当你能够突破重围,就能连接一切
2020-06-03
【导读】近日,伴随美国与俄罗斯在政治、军事等多维度持续“较量”之下,双方在网络空间的“明争暗斗”也逐步升级。上周四,美国国家安全局(NSA)重磅发布安全通告称,自2019年8月以来,俄罗斯军事情报局GRU旗下的APT组织Sandworm,正利用CVE-2019-10149高危漏洞持续攻击全球Exim邮件服务器。按往常,相关机构发布黑客攻击邮件服务器的警告本为“小事”,然而当这份警告来自美国家安全局(NSA),且直指另一大国的APT组织时,一切就不再简单。此事背后,所凸显的正是:“高级持续威胁(APT)已成为当前网络空间的最大威胁”这一中心论断。
Exim:一款全球广泛使用的开源邮件传输代理服务器软件,主要用于将电子邮件从发件人中继到收件人,是Exchange和Sendmail等较大代理厂商的替代产品。
该软件基于GPL协议开发,常运行于类UNIX系统,有关数据显示,截至2019年6月全球约有57%的互联网电子邮件服务器都在运行Exim。
然而,就在2019年6月,Exim服务器软件被曝存在一个高危远程命令执行漏洞CVE-2019-10149。该漏洞可允许本地或者远程攻击者以Root身份在目标服务器上执行恶意命令。
尽管该漏洞在去年已被修补,但当下网络中仍存在诸多邮件服务器系统并未及时打补丁。
美国国家安全局(NSA)发布重磅安全通告
全球Exim邮件服务器遭俄罗斯黑客攻击
近日,美国国家安全局(NSA)重磅发布安全通告称:俄罗斯军方黑客组织已利用CVE-2019-10149漏洞,攻击全球Exim邮件服务器长达数月之久。
据悉,在这起攻击中黑客组织可拦截所有传入邮件并查阅历史邮件存档,并通过向受害服务器添加特权账户、禁用网络安全设置,进一步运行恶意脚本,直至控制目标网络。
尽管通告中并未明确受害范围,但因中招服务器可以作为黑客组织扩大攻击面的枢纽点,故而这类攻击一旦蔓延开来,必将给全球网络带来难以估量的损失。
前美国家安全局(NSA)黑客、安全公司Rendition Infosec创始人杰克·威廉姆斯评价称:
当黑客突破防线,它就能连接一切
鉴于这一攻击强大的破坏性,美国国家网络安全局(NSA)呼吁相关部门尽快做好防御措施,抵御此类攻击:
私人和政府组织应立即将其Exim服务器更新至4.93版本及以上版本
管理员应立即部署相关漏洞补丁修补程序,删除Sandworm后门
梳理流量日志以检查是否有被攻击的痕迹,并立即对网络进行分段,避免攻击者扩大攻击范围
SandWorm黑客组织被指为幕后主使
高级持续性威胁APT成大国博弈御用手段
关于这起攻击的发起者,据NSA发布的文件称,幕后主使正是俄罗斯军事情报总局GRU旗下的王牌APT组织——Sandworm。自2000年代中期以来,该组织便一直活跃在各国网络空间国防高地的“大后方”。
资料显示,2015年12月、2016年12月,SandWorm使用BlackEnergy恶意工具瘫痪了乌克兰的电力设施,导致乌克兰当地大面积断电,遭遇其史上的至暗时刻。此外,美国情报方面还一度认为SandWorm曾参与到“破坏”2016年美国总统大选的黑客大案中。
2017年,SandWorm又被指开发臭名昭著的NotPetya勒索软件,针对乌克兰政府、金融和能源机构发起大规模攻击。几个小时内,该软件从乌克兰政府办公室迅速扩散到了全球网络,超过200000台计算机被感染,可以说制造了一场威力丝毫不亚于WannaCry的“噩梦”。
从钳制敌对国关键基础设施,到干涉一国总统大选,再到攻入全球计算机网络,可以说,APT组织SandWorm早已成为俄罗斯应对大国网络攻防的重要“先锋兵”。
尤其,在面临美国大选的这一关键时期里,FireEye情报总监霍特奎斯特曾特别强调说:
选举指日可待,要时刻谨防他国APT组织的攻击。尤其考虑到SandWorm 组织过去曾参与过与选举有关的黑客攻击,因此,涉及该APT组织的任何动态须保持高度警惕。
智 库 时 评
如开篇所言,相关机构发布黑客攻击邮件服务器的警告似乎为“小事”,但当它与大国、与APT组织、APT攻击相关联时,一切将变成“未知”。
众所周知,高级持续性威胁(APT)具备攻击手段高超、攻击链条复杂、持续时间长等得天独厚的攻击条件,尤其在近些年来,大国网络空间战上,成为重要攻击方式:
2019年4月,外媒曝光俄罗斯背景组织APT28(FancyBear)攻击乌克兰2019年大选活动;
2019年7月,委内瑞拉再度因网络攻击上演大停电,这一次首都亦未能幸免,全境陷入“末日”一般的悲惨世界;
2019年11月,印度独立网络核电站Kudankulam遭遇疑似朝鲜APT组织Lazarus攻击,据传攻击已渗透至核心系统;
2019年12月,IBM披露中东工业和能源行业,遭伊朗APT34(Oilrig)恶意数据擦除软件ZeroCleare的“摧毁型”攻击;
……
更为值得注意的是,当前这一网络空间最大威胁,这一大国博弈的“御用手段”——高级持续性威胁(APT),还将其攻击目标锁定在关键基础设施等高价值目标之上,这不得不引发我们的高度重视。
更令人唏嘘的是,在如此强势攻击之下,我们还发现传统单一、片面式的网络安全防护理念与手段,早已难以有效应对。
因时而变,随势而制。当前,在应对APT组织及其攻击时,我们需要新的观念、新的思路、新的打法、新的模式、新的方案。
具体而言,我们需要从统一感知、整体协防的网络安全新理念出发,以安全大数据、知识库和安全专家为核心,以安全运营、威胁分析、漏洞管理为抓手,以实战攻防、能力建设为保障的云原生的网络安全服务体系,需要新一代全新的安全解决方案。
这将是关系整个网络空间安全的重要需求,也是关系一国国防安全的重要保障。