僵尸网络:网络犯罪、造谣宣传、网络间谍活动的威力倍增器
僵尸网络(Botnet)——这类由受感染设备构成的攻击网络,以其巨大规模和影响力成为近年来网络空间安全的主要威胁之一。僵尸网络的操纵者只需在世界上某个地方的键盘上发出指令,就能控制数十上百万计算机发出虚假数据淹没互联网基础设施,窃取海量的用户数据,开展大规模的网络监视,甚至影响社会公众的政治意见——这种潜移默化的影响力甚至能影响一个国家的选举或政府决策。
僵尸网络的基础单位“僵尸(bot)”程序是被植入到任何联网设备,并能控制用户互联网浏览器的恶意代码。从植入成功开始,僵尸程序就可监视宿主设备的任何联网活动,窃取用户电子邮箱、社交网络和在线银行的账号密码,僵尸程序自身也可在用户不注意的情况下,悄悄地对互联网进行操作。
最新一代僵尸程序可通过其宿主设备存储的用户数据自动创建社交网络虚假账号——这些社交网络虚假账号将会制造大量混淆视听的造谣宣传,影响普通用户对政治事件的看法。包括美国、法国在内的多个国家都在指责俄罗斯试图利用僵尸网络的造谣宣传,通过在选举进程中散布谣言、在碎片化的网络空间中制造不信任情绪等方式影响这些国家的内部政治进程。这类造谣宣传通常以带政治倾向性的文章发布开始,而后僵尸网络会操作数十上百万个虚假账户进行转发或点赞,让这些引导性文字传遍整个网络世界。
目前还有相当数量的僵尸网络可感染联网的物联网设备,网络摄像头、数字录像系统、路由器或其他智能家电等安全功能相当脆弱,僵尸程序只需尝试如“123”、“admin”等若干缺省密码,就能轻易获得这些设备的管理员权限。去年感染大量物联网设备,并对互联网关键设施进行分布式拒绝服务攻击(DDoS)的“未来(Mirai)”僵尸网络就是物联网僵尸网络最知名的代表,“未来”僵尸网络的攻击令包括Twitter、纽约时报在内的若干知名网站短时间无法访问,也曾令利比里亚的全国互联网瞬间全面瘫痪。
僵尸网络惯用的DDoS攻击会拖垮目标机构的安全部门,从而为攻击者对目标网络实施进一步的渗透创造潜在机会。有专家表示,这类“佯攻”目前已相当常见,而政府和企业必须具备检测和跟踪同期发生多个攻击的能力,否则负责安全保障的部门就可能忽略掉幕后正在发生的某些事情,因为同时发生的若干僵尸网络DDoS攻击就足以令安全部门疲于奔命。
除了发动毁灭性的DDoS攻击和对他国实施造谣宣传外,僵尸网络还可用于实施网络犯罪。例如近年流行的付费租用僵尸网络,就可实施窃取用户信息和金融数据、散发垃圾邮件、使用勒索软件从全球企业获取赎金等经济利益驱动的网络犯罪活动。
间谍们,尤其是那些受雇于俄罗斯情报部门的间谍,通常也会借助网络犯罪组织的僵尸网络实施情报搜集活动。俄罗斯政府则为网络犯罪组织提供了安全避风港,帮助他们逃避它国政府的追捕,并给了他们发展和运营僵尸网络的自由空间。例如臭名昭著的“GameOver Zeus”僵尸网络运营者博加切夫(Evgeniy Bogachev)就曾在2013年协助俄罗斯情报部门开展针对土耳其的网络情报活动,因为当时美国决定武装叙利亚反政府军,而俄罗斯需要掌握通过土耳其领土流入叙利亚境内武器装备的情况。
由于僵尸网络的巨大危害,各国政府和企业都在积极寻找消灭僵尸网络的方法。其中一个简单的思路是开发另一个可控的“良性”僵尸网络,再由它劫持被其他“恶性”僵尸网络感染的系统并清除其中的恶意程序。在“未来”僵尸网络流行的那段时间里,一名白帽子黑客就曾开发了一款名为“开始(Hajime)”的僵尸程序,它可自动发现并感染不安全的物联网设备,并修改宿主设备设置以阻止“未来”僵尸网络的进一步感染。
而美国政府对僵尸网络的处置方法更加直接。美国司法部在过去几年与CrowdStrike等网络安全公司联手接管了Kelihos等僵尸网络的指挥控制域名,并将其改造成侦测僵尸网络活动的蜜罐——这种行业内称之为“陷坑(Sink-Hole)”的服务器可以帮助执法部门了解僵尸程序的感染范围,执法部门也可利用“陷坑”采集的数据提醒受感染的企业及时清除其内网中的恶意程序。
私营部门则可采取另一种不同的思路。对于企业中传统的网络安全措施来说,及时识别一个僵尸网络的扩散相当困难,有时候几乎是不可能的。僵尸程序通常会根据常见安全检测手段做一些有针对性的修改,但机器行为与人类行为存在本质上的不同,因此如果企业能够区分哪些活动是人为的,哪些活动是机器实施的,那么识别未知僵尸网络的概率就会得到极大提升。
简评:
由于僵尸网络已成为网络空间安全的一大威胁,美国与其西方盟国已通过执法部门协查机制打击跨国的僵尸网络集团。与此同时,政府部门也需要发动商业企业参与对僵尸网络和其他形式的恶意网络攻击活动,并通过制订相应标准来促进政府与私营部门间的网络威胁信息共享。而在技术实施层面,深度学习等人工智能技术将可提升社交网络识别虚假账号及虚假信息的能力,增强终端防护软件检测和清除未知漏洞及恶意软件的效率。去年以来硅谷和国内风投对用户行为分析技术的热捧,也只是刚刚拉开人工智能在网络安全领域应用大潮的序幕。