“水腹蛇”装置属于美国国家安全局NSA的“定制访问操作”(Tailored Access Operations, TAO)部门开发的高科技间谍工具系列之一。
具体来说,“水腹蛇”系列包括多个型号,如COTTONMOUTH-I、COTTONMOUTH-II和COTTONMOUTH-III等。这些设备通常伪装成USB接口或键盘等日常常见的硬件设备,具备极强的隐蔽性。
“水腹蛇”装置的核心功能是通过无线信号将数据传输回NSA,绕过传统网络安全防护措施,进入物理隔离的网络中。这些设备搭载射频(RF)信号传输模块,并具备强大的加密功能,确保数据的安全性和隐秘性。
它们还能与名为“Nightstand”的中继站通信,实现远距离数据传输,且无需互联网连接。
此外,“水腹蛇”设备内置恶意代码注入模块,可将特定恶意软件加载到目标设备上,实现进一步控制和监控。
例如,COTTONMOUTH-I可作为无线桥接器,将物理隔离的设备接入NSA的网络监控系统,远程控制设备、注入恶意代码,并将窃取的数据加密后传回。
美国NSA的“水腹蛇”装置在全球范围内执行了多个高风险的间谍任务,特别是在与中国、伊朗和其他关键国家的对抗中更为显著。
据央视新闻报道,NSA通过“水腹蛇”设备对中国境内多个主要城市的网络系统进行渗透和监控,包括政府、商业和军事机构,威胁中国的国家安全和信息主权。
我国技术团队调查发现,在美国NSA的内部文件中显示,中国境内的主要城市几乎都在其网络秘密入侵行动范围内,大量的互联网资产已经遭到入侵,其中包括西北工业大学和武汉市地震监测中心所在地区。
10月14日,我国网络安全机构第三次发布专题报告,进一步公开美国政府机构和“五眼联盟”国家针对中国和德国等其他国家,以及全球互联网用户实施网络间谍窃听、窃密活动,并掌握了美国政府机构通过各种手段嫁祸他国的相关证据,另外还有他们采取“供应链”攻击,在互联网设备产品中植入后门等事实。
我国技术团队专家介绍,除了直接实施网络入侵行动窃取数据之外,针对一些防范等级高且入侵难度大的高价值目标,此外,NSA还利用“供应链”攻击的方式,在美国大型互联网企业或设备供应商的配合下,从物流环节拦截攻击目标,并对攻击目标所采购的美国网络设备进行拆解并植入后门,然后重新打包发货给攻击目标。
NSA不仅针对中国,还利用类似手段对其他国家进行网络攻击和窃密。
例如,在伊朗核设施事件中,NSA通过类似的网络入侵手段实施了数据窃取和系统破坏,引发广泛国际争议。
面对NSA“水腹蛇”等高科技间谍设备的威胁,加强软件供应链安全成为当务之急:
1. 严格的供应商审核:对所有硬件及其相关固件的供应商进行彻底的安全审查,确保它们固件开发过程不会引入安全问题或潜在的后门。
2. 加强供应链透明度:要求供应商提供详细的SBOM清单备案,以及在生产过程中的安全保障措施。
3. 持续监控与更新:定期检查供应链上的所有组件是否存在新的安全威胁,并及时更新固件和软件以修复任何发现的漏洞。
4. 使用可信平台模块:对于接入系统的硬件模块及固件,建立可信源的验证机制。
5. 遵循软件安全设计原则:在系统软件开发过程中,也要注意严格遵循软件开发安全的设计原则,避免信息泄密及恶意植入漏洞的安全风险。
“水腹蛇”事件再次提醒我们,网络安全形势日益严峻,必须高度重视并采取切实有效的措施加强防范。
一方面,国家应加大对网络安全技术的研发投入,提升自主创新能力,打破国外技术垄断。
另一方面,企业应加强供应链安全管理,确保产品的安全性和可靠性。
同时,广大公众也应提高警惕,增强网络安全意识,共同维护国家网络安全。
