国家队只是“青铜”,揭秘微软的“黑客天团”

江湖上声名显赫亦或臭名昭著的顶级黑客团队并不算少,但有一个无声无息的黑客团队,即使是 “国家队”,在它面前也不过是一个 “青铜”。

从俄罗斯奥运会网络攻击到十亿美元朝鲜恶意软件,一家开了天眼的科技巨头监视着世界各地黑客国家队的一举一动。

据 MIT Technology Review 报道,美国国防部最近与微软签下 100 亿美元合约,将美国军方的云计算系统托付给微软,重赏之下必有重托:微软能否保证美国国防部的系统安全,抵御世界上如雨后春笋般涌现的国家级顶尖黑客团队的持续攻击?

美国战略与国际问题研究中心副总裁 James Lewis 称:这些系统每时每刻都在承受攻击。

微软打败云计算竞争对手亚马逊,吃下军方利润丰厚的合约,而西雅图郊外树林中的微软总部,一夜之间成了全球最重要的情报收集设施之一。过去,如此责任重大的国家安全设施从未踏出华盛顿特区半步。如今,在华盛顿州一隅,数十名工程师和情报分析师专门司职监视和阻止全球激增的黑客国家队。

微软威胁情报中心 (MSTIC) 团队的成员专注于监控各种威胁:一组人负责代号锶 (Strontium) 的俄罗斯黑客,另一组监视代号锌 (Zinc) 的朝鲜黑客,还有一组跟踪代号钬 (Holmium) 的伊朗黑客。MSTIC 跟踪的黑客国家队不计其数,其中有代号的就超过 70 个。

秋雨萧瑟。微软总部像任何政府设施一样恢弘,有数不清的大楼和数千名员工。追踪全球最危险黑客的微软团队就在这里工作。

 

微软的 “特异功能”

John Lambert成立了MSTIC,也是其管理者。供图:MicrosoftJohn Lambert 从 2000 年起便在微软工作,当时一个新的网络安全项目首次进驻华盛顿特区和微软的华盛顿州总部。

当时,作为PC 软件垄断巨头微软,才刚刚意识到互联网的重要性。随着 Windows XP 席卷全球却又因为极为脆弱的安全性而百病缠身,微软的团队见证了一系列让人无地自容的安全大溃败,例如红色代码 (Code Red) 和尼姆达 (Nimda) 等自复制蠕虫。这些安全事件影响了微软诸多政府及私营企业客户,令其核心业务陷入危险之中。直到 2002 年,比尔·盖茨 (Bill Gates) 发表他著名的备忘,敦促重视 “可信计算”,微软才最终开始真正重视网络安全。

从这时开始,Lambert 迷上了网络攻击技术。

攻守兼备才完美。想要防得住,就要会进攻。必须具备攻击性思维;如果你缺乏攻击者的创造力,就不可能构筑坚实的防御。 看到政府支持的黑客攻击数量上升,Lambert 以其攻击性思维推动微软完成网络安全策略从被动到主动的大转变。目标就是从睁眼瞎——防御团队辛苦监视却仍只能任由高端黑客用强大的 “零日” 漏洞肆虐网络,到 “开天眼”——微软能看到一切。

Lambert 问道:微软的超能力是什么呢?

答案就是无处不在的 Windows 操作系统和各种微软应用。这给了微软感知庞大互联网动态的工具,也产生了至今仍不能完全解决的现实隐私问题。但就安全来说,这是个巨大的优势。

微软的产品已经内置了 Windows 错误报告系统,可以通过远程数据,或该公司的任意硬件或软件上收集数据,来尝试理解普通漏洞和故障(这话听上去是不是有点耳熟?)。但 Lambert 和他的安全团队才是真正将此远程系统转变为强大安全工具的人,彻底改变了这项曾经缓慢而艰巨的任务。此前,安全团队经常满世界跑,找到被黑的机器,复制其硬盘,再启动缓慢的事件分析过程。如今,这些机器自动回连微软。几乎每一次崩溃和异常行为都会上报,由微软梳理海量数据,先于其他人找出恶意软件。

2017 年,一个名为 Bad Rabbit的恶意软件伪装成 Adobe Flash 更新,擦除受害者的硬盘。对此恶意软件的处理过程清晰展示了微软是如何将曾经的弱点转变为优势的。该勒索软件现身 14 分钟之内,机器学习算法便梳理了数据,很快开始解析该威胁。Windows Defender 自动锁定威胁,在任何人意识到问题发生之前。

2017 年,Bad Rabbit 高发于俄罗斯和乌克兰。

图为受害者收到的勒索信(图源:卡巴斯基实验室)美国国家安全局 (NSA) 前雇员 Jake Williams 称:

可视性和数据就是微软的强项,这是别人都没有的东西。这些别人没有的数据来自操作系统和应用层的程序崩溃,即便是第三方程序崩溃,微软也会远程获取相关数据。当你开始着手利用目标漏洞的时候,微软早已成竹在胸,以静制动。这种远程数据采集机制让每台 Windows 机器和每个微软产品都变成了数据和日志反馈源,全球分布,即时反馈,不放过任何异常。

成立了网络安全公司 Rendition Infosec 的 Williams 说道:

微软能看到其他人都看不到的东西。比如说,我们常能发现些东西,像是微软标记的 Office 365 恶意 IP 标志等,但我们在其他地方好几个月都看不到。

 

聚沙成塔

网络威胁情报是跟踪对手、追寻线索的一门学科,获取能够帮助己方安全团队,给对手制造麻烦的情报。为达成目标,成立五年的 MSTIC 团队招募了曾在米德堡等地工作过的前间谍和政府情报人员,将其在美国国家安全局和美国网络司令部的工作经验直接转化进他们在微软的工作角色中。

MSTIC 点名过数十个威胁,但地缘政治错综复杂:中国和美国,网络空间两大玩家和全球最大的两个经济体,几乎从未像伊朗、俄罗斯和朝鲜那样被频繁点名。

MSTIC 战略项目与合作伙伴关系总监 Jeremy Dallman 表示:

我们的团队运用数据、连点成线、总揽全局,跟踪黑客及其行为。团队追捕黑客,摸清他们的目标和计划,抢在他们前头。Tanmay Ganacharya 主持 Microsoft Defender 团队高级威胁防护研究,对海量入站信号应用数据科学,精心构筑新的防御层。

因为我们在几乎任何领域都有产品,我们的传感器能为我们带来正确的信号。问题是,我们如何处理所有这些数据?与谷歌和 Facebook 等其他科技巨头一样,微软也常通告被黑客国家队盯上的人,给这些目标防御自身的机会。去年,MSTIC 通知了约 1 万名微软客户。

 

找到风暴背后的蝴蝶

8 月开始,MSTIC 发现了所谓的密码喷射攻击。黑客针对与美国总统大选、政府官员、记者和不在伊朗境内居住的伊朗著名人士相关的账户进行了 2,700 次有根据的密码猜测。有四个账户在此次攻击中被破解。

MSTIC 分析师能够发现该攻击,部分归功于追踪了微软认定的属于伊朗黑客组织 Phosphorus 控制的基础设施。

一旦我们了解了他们的基础设施——我们锁定了他们用于恶意攻击的一个 IP 地址,然后我们调查与这个 IP 地址有关的 DNS 记录、创建的域、平台流量。当他们开始在攻击中使用该基础设施时,由于我们已经将该设施与特定黑客团队关联标记,我们立刻就能发现攻击者。前期大量的侦察工作之后,Phosphorus 尝试通过目标的真实电话号码和账户恢复流程实施攻击。MSTIC 发现,Phosphorus 和包括俄罗斯奇幻熊 (Fancy Bear) 在内的其他黑客国家队,反复使用此战术尝试钓取高价值目标的双因子身份验证 (2FA) 验证码。

微软对 Phosphorus 多次攻击发出的警报,展示了高人一等的实力, 因为即使 Phosphorus 在针对非政府组织 (NGO) 和制裁机构的过程中多次改变其标准操作流程,却依然没能逃出微软的掌心。

这并不罕见,但其不同之处在于,Phosphorus 的攻击范围比以往大得多。他们经常针对特定人群,但这次的规模和巨大的侦察工作量非比寻常。最后,他们锁定的个人目标中包含了参与总统大选的人。

据路透社报道,微软的侦查最终指向了伊朗黑客,称他们的攻击任务包括特朗普 2020 连任竞选在内的总统选举活动。

微软在雷蒙德的园区很大,超过 800 万平方英尺,容纳 5 万名员工(图源:Microsoft)

 

2020,八仙过海

Lambert 在微软的 20 年间,网络空间的工具和武器扩散向数十个国家、涌现了几百个实力强劲的网络犯罪团伙,并催生了私营公司面向全球竞价出售漏洞利用程序的暴利行业。

Lambert 表示,武器扩散意味着受害者范围扩大,需要追踪更多的黑客。

这一点在政治黑客事件中得到了体现。2016 美国总统大选的结果之一,就是攻击政党、竞选和智库的黑客组织数量增长,更别提攻击政府自身的了。大选相关的黑客行动通常是 “三巨头” 的领域——俄罗斯、伊朗和朝鲜。虽然微软并未透露具体国名,但此类黑客活动确实蔓延到了其他国家。

MSTIC 首席项目经理 Jason Norton 则表示,当前不太一样的就是此前没参与的国家也下场开战了。比如俄罗斯应该早在 2016 大选之前便在从事此类黑客活动。但现在有更多的国家在干这事儿——刺探软肋以获取正确的情报,图谋在未来施加影响。

Dallman 对此表示同意。

这个领域越来越热闹了。黑客团伙都相互借鉴。从老牌黑客组织学到的战术,转手就用上了。即将到来的 2020 大选不一样,大家对此类攻击已是见怪不怪。2016 年时,俄罗斯的网络黑客们面对的是一帮傻白甜,这次不会了。

Dallman 解释称:重点就在于自己知道会发生什么。

那个时候更多的是未知,我们不确定战术会如何发展。现在我们知道了;我们已经见识过那些模式。2016 年就见识过他们的身手,他们在德国、法国大选的所作所为也看到过——全都是一个模式。2018 中期选举也类似,不过规模小些,但我们依然看到了相同的模式,同一批黑客,同一个时机,同一套技术。现在我们知道,踏入 2020 年,我们要找的就是这些模式。不过这次,我们发现其他一些国家一开始进场,就各自身怀绝技。新常态就是,威胁情报厂商在此类公共安全活动中领路,政府跟进。

2016 年,CrowdStrike 首先调查并指出是俄罗斯要干扰美国大选。美国司法与情报界随后证实该公司的发现,并最终在穆勒调查之后起诉了俄罗斯黑客,详细描述了俄罗斯的黑客活动。

相比 CrowdStrike 这样的网络安全厂商,万亿美元身家的微软明显要大一个数量级,堪称网络安全瓷器店里的猛犸级玩家。而且,该科技巨头还有另一个巨大优势:遍布世界各地的软件都是它的眼睛和耳朵。用 Lambert 的话说,这就是微软的超能力。

(完)