)，并及時打好補丁，同時關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)和端口，按照《中華人民共和國網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級保護條例》等法律法規(guī)的要求做好網(wǎng)絡(luò)安全防護工作。