【文/觀察者網(wǎng)專欄作者 李柏松】

作為一名網(wǎng)絡(luò)安全從業(yè)者，我已經(jīng)在安天從事了23年威脅分析工作。而這些年來最難忘的，是如何和同志們一起與最高水平的威脅斗爭。這些威脅來自大洋彼岸。

工作起點(diǎn)和軌跡

安天對美方情報(bào)機(jī)構(gòu)APT（高級(jí)持續(xù)性威脅）攻擊活動(dòng)的分析，始于對“震網(wǎng)”事件的快速跟進(jìn)。2010年7月，美、以情報(bào)機(jī)構(gòu)聯(lián)合攻擊伊朗工業(yè)基礎(chǔ)設(shè)施一事被曝光。我們快速搭建模擬環(huán)境、還原“震網(wǎng)”作用機(jī)理，并在分析其USB擺渡控制條件機(jī)理等方面形成了特別分析成果。但當(dāng)時(shí)，我們并未更深刻地從網(wǎng)絡(luò)空間軍事化的風(fēng)險(xiǎn)來看待“震網(wǎng)”事件，還只是將其作為工業(yè)場景安全的新型“技術(shù)風(fēng)險(xiǎn)”來看待。

直到我們試圖把“震網(wǎng)”攻擊和代號(hào)為“巴比倫行動(dòng)”的以色列空軍偷襲伊拉克核反應(yīng)堆這樣的軍事行動(dòng)進(jìn)行對比時(shí)，我們才意識(shí)到美方打開了潘多拉魔盒，即用網(wǎng)絡(luò)攻擊達(dá)成了傳統(tǒng)戰(zhàn)爭行動(dòng)的局部等效性。

從“震網(wǎng)”的機(jī)理還原到與“毒曲”的同源關(guān)聯(lián)，再到針對“火焰”蠕蟲眾多模塊的馬拉松式的接力分析，我們在兩年多的時(shí)間里幾乎消耗了全部高級(jí)分析人力，但依然不能完成所有模塊與分支的分析工作。我們的國際同行卡巴斯基也對“火焰”給出了“攻擊機(jī)制最復(fù)雜、威脅程度最高的計(jì)算機(jī)病毒之一，其結(jié)構(gòu)復(fù)雜度是‘震網(wǎng)’病毒的20倍。”的評價(jià)。

我們意識(shí)到，面前是多套史無前例的龐大超級(jí)惡意代碼工程體系。直到2019年，我們才基本完成了承載“震網(wǎng)”“火焰”“毒曲”“高斯”這一系列攻擊背后的惡意代碼工程體系全貌繪制。

2012年后，我們開始分析一組更為隱蔽的攻擊，這是更為復(fù)雜的平臺(tái)化樣本，通訊指令完全加密。憑借分析“震網(wǎng)”系列積累的經(jīng)驗(yàn)，我們克服了挑戰(zhàn)，完成了多種平臺(tái)的樣本分析，包括此前從來沒有遇到過的Sun Sparc架構(gòu)（Solaris系統(tǒng)）樣本、破解加密方式、還原控制指令集合等。

有些遺憾的是，多方面因素導(dǎo)致我們無法第一時(shí)間公布這些分析成果。直到國際同行將相關(guān)攻擊組織命名為“方程式”，并披露了其Windows平臺(tái)樣本后，我們才陸續(xù)公開了我們對Solaris、Linux、iOS等平臺(tái)的樣本分析結(jié)果。

卡巴斯基的分析成果也帶給我們之前未分析的一個(gè)能力點(diǎn)，那就是“方程式”的面對硬盤固件的持久化能力。面對多種多樣的硬盤型號(hào)，公司嵌入式安全部門的同事和高校聯(lián)合研究者都來加入分析隊(duì)伍，大家按照硬盤品牌分工協(xié)作，開發(fā)了4種主流品牌的硬盤固件提取工具。而威脅分析工作重要魅力也在于，我們會(huì)不停地遇到全新的場景和挑戰(zhàn)。

載荷的全平臺(tái)覆蓋能力

在這個(gè)工作階段，我們關(guān)注的重心是圍繞組件化樣本結(jié)構(gòu)、0day漏洞的儲(chǔ)備積累的組合運(yùn)用、復(fù)雜的加密機(jī)制、更深度的持久化能力等，整體上還停留在面向惡意代碼和作用機(jī)理技術(shù)分析層面。2013年，斯諾登事件爆發(fā)，美國情報(bào)機(jī)構(gòu)NSA的大量內(nèi)部文檔在幾年內(nèi)被陸續(xù)曝光。我們意識(shí)到，我們面對的威脅行為體是一個(gè)龐大的冰山，我們過去的分析工作其實(shí)是其水面之上的部分。

而其基于覆蓋全球信號(hào)情報(bào)獲取能力，由“棱鏡”“核子”“碼頭”等系統(tǒng)組成的“星風(fēng)”體系，構(gòu)建了全球網(wǎng)空地形測繪和覆蓋性目標(biāo)畫像能力，建立了以“湍流”為代表的進(jìn)攻性能力支撐體系，支撐起了具有精準(zhǔn)定位能力、高度隱蔽性和反溯源能力的“21世紀(jì)信號(hào)情報(bào)框架”。數(shù)十個(gè)相互關(guān)聯(lián)的工程體系，組成了美方網(wǎng)空攻擊活動(dòng)的巨大支撐體系。更是基于集成建設(shè)的IC Clouds（情報(bào)云），匯聚從人力、電磁到網(wǎng)絡(luò)空間獲取和竊取的海量數(shù)據(jù)，形成了情報(bào)的富集效應(yīng)。

這些則是冰山的水面之下的部分，也是其霸權(quán)體系的一個(gè)組成部分。正如我的同事、安天創(chuàng)始人肖新光同志指出的：

“其情報(bào)活動(dòng)和作戰(zhàn)都已經(jīng)有一套成熟的、漸進(jìn)的體系，APT是這個(gè)體系眾多手段中的一個(gè)，因此也必然帶有其固有特色和痕跡?！?

為此，2015年后，我們開始用“超高能力網(wǎng)空威脅行為體”來指代美方NSA等情報(bào)機(jī)構(gòu)，并使用A²PT（即高級(jí)的高級(jí)持續(xù)性威脅）來標(biāo)識(shí)其攻擊活動(dòng)，以將其和其他威脅行為體的定向攻擊活動(dòng)加以區(qū)別。同時(shí)，也提醒我們自己，對抗和分析這種攻擊能力會(huì)有多么困難。更進(jìn)一步的難點(diǎn)，則是閉合溯源、完整復(fù)盤其某次攻擊行動(dòng)。由于有大量的外設(shè)、電磁中繼等支持，且很多攻擊活動(dòng)可能并不在互聯(lián)網(wǎng)側(cè)閉合，因此其也很難在TCP/IP層面完整復(fù)盤。我們只能努力分析已經(jīng)獲得的每一個(gè)樣本和線索，等待更好的時(shí)機(jī)。

幸運(yùn)的是，2017年4月14日，名為“影子經(jīng)紀(jì)人”的攻擊組織曝光了一批與NSA相關(guān)的數(shù)據(jù)，其中有一個(gè)名為“SWIFT”的文件夾引起安天工程師們的注意。經(jīng)分析發(fā)現(xiàn)，這些數(shù)據(jù)是NSA在入侵中東最大SWIFT金融服務(wù)提供商EastNets（位于阿聯(lián)酋迪拜）時(shí)記錄的相關(guān)文檔和日志。我們可以把此前對惡意代碼樣本和攻擊戰(zhàn)術(shù)的歷史分析成果作為珍珠，而把相關(guān)的日志線索拼接在一起，就可以組成一條溯源的“珠鏈”，完整復(fù)盤還原美方攻擊跳板、目標(biāo)場景環(huán)境、攻擊作業(yè)路徑、攻擊裝備清單和運(yùn)用、戰(zhàn)術(shù)過程和作業(yè)后果。

為了讓公眾更好地理解這個(gè)復(fù)雜的攻擊過程，我們還做了一份完整的可視化呈現(xiàn)。每一次分析啟動(dòng)，都是分析工程師團(tuán)隊(duì)連續(xù)作戰(zhàn)的不眠之夜。但分析成果形成后，卻往往無法第一時(shí)間發(fā)布。分析的工作就是戰(zhàn)斗—等待—再戰(zhàn)斗—再等待。這份報(bào)告最終在2019年6月正式公開發(fā)布。

我們已經(jīng)形成完整的分析框架方法，能夠從攻擊裝備、攻擊戰(zhàn)術(shù)、攻擊支撐基礎(chǔ)設(shè)施等角度，全面分析美方的網(wǎng)絡(luò)攻擊活動(dòng)，開始以更加深入廣泛的視角審視美方網(wǎng)絡(luò)攻擊活動(dòng)背后的國家意志之手。

點(diǎn)名、打壓與我們的應(yīng)對

當(dāng)我們回頭看這些工作，以及在這些過程中相關(guān)的風(fēng)雨時(shí)，我們才意識(shí)到，在這樣一個(gè)抽絲剝繭、穿透迷霧的漫長艱辛過程中，盡管我們的初衷是通過分析工作洞悉威脅、守護(hù)客戶的安全、推進(jìn)防御技術(shù)的改善，但我們所觸動(dòng)的卻是難以想象的龐然大物。

2010年，當(dāng)我們從安天實(shí)驗(yàn)室開始走向企業(yè)化運(yùn)行的軌跡時(shí)，我們設(shè)想的是：憑借十年磨礪出的反病毒引擎，做全球網(wǎng)絡(luò)安全產(chǎn)業(yè)的檢測能力的上游供應(yīng)者。從網(wǎng)關(guān)設(shè)備的檢測引擎出口美國、日本等發(fā)達(dá)國家，到移動(dòng)端反病毒引擎廣泛地展開國際合作，我們自以為在國際市場上已經(jīng)站穩(wěn)了腳跟。特別是在2012年到2014年，我們的移動(dòng)引擎從首次獲得AV-TEST月度測試第一名，到獲得年度最佳獎(jiǎng)項(xiàng)。我們特別堅(jiān)信，憑借技術(shù)優(yōu)勢，我們有望能成為網(wǎng)絡(luò)安全領(lǐng)域的“聯(lián)發(fā)科”。

但從2013年開始，安天在美業(yè)務(wù)突然阻力重重。合作伙伴的法務(wù)部門告知我們，他們不能再使用來自中國的反病毒引擎。此時(shí)，我們才關(guān)注到，2012年美國會(huì)“美中經(jīng)濟(jì)與安全審查委員會(huì)”舉行了首次所謂“中國網(wǎng)絡(luò)安全問題”的聽證會(huì)，但此時(shí)我們還有所不知的是，安天已經(jīng)成為一類重點(diǎn)關(guān)注對象。

2015年，當(dāng)我們還在為Cybersecurity Ventures全球網(wǎng)絡(luò)空間安全創(chuàng)新500強(qiáng)首次榜單排名95（是排名最高的中國廠商）而有些許自豪時(shí)，就驚詫地從一份斯諾登泄露的文檔中看到了安天的名字，美國國家安全局（NSA）和五眼聯(lián)盟（美、英、澳、加、新情報(bào)共享機(jī)制）秘密實(shí)施“拱形計(jì)劃”（CamberDaDa），著手監(jiān)控卡巴斯基等全球23家有能力發(fā)現(xiàn)和溯源威脅的安全企業(yè)，安天作為中國唯一企業(yè)“赫然上榜”。CamberDaDa計(jì)劃始于2010年，正是我們聚焦“震網(wǎng)”分析的那一年。

這份泄露文檔，再次印證了美國情報(bào)機(jī)構(gòu)和其他“五眼”國家情報(bào)機(jī)構(gòu)通過入侵全球運(yùn)營商等方式，在網(wǎng)絡(luò)側(cè)構(gòu)建廣泛監(jiān)聽能力。而這份文檔的主標(biāo)題《An Easy Win》正是NSA基于這套機(jī)制，在信道側(cè)獲取網(wǎng)絡(luò)攻擊受害者發(fā)送給網(wǎng)絡(luò)安全廠商的郵件，來判斷自己的攻擊活動(dòng)是否暴露，以及分析目標(biāo)主機(jī)遭遇到的其他網(wǎng)絡(luò)攻擊，是否可以劫持利用。

斯諾登曝光文檔中的一句話說明了該秘密計(jì)劃的目的，“類似卡巴斯基反病毒軟件的這類安全產(chǎn)品持續(xù)對英國政府通信總部（GCHQ，英國情報(bào)機(jī)構(gòu)）的行動(dòng)能力構(gòu)成挑戰(zhàn)，而軟件反向工程的目的就是要一直跟蹤此類軟件的能力，否則我們的行為將被檢測到?！?

出于職業(yè)習(xí)慣，在威脅分析對抗中，我們一直都努力保持著冷靜。但這一次，我們感到了震驚和憤怒。我們發(fā)出了聲明：“我們認(rèn)為監(jiān)聽惡意代碼受害者的求助郵件，以圖達(dá)成某種利益和優(yōu)勢的操作，是一種卑劣的行為。”

但拋開憤怒，我們的聲明中更多的還是從國際合作與全球網(wǎng)絡(luò)安全行業(yè)發(fā)展的視角做出警示：

“有關(guān)情報(bào)機(jī)構(gòu)把自身所在國家以外的國際反病毒和安全廠商視為自己全球攻擊、監(jiān)聽活動(dòng)的絆腳石，同時(shí)又與自己國家的安全廠商微妙互動(dòng)，這是強(qiáng)行在反病毒和安全廠商中劃分出陣營。這種思維一旦擴(kuò)散下去，必將導(dǎo)致各國艱難形成的安全產(chǎn)業(yè)協(xié)作和應(yīng)急協(xié)同機(jī)制蕩然無存，也將顯著傷害全球其他國家用戶對相關(guān)情報(bào)機(jī)構(gòu)所在國家的安全廠商的基本信任，最終迫使網(wǎng)絡(luò)安全產(chǎn)業(yè)徹底回到‘籬笆’劃定的地緣經(jīng)濟(jì)之中”。

作為中國應(yīng)急響應(yīng)體系中積極參與國際合作的重要企業(yè)節(jié)點(diǎn)，我們的內(nèi)心是非常珍視國際反病毒業(yè)界的協(xié)同機(jī)制和全球網(wǎng)絡(luò)安全產(chǎn)業(yè)的分工協(xié)作的。但當(dāng)有人撕裂世界，則陣營化已經(jīng)不可避免。

防御A²PT攻擊是巨大的挑戰(zhàn)，而曝光A²PT攻擊同樣是巨大的挑戰(zhàn)。中國不僅僅是網(wǎng)絡(luò)攻擊的受害者，在西方所把持的國際輿論場中，中國是一個(gè)弱勢方。我們的聲音難以被重視，發(fā)布報(bào)告揭露外方攻擊威脅的工作，國內(nèi)較長時(shí)間中，并沒有獲得廣泛的重視和支持。

因此，我們對“方程式”的先發(fā)的兩篇重要分析成果（組件木馬和加密協(xié)議分析），是一直等待到卡巴斯基曝光后，才非常謹(jǐn)慎地選擇以純技術(shù)報(bào)告的方式發(fā)布。特別是，在2015年5月，我們和國內(nèi)同行直接點(diǎn)名某外方威脅分析報(bào)告先后發(fā)布，但都遇到若干波折。導(dǎo)致之后幾個(gè)月，國內(nèi)業(yè)界有些灰心和沉寂。

工作轉(zhuǎn)機(jī)很快到來，2016年419的網(wǎng)信工作座談會(huì)，擘畫出網(wǎng)絡(luò)安全工作的戰(zhàn)略目標(biāo)和宏偉藍(lán)圖。2016年4月底，肖新光同志作為中方產(chǎn)業(yè)界代表，參加了網(wǎng)絡(luò)空間安全主題的國際論壇，并有機(jī)會(huì)公開發(fā)表技術(shù)報(bào)告。我們決定要揭露美方情報(bào)機(jī)構(gòu)等對中國的APT攻擊活動(dòng)，并給報(bào)告確定了一個(gè)很文藝的名字——“熊貓的傷痕”。

這是中國技術(shù)專家首次在國際論壇上正式披露相關(guān)內(nèi)容。同志們都很關(guān)注報(bào)告的效果，等到了他那邊的晚上時(shí)間，我語音呼叫問他報(bào)告是否順利。他用硬擠出來的極為微弱的聲音說“效果很好”。報(bào)告結(jié)束后，可能是長時(shí)間積累的壓力的瞬間釋放，他咽部突然水腫，呼吸非常困難。他回到賓館后，就在衛(wèi)生間吐了一口血。他對我說“肺子沒事兒，是嗓子毛細(xì)血管都破了”。

安天實(shí)驗(yàn)室報(bào)告封面“熊貓的傷痕”

此后，我們一鼓作氣，迅速組織發(fā)布了另外兩篇重要的分析成果，復(fù)盤了美國情報(bào)機(jī)構(gòu)樣本的全平臺(tái)覆蓋能力、繪制了其執(zhí)行殺傷鏈的功能模塊地圖。

2016年12月，美國網(wǎng)絡(luò)安全機(jī)構(gòu)NetScout發(fā)文，對中國網(wǎng)絡(luò)空間安全協(xié)會(huì)（CSAC）的成員組成進(jìn)行分析，其中專門解析了安天，既肯定了安天對方程式組織的分析成果的價(jià)值，又將安天定義為“新代言人”（指中國政府的）。也許是美方很難理解一個(gè)中國安全企業(yè)對自己國家的熱愛和與威脅對抗的本能，也許這就是一頂刻意的帽子?？傊?，2017年開始，安天在美國市場的所有業(yè)務(wù)與合作徹底中斷。

2022年2月，美國會(huì)“美中經(jīng)濟(jì)與安全審查委員會(huì)” 繼2012年之后再次舉行有關(guān)所謂“中國網(wǎng)空能力”的聽證會(huì)，與會(huì)美方人員建議多措并舉打壓中國網(wǎng)空能力建設(shè)。在關(guān)注的中方網(wǎng)空能力方面，會(huì)議特別點(diǎn)名了兩家中國網(wǎng)絡(luò)安全企業(yè)“安天實(shí)驗(yàn)室和奇虎360”，“分析曝光了美國國家安全局和中央情報(bào)局的網(wǎng)絡(luò)行動(dòng)”，并稱因?yàn)榘蔡旌推婊?60是中國“最古老的兩家反病毒公司”，所以他們推出這些信息可能讓民眾更加信服。相關(guān)內(nèi)容再次出現(xiàn)在了美國國會(huì)相關(guān)的年度報(bào)告中。連鎖反應(yīng)是，我們的亞洲國家的合作伙伴們也告知了我們將不再使用安天的引擎。

2024年2月，美國網(wǎng)絡(luò)安全公司SentinelOne發(fā)布報(bào)告，用低質(zhì)量的證據(jù)羅列和推理論述“中國網(wǎng)絡(luò)安全能力不足以指控美國攻擊”。報(bào)告中多次點(diǎn)名了安天，還有三處都直接指向了肖新光同志。SentinelOne是北約的技術(shù)支持機(jī)構(gòu)和美國國土安全部的旋轉(zhuǎn)門公司，我們從他們的報(bào)告中閱讀到了滿滿的殖民者式樣的傲慢。這也讓安天CERT梳理歷史工作，最終發(fā)布了我們的回應(yīng)報(bào)告《如何讓“鷹鷲”在迷霧中顯形》。

SentinelOne的報(bào)告中還專門引用了我們在2016年的 “熊貓的傷痕”報(bào)告封面。于是《鷹鷲顯型》報(bào)告中，我們補(bǔ)充了這樣的結(jié)尾——

“施害者不因施害的高明而高貴，反抗者不因反抗的艱難而卑微。”