當你能夠突破重圍時,它就能連線一切。

國際安全智庫發表於2020-06-04
【導讀】近日,伴隨美國與俄羅斯在政治、軍事等多維度持續“較量”之下,雙方在網路空間的“明爭暗鬥”也逐步升級。上週四,美國國家安全域性(NSA)重磅釋出安全通告稱,自2019年8月以來,俄羅斯軍事情報局GRU旗下的APT組織Sandworm,正利用CVE-2019-10149高危漏洞持續攻擊全球Exim郵件伺服器。按往常,相關機構釋出黑客攻擊郵件伺服器的警告本為“小事”,然而當這份警告來自美國家安全域性(NSA),且直指另一大國的APT組織時,一切就不再簡單。此事背後,所凸顯的正是:“高階持續威脅(APT)已成為當前網路空間的最大威脅”這一中心論斷。


Exim:一款全球廣泛使用的開源郵件傳輸代理伺服器軟體,主要用於將電子郵件從發件人中繼到收件人,是Exchange和Sendmail等較大代理廠商的替代產品。

該軟體基於GPL協議開發,常執行於類UNIX系統,有關資料顯示,截至2019年6月全球約有57%的網際網路電子郵件伺服器都在執行Exim。然而,就在2019年6月,Exim伺服器軟體被曝存在一個高危遠端命令執行漏洞CVE-2019-10149。該漏洞可允許本地或者遠端攻擊者以Root身份在目標伺服器上執行惡意命令。

儘管該漏洞在去年已被修補,但當下網路中仍存在諸多郵件伺服器系統並未及時打補丁。


美國國家安全域性(NSA)釋出重磅安全通告

全球Exim郵件伺服器遭俄羅斯黑客攻擊


近日,美國國家安全域性(NSA)重磅釋出安全通告稱:俄羅斯軍方黑客組織已利用CVE-2019-10149漏洞,攻擊全球Exim郵件伺服器長達數月之久。
據悉,在這起攻擊中黑客組織可攔截所有傳入郵件並查閱歷史郵件存檔,並通過向受害伺服器新增特權賬戶、禁用網路安全設定,進一步執行惡意指令碼,直至控制目標網路。

當你能夠突破重圍時,它就能連線一切。

儘管通告中並未明確受害範圍,但因中招伺服器可以作為黑客組織擴大攻擊面的樞紐點,故而這類攻擊一旦蔓延開來,必將給全球網路帶來難以估量的損失。前美國家安全域性(NSA)黑客、安全公司Rendition Infosec創始人傑克·威廉姆斯評價稱:當黑客突破防線,它就能連線一切。”

鑑於這一攻擊強大的破壞性,美國國家網路安全域性(NSA)呼籲相關部門儘快做好防禦措施,抵禦此類攻擊:

1)私人和政府組織應立即將其Exim伺服器更新至4.93版本及以上版本

2)管理員應立即部署相關漏洞補丁修補程式,刪除Sandworm後門

3)梳理流量日誌以檢查是否有被攻擊的痕跡,並立即對網路進行分段,避免攻擊者擴大攻擊範圍


當你能夠突破重圍時,它就能連線一切。


SandWorm黑客組織被指為幕後主使

高階持續性威脅APT成大國博弈御用手段


關於這起攻擊的發起者,據NSA釋出的檔案稱,幕後主使正是俄羅斯軍事情報總局GRU旗下的王牌APT組織——Sandworm。自2000年代中期以來,該組織便一直活躍在各國網路空間國防高地的“大後方”。

資料顯示,2015年12月、2016年12月,SandWorm使用BlackEnergy惡意工具癱瘓了烏克蘭的電力設施,導致烏克蘭當地大面積斷電,遭遇其史上的至暗時刻。此外,美國情報方面還一度認為SandWorm曾參與到“破壞”2016年美國總統大選的黑客大案中。

2017年,SandWorm又被指開發臭名昭著的NotPetya勒索軟體,針對烏克蘭政府、金融和能源機構發起大規模攻擊。幾個小時內,該軟體從烏克蘭政府辦公室迅速擴散到了全球網路,超過200000臺計算機被感染,可以說製造了一場威力絲毫不亞於WannaCry的“噩夢”。

從鉗制敵對國關鍵基礎設施,到干涉一國總統大選,再到攻入全球計算機網路,可以說,APT組織SandWorm早已成為俄羅斯應對大國網路攻防的重要“先鋒兵”。尤其,在面臨美國大選的這一關鍵時期裡,FireEye情報總監霍特奎斯特曾特別強調說:

選舉指日可待,要時刻謹防他國APT組織的攻擊。尤其考慮到SandWorm 組織過去曾參與過與選舉有關的黑客攻擊,因此,涉及該APT組織的任何動態須保持高度警惕。



  智 庫 時 評  



如開篇所言,相關機構釋出黑客攻擊郵件伺服器的警告似乎為“小事”,但當它與大國、與APT組織、APT攻擊相關聯時,一切將變成“未知”。


眾所周知,高階持續性威脅(APT)具備攻擊手段高超、攻擊鏈條複雜、持續時間長等得天獨厚的攻擊條件,尤其在近些年來,大國網路空間戰上,成為重要攻擊方式:

2019年4月,外媒曝光俄羅斯背景組織APT28(FancyBear)攻擊烏克蘭2019年大選活動

2019年7月,委內瑞拉再度因網路攻擊上演大停電,這一次首都亦未能倖免,全境陷入“末日”一般的悲慘世界;

2019年11月,印度獨立網路核電站Kudankulam遭遇疑似朝鮮APT組織Lazarus攻擊,據傳攻擊已滲透至核心系統;

2019年12月,IBM披露中東工業和能源行業,遭伊朗APT34(Oilrig)惡意資料擦除軟體ZeroCleare的“摧毀型”攻擊;……

更為值得注意的是,當前這一網路空間最大威脅,這一大國博弈的“御用手段”——高階持續性威脅(APT),還將其攻擊目標鎖定在關鍵基礎設施等高價值目標之上,這不得不引發我們的高度重視。

更令人唏噓的是,在如此強勢攻擊之下,我們還發現傳統單一、片面式的網路安全防護理念與手段,早已難以有效應對。

因時而變,隨勢而制。當前,在應對APT組織及其攻擊時,我們需要新的觀念、新的思路、新的打法、新的模式、新的方案。

具體而言,我們需要從統一感知、整體協防的網路安全新理念出發,以安全大資料、知識庫和安全專家為核心,以安全運營、威脅分析、漏洞管理為抓手,以實戰攻防、能力建設為保障的雲原生的網路安全服務體系,需要新一代全新的安全解決方案。

這將是關係整個網路空間安全的重要需求,也是關係一國國防安全的重要保障。

相關文章