美国网络空间攻击与主动防御能力解析
——利用无线信号通信的网空攻击装备
2018-10-31安天研究院
◎安天研究院
在之前的几期文章中,我们分别展开介绍了美国国家安全局(NSA)和中央情报局(CIA)的多类用于不同攻击作业环节的网空攻击装备,包括突破物理隔离、持久化控制、漏洞利用、命令与控制等,揭示了美方在这些网空作业环节中的强大能力。这些装备的传播、通信、控制大多依赖于目标原有的网络或常规的移动介质,而在本期中,我们将介绍美方的一类不依赖目标网络,而是利用无线信号实现信息传递,进而绕过多数网络安全防护手段,实现信息窃取或内网渗透的网空攻击装备。
德国《明镜周刊》曾曝光了一份长达50页的资料,包含NSA的各类攻击装备共48个,其中绝大部分装备都出自NSA下属先进网络技术部(Advanced Network Technology, ANT)之手。在的相关文件中,有一组用于室内监控的网空攻击装备名为“愤怒邻居”(ANGRYNEIGHBOR),功能包括计算机屏幕监控、识别定位、键盘记录和音频捕获等。
ANGRYNEIGHBOR系列装备包括射频发生模块、射频反射模块、解调处理模块等,利用电磁波进行数据传输。射频反射模块能够对不同类型的信息进行采集,通过接收射频发生模块产生的射频信号,以特定的方式对信号进行调制,然后将调制后的信号重新返回给射频发生器,通过这种方式将获取的信息传递出去。射频发生器再将获取的信号进行处理或交给解调处理模块,恢复出屏幕内容、击键信息、音频内容以及识别定位信息等。该系列装备可以用于无法或者极难利用网络收集和处理信号的场景中,据已披露的资料显示,相关装备曾被美方用于对外国使馆和外交人员的监视计划中。
射频发生模块主要包括CTX4000和 PHOTOANGLO。CTX4000是 一种便携式的连续波雷达单元,不仅能够产生用于辐射目标系统的连续波信号,而且能够对重新辐射回来的信号进行收集并恢复出信息。PHOTOANGLO是一个NSA与英国情报机构政府通信总部(GCHQ)联合项目,用于开发取代CTX4000的雷达系统,根据披露的资料显示,从2008年9月开始,CTX4000被 PHOTOANGLO替换。PHOTOANGLO同样具有产生连续波并接受返回信号的能力,同时PHOTOANGLO的重量非常轻,只有不到10磅(约4.5公斤),可以安装在小型的公文包中。
图1 NSA-ANT “愤怒邻居”系列装备关系示意图
射频反射模块主要包括RAGEMASTER,TAWDRYYARD,SURLYSPAWN,LOUDAUTO,分别用于计算机屏幕监控、识别定位、键盘记录和音频捕获等。当射频反射模块接收到射频发生模块发出的射频信号后,能够对信号进行调制,并将调制后的信号重新发送回射频反射模块。RAGEMASTER用于收集目标计算机屏幕上显示信息,通常隐藏在连接主机和显示器的VGA视频线中。TAWDRYYARD用于识别和定位已经部署的RAGEMASTER,作用半径达到50英尺(约15米)。TAWDRYYARD的功耗很低,能够依靠纽扣电池运行数月甚至数年。同时,由于其设计简单,因此可以按照需求定制外形。另据披露的资料显示,其后续可能加入返回GPS定位的功能。SURLYSPAWN用于收集目标键盘的输入信息,同样不需要安装任何恶意软件,而是隐藏在键盘的数据线中,兼容USB和PS/2。LOUDAUTO能够用自带的麦克风收集音频,声音采集的有效距离超过20英尺(约6米),同样能够按需求定制外形。
解调处理模块NIGHTWATCH是整个架构的重要组成部分,是一款便携式计算机,专门用于精确重建所捕获的计算机屏幕信号,输出视频以供间谍人员查看目标设备显示的内容。该设备恢复的视频信号来自CTX4000和PHOTOANGLO等雷达单元,也可能由其他的接收器产生。另外据曝光的资料显示,当时ANT正在设计VIEWPLATE以逐步取代NIGHTWATCH系统。
在泄露的ANT相关资料中,还有一款名为“火行”(FIREWALK)的攻击装备。FIREWALK是一款双向网络植入物,隐藏在双层RJ45/USB连接器中,能够被动收集千兆以太网流量,还能够按照指令过滤流量和向网络中注入数据包。FIREWALK除了能够利用目标网络进行通信外,还具有射频收发功能,能够与其他射频收发装备建立无线通信(例如与我们之前介绍过的“吼猴” HOWLERMONKEY),甚至能够与其他射频收发装备建立多跳连接,扩大通信范围。此外,我们在之前文章中介绍过的“水腹蛇-1”(COTTONMOUTH-I) 也是ANT的一款具有无线通信能力的攻击装备,隐藏在USB接口中,攻击者可以通过无线信号访问目标设备所在的网络。
CIA同样开发了大量能够利用无线信号通信的网空攻击装备。在维基解密曝光的包含大量CIA网空攻击装备资料的“7号军火库”(Vault 7)中,包含了一组针对苹果设备的攻击装备名为“暗物质”(Dark Matter),其中的“夜空”(NightSkies)是一款固件植入程序,专门针对新出厂的苹果手机,通过物理接触安装。该装备能够让CIA作业人员实现对手机的完全监控,包括进行信息窃取、监听等。Vault 7中的另一款装备“摩天大楼”(Highrise)则针对安卓手机,披露的功能包括短信的窃取和远程控制等。通过这些装备,CIA能够对重要目标的手机进行控制,利用手机的无线信道通信,获取关键信息。
另一个具有代表性的装备是CIA的“哭泣天使”(Weeping Angel)。Weeping Angel是一款恶意软件,针对三星智能电视,通过物理接触植入,能够利用电视的麦克风实现录音和窃听,并通过Wi-Fi通信实现实时监听。由于披露的资料年代较早,并且基于美方网空攻击装备全平台、全能力的特点,可以合理地推测认为美方可能对大量智能硬件设备都进行了针对性地开发和适配。
这些网空攻击装备的植入、通信、控制均不依赖目标网络,而利用无线信号进行信息窃取或内网渗透,实现对多数现有网络安全防御手段的绕过。也因此,相应的软硬件装备(尤其是硬件装备)向目标系统或设备的植入,需要更多地依靠物理接触的方式。美方依靠其强大的IT产业优势,形成了供应链上游的控制能力,同时结合其情报机构在人力近场作业方面的能力专长,形成了对更多场景的信息获取和渗透能力。此外,由于隐蔽性需要,硬件装备的体积需要足够小,使用时间要足够长,因此无线信号的发射功率通常也较小,这也要求这类装备在成功部署后的使用过程中,依然需要依赖人力进行近场作业。这就对防御方的供应链安全保障和反人力情报作业能力提出了更高的要求。
在后续的文章中,我们将对美方的网空攻击装备体系进行分析总结,对美方未来的网空作业能力进行预测,敬请期待。