美军网络攻击能力发展研究

前言

美军网络任务部队历经数年发展，已具备全面作战能力。为了维持能力优势，美网络司令部不断探索网络空间作战能力提升途径，在政策条令、武器装备、攻击技术、作战力量、作战演训等方面采取了一系列重大举措来推动作战能力建设发展。本期“网安思考”推出《美军网络攻击能力发展研究》，供大家参阅。

一、战略体系趋于完备，通过作战条令明确了网络攻击的合法性，尤其强调针对关键基础设施施行战略和拒止威慑

美国网络空间作战战略体系自上而下分为国家、国防部和军种战略，具有标志性意义的《美国国家网络空间战略》、《国防部网络空间战略》、联合出版物《网络空间作战》（JP3-12）一脉相承，逐步明确网络攻击的合法性。2018年6月发布的JP3-12中明确了网络空间司令部网络任务部队的三种主要作战样式：进攻性网络空间作战（OCO），防御性网络空间作战（DCO）、国防部信息网络运维（DODIN Operations）。其中，进攻性网络空间作战是指“在外国网络空间内或通过它采取投送力量的行动，为作战指挥官或国家目标提供支持而遂行的网络空间作战任务”。同时，该条令阐述了进攻性网络空间作战“可专门针对敌手的网络空间功能或在网络空间中创造一级效应，把网络空间的级联效应代入物理域，从而影响武器系统、指挥和控制流程、后勤节点、高价值目标等”。JP3-12不仅明确了网络攻击的合法性，同时也表明了美军开展进攻性网络空间作战的主要目标包括“武器系统、指挥和控制流程、后勤节点、高价值目标”。

关键基础设施在美网络空间作战战略体系中占据极其重要位置，通过历年颁布更新战略政策及作战条令，美早已将关键基础设施纳入网络空间作战的范畴。2017年12月，《美国国家安全战略》列出了在网络时代保障美国安全的五大优先行动，其中之一是要“威慑和破坏恶意网络行动者，即要在攻击影响或威胁美国关键基础设施之前阻止攻击”。2018年9月，美《国防部网络空间战略》强调网络空间作战的五大目标之一是“保护美国关键基础设施不受恶意网络活动的影响”，要求国防部需要提前制止、挫败或摄阻针对美国关键基础设施的恶意网络活动。表面上，美战略强调以“制止、挫败、威慑”为目的对国家关键基础设施进行保护，但从深层看，其实是借“威慑”之名、为对它国的关键基础设施开展网络攻击行动打开了“合法之门”。

二、拥有众多技术精良、效能卓越的网络攻击武器，积极发展平台化、智能化、机动性的新型进攻武器，早已具备实施网络攻击的物质基础

美国是世界首屈一指的网络武器大国，最早开发了“蠕虫”病毒、“逻辑炸弹”等网络武器，并将其应用于实战。早在21世纪初，就有报道称美军开发了2000多种网络武器，目前经过若干年发展，美军网络武器库的规模和能力更是得到了极大的丰富和提升。2013年斯诺登曝光的获取特定情报行动办公室（TAO）的先进技术预置武器清单中，包含绝密级武器40种、机密级武器9种；其中，包含11种无线隐蔽攻击工具/技术、7个持久化控制工具/技术、9个路由器/防火墙攻击技术/工具、15个移动通信设备监听/攻击工具/技术、7个网电空间作战支撑器件和装备。2017年“维基解密”曝光的“拱顶7”的8761份文件详细说明，中央情报局（CIA）已经开发了1000多种网络攻击装备，目标对象几乎囊括了所有的信息产品。2017年曝光方程式组织的EquationgDrug平台，其攻击工具盒插件已经做得非常丰富且标准化。同时，美军网络武器库涉及的对象层级非常齐备，从Cisco、Linksys、MikroTik、惠普和华为等主流路由器和交换机，到Windows、UNIX、linux、macOS、Solaris、iOS和Android等主流操作系统，再到Googe Chrome、Microsoft Exchange等主流数据库，一应俱全；还拥有对思科、华为、Jniper和NETscreem等主流防火墙、基于USB、电磁辐射信号等攻击物理隔离设施攻击的技术装备。

除针对计算机信息系统外，为实现“武器系统、指挥和控制流程、后勤节点、高价值目标”等作战目标全覆盖，美军更是从三个方面迭代发展网络攻击武器装备：

一是形成联合网络作战架构。联合网络作战架构以“统一平台”“联合网络指挥与控制系统”“联合通用接入平台”“持续网络训练环境”等平台系统为核心组件，极大的提升了美军网络攻击行动的互操作性和协同能力。我们理解，美军的联合网络作战架构的核心目的是以“统一数据、统一指挥、统一力量”为基本目的的对全军网络攻击能力的全面整合，亦是在联合作战背景下网络空间作战能力提升的最突出表现。

二是发展和强化网电一体能力。形成了以“舒特系统”“沉默乌鸦”“地面层系统”为代表的武器装备，平台化、模块化和机动性是网络攻击武器发展的重点考量。

三是面向智能化发展新型网络攻击装备。以人工智能驱动攻击装备发展成为主要特征，例如美国防部新发展的一种称之为“熵”的心理战装备，基于人工智能算法生成大量虚实信息、实施认知层网络攻击。

三、支撑培育了大量创新型攻击技术，其中不乏大量颠覆性技术成果，为美军尖端网络攻击武器装备生成进行了大量储备

攻击技术是网络攻击武器装备的内核所在，很大程度能够反映出美军网络攻击武器装备发展的走向。正因如此，攻击技术具有高度敏感性，一般都秘而不宣，只能从其它渠道以探端倪。

以美国防部高级研究计划局（DARPA）、美国陆军研究实验室（ARL）、美国海军研究办公室（ONR）、美国空军研究实验室（AFRL）等研究机构近年来所资助项目发表的技术成果[1]来看，典型的有：一是针对硬件的新型攻击技术，攻击目标包括微处理器、芯片、组件、硬件运行环境等目标；二是针对新型网络，发展针对性的新型攻击技术，发展针对软件定义网络（SDN）、信息中心网络（ICN）等新型网络的攻击技术，破坏对手网络基础设施与服务，窃取数据；三是发展新型数据破坏与操纵技术，发展基于网络协议、侧信道等渠道的攻击技术破坏对手数据或进行数据窃取与伪造；四是发展高度自动化的攻击构造技术，例如关键网络服务的新型拒绝服务攻击技术；五是针对对手系统中的人工智能部分发展新型高效攻击技术，发展新型对抗样本攻击技术欺骗对手人工智能，发展高效人工智能模型窃取技术获取对手人工智能模型详细参数。

虽然上述的梳理可谓管中窥豹，可能是美军布局网络攻击技术的冰山一角，但仍然可见美军网络攻击技术布局特点：一是面向实战，一旦取得突破，可迅速转成武器装备；二是具有前瞻性，例如以人工智能模型窃取为例，美军正致力于发展应对未来智能化战争的颠覆性技术；三是注重基础性，以硬件攻击技术为典型，美军资助发展的攻击技术大多围绕制约网络攻击能力发展的瓶颈技术展开。

四、从国防部到各军兵种，不余遗力开展网络空间作战力量建设，拥有了世界最强的网军力量

美国高度重视网络空间作战的战略地位和作战价值，美国防部和各军种亦不断加强网络空间作战力量建设。此外，国土安全部、国民警卫队以及私营部门等也为美国网络空间作战任务提供重要支撑和保障。

从美国国防部来看，2017年8月，美国将网络司令部升级为美军第十个拥有最高指挥权的一级作战司令部。2018年5月，美国网络空间司令部的133支网络任务部队（包括陆军41支，海军40支，空军39支，海军陆战队13支）已全部实现全面作战能力。网络任务部队设置了四类任务小队，其中包括13支国家任务小队（NMT）、27支作战任务小队（CMT）、68支网络防护小队（CPT）以及25支网络支援小队（CST）。

从美国各军种来看，陆军网络空间作战力量主要包括陆军网络空间司令部、陆军卓越网络中心和陆军预备役网络部队，现有编制约2.1万人，主要职责是通过防御性和进攻性网络作战，捍卫美国军事网络，保护陆军武器平台，并保护关键的美国基础设施。海军网络空间作战力量主要包括舰队网络空间司令部/美国第10舰队、海军信息部队和海军预备役，现有编制约1.4万人，主要负责海军信息网络作战，攻防网络空间作战，太空作战和信号情报。空军网络空间作战力量主要包括第24航空队、空军网络整合中心和空军预备役及其下属作战力量，现有编制约1.7万人，2019年美国空军将第24和25航空队合并，主要负责提供全球情报，监视和侦察，网络，电子战和信息作战。海军陆战队网络空间作战力量主要包括海军陆战队网络空间司令部、海军陆战队信息作战中心和海军陆军战队预备役，主要支持军种、战斗司令部、联合和联盟部队的需求，在海军陆战队网空司令部的指导下计划和实施全谱网络空间作战行动。

五、通过一系列实战化行动检验和提升网络攻击能力，具有强悍的网络空间攻击实战能力

从1991年海湾战争开始，美军就将伊拉克防空系统使用的打印机芯片换为染有计算机病毒的芯片，之后未曾停止过对他国关键基础设施的攻击行动。美国利用国家级网络武器，对他国关键基础设施层层渗透，力图控制军工、能源、金融等关键基础设施网络，实现长期潜伏、信息窃取、破坏扰乱，已是美实践网络战的惯常套路。

从公开渠道来看，不乏美国对关键基础设施攻击的案例。一是2010年9月发生的伊朗震网（Stuxnet）病毒事件。这是一场由美国主导，以色列、荷兰、德国、法国参加，历经六年的网络渗透和入侵行动，最终“超级武器”摧毁了核设施。从此，高级持续性威胁（APT）步入大众视野。在震网事件中，美国国家安全局、中央情报局承担了提供网络武器之责。十年前，美国就已具备如此强大的网络攻击能力，值得警醒。二是2019年3月委内瑞拉大停电。委内瑞拉总统马杜罗指出，此次断电事件是美国对委内瑞拉电力系统发起网络攻击造成的。攻击过程是首先预先植入恶意代码，在设备采购的供应链环节植入病毒，适时诱导病毒发作；其次通过无线入口进行渗透，攻破WiFi密码并以此为入口，进行目标渗透；最后利用互联网直接攻击，由于委内瑞拉电网和互联网有着千丝万缕的链接，可以通过最常规、典型的网络攻击步骤，渗透委内瑞拉电力系统。三是2020年3月，据360公司披露，美国CIA的APT-C-39组织对我国关键领域进行长达11年的网络渗透攻击，包括一系列针对我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构的定向攻击活动。研究发现，攻击工具多与2014年维基解密曝光的“Vault7（穹窿7）”网络武器库有关，攻击手段主要是围绕这些机构的系统开发人员来进行定向打击。

注释：

[1] 主要依据来源于：2020年网络空间安全四大顶级会议NDSS（Network and Distributed System Security Symposium）、IEEE S&P（IEEE Symposium on Security and Privacy）、Usenix Security（USENIX Security Symposium）、ACM CCS（ACM Conference on Computer andCommunications Security）上发布的论文成果。

声明：本文来自网安思考，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。