网络战的幽灵在游荡。
10月30日,印度核电公司(NPCIL)证实,其Kudankulam核电厂发现了朝鲜政府黑客的恶意软件。就在几天前,这家核电站的一座核电机组停止工作。目前,朝鲜方面并未对此发表观点。
在大众眼中贫瘠落后的朝鲜,可能已拥有令人咋舌的强大网军。韩国、美国曾多次指认朝鲜发起网络攻击。有外媒曾指出,朝鲜在现实空间重点发展核武器,在虚拟空间则强调网络战。对于朝鲜,“网络战”正成为与核武器一样重要的“非对称武器”。韩国国防部发布的《2014国防白皮书》称朝鲜拥有6000名网军,规模不断增长。有媒体从朝鲜人口中得知:对于朝鲜人,成为网军是一种荣誉,更是“白领”身份的象征。
值得注意的是,此次攻入印度核电站的恶意软件出自朝鲜政府资助的黑客组织Lazarus Group之手。以往他们很少把“枪口”对准能源和工业领域目标。联想起今年来接连发生的南美四国、纽约停电事件,不免令人担忧,网络战的“枪口”正愈加频繁地“瞄向”关乎全民安全的关键基础设施。
在万物互联时代,网络战的威胁正如投入水中的一颗石子,其惊起的涟漪还在扩大……
悄然移动的枪口
位于印度泰米尔纳德邦的Kudankulam核电站,是目前印度最大的核电站。10月19日,一场突如其来的“故障”让这座庞然大物陷入“半瘫痪”。
发生故障的是这家核电厂两座反应堆中的一座。故障的原因是“SG level low”,一种发生在蒸汽发生器(Steam Generator)上的故障,这一部件是反应堆冷却剂系统压力边界的一部分。
而此时,推特用户Pukhraj Singh发布于9月7日的一条推文终于引起人们的注意。当时他说:“我刚刚在印度网络空间中目睹了一个大灾难,它在各个层面上都很糟糕。”
Pukhraj Singh是一名印度的威胁情报分析师。据他透露,9月4日以前,第三方机构发现针对印度核电厂的网络攻击活动,并告知了他,于9月4日通报了英国NCSC机构,并在9月7日对外提起了此事件。
10月28日,某Twitter用户披露了一个名为DTrack的病毒样本,并且指出其内嵌了疑似与印度核电厂相关的用户名KKNPP,随后引发热议。
10月29日,各大新闻媒体公开披露该事件,并且印度安全人员对历史情况进行一些解释和说明,并且披露攻击者已经获取核电厂内部域控级别的访问权限。
最初,核电站方面否认他们遭受了任何恶意软件感染,发表声明将这些推文描述为“虚假信息”。
仅一天时间,这一被官方称之为“虚假消息”的事件却被自己推翻。10月30日,他们在另一份声明中承认核电站确实感染了黑客组织创建的恶意软件。这一黑客组织名为Lazarus Group,由朝鲜政府资助。
但是,核电站方面也强调,朝鲜恶意软件仅感染了其管理网络,但未到达其关键的内部网络,这些内部网络用于控制发电厂的核反应堆。言外之意,朝鲜攻击并非造成核反应堆“停工”的原因。
值得注意的是,从Lazarus Group组织的攻击历史来看,他们很少把“枪口”对准能源和工业领域目标。而此次其针对核电站的攻击不免令人担忧:网络战的枪口正悄然“瞄向”核电站这类关键基础设施。
朝鲜“白领”也疯狂
朝鲜网军可谓“名声在外”。韩国多次指认朝鲜发起网络攻击,甚至连美国也自称遭其攻击。
据报道,2009年7月4日,朝鲜网军对美国和韩国政府网站发动分布式拒绝服务攻击,一些恶意软件还可以删除电脑硬盘数据。韩国国情院表示,类似攻击多为有组织和成体系指挥下的黑客行为,但由于攻击发起点大多在第三国,很难予以追踪并反击。
赛门铁克的网络安全专家称,朝鲜还曾发动名为“DarkSeoul gang”的网络攻击,2011年和2013年韩国银行与电视网络都遭到此类攻击。2013年3月20日,韩国主要电视台及部分金融机构的计算机网络瘫痪,3.2万多台电脑受到不同程度损害。2013年6月25日,韩国总统府、政府主要部门以及主要媒体网站又遭黑客攻击。韩国未来创造科学部后来举行记者会称,6月25日和3月20日的黑客攻击行为与以往朝鲜黑客网络攻击手法一致。
对于朝鲜网军的内部情况,路透社曾以一些逃亡海外的朝鲜人、即所谓“脱北者”为消息源报道:朝鲜网络部队由一群活跃于隐秘战线和虚拟空间的电脑精英组成,他们毕业于高等学府,精通计算机和互联网技术,身份保密,待遇优渥。
曾经在朝鲜一所大学任教的计算机科学教授金兴光(音)说,对朝鲜人而言,成为网军是一种荣誉,更是“白领”身份的象征,这正是不少人热衷于此的原因。
朝鲜之所以对网络战热情高涨,与这一武器的“非对称”杀伤力息息相关。按照韩国国家情报院的说法,自上世纪90年代陷入经济衰退后,朝鲜逐渐把战略资源向核武器、弹道导弹、特种部队及网络战部队等“非对称战力”方面倾斜。韩国京畿道大学教授南柱亨称,朝鲜在现实空间重点发展核武器,在虚拟空间则强调网络战。
有网络安全专家指出,网络战不分军民,行踪隐蔽,不宣而战,成本低,效果好。“攻击者可以从任何一处网络漏洞发起攻击,防不胜防”,传统的防护设备犹如二战中形同虚设的马奇诺防线,想通过内网隔离风险也是掩耳盗铃。
更可怕的是,网络战的幽灵已经游荡在全球各地。今年来,蹊跷的大规模停电事件在南美多国频频上演;伊朗则号称攻击了美国纽约电网,造成大停电;俄罗斯电网也被曝遭遇入侵。全球100多个国家成立了超过200多支网络战部队。
不过,面对网络战攻击也并非毫无对策。打造“看见”网络战攻击的能力,被视为应对网络战的根本对策。这是一种结合了安全大数据、威胁情报与知识库、安全专家,类似“雷达”的网络安全技术。目前,以360为首的网络安全公司已着手开始研究,并借助安全大脑“看见”了40起国家级的网络攻击。
此外,应对纷繁复杂的网络战,仅靠一两家网络安全公司也是远远不够的,更需要通过统一安全大数据,共建安全大脑,分享威胁情报等方式,构筑大安全生态。
无论如何,应对网络战亟需从长计议。正如空军少将乔良在评价《网电空间战》一书时所发出的提醒那样:“网电空间战,从‘这里的黎明静悄悄’开始,到‘这里的黄昏很疯狂’结束。没有炮火硝烟,没有血流漂杵,但结局不亚于一场核浩劫。”