不知道前阵子大家有没有关注一条新闻,那就是 360 发布了一条报告,披露了美国国家安全局( 以下简称 NSA )针对全球发起的大规模网络攻击。



根据 360 这边的说法呢,那美帝主义亡我之心不死,从 2010 年起 NSA 就在不停地对中国进行网络攻击。

是的,这次 NSA 可不是像棱镜门那时候一样,只是针对美国国内的大公司大企业了,而是把黑手伸向了全球各地。



差评君在看到这个新闻后,就托关系联系了 360 安全部门的大佬打听了一下这个事儿,顺便也想借此机会给大家讲讲其中的来龙去脉。

首先呢,我们来讲讲啥是网络攻击。

它是一种通过未经授权访问计算机系统来窃取、暴露、更改、禁用或者破坏信息的恶意行为。



比如浏览器攻击、暴力破解、分布式拒绝服务攻击( DDoS )、蠕虫病毒、恶意软件等等,都属于网络攻击的一部分。

你电脑中了病毒,或者上了钓鱼网站,或者下载了特洛伊木马软件,都属于是被网络攻击了。

这些都是我们平时有机会遇到的,属于随机目标的网络攻击,并没有特别的针对性。



而那些黑客组织就不一样了,这些人会盯着一些大网站、大公司进行攻击,破解它们的网络防护,窃取信息,目的基本上都是为了钱或者 “ 炫技 ” 。

比如前阵子最跳的 Lapsus$ 组织,接连攻击了英伟达、 Okta 、微软等公司,并且从中牟利,顺带还让自己出了一波风头。



当然,这样高频作案的下场就是被警察盯上,然后牢饭伺候。



这些黑客组织虽然厉害,但是和 NSA 这种国家机构旗下的黑客组织根本没法比。

比如 NSA 的网络武器,被 360 冠上了 “ 最强 ” 这个称呼。



因为 NSA 的网络攻击是无差别攻击。

由于人力原因,那些民间黑客组织往往目标明确,就盯着土豪使劲黑。

而对于 NSA 来说,整个互联网上的网民,都是属于它的猎物。



360 的专家说, NSA 的网络攻击基本上是荤素不忌,属于 “ 广撒网、狠捕捞 ” 的类型。

NSA 的黑客攻击实施者在接到指令后,首先会对目标进行网络定位。

以前这个定位方式主要是依靠特定 IP 地址,相对来说比较麻烦。

现在则是可以通过电子邮箱、社交网络、引擎搜索、视频网站、游戏平台乃至图书文档等各种渠道的账号进行远程定位。

像是雅虎、脸书、 Hotmail 、 Youtube 、 Twitter 、 QQ 等聊天工具都包括在内。



以上这些平台用户都数以亿计,基本上涵盖了全世界范围内的所有网民,只要你有这些平台的账号,就有可能被 NSA 的定位。

你能想象吗?也许你社交平台账号可能没有几个粉丝,但远在美国的 NSA 却早就偷偷 “ 关注 ” 了你,只是你不知道而已。

在定位之后, NSA 并不会马上发起攻击,而是会全面监控攻击目标的上网终端和账号,分析流量、通讯内容等。



大概就是,你只是在 QQ 上发了一张图、在群里水了几句话,这些信息都会被打包传送到 NSA 的大数据中心进行分析。

为的是啥呢?

如今我们的生活和互联网高度绑定,我们在网络上留下的信息都是相应的 “ 证据 ” 。

经过大数据中心完整的统合分析,很容易就能还原出一个人的个人身份信息、地理位置、工作情况甚至生活习惯。

NSA 就会挑选政府、科研机构人员等在他们眼中 “ 有价值 ” 人出手。

NSA 会通过 Quantum ( 量子 )攻击系统会对这些目标的流量加入带有恶意代码的流量,在受害者的上网终端( 电脑、手机等设备 )植入专属后门程序,对信息和数据进行盗取。



并且,这样的网络攻击目前已经实现了规模化、自动化和人工智能化,人力成本极具压缩的情况下,效率和威胁却大大提升了。

而且美国那边类似的机构到处进行网络攻击这种事情也不是第一次发生了。

无独有偶, 360 同样披露过美国的中央情报局( 以下简称 CIA )对于中国乃至全球范围的网络攻击, CIA 的行动甚至可以追溯到 2008 年。



像 CIA 这种国家级机构发起的网络攻击,就有一些不同了,它们的针对性更强,甚至针对不同的设备会使用不同的网络攻击武器。

手机、电视、电脑,你能想到的一切可以联网的设备,都无法逃过它的攻击,而且它们的攻击方式各不相同。

2017 年 3 月 7 日,维基解密公布了 8700 份文件,这些文件都归属于 CIA 代号 “ Valult 7 ” 的项目。



这些文件之中有一个叫 “ 哭泣的天使 ” ( Weeping Angel )的网络攻击武器,专门针对三星 F8000 系列的电视机。



它的工作原理是在电视机上造出一个假的关机界面,让用户以为电视已经关机。



实际上,电视机会被秘密地转成收录音频模式,监听屋主的日常信息,并且在下一次开机联网之后将资料传送到 CIA 的服务器上。

如果家里进了贼,没准人家 CIA 发现得比屋主都要早。

另外,手机操作系统经常会有一些 “ 零时差漏洞 ” ,也就是还没有补丁的安全漏洞。



一些人在发现漏洞后,会报告给系统开发商,然后系统开发商就会发布相应的补丁。

可这对于黑客来说却是千载难逢的机会,简直是大门敞开随便进,会盯着这个未知漏洞发起攻击,这种攻击也叫作 “ 零时攻击 ” 。

而且这类漏洞由于没有被发现的先例,大多数杀毒软件和防火墙是无法发现被攻击的。

CIA 可以攻破大部分知名防病毒软件 ▼



据说在黑客界,掌握 “ 零时差漏洞 ” 的数量多少,就决定了一个组织的地位。

维基解密的资料显示, CIA 在当时掌握了 24 个安卓系统的零时差漏洞。



这种漏洞一般黑客掌握一个就能引起很大麻烦了,而 CIA 居然有整整 24 个,这妥妥的就是黑客界的扛把子了。

它可以让 CIA 随意阅读三星、 HTC 、索尼和其他品牌手机上的 WhatsApp 、 Signal 、 Telegram 、微博上的记录,并且收集其中的音频和信息。



此外 CIA 还有一个专门针对 iPhone 和 iPad 的小组,可以确定使用者的位置、启动设备照相机和录音器,并且阅读讯息。



电脑操作系统自然也是他们的重点攻击目标。



CIA 和 NSA 攻击的主要目标是我国的航空航天、科研院校、石油行业、大型互联网公司以及政府机构。

尤其是航空航天与科研院校的技术开发人员,根据 360 的调查, NSA 曾经对他们进行持续性的定向攻击控制。



为的是啥?自然就是这些高精尖科技领域的机密技术。

这其中随便一项技术的失窃,就足以给国家带来数十上百亿的损失,甚至可以说这不是用钱可以衡量的东西。

也许你会问,既然它能造成这么大的损失,为啥不早点揭露呢?

在大多数时候,网络攻击很难溯源,因为黑客在攻击时,往往进行一些 “ 假旗行动 ” 做伪装,把目标引导向别的组织或者国家进行嫁祸。



除非是像之前的 Lapsus$ 一样想出名,不然他们是不会主动暴露自己的。

而每天针对我国各种大公司大企业的网络攻击数量很多,不可能一个个全都认真筛查过去,真这么做的话可能查的速度还没人家攻击的速度快。

其实 360 在这些年里早就锁定了目标,他们陆陆续续地发现了几十个境外黑客组织,这些组织被称为 APT ( 高级持续性攻击 )组织。



每一个组织都有特定代号,但是之前只能大概确定这些组织的位置来源,却无法明确地识别它们是个人组织还是有外国国家背景。

比如 360 在 2019 年就已经发现了方程式组织对我国的定向攻击,并且发布了报告。



可直到今年,得益于大数据的全面应用, 360 经过对它的网络攻击进行分析,才最终确认它从属于 NSA 。



如今的国家博弈之中,网络战的重要性不言而喻。

比如俄罗斯和乌克兰的战争之中,就有它的身影。

在俄罗斯发动特别军事行动之前,乌克兰政府有数百台重要的计算机上发现了一款新型的恶意软件,可以直接擦除计算机上的数据。



这些数据如果被擦除,极有可能引发大量军事设施、城市设施的大面积失灵。

那些被发现的网络攻击其实并不可怕,可怕的是那些潜伏在各个系统中的攻击手段。

一旦它们运作起来,将超越虚拟层面,直接对现实造成影响,比如在瞬间就可以让一座城市陷入瘫痪。

为了防患于未然,这几年来国内大量顶尖的网络安全公司都在帮忙建设国家级别的监测与防护方案。



这些公司的防护,就相当于在整个国家的互联网上筑起了一道防火墙。



说实话, “ 万物互联 ” 是一个非常美好的构想,但总架不住有些 “ 客人 ” 就是不怀好意地 “ 上门 ” 来的。

我们是社会人,但同时更是互联网人,在现实生活中,战争离我们很远。

但在互联网上,那些数据洪流卷起的战争,一直在持续。