前NSA/CIA網絡間諜暢談史上經典網絡攻擊TTPs，建言當前俄美網絡攻防對抗可能惡化升級態勢

3月12日，POLITICO刊文，稱三位在網絡行動方面有經驗的專家-前美國NSA/CIA網絡間諜進行了采訪，以期探尋在俄烏沖突期間，美國和俄羅斯如何應對日益擴大外溢的網絡戰威脅。黑客們告訴POLITICO，他們希望華盛頓和莫斯科在如何使用數字武器時表現出謹慎態度。但就目前而言，美國最可能的做法是緩慢而謹慎地應對與俄羅斯的任何網絡沖突，同時希望俄羅斯人也這樣做。 在俄羅斯 軍事打擊 烏克蘭期間，對這兩個前冷戰對手之間的網絡戰的擔憂已成為一個反復出現的焦慮。形勢促使拜登警告說，他將“以同樣的方式回應”莫斯科針對美國的任何敵對 網絡 攻擊。 但在美國網絡戰方面有經驗的黑客人士表示，任何一方都不太可能將破壞性攻擊作為第一步——任何猛烈的打擊 之前 都會先 釋放 警告和信號。

三位前網絡間諜透露出的一些信息非常耐人尋味。

1、描述了使用華盛頓強大的黑客武器庫的復雜性。這些工具包括情報機構出于間諜目的而植入外國網絡的工具，但這些工具也可能被重新用于攻擊為軍事設施服務的設施。（ 聯想到3月14日 國家計算機病毒應急處理中心正式發布的NSA專用“NOPEN”遠程控制木馬，精巧度、復雜度、隱蔽性等超乎想象 ）

2、專注于俄羅斯的攻擊團隊擁有自己的專家，他們具有特殊的語言和技術技能，可以幫助他們了解他們所針對的網絡。研究俄羅斯目標的分析員會說俄語，其他小組中很少有人知道目標國家的國歌，但俄羅斯隊的所有人都知道。

3、伊朗可能是地球上受美國網絡力量控制最嚴重的國家之一，該國內部沒有一個網絡沒有來自美國或其他國家的情報機構的植入物。俄羅斯雖具挑戰性，是因網絡目標的規模和數量以及俄自己的黑客和反情報技能。即使如此，NSA也深深地嵌入俄羅斯的許多關鍵基礎設施中。不是說像電網基礎設施，是指基礎設施，無論是情報基礎設施還是其他。2016年之前，俄羅斯并非美網絡空間的重點對手，中國和伊朗才是。可以想象此前，中國是否如同伊朗一樣？

4、2018年，時任總統特朗普簽署命令授權，消除了間諜機構獲得白宮批準的需要時，中央情報局進行網絡攻擊的余地擴大了。中央情報局現在自己可以批準對俄羅斯、中國、伊朗和朝鮮進行網絡攻擊。這也潛在地擴大了中央情報局可以自行開展的行動類型，為以前對美國黑客禁區的銀行和其他金融機構進行攻擊打開了大門，還有類似的黑客攻擊和泄密行動。

5、有效的網絡攻擊不是自發的、機會主義的事件。攻入某些系統可能需要數月或數年的時間，然后可能需要廣泛的偵察和研究——甚至是物理訪問——來設計和實施攻擊。比如Stuxnet攻擊，以色列利用了線人將惡意程序帶入高度隔離的場所。比如被卡巴曝光的一項長達六年的行動，該行動在多個國家的路由器上植入了木馬，以監視ISIS和基地組織恐怖分子。

6、理想情況下，NSA、CIA、CyberCom之間是協同行動的，即網絡司令部的攻擊性黑客不會使用美國國家安全局和中央情報局用于情報收集的相同植入物和受損系統對目標發動破壞性攻擊，以免破壞他們的間諜能力。偶爾也有例外，Lee說他在NSA期間，網絡司令部經常利用間諜小組努力獲得的訪問權限。本來希望網絡司令部擁有自己的能力和訪問權限，但事實并非如此。

7、 最困難的部分通常不是攻入系統獲得訪問權，而是秘密地維護它數月或數年 。這也是區分高級攻擊團隊和低水平小團隊的重要標志。(這不就是APT的P嘛，能做到P才算厲害。)

中央情報局和國家安全局多年來一直在滲透俄羅斯的關鍵計算機網絡以收集情報，并獲得可以利用的訪問權限，以便對普京的政權進行破壞性網絡攻擊。

受訪者之一，是在奧巴馬政府期間擔任國家安全委員會網絡安全協調員的邁克爾丹尼爾。 “在你破壞關鍵基礎設施之前，有一些漸變/癥候 信息 ”。

（2018年6月20 日在華盛頓特區舉行的參議院情報委員會聽證會上，前白宮網絡安全協調員兼前總統巴拉克奧巴馬的特別助理邁克爾丹尼爾作證） | 亞歷克斯黃/蓋蒂圖片社

受訪者之二，是網絡安全公司 D ra gos的CEO和創始人Robert M Lee，美國會聽證會上的坐上客，公司的威脅情報平臺為CISA、NSA之御用共享平臺。此人在2015年之前在美國國家安全局從事網絡戰行動。 即使是為了應對俄羅斯對美國或北約的網絡攻擊 ，美國也很可能會避免追蹤俄羅斯公民的電力等民用目標。 相反，美國的任何行動都將是漸進的、相稱的，并旨在警告俄羅斯停止行動 。

“他們會關閉[莫斯科]的電網嗎？不，”。他補充說：“你[只是]試圖塑造行為和信號，'嘿，我們看到你了，我們愿意升級。請不要回擊，否則我們將進入下一階段。”

受訪者之三，是 2013年之前一直在NSA工作的前黑客Jake Williams。 “關閉繼電器是一回事。了解當你關閉繼電器時會發生什么是另一回事”。

李和另外兩名前NSA黑客在接受采訪時表示，目前，美國政府黑客可能正在避免采取任何普京政府可能將其理解為事態升級的行動，從而引發報復。間諜活動將照常進行，但不鼓勵深入挖掘關鍵基礎設施或尋找尚未受到威脅的新系統。

他們說，出于同樣的原因，美國可能不會通過對俄羅斯軍隊或政府發起進攻性網絡攻擊來協助烏克蘭的防御，以避免被卷入沖突。

原文主要內容摘編整理如下：

在接受POLITICO采訪時，李和另外兩名參與針對外國網絡的網絡行動的前美國政府黑客以及參與討論此類行動的前情報官員描述了使用華盛頓強大的黑客武器庫的復雜性。這些工具包括情報機構出于間諜目的而植入外國網絡的工具，但這些工具也可能被重新用于攻擊為軍事設施服務的發電廠，停止管道中的天然氣或導致俄羅斯指揮中心的通信中斷。

三位專家表示，幾十年來，俄羅斯并不是美國黑客攻擊的首要任務，他們的首要目標是伊朗和中國等國家。但在普京自己的黑客試圖干預2016年大選后，情況發生了變化，而美國如今已深深融入俄羅斯的基礎設施。

這位前政府黑客和情報官員，以及一名前國家安全官員，還與POLITICO討論了進入其他國家核心系統所需的大量努力——以及多年來保持該秘密訪問權限的挑戰。他們描述了與普京的對峙帶來的困難，包括決定何時對能夠以實物回應的對手發起破壞性網絡攻擊的謀劃和算計。

這位前美國情報官員說，美國有足夠的攻擊性黑客能力“做我們需要做的事情，產生我們想要的效果”。但他對俄羅斯在美國基礎設施中的隱藏并控制的程度表示不太確定，這可能會限制美國愿意做的事情。

“他們能轉過身來還給我們嗎？有人可以做出一些合理的斷言說他們不能嗎？” 這位前官員說，他要求保持匿名，因為他無權就此類問題發言。“如果人們不能這么說，那么我認為很難喚起執行[一次]攻擊的政治意愿。”

這是美國高級領導人通常不喜歡在公開場合進行的對話——關于美國網絡能力的細節和使用它們的計算長期以來一直是保密的。

丹尼爾說，美國只能希望普京政權也能保持類似的克制，因為雙方都面臨網絡沖突的不可預測的危險，這可能對雙方造成持久的傷害。

“就[西方]制裁對[俄羅斯]經濟造成或可能造成的損害而言，它們是可逆的，”他說。“西方可以選擇關閉它們。[但是]你不能破壞某些東西。”

一個巨大的警告：如果普京到了他認為俄羅斯沒有什么可失去的地步，那么他更有可能下令對美國進行破壞性攻擊。“但我認為我們還沒有走到那一步，”丹尼爾說。

持續進攻

NSA、CIA和CYBERCOM是美國政府負責破壞外國網絡的主要部門。

國家安全局和中央情報局都設有復雜的網絡行動部門，各自的團隊專注于特定國家或地區以收集情報。美國網絡司令部于2010年成立，它為與作戰相關的進攻行動而不是情報收集而對網絡進行黑客攻擊。它最近還打擊了針對美國的勒索軟件組織。

這三個實體在不同的法律權力下運作，通常限制了每個實體可以做的事情。但也有一些重疊之處：在過去幾年中，如果NSA或CIA團隊需要破壞或打擊某個目標系統，它可以得到白宮的授權，或者網絡司令部的戰士可以負責與他們合作。

但在2018年，當時任總統唐納德特朗普簽署一項秘密調查結果，消除了間諜機構獲得白宮批準的需要時，中央情報局進行此類攻擊的余地擴大了。相反，中央情報局現在可以批準對俄羅斯、中國、伊朗和朝鮮進行網絡攻擊。這也潛在地擴大了中央情報局可以自行開展的行動類型，為以前對美國黑客禁區的銀行和其他金融機構進行攻擊打開了大門，還有類似的黑客攻擊和泄密行動。俄羅斯在2016年與民主黨全國委員會合作。

將俄羅斯作為美國網絡情報工作的重中之重是一個相對較新的現象。

三名專家告訴POLITICO，在2001年9月11日發生恐怖襲擊后，情報機構將資源和人員轉移到反恐上——后來又轉向伊朗和中國。這種情況持續了近15年。“我不會說俄羅斯是一潭死水，但它肯定沒有被高度重視，”這位要求保持匿名的前情報官員說。

另一位與前NSA情報分析師熟悉的消息人士證實，NSA的俄羅斯任務團隊——包括黑客、幫助確定目標和評估情報的分析師以及任務負責人——在2001年之后失去了很多資源和人員。

分析師表示，但剩下的人因此變得更加專注和自律，而且效率也不低。與其他團隊不同，專注于俄羅斯的團隊擁有自己的專家，他們具有特殊的語言和技術技能，可以幫助他們了解他們所針對的網絡。

“研究俄羅斯目標的分析員會說俄語，”他說。“其他小組中很少有人知道目標國家的國歌，但俄羅斯隊的所有人都知道。”

然而，與許多其他國家的系統相比，俄羅斯的目標更難攻克和維護。

“從技術角度來看，伊朗可能是地球上受害最嚴重的國家之一，”這位前情報官員說。“該國內部沒有一個網絡沒有來自美國或其他國家的情報機構的植入物。”

俄羅斯更具挑戰性，這既是因為該國的規模和值得瞄準的網絡數量，也因為俄羅斯自己的黑客和反情報技能。盡管如此，李說：“我們深深地嵌入俄羅斯的許多關鍵基礎設施中。我不是說像電網基礎設施。我只是指基礎設施，無論是情報基礎設施還是其他。對于我們最近解密的非同尋常的[信息]，這一點應該很明顯。”

最困難的部分通常不是訪問系統，而是秘密地維護它數月或數年。

這位前情報官員說：“正是這一點將地球上最復雜的網絡行動者與較小的網絡行動者區分開來。”

軟件補丁或升級到新操作系統可以為入侵者關閉大門。因此，NSA和CIA黑客將尋求更深入的訪問權限，例如在軟件升級不會影響他們的系統核心植入間諜工具。

即便如此，包含間諜植入物的硬件可能會突然下線，讓黑客懷疑是否有人發現了他們的后門。俄羅斯網絡安全公司卡巴斯基實驗室公開曝光了美國及其盟國多年來在世界各地植入的大量間諜工具，其中包括一項長達六年的行動，該行動在多個國家的路由器上植入了木馬，以監視ISIS和基地組織恐怖分子。有時，競爭對手的間諜機構會竊取某個機構的黑客工具，據報道，一個名為Shadow Brokers的組織（據信是來自俄羅斯的民族國家間諜組織）泄露了竊取NSA的惡意軟件工具包。

這位前情報官員說：“外行的假設是，您只需將已被破壞的東西換成未被破壞的新東西。” “但是，更換工具的過程本身會大大增加你被發現或抓到的機會。”

NSA還必須提防其他黑客——民族國家和熟練的網絡罪犯——他們可能在該機構想要破壞的系統內部。這些黑客可能會監視該機構在受感染機器內的活動，或者獲取他們的工具來研究和重用它們。

間諜活動與網絡攻擊

政府可能不喜歡外國間諜破壞他們的網絡并竊取數據，但這是一種可以接受和預期的做法，即使它涉及破壞能源公司和電網等關鍵基礎設施以收集情報。這些目標可以產生有價值的信息，關于如何在全國范圍內發電和輸電，以及電網的脆弱部分對物理或數字傷害的程度。美國、俄羅斯和其他國家都破壞了這些網絡。

這位前情報官員說，當俄羅斯出于間諜目的侵入這些目標時，“我們可能會對此大喊大叫，但他們是完全有效的目標。”

李說，獲得發電廠的使用權并不意味著外國政府即將拆除它。“從字面上看，他們的工作就是獲取訪問權限并在人們請求時維護它，”他說。

但政府也考慮對電力供應進行更具破壞性的攻擊。這種可能性在2019年引起了新的關注，當時《紐約時報》報道稱，美國網絡司令部在俄羅斯的電網系統中植入了“潛在的破壞性”惡意軟件，以防美國未來可能想要破壞電網。

但李說，文章中描述的行動并不是美國通常會如何進行這樣的行動。

“在你利用它們之前，你不會將你的攻擊能力[放在網絡中]，”他說，因為你冒著讓它們被發現的風險。然而，攻擊者會留下植入物用于情報目的，以后可以利用這些植入物來破壞系統或植入破壞性代碼。

丹尼爾說，理想情況下，網絡司令部的攻擊性黑客不會使用美國國家安全局和中央情報局用于情報收集的相同植入物和受損系統對目標發動破壞性攻擊，以免破壞他們的間諜能力。但李說，在他在NSA期間，網絡司令部經常利用間諜小組努力獲得的訪問權限。“我們本來希望網絡司令部擁有自己的能力和訪問權限，但事實并非如此。”

有效的網絡攻擊不是自發的、機會主義的事件。攻入某些系統可能需要數月或數年的時間，然后可能需要廣泛的偵察和研究——甚至是物理訪問——來設計和實施攻擊。

在最著名的破壞性網絡行動中，美國和以色列在2007年至2010年期間發起的秘密Stuxnet攻擊以破壞伊朗核計劃，中央情報局和摩薩德使用為荷蘭情報工作的鼴鼠將間諜軟件攜帶到高度安全的設施中并將其植入到未連接到 Internet 的計算機上。在該間諜軟件收集到有關用于濃縮鈾氣的離心機的情報后，鼴鼠將破壞性代碼植入相同的系統。以色列和美國的研究人員甚至建立了離心機測試實驗室來研究潛在影響設備上可能會受到各種數字攻擊。該行動成功地降低了1,000至2,000臺離心機的性能，并導致伊朗的濃縮活動暫時延遲，盡管伊朗很快從挫折中恢復過來。

同樣，當俄羅斯黑客在2015年關閉烏克蘭部分電網數小時后，他們通過向員工發送載有惡意軟件的電子郵件進入發電廠網絡，然后花了六個月的時間進行偵察，研究配電廠的各種控制系統模型并設計特定于每個系統的惡意軟件。

為了讓美國準備在沖突期間對外國目標發動軍事網絡攻擊，網絡司令部團隊將列出他們可能需要訪問的系統，然后調查NSA和CIA黑客團隊，看看誰已經可以訪問它們，并是否需要破壞其他網絡。

但是，在兩國之間的沖突開始之前，在現有的美俄緊張局勢中攻擊損害新網絡是非常危險的，李說，美國黑客現在將采取額外的克制。無論美國的意圖如何，俄羅斯都可能將新的間諜入侵誤解為攻擊的先行工作。

李說，許多人可能會認為，對于像俄羅斯入侵這樣的危機，美國網絡戰士會在俄羅斯網絡內部變得更加激進。但他說，“我對美國情報的經驗恰恰相反。……現在不是閑逛的時候。除非你非常需要去那里，否則不要去做可能被視為升級的事情。”

Lee指出，他的公司在10月份發現了一個事件，當時一個名為Xenotime的俄羅斯黑客組織被發現正在探測美國主要電力和液化天然氣站點的網絡。黑客只是對漏洞進行例行探測——美國也這樣做——但由于與俄羅斯的緊張局勢日益加劇以及Xenotime參與了先前的破壞性攻擊，這些信息向上匯報到了政府高級官員。這一事件發生在拜登警告普京不要對美國關鍵基礎設施進行攻擊性網絡攻擊幾個月后。

“它變成了非同尋常的擔憂，因為它被視為一種信號，”李說。“[俄羅斯人]表明他們可能有意攻擊電力和天然氣設施。”

美國將如何應對攻擊

李認為，無論對烏克蘭的軍事入侵變得多么可怕，美國都不會對俄羅斯進行破壞性或損毀性的網絡攻擊。就像美國小心翼翼地避免直接參與烏克蘭的防御一樣，除了提供情報和設備外，它也不想在網絡空間與俄羅斯發生直接沖突。然而，如果俄羅斯攻擊美國或其北約盟國，這種情況可能會改變。

但前NSC網絡協調員丹尼爾表示，俄羅斯可能正在對發動針對美國的攻擊進行同樣的計算。例如，為了報復西方制裁在俄羅斯引入的金融危機，普京的部隊可能會對美國或歐洲金融數據的完整性發起復雜且可能造成混亂的攻擊，但此類攻擊需要廣泛的提前計劃，俄羅斯尚不清楚已經完成了這項工作。

丹尼爾說，俄羅斯也不太可能一開始就發動破壞性攻擊。相反，俄羅斯可能會發起大量惡意在線流量來關閉美國銀行網站，就像伊朗過去為報復制裁所做的那樣。俄羅斯還可以劫持銀行流量，將其重定向到俄羅斯網絡，或釋放網絡犯罪團伙對金融部門進行勒索軟件攻擊。

無論俄羅斯做什么，丹尼爾說，美國都希望在做出任何回應時受到衡量。選項可能包括泄露有關普京及其親信的秘密金融交易的信息，以進一步使俄羅斯公眾反對普京，盡管美國必須為俄羅斯做同樣的事情做好準備。

丹尼爾說：“美國將尋求會造成一些痛苦但不會導致身體破壞或生命損失或必然是永久性的行動，因此如果俄羅斯退讓，美國也可以退讓。”

丹尼爾說，美國的任何回應都可能只針對軍方或政府——這與美國全國廣播公司 ( NBC) 新聞最近的一篇報道相反，該報道遭到白宮強烈質疑，該報道稱美國網絡戰士向拜登提出了關閉網絡等選項。

丹尼爾說：“我們不希望采取措施將俄羅斯民眾推向親普京一邊。”