与大洋彼岸的威胁斗争，一位23年网络安全从业者的心里话|卡巴斯基|威胁斗争|安天实验室|爱德华_斯诺登|网络安全|网络攻击|震网

【文/观察者网专栏作者李柏松】

作为一名网络安全从业者，我已经在安天从事了23年威胁分析工作。而这些年来最难忘的，是如何和同志们一起与最高水平的威胁斗争。这些威胁来自大洋彼岸。

工作起点和轨迹

安天对美方情报机构APT（高级持续性威胁）攻击活动的分析，始于对“震网”事件的快速跟进。2010年7月，美、以情报机构联合攻击伊朗工业基础设施一事被曝光。我们快速搭建模拟环境、还原“震网”作用机理，并在分析其USB摆渡控制条件机理等方面形成了特别分析成果。但当时，我们并未更深刻地从网络空间军事化的风险来看待“震网”事件，还只是将其作为工业场景安全的新型“技术风险”来看待。

直到我们试图把“震网”攻击和代号为“巴比伦行动”的以色列空军偷袭伊拉克核反应堆这样的军事行动进行对比时，我们才意识到美方打开了潘多拉魔盒，即用网络攻击达成了传统战争行动的局部等效性。

从“震网”的机理还原到与“毒曲”的同源关联，再到针对“火焰”蠕虫众多模块的马拉松式的接力分析，我们在两年多的时间里几乎消耗了全部高级分析人力，但依然不能完成所有模块与分支的分析工作。我们的国际同行卡巴斯基也对“火焰”给出了“攻击机制最复杂、威胁程度最高的计算机病毒之一，其结构复杂度是‘震网’病毒的20倍。”的评价。

我们意识到，面前是多套史无前例的庞大超级恶意代码工程体系。直到2019年，我们才基本完成了承载“震网”“火焰”“毒曲”“高斯”这一系列攻击背后的恶意代码工程体系全貌绘制。

2012年后，我们开始分析一组更为隐蔽的攻击，这是更为复杂的平台化样本，通讯指令完全加密。凭借分析“震网”系列积累的经验，我们克服了挑战，完成了多种平台的样本分析，包括此前从来没有遇到过的Sun Sparc架构（Solaris系统）样本、破解加密方式、还原控制指令集合等。

有些遗憾的是，多方面因素导致我们无法第一时间公布这些分析成果。直到国际同行将相关攻击组织命名为“方程式”，并披露了其Windows平台样本后，我们才陆续公开了我们对Solaris、Linux、iOS等平台的样本分析结果。

卡巴斯基的分析成果也带给我们之前未分析的一个能力点，那就是“方程式”的面对硬盘固件的持久化能力。面对多种多样的硬盘型号，公司嵌入式安全部门的同事和高校联合研究者都来加入分析队伍，大家按照硬盘品牌分工协作，开发了4种主流品牌的硬盘固件提取工具。而威胁分析工作重要魅力也在于，我们会不停地遇到全新的场景和挑战。

载荷的全平台覆盖能力

在这个工作阶段，我们关注的重心是围绕组件化样本结构、0day漏洞的储备积累的组合运用、复杂的加密机制、更深度的持久化能力等，整体上还停留在面向恶意代码和作用机理技术分析层面。2013年，斯诺登事件爆发，美国情报机构NSA的大量内部文档在几年内被陆续曝光。我们意识到，我们面对的威胁行为体是一个庞大的冰山，我们过去的分析工作其实是其水面之上的部分。

而其基于覆盖全球信号情报获取能力，由“棱镜”“核子”“码头”等系统组成的“星风”体系，构建了全球网空地形测绘和覆盖性目标画像能力，建立了以“湍流”为代表的进攻性能力支撑体系，支撑起了具有精准定位能力、高度隐蔽性和反溯源能力的“21世纪信号情报框架”。数十个相互关联的工程体系，组成了美方网空攻击活动的巨大支撑体系。更是基于集成建设的IC Clouds（情报云），汇聚从人力、电磁到网络空间获取和窃取的海量数据，形成了情报的富集效应。

这些则是冰山的水面之下的部分，也是其霸权体系的一个组成部分。正如我的同事、安天创始人肖新光同志指出的：

“其情报活动和作战都已经有一套成熟的、渐进的体系，APT是这个体系众多手段中的一个，因此也必然带有其固有特色和痕迹。”

为此，2015年后，我们开始用“超高能力网空威胁行为体”来指代美方NSA等情报机构，并使用A2PT（即高级的高级持续性威胁）来标识其攻击活动，以将其和其他威胁行为体的定向攻击活动加以区别。同时，也提醒我们自己，对抗和分析这种攻击能力会有多么困难。更进一步的难点，则是闭合溯源、完整复盘其某次攻击行动。由于有大量的外设、电磁中继等支持，且很多攻击活动可能并不在互联网侧闭合，因此其也很难在TCP/IP层面完整复盘。我们只能努力分析已经获得的每一个样本和线索，等待更好的时机。

幸运的是，2017年4月14日，名为“影子经纪人”的攻击组织曝光了一批与NSA相关的数据，其中有一个名为“SWIFT”的文件夹引起安天工程师们的注意。经分析发现，这些数据是NSA在入侵中东最大SWIFT金融服务提供商EastNets（位于阿联酋迪拜）时记录的相关文档和日志。我们可以把此前对恶意代码样本和攻击战术的历史分析成果作为珍珠，而把相关的日志线索拼接在一起，就可以组成一条溯源的“珠链”，完整复盘还原美方攻击跳板、目标场景环境、攻击作业路径、攻击装备清单和运用、战术过程和作业后果。

为了让公众更好地理解这个复杂的攻击过程，我们还做了一份完整的可视化呈现。每一次分析启动，都是分析工程师团队连续作战的不眠之夜。但分析成果形成后，却往往无法第一时间发布。分析的工作就是战斗—等待—再战斗—再等待。这份报告最终在2019年6月正式公开发布。

我们已经形成完整的分析框架方法，能够从攻击装备、攻击战术、攻击支撑基础设施等角度，全面分析美方的网络攻击活动，开始以更加深入广泛的视角审视美方网络攻击活动背后的国家意志之手。

点名、打压与我们的应对

当我们回头看这些工作，以及在这些过程中相关的风雨时，我们才意识到，在这样一个抽丝剥茧、穿透迷雾的漫长艰辛过程中，尽管我们的初衷是通过分析工作洞悉威胁、守护客户的安全、推进防御技术的改善，但我们所触动的却是难以想象的庞然大物。

2010年，当我们从安天实验室开始走向企业化运行的轨迹时，我们设想的是：凭借十年磨砺出的反病毒引擎，做全球网络安全产业的检测能力的上游供应者。从网关设备的检测引擎出口美国、日本等发达国家，到移动端反病毒引擎广泛地展开国际合作，我们自以为在国际市场上已经站稳了脚跟。特别是在2012年到2014年，我们的移动引擎从首次获得AV-TEST月度测试第一名，到获得年度最佳奖项。我们特别坚信，凭借技术优势，我们有望能成为网络安全领域的“联发科”。

但从2013年开始，安天在美业务突然阻力重重。合作伙伴的法务部门告知我们，他们不能再使用来自中国的反病毒引擎。此时，我们才关注到，2012年美国会“美中经济与安全审查委员会”举行了首次所谓“中国网络安全问题”的听证会，但此时我们还有所不知的是，安天已经成为一类重点关注对象。

2015年，当我们还在为Cybersecurity Ventures全球网络空间安全创新500强首次榜单排名95（是排名最高的中国厂商）而有些许自豪时，就惊诧地从一份斯诺登泄露的文档中看到了安天的名字，美国国家安全局（NSA）和五眼联盟（美、英、澳、加、新情报共享机制）秘密实施“拱形计划”（CamberDaDa），着手监控卡巴斯基等全球23家有能力发现和溯源威胁的安全企业，安天作为中国唯一企业“赫然上榜”。CamberDaDa计划始于2010年，正是我们聚焦“震网”分析的那一年。

这份泄露文档，再次印证了美国情报机构和其他“五眼”国家情报机构通过入侵全球运营商等方式，在网络侧构建广泛监听能力。而这份文档的主标题《An Easy Win》正是NSA基于这套机制，在信道侧获取网络攻击受害者发送给网络安全厂商的邮件，来判断自己的攻击活动是否暴露，以及分析目标主机遭遇到的其他网络攻击，是否可以劫持利用。

斯诺登曝光文档中的一句话说明了该秘密计划的目的，“类似卡巴斯基反病毒软件的这类安全产品持续对英国政府通信总部（GCHQ，英国情报机构）的行动能力构成挑战，而软件反向工程的目的就是要一直跟踪此类软件的能力，否则我们的行为将被检测到。”

出于职业习惯，在威胁分析对抗中，我们一直都努力保持着冷静。但这一次，我们感到了震惊和愤怒。我们发出了声明：“我们认为监听恶意代码受害者的求助邮件，以图达成某种利益和优势的操作，是一种卑劣的行为。”

但抛开愤怒，我们的声明中更多的还是从国际合作与全球网络安全行业发展的视角做出警示：

“有关情报机构把自身所在国家以外的国际反病毒和安全厂商视为自己全球攻击、监听活动的绊脚石，同时又与自己国家的安全厂商微妙互动，这是强行在反病毒和安全厂商中划分出阵营。这种思维一旦扩散下去，必将导致各国艰难形成的安全产业协作和应急协同机制荡然无存，也将显著伤害全球其他国家用户对相关情报机构所在国家的安全厂商的基本信任，最终迫使网络安全产业彻底回到‘篱笆’划定的地缘经济之中”。

作为中国应急响应体系中积极参与国际合作的重要企业节点，我们的内心是非常珍视国际反病毒业界的协同机制和全球网络安全产业的分工协作的。但当有人撕裂世界，则阵营化已经不可避免。

防御A2PT攻击是巨大的挑战，而曝光A2PT攻击同样是巨大的挑战。中国不仅仅是网络攻击的受害者，在西方所把持的国际舆论场中，中国是一个弱势方。我们的声音难以被重视，发布报告揭露外方攻击威胁的工作，国内较长时间中，并没有获得广泛的重视和支持。

因此，我们对“方程式”的先发的两篇重要分析成果（组件木马和加密协议分析），是一直等待到卡巴斯基曝光后，才非常谨慎地选择以纯技术报告的方式发布。特别是，在2015年5月，我们和国内同行直接点名某外方威胁分析报告先后发布，但都遇到若干波折。导致之后几个月，国内业界有些灰心和沉寂。

工作转机很快到来，2016年419的网信工作座谈会，擘画出网络安全工作的战略目标和宏伟蓝图。2016年4月底，肖新光同志作为中方产业界代表，参加了网络空间安全主题的国际论坛，并有机会公开发表技术报告。我们决定要揭露美方情报机构等对中国的APT攻击活动，并给报告确定了一个很文艺的名字——“熊猫的伤痕”。

这是中国技术专家首次在国际论坛上正式披露相关内容。同志们都很关注报告的效果，等到了他那边的晚上时间，我语音呼叫问他报告是否顺利。他用硬挤出来的极为微弱的声音说“效果很好”。报告结束后，可能是长时间积累的压力的瞬间释放，他咽部突然水肿，呼吸非常困难。他回到宾馆后，就在卫生间吐了一口血。他对我说“肺子没事儿，是嗓子毛细血管都破了”。

安天实验室报告封面“熊猫的伤痕”

此后，我们一鼓作气，迅速组织发布了另外两篇重要的分析成果，复盘了美国情报机构样本的全平台覆盖能力、绘制了其执行杀伤链的功能模块地图。

2016年12月，美国网络安全机构NetScout发文，对中国网络空间安全协会（CSAC）的成员组成进行分析，其中专门解析了安天，既肯定了安天对方程式组织的分析成果的价值，又将安天定义为“新代言人”（指中国政府的）。也许是美方很难理解一个中国安全企业对自己国家的热爱和与威胁对抗的本能，也许这就是一顶刻意的帽子。总之，2017年开始，安天在美国市场的所有业务与合作彻底中断。

2022年2月，美国会“美中经济与安全审查委员会” 继2012年之后再次举行有关所谓“中国网空能力”的听证会，与会美方人员建议多措并举打压中国网空能力建设。在关注的中方网空能力方面，会议特别点名了两家中国网络安全企业“安天实验室和奇虎360”，“分析曝光了美国国家安全局和中央情报局的网络行动”，并称因为安天和奇虎360是中国“最古老的两家反病毒公司”，所以他们推出这些信息可能让民众更加信服。相关内容再次出现在了美国国会相关的年度报告中。连锁反应是，我们的亚洲国家的合作伙伴们也告知了我们将不再使用安天的引擎。

2024年2月，美国网络安全公司SentinelOne发布报告，用低质量的证据罗列和推理论述“中国网络安全能力不足以指控美国攻击”。报告中多次点名了安天，还有三处都直接指向了肖新光同志。SentinelOne是北约的技术支持机构和美国国土安全部的旋转门公司，我们从他们的报告中阅读到了满满的殖民者式样的傲慢。这也让安天CERT梳理历史工作，最终发布了我们的回应报告《如何让“鹰鹫”在迷雾中显形》。

SentinelOne的报告中还专门引用了我们在2016年的 “熊猫的伤痕”报告封面。于是《鹰鹫显型》报告中，我们补充了这样的结尾——

“施害者不因施害的高明而高贵，反抗者不因反抗的艰难而卑微。”

我们从未独行

安天分析团队溯源分析曝光美方情报机构网络攻击的工作，是中国网络安全业界为守护安全、对抗威胁的努力的组成部分。这份工作是艰难的，但我们的工作并不孤独。

从2010年“震网”事件，特别是2013年的斯诺登事件至今，全球多位网络安全知名学者、安全研究者和安全企业，针对美方投放蠕虫干扰他国工业基础设施、入侵SWIFT服务机构获取金融情报、弱化标准化组织的密码标准强度、进行无差别网络窃密与监控、污染供应链源头、开发网络攻击武器并造成泄露、纵容渗透测试平台成为黑客工具等恶行进行分析揭露。

美方网络霸权支撑体系的全貌能完整浮出水面，本身是全球网络安全产业界和学术界，是全球热爱和平正义的人们前仆后继、共同斗争的成果。

参与这场斗争的，既有来自中国安全业界的企业与同仁，也有国际安全企业。许多国际学者、研究者都表现出了巨大的正义感和勇气。密码学家Niels Ferguson、Dan Shumow、Aris等人勇敢揭露了美国情报机构污染NIST算法标准。新西兰密码学家Mattew Green痛斥美国NSA每年花费2.5亿美元，篡改加密标准、弱化通讯协议、与软硬件厂商合作弱化随机数强度、攻击4G手机加密系统……

2023年4月，中国网络安全产业联盟（CCIA）发布报告《美国情报机构网络攻击的历史回顾》，基于全球业界和学界近千份研究文献，梳理了各方分析过程及研究成果，展示了这场漫长而艰难的斗争。

这种共同的斗争依然在持续中。2023年6月，卡巴斯基曝光了美方针对苹果手机依托iMessage漏洞投放木马进行网络间谍活动——三角行动；安天也适时公开了一篇长期未公开报告《量子系统击穿苹果手机》，揭露“方程式组织”基于“量子之手”系统在网络侧针对上网手机终端浏览器漏洞进行利用投放的攻击样本，共同揭露了美方在攻击手机等互联网设备的方式和能力。

产业联盟报告中有一段话也引发了我们深深的共鸣和感慨。“曾在‘震网’事件中充分深度分析的赛门铁克、迈克菲等美国安全厂商如今对美国的网络攻击闭口不言；欧洲曾非常繁荣的反病毒产业体系，多年来在美国资本不断渗透控股并购下，本地规模性标志企业逐渐凋零。只有卡巴斯基，在多年打压下仍倔强而孤独地支撑着欧洲安全厂商的荣光。而中国网络安全企业和产业在这个斗争过程中，尽管也面临着巨大的压力，但正在不断做大做强。”

路程、思考、使命

我们是带着“只有恶意代码和安全威胁才是我们的敌人”的简单质朴信念开启创业之路的，但终于发现我们的工作不可能只停留于技术层面，而必须去直面威胁背后的超级行为体；我们是带着“天下无毒”理想的憧憬启航的，但终究发现“树欲静而风不止”。

从过去几年风高浪急的国际地缘政治环境来看，单边主义和霸权主义对世界的撕裂已经远远超过技术层面的对抗，不直面威胁背后的超级行为体展开斗争，就不可能维护真正的安全。中国网络安全更与中国的数字化发展和全球利益息息相关，需要专业技术过硬、斗争经验丰富的队伍；需要强大的国家网络安全体系；需要强大成熟的网络安全产业，为我国双循环发展提供安全保障。

在这个支撑能力频谱中，威胁分析是一个重要的能力支点。持续的威胁分析是安全引擎和产品的优化设计、持续改进升级的基础；其将攻击的黑箱打破，让防御者在被动中获得更多的可见性和主动权，在重大威胁和威胁趋势判断上能提供决策辅助参考。在外交和国际舆论斗争中，其也是揭露霸权主义国家将网络空间军事化的重要能力支撑。

威胁分析能力，一直是国内网络安全的能力优势项。在长期的威胁分析斗争过程中，中国网络安全业界输出了大量高质量的分析成果，推动了技术创新、产品开发和持续运营，也有效支撑了相关公共安全领域决策，诞生了多个代表性的分析响应团队，形成了高水平分析工程师人才梯队。

但作为威胁分析工作者，我有着深切的隐忧：中国网络安全的威胁分析能力和意志力可能面临衰退的风险。威胁分析工作长期以来并没有被足够重视。

一位国际友人曾对我说，“你们的对手可能比你们的客户更理解你们的分析成果的价值”。国内高质量的分析成果当前有减少的趋势。在分析工作中，相对急功近利、追逐先发漏洞和热点事件，但不愿意长时间、大成本投入地持续跟踪深度威胁的情况比较普遍。有较好基础积累的企业，也开始将分析能力的保持和提升视为一种高昂的企业成本，分析团队的扩建和体系性完善基本停滞。

在监管机构中也一定存在忽视分析工作对于准确判定威胁、溯源威胁行为体、研判防御的重点方向等方面的重大战略价值等情况，导致缺少对分析工作的有效资源投入与保障，缺少高价值分析成果的有效认定和反馈，这都可能削弱我国网络安全战略能力的根基。

我们需要正视中国网络安全事业发展必然面临着很多困难和挑战，每一个产业主体更是面临着艰苦的生存、求变和发展。但时代所赋予的使命感和责任感也让网络安全从业者认识深刻意识到，历史已经不允许我们有犹豫和徘徊，必须要与时俱进地提高网络空间防御能力、分析能力和威慑能力。为了更加美好、宁静、安全的网络空间，我们必须放弃幻想，准备斗争！