【文/觀察者網(wǎng)專欄作者 李柏松】

作為一名網(wǎng)絡(luò)安全從業(yè)者，我已經(jīng)在安天從事了23年威脅分析工作。而這些年來最難忘的，是如何和同志們一起與最高水平的威脅斗爭。這些威脅來自大洋彼岸。

工作起點和軌跡

安天對美方情報機構(gòu)APT（高級持續(xù)性威脅）攻擊活動的分析，始于對“震網(wǎng)”事件的快速跟進(jìn)。2010年7月，美、以情報機構(gòu)聯(lián)合攻擊伊朗工業(yè)基礎(chǔ)設(shè)施一事被曝光。我們快速搭建模擬環(huán)境、還原“震網(wǎng)”作用機理，并在分析其USB擺渡控制條件機理等方面形成了特別分析成果。但當(dāng)時，我們并未更深刻地從網(wǎng)絡(luò)空間軍事化的風(fēng)險來看待“震網(wǎng)”事件，還只是將其作為工業(yè)場景安全的新型“技術(shù)風(fēng)險”來看待。

直到我們試圖把“震網(wǎng)”攻擊和代號為“巴比倫行動”的以色列空軍偷襲伊拉克核反應(yīng)堆這樣的軍事行動進(jìn)行對比時，我們才意識到美方打開了潘多拉魔盒，即用網(wǎng)絡(luò)攻擊達(dá)成了傳統(tǒng)戰(zhàn)爭行動的局部等效性。

從“震網(wǎng)”的機理還原到與“毒曲”的同源關(guān)聯(lián)，再到針對“火焰”蠕蟲眾多模塊的馬拉松式的接力分析，我們在兩年多的時間里幾乎消耗了全部高級分析人力，但依然不能完成所有模塊與分支的分析工作。我們的國際同行卡巴斯基也對“火焰”給出了“攻擊機制最復(fù)雜、威脅程度最高的計算機病毒之一，其結(jié)構(gòu)復(fù)雜度是‘震網(wǎng)’病毒的20倍?！钡脑u價。

我們意識到，面前是多套史無前例的龐大超級惡意代碼工程體系。直到2019年，我們才基本完成了承載“震網(wǎng)”“火焰”“毒曲”“高斯”這一系列攻擊背后的惡意代碼工程體系全貌繪制。

2012年后，我們開始分析一組更為隱蔽的攻擊，這是更為復(fù)雜的平臺化樣本，通訊指令完全加密。憑借分析“震網(wǎng)”系列積累的經(jīng)驗，我們克服了挑戰(zhàn)，完成了多種平臺的樣本分析，包括此前從來沒有遇到過的Sun Sparc架構(gòu)（Solaris系統(tǒng)）樣本、破解加密方式、還原控制指令集合等。

有些遺憾的是，多方面因素導(dǎo)致我們無法第一時間公布這些分析成果。直到國際同行將相關(guān)攻擊組織命名為“方程式”，并披露了其Windows平臺樣本后，我們才陸續(xù)公開了我們對Solaris、Linux、iOS等平臺的樣本分析結(jié)果。

卡巴斯基的分析成果也帶給我們之前未分析的一個能力點，那就是“方程式”的面對硬盤固件的持久化能力。面對多種多樣的硬盤型號，公司嵌入式安全部門的同事和高校聯(lián)合研究者都來加入分析隊伍，大家按照硬盤品牌分工協(xié)作，開發(fā)了4種主流品牌的硬盤固件提取工具。而威脅分析工作重要魅力也在于，我們會不停地遇到全新的場景和挑戰(zhàn)。

載荷的全平臺覆蓋能力

在這個工作階段，我們關(guān)注的重心是圍繞組件化樣本結(jié)構(gòu)、0day漏洞的儲備積累的組合運用、復(fù)雜的加密機制、更深度的持久化能力等，整體上還停留在面向惡意代碼和作用機理技術(shù)分析層面。2013年，斯諾登事件爆發(fā)，美國情報機構(gòu)NSA的大量內(nèi)部文檔在幾年內(nèi)被陸續(xù)曝光。我們意識到，我們面對的威脅行為體是一個龐大的冰山，我們過去的分析工作其實是其水面之上的部分。

而其基于覆蓋全球信號情報獲取能力，由“棱鏡”“核子”“碼頭”等系統(tǒng)組成的“星風(fēng)”體系，構(gòu)建了全球網(wǎng)空地形測繪和覆蓋性目標(biāo)畫像能力，建立了以“湍流”為代表的進(jìn)攻性能力支撐體系，支撐起了具有精準(zhǔn)定位能力、高度隱蔽性和反溯源能力的“21世紀(jì)信號情報框架”。數(shù)十個相互關(guān)聯(lián)的工程體系，組成了美方網(wǎng)空攻擊活動的巨大支撐體系。更是基于集成建設(shè)的IC Clouds（情報云），匯聚從人力、電磁到網(wǎng)絡(luò)空間獲取和竊取的海量數(shù)據(jù)，形成了情報的富集效應(yīng)。

這些則是冰山的水面之下的部分，也是其霸權(quán)體系的一個組成部分。正如我的同事、安天創(chuàng)始人肖新光同志指出的：

“其情報活動和作戰(zhàn)都已經(jīng)有一套成熟的、漸進(jìn)的體系，APT是這個體系眾多手段中的一個，因此也必然帶有其固有特色和痕跡。”

為此，2015年后，我們開始用“超高能力網(wǎng)空威脅行為體”來指代美方NSA等情報機構(gòu)，并使用A²PT（即高級的高級持續(xù)性威脅）來標(biāo)識其攻擊活動，以將其和其他威脅行為體的定向攻擊活動加以區(qū)別。同時，也提醒我們自己，對抗和分析這種攻擊能力會有多么困難。更進(jìn)一步的難點，則是閉合溯源、完整復(fù)盤其某次攻擊行動。由于有大量的外設(shè)、電磁中繼等支持，且很多攻擊活動可能并不在互聯(lián)網(wǎng)側(cè)閉合，因此其也很難在TCP/IP層面完整復(fù)盤。我們只能努力分析已經(jīng)獲得的每一個樣本和線索，等待更好的時機。

幸運的是，2017年4月14日，名為“影子經(jīng)紀(jì)人”的攻擊組織曝光了一批與NSA相關(guān)的數(shù)據(jù)，其中有一個名為“SWIFT”的文件夾引起安天工程師們的注意。經(jīng)分析發(fā)現(xiàn)，這些數(shù)據(jù)是NSA在入侵中東最大SWIFT金融服務(wù)提供商EastNets（位于阿聯(lián)酋迪拜）時記錄的相關(guān)文檔和日志。我們可以把此前對惡意代碼樣本和攻擊戰(zhàn)術(shù)的歷史分析成果作為珍珠，而把相關(guān)的日志線索拼接在一起，就可以組成一條溯源的“珠鏈”，完整復(fù)盤還原美方攻擊跳板、目標(biāo)場景環(huán)境、攻擊作業(yè)路徑、攻擊裝備清單和運用、戰(zhàn)術(shù)過程和作業(yè)后果。

為了讓公眾更好地理解這個復(fù)雜的攻擊過程，我們還做了一份完整的可視化呈現(xiàn)。每一次分析啟動，都是分析工程師團隊連續(xù)作戰(zhàn)的不眠之夜。但分析成果形成后，卻往往無法第一時間發(fā)布。分析的工作就是戰(zhàn)斗—等待—再戰(zhàn)斗—再等待。這份報告最終在2019年6月正式公開發(fā)布。

我們已經(jīng)形成完整的分析框架方法，能夠從攻擊裝備、攻擊戰(zhàn)術(shù)、攻擊支撐基礎(chǔ)設(shè)施等角度，全面分析美方的網(wǎng)絡(luò)攻擊活動，開始以更加深入廣泛的視角審視美方網(wǎng)絡(luò)攻擊活動背后的國家意志之手。

點名、打壓與我們的應(yīng)對

當(dāng)我們回頭看這些工作，以及在這些過程中相關(guān)的風(fēng)雨時，我們才意識到，在這樣一個抽絲剝繭、穿透迷霧的漫長艱辛過程中，盡管我們的初衷是通過分析工作洞悉威脅、守護(hù)客戶的安全、推進(jìn)防御技術(shù)的改善，但我們所觸動的卻是難以想象的龐然大物。

2010年，當(dāng)我們從安天實驗室開始走向企業(yè)化運行的軌跡時，我們設(shè)想的是：憑借十年磨礪出的反病毒引擎，做全球網(wǎng)絡(luò)安全產(chǎn)業(yè)的檢測能力的上游供應(yīng)者。從網(wǎng)關(guān)設(shè)備的檢測引擎出口美國、日本等發(fā)達(dá)國家，到移動端反病毒引擎廣泛地展開國際合作，我們自以為在國際市場上已經(jīng)站穩(wěn)了腳跟。特別是在2012年到2014年，我們的移動引擎從首次獲得AV-TEST月度測試第一名，到獲得年度最佳獎項。我們特別堅信，憑借技術(shù)優(yōu)勢，我們有望能成為網(wǎng)絡(luò)安全領(lǐng)域的“聯(lián)發(fā)科”。

但從2013年開始，安天在美業(yè)務(wù)突然阻力重重。合作伙伴的法務(wù)部門告知我們，他們不能再使用來自中國的反病毒引擎。此時，我們才關(guān)注到，2012年美國會“美中經(jīng)濟與安全審查委員會”舉行了首次所謂“中國網(wǎng)絡(luò)安全問題”的聽證會，但此時我們還有所不知的是，安天已經(jīng)成為一類重點關(guān)注對象。

2015年，當(dāng)我們還在為Cybersecurity Ventures全球網(wǎng)絡(luò)空間安全創(chuàng)新500強首次榜單排名95（是排名最高的中國廠商）而有些許自豪時，就驚詫地從一份斯諾登泄露的文檔中看到了安天的名字，美國國家安全局（NSA）和五眼聯(lián)盟（美、英、澳、加、新情報共享機制）秘密實施“拱形計劃”（CamberDaDa），著手監(jiān)控卡巴斯基等全球23家有能力發(fā)現(xiàn)和溯源威脅的安全企業(yè)，安天作為中國唯一企業(yè)“赫然上榜”。CamberDaDa計劃始于2010年，正是我們聚焦“震網(wǎng)”分析的那一年。

這份泄露文檔，再次印證了美國情報機構(gòu)和其他“五眼”國家情報機構(gòu)通過入侵全球運營商等方式，在網(wǎng)絡(luò)側(cè)構(gòu)建廣泛監(jiān)聽能力。而這份文檔的主標(biāo)題《An Easy Win》正是NSA基于這套機制，在信道側(cè)獲取網(wǎng)絡(luò)攻擊受害者發(fā)送給網(wǎng)絡(luò)安全廠商的郵件，來判斷自己的攻擊活動是否暴露，以及分析目標(biāo)主機遭遇到的其他網(wǎng)絡(luò)攻擊，是否可以劫持利用。

斯諾登曝光文檔中的一句話說明了該秘密計劃的目的，“類似卡巴斯基反病毒軟件的這類安全產(chǎn)品持續(xù)對英國政府通信總部（GCHQ，英國情報機構(gòu)）的行動能力構(gòu)成挑戰(zhàn)，而軟件反向工程的目的就是要一直跟蹤此類軟件的能力，否則我們的行為將被檢測到?！?

出于職業(yè)習(xí)慣，在威脅分析對抗中，我們一直都努力保持著冷靜。但這一次，我們感到了震驚和憤怒。我們發(fā)出了聲明：“我們認(rèn)為監(jiān)聽惡意代碼受害者的求助郵件，以圖達(dá)成某種利益和優(yōu)勢的操作，是一種卑劣的行為?！?

但拋開憤怒，我們的聲明中更多的還是從國際合作與全球網(wǎng)絡(luò)安全行業(yè)發(fā)展的視角做出警示：

“有關(guān)情報機構(gòu)把自身所在國家以外的國際反病毒和安全廠商視為自己全球攻擊、監(jiān)聽活動的絆腳石，同時又與自己國家的安全廠商微妙互動，這是強行在反病毒和安全廠商中劃分出陣營。這種思維一旦擴散下去，必將導(dǎo)致各國艱難形成的安全產(chǎn)業(yè)協(xié)作和應(yīng)急協(xié)同機制蕩然無存，也將顯著傷害全球其他國家用戶對相關(guān)情報機構(gòu)所在國家的安全廠商的基本信任，最終迫使網(wǎng)絡(luò)安全產(chǎn)業(yè)徹底回到‘籬笆’劃定的地緣經(jīng)濟之中”。

作為中國應(yīng)急響應(yīng)體系中積極參與國際合作的重要企業(yè)節(jié)點，我們的內(nèi)心是非常珍視國際反病毒業(yè)界的協(xié)同機制和全球網(wǎng)絡(luò)安全產(chǎn)業(yè)的分工協(xié)作的。但當(dāng)有人撕裂世界，則陣營化已經(jīng)不可避免。

防御A²PT攻擊是巨大的挑戰(zhàn)，而曝光A²PT攻擊同樣是巨大的挑戰(zhàn)。中國不僅僅是網(wǎng)絡(luò)攻擊的受害者，在西方所把持的國際輿論場中，中國是一個弱勢方。我們的聲音難以被重視，發(fā)布報告揭露外方攻擊威脅的工作，國內(nèi)較長時間中，并沒有獲得廣泛的重視和支持。

因此，我們對“方程式”的先發(fā)的兩篇重要分析成果（組件木馬和加密協(xié)議分析），是一直等待到卡巴斯基曝光后，才非常謹(jǐn)慎地選擇以純技術(shù)報告的方式發(fā)布。特別是，在2015年5月，我們和國內(nèi)同行直接點名某外方威脅分析報告先后發(fā)布，但都遇到若干波折。導(dǎo)致之后幾個月，國內(nèi)業(yè)界有些灰心和沉寂。

工作轉(zhuǎn)機很快到來，2016年419的網(wǎng)信工作座談會，擘畫出網(wǎng)絡(luò)安全工作的戰(zhàn)略目標(biāo)和宏偉藍(lán)圖。2016年4月底，肖新光同志作為中方產(chǎn)業(yè)界代表，參加了網(wǎng)絡(luò)空間安全主題的國際論壇，并有機會公開發(fā)表技術(shù)報告。我們決定要揭露美方情報機構(gòu)等對中國的APT攻擊活動，并給報告確定了一個很文藝的名字——“熊貓的傷痕”。

這是中國技術(shù)專家首次在國際論壇上正式披露相關(guān)內(nèi)容。同志們都很關(guān)注報告的效果，等到了他那邊的晚上時間，我語音呼叫問他報告是否順利。他用硬擠出來的極為微弱的聲音說“效果很好”。報告結(jié)束后，可能是長時間積累的壓力的瞬間釋放，他咽部突然水腫，呼吸非常困難。他回到賓館后，就在衛(wèi)生間吐了一口血。他對我說“肺子沒事兒，是嗓子毛細(xì)血管都破了”。

安天實驗室報告封面“熊貓的傷痕”

此后，我們一鼓作氣，迅速組織發(fā)布了另外兩篇重要的分析成果，復(fù)盤了美國情報機構(gòu)樣本的全平臺覆蓋能力、繪制了其執(zhí)行殺傷鏈的功能模塊地圖。

2016年12月，美國網(wǎng)絡(luò)安全機構(gòu)NetScout發(fā)文，對中國網(wǎng)絡(luò)空間安全協(xié)會（CSAC）的成員組成進(jìn)行分析，其中專門解析了安天，既肯定了安天對方程式組織的分析成果的價值，又將安天定義為“新代言人”（指中國政府的）。也許是美方很難理解一個中國安全企業(yè)對自己國家的熱愛和與威脅對抗的本能，也許這就是一頂刻意的帽子?？傊?017年開始，安天在美國市場的所有業(yè)務(wù)與合作徹底中斷。

2022年2月，美國會“美中經(jīng)濟與安全審查委員會” 繼2012年之后再次舉行有關(guān)所謂“中國網(wǎng)空能力”的聽證會，與會美方人員建議多措并舉打壓中國網(wǎng)空能力建設(shè)。在關(guān)注的中方網(wǎng)空能力方面，會議特別點名了兩家中國網(wǎng)絡(luò)安全企業(yè)“安天實驗室和奇虎360”，“分析曝光了美國國家安全局和中央情報局的網(wǎng)絡(luò)行動”，并稱因為安天和奇虎360是中國“最古老的兩家反病毒公司”，所以他們推出這些信息可能讓民眾更加信服。相關(guān)內(nèi)容再次出現(xiàn)在了美國國會相關(guān)的年度報告中。連鎖反應(yīng)是，我們的亞洲國家的合作伙伴們也告知了我們將不再使用安天的引擎。

2024年2月，美國網(wǎng)絡(luò)安全公司SentinelOne發(fā)布報告，用低質(zhì)量的證據(jù)羅列和推理論述“中國網(wǎng)絡(luò)安全能力不足以指控美國攻擊”。報告中多次點名了安天，還有三處都直接指向了肖新光同志。SentinelOne是北約的技術(shù)支持機構(gòu)和美國國土安全部的旋轉(zhuǎn)門公司，我們從他們的報告中閱讀到了滿滿的殖民者式樣的傲慢。這也讓安天CERT梳理歷史工作，最終發(fā)布了我們的回應(yīng)報告《如何讓“鷹鷲”在迷霧中顯形》。

SentinelOne的報告中還專門引用了我們在2016年的 “熊貓的傷痕”報告封面。于是《鷹鷲顯型》報告中，我們補充了這樣的結(jié)尾——

“施害者不因施害的高明而高貴，反抗者不因反抗的艱難而卑微?！?