2022年第5期网络病毒监测

近日，国家计算机病毒应急处理中心对“蜂巢”（Hive）恶意代码攻击控制武器平台（以下简称“蜂巢平台”）进行了分析，蜂巢平台由美国中央情报局（CIA）数字创新中心（DDI）下属的信息作战中心工程开发组（EDG，以下简称“美中情局工程开发组”）和美国著名军工企业诺斯罗普·格鲁曼（NOC）旗下XETRON公司联合研发，由美国中央情报局（CIA）专用。蜂巢平台属于“轻量化”的网络武器，其战术目的是在目标网络中建立隐蔽立足点，秘密定向投放恶意代码程序，利用该平台对多种恶意代码程序进行后台控制，为后续持续投送“重型”武器网络攻击创造条件。美国中央情报局（CIA）运用该武器平台根据攻击目标特征定制适配多种操作系统的恶意代码程序，对受害单位信息系统的边界路由器和内部主机实施攻击入侵，植入各类木马、后门，实现远程控制，对全球范围内的信息系统实施无差别网络攻击。

一、技术分析

（一）攻击目标

为满足美国中央情报局（CIA）针对多平台目标的攻击需求，研发单位针对不同CPU架构和操作系统分别开发了功能相近的蜂巢平台适配版本。根据目前掌握的情况，蜂巢平台可支持ARMv7、x86、PowerPC和MIPS等主流CPU架构，覆盖Windows、Unix、Linux、Solaris等通用操作系统，以及RouterOS（一种由MikroTik公司开发的网络设备专用操作系统）等专用操作系统。

（二）系统构成

蜂巢平台采用C/S架构，主要由主控端（hclient）、远程控制平台（cutthroat，译为：“割喉”）、生成器（hive-patcher）、受控端程序（hived）等部分组成。为了掩护相关网络间谍行动，美中情局工程开发组还专门研发了一套名为“蜂房”（honeycomb）的管理系统，配合多层跳板服务器实现对大量遭受蜂巢平台感染的受害主机的远程隐蔽控制和数据归集。

（三）攻击场景复现

国家计算机病毒应急处理中心深入分析蜂巢平台样本的技术细节，结合公开渠道获得的相关资料，基本完成了对蜂巢平台典型攻击场景的复现。

1、利用生成器（hive-patcher）生成定制化的受控端恶意代码程序

美国中央情报局（CIA）攻击人员首先根据任务需求和目标平台特点，使用生成器（hive-patcher）生成待植入的定制化受控端恶意代码程序（即hived）。在生成受控端程序前，可以根据实际任务需求进行参数配置（如表1所示）。

美国中央情报局（CIA）攻击人员完成上述参数配置后，生成器（hive-patcher）可生成新的受控端植入体（如图1所示）。

值得注意的是，从攻击目标类型上看，美国中央情报局（CIA）特别关注MikroTik系列网络设备。MikroTik公司的网络路由器等设备在全球范围内具有较高流行度，特别是其自研的RouterOS操作系统，被很多第三方路由器厂商所采用，美国中央情报局（CIA）对这种操作系统的攻击能力带来的潜在风险难以估量。

2、将服务器端恶意代码程序植入目标系统

美国中央情报局（CIA）特别开发了一个名为“Chimay-Red”的MikroTik路由器漏洞利用工具，并编制了详细的使用说明。该漏洞利用工具利用存在于MikroTikRouterOS 6.38.4及以下版本操作系统中的栈冲突远程代码执行漏洞，实现对目标系统的远程控制。漏洞利用工具的使用说明如表2。

据美国政府内部人士公开披露，美国中央情报局（CIA）和美国国家安全局（NSA）同属美国国防部，他们在对外网络战行动中经常相互配合，美国国家安全局的特定入侵行动办公室拥（TAO）拥有“酸狐狸”（FoxAcid）等漏洞攻击武器平台和系统化网络攻击工具，可以高效支援美国中央情报局（CIA）的间谍软件植入行动。

3、唤醒服务器端恶意代码程序并进行命令控制

服务器端恶意代码程序被植入目标系统并正常运行后，会处于静默潜伏状态，实时监听受控信息系统网络通讯流量中具有触发器特征的数据包，等待被 “唤醒”。美国中央情报局（CIA）攻击人员可以使用客户端向服务器端发送“暗语”，以“唤醒”潜伏的恶意代码程序并执行相关指令。美国中央情报局（CIA）攻击人员利用名为“cutthroat（割喉）”的控制台程序对客户端进行操控。其主要命令参数如表3所示。

主控端与被控端建立连接后，可以执行相应控制命令（如图2所示）。