美国司法部网络安全述职报告

本文对美国司法部发布的网络安全回顾进行了简单总结。原文参见 https://www.justice.gov/dag/page/file/1520341/download  发布于2022年7月。

该综述是美国司法部对过去在网络安全方面所有工作的汇报总结。

本文上部分受众包括入侵检测，流量攻击，内容安全，反欺诈，反洗钱和案件打击团队。可以学习下美国司法部是如何看待网络犯罪的总体形势，以及如何进行组织保障，来保障民众安全。当然，安全从业以及爱好者也可以学习下，看下在怎样的情况下，你会被美国盯上。下部分受众包括甲方CISO，企业内部安全建设团队，安全产品团队，事件响应团队。可以学习下美国司法部是如何忽悠老板和纳税人，自己是如何应对APT攻击的。

2021年4月，美国司法部副检察长要求司法部回答司法部是如何应对快速演进的网络安全威胁的。（美国司法部的副检察长是美国司法部的第二大实权领导）。

司法部内部跨多个部门，历时1年3个月，完成了这篇报告。

在这篇报告里面，展现了美国司法部是怎么看待网络安全挑战，和如何应对的。

这篇报告分为三个部分，第一个部分讲，美国司法部是如何通过对网络攻击进行取证，起诉和使用其他方式来对抗网络攻击的。第二部分讲，美国司法部是如何通过开展和国内其他政府职能部门合作，国际合作，地方政府合作以及与私企合作来共同应对网络攻击。第三部门则是讲美国司法部自身的网络安全建设，如何对抗潜在的针对司法部的APT攻击。

本文将介绍第一部分。第二部分是如何政府内政府间跨国以及和私企进行协同，暂且不表。第三部分将单独在下篇文章中介绍。

网络安全形势

网络犯罪是国家的严重威胁，无论是对个人安全，经济健康还是国家安全。

网络罪犯可能是单独的黑客，也可能是国际犯罪组织成员，亦或者国家级黑客组织成员。他们可能使用其他人构建的专用的网络犯罪基础设施，或者滥用合法的数字或金融基础设施。网络犯罪是一种持续演进的威胁，因为他们在犯罪活动中一直尝试使用新的科技以及技术漏洞。

网络威胁持续多变且分布广泛。很多案例中，网络罪犯在国外，使用去中心化的基础设施，参与者也不清楚其他人的真实身份和位置。

一个网络犯罪组织可能实施了一系列横跨不同地域和归属于不同司法部门的犯罪行为。

司法部的包括检察官，代理人，分析师以及其他角色都需要协同，共享信息，避免重复工作。

网络罪犯使用多种手段规避检测和身份识别。某些国家可能对此类犯罪熟视无睹，甚至授权，支持或指导他们此类犯罪活动。甚至，网络罪犯可能本身就在国外情报组织或军队中工作。

传统的通过逮捕和起诉的犯罪打击能力受到了很大的挑战。

司法部开发了其他工具来弥补能力上的漏洞，来降低犯罪分子的投入产出比。

现在的网络威胁不能用传统的简单分类为普通犯罪和危害国家安全。传统的网络犯罪组织和国家级APT组织之间的边界进一步模糊。网络犯罪分子和国家之间基于便利和机会，形成了联盟。甚至故意设计成如此。某些国家只要这些网络犯罪活动不是影响自己境内，就会允许这些犯罪活动长久存在，甚至承担着安全港的角色。但这些犯罪分子实施的网络攻击行为却实实在在的影响着国家安全。

• 勒索软件攻击影响国家安全

• 恶意外国政府使用网络犯罪创收

• 外国政府为黑客提供避风港

• 犯罪分子使用国家级黑客的技术

调查取证 起诉以及其他对抗能力

事件调查协同

• 数据驱动的威胁优先级

• 网络事件调查跨团队情报共享

• 消除多团队网络调查起诉冲突

网络威胁对抗手段

除了传统的起诉和逮捕之外，还需要通过各种方式来中断他们的犯罪活动，他们用来货币化的渠道以及提升他们的投入成本。这些行动包括采用各种刑事民事国家安全以及管理工具来摧毁他们使用的基础设施，剥夺他们犯罪行为所得，包括没收他们犯罪活动的资产。

具体手段包括

• 中断C2服务器以及其他运营基础设施

• 使用法律授权令移除恶意软件

• 冻结没收犯罪活动所得

历史案例

• 没收 Colonial Pipeline勒索攻击收益

• 移除受害服务器上的Webshell

• 没收鱼叉攻击中的域名

另外在Emotet REvil Lazarus等组织的对抗中，司法部展现了其他对抗能力。

对抗混合威胁

正如前面讲的网络安全威胁形势中，普通网络犯罪跟国家级黑客行动之间的边界进一步模糊。

司法部内部各部门需要协同，一起去进行网络入侵事件调查，包括CRM,NSD,CHIP和NSCS。同时，FBI的网络部雇佣各种不同背景能力包括犯罪，反间谍还有其他国家安全背景的人，从而具备多学科的视角来研究当前出现的威胁。

司法部需要持续通过多种方式来促进多学科视角的网络事件调查。例如，CRM检察官完全了解他们的事件中的国家安全因素，NSD检察官要能意识到由国家支持的入侵行为可能会带来的潜在影响。最终，网络安全检察官应该既熟悉传统的刑事执法工具，也熟悉国家安全工具。

另一个消除国家安全和普通网络犯罪调查墙的方法是，让那些不是专注于国家安全调查的人与国家安全的同僚一起，来确定一个目标的分类。检察官，代理人和分析师需要一起对所有的潜在线索进行调查。和包括FBI,其他情报组织一起获取包括归因，手法，任何正在进行的为潜在的未来攻击的准备活动的证据。一旦一个网络犯罪组织可能是为国外政府的情报部门或军方工作的，检察官和代理人需要立即和NSD一起，保证调查资源被投入到关联关系的确认当中。即使这种关联关系的确认不会影响到对犯罪的控诉。

摧毁网络犯罪生态

网络犯罪组织持续升级他们的技术来隐藏他们的身份和活动。司法部不仅要打击从事网络犯罪活动的人，还需要打击为网络犯罪提供土壤的人，包括提供便利的犯罪设施，传播复杂的网络攻击工具等。随着网络犯罪的收益，网络工具和利用代码的增长，支撑网络犯罪的生态服务也在增长。

网络犯罪生态元素包括

• 非法论坛，网站 ，平台。包括暗网

• 为犯罪分子提供在线基础设施的公司，包括IP，服务器，VPN，域名等。从而隐匿犯罪活动

• 杀软对抗服务，包括提供加壳能力，测试恶意文件域名，URL等，用来保证不被杀软发现

• 混币服务，从而让犯罪分子隐匿非法虚拟币交易，洗白犯罪收入

这些服务提供商为包括国家级组织和常规网络犯罪组织的复杂攻击提供了土壤。对这些被犯罪分子使用的犯罪基础设施的成功调查和摧毁，可以给犯罪组织带来持久的影响。代理人和检察官需要将这些事件的调查和起诉提到更高的优先级。

司法部早先就意识到，成功的摧毁犯罪工具提供者，可以为降低存在的威胁带来显著的效果。在过去一年里，司法部就成功起诉了

• 提供防弹托管的提供商。（ 防弹托管是由Web托管提供商提供的技术基础结构服务，它对非法活动的投诉具有弹性，为犯罪分子服务，是简化各种网络攻击的基本构件。BPH提供商允许在线赌博，非法色情制品，僵尸网络命令和控制服务器，垃圾邮件，受版权保护的材料，仇恨言论和错误信息 ）；

• 提供混币服务的个人，该类案例尚属首次

• 一个提供在线加壳服务的外国人

此类服务提供商的持续调查和起诉带来了显著的打击效果。另外，这些提供商可能也更容易定位和逮捕，即使他们的客户仍然难以定位和逮捕。

这些用以打击网络犯罪的手段也要扩展到构建这些犯罪生态的提供商上面。例如，司法部最近参与了一项国际行动，拿下了一个宣称自己为勒索软件部署和其他网络犯罪活动提供支持的VPN服务商。摧毁这些培育网络犯罪的生态系统也对司法部提出了更高的要求。要求司法部更加系统的研究和确认有效的技术打击行动。尤其是，司法部应该使用更综合更系统的方法来研究，如何构建在打击行动中使用的司法工具。

特定领域调查和执法

勒索软件

勒索软件是一种被网络犯罪分子用来勒索计算机系统拥有者的恶意软件。这种恶意软件一般加密受害电脑的文件，导致文件无法使用，并留下一段勒索信息，要求付款才能获得解密密钥。为了进一步胁迫受害者付款，一些犯罪分子会从受害者电脑上窃取敏感资料，威胁泄露或者售卖受害者数据。

司法部对抗勒索软件威胁已经8年有余，最早至少可追溯到2014年，拿下用以传播Cryptolocker勒索软件的GameOver Zeus botnet。然而，随着勒索软件犯罪分子的技术升级，勒索软件攻击的规模，范围，频率都大大提升。尤其是RAAS业务模式(Ransomware as a service)的发展。网络犯罪分子大大降低了勒索的壁垒，不需要开发他们自己的勒索软件。

2021年4月，司法部成立了勒索软件和数字勒索专案组。作为专案组的一员，CRM的CCPIS，和美国检察官办公室一起，把勒索软件活动的摧毁，调查和起诉列为更高优先级。追踪，摧毁勒索软件的开发和部署，确认犯罪组织的身份，把犯罪分子绳之于法。司法部通过专案组，把勒索软件犯罪生态作为一个整体打击目标，协同国内外政府部门以及私营企业的伙伴们一起，对抗此类威胁。专案组最近的成果包括没收Colonial Pipleline 勒索软件攻击的非法所得，举政府之力对抗REvil勒索组织的战役中，成功起诉，没收并抓捕该组织成员。

现在，司法部和FBI正在调查超过100种勒索软件变种。这些勒索软件疑似造成了超过10亿美刀的经济损失。勒索软件持续攻击美国的商业和组织，对抗勒索仍然是当前司法部的重中之重。

加密货币和数字资产

随着数字资产和分布式账本技术的创新，犯罪分子，恐怖分子和国家级网络攻击者也越来越多的将这些技术用于非法目的。这些技术中的一些核心特性包括去中心化，匿名性和去中间人的交易便利性都会被犯罪分子利用，给公众带来显著风险。例如，犯罪分子使用加密货币让勒索更加便利。暗网交易使用加密货币来买卖非法物品，包括黑客工具和武器。恐怖组织使用加密货币来规避制裁。洗钱人员使用加密货币来隐藏犯罪所得和隐匿受益者身份。尤其是，数字资产和虚拟币让针对公众的盗窃，欺诈，滥用等犯罪活动更加便捷。

司法部一直在对抗复杂虚拟币犯罪的最前线。司法部将刑事民事和国家安全的经验融合在一起，加强它对抗加密货币非法使用的能力。包括对那些提供网络犯罪的线上交易所，混币服务进行执法行动。同时，也在众多的调查中，不断建设司法部的能力，来应对分布式账本技术带来的挑战。

司法部最近成立了国家加密货币执法团队。作为一个专职的检察官团队，用来应对数字资产带来的挑战。这个团队负责处理了Bitfinex虚拟交易所被黑案件，没收了该案件相关的价值36亿美刀的被窃虚拟币，并抓捕了相关嫌疑人。另外，FBI最近创建了VAU（Virtual Assets Unit）团队，建设它自己的加密货币追踪和调查工具。

网络间谍和国家支持的破坏性攻击

通过网络入侵获得机密信息或者实现地缘政治诉求，一直是当前国家支持的网络攻击活动的核心目标。

司法部将和众多合作方一起，打击此类活动。2022年4月，司法部使用法庭授权令摧毁了在GRU控制下的感染了全球数千网络设备的botnet  Sandworm。(GRU是老毛子军方的情报组织)。2018年5月，司法部使用法庭行政令让FBI没收了GRU掌握的VPNFilter这个botnet的C2域名。2020年10月，司法部起诉了六名GRU军官。他们主导了当前最具破坏的恶意软件攻击之一，包括2015年的KillDisk，2016年的Industroyer（乌克兰电网攻击，导致基辅五分之一断电一个小时）。2017年的NotPetya攻击，导致全球损失超过数十亿。2018年的 Olympic Destroyer攻击，摧毁数千个支持2018年平昌冬奥会的计算机。

舆情战

司法部一直在对抗外国政府支持的舆情战。

近些年，舆情战开始使用互联网的匿名性来更有效的开展他们的战役。例如，2021年11月，司法部控诉两名伊朗人，他们发起了影响2020美国总统大选的网络舆情战。2018年10月，司法部控诉六名俄国军方情报官员的黑客攻击和相关的虚假信息行动。

注意，本部分本文删除了包括色情，暴力，国内恐怖主义对抗章节。有需要的直接读原文。

组织保障

2021年10月6日，刑事司内部成立了国家加密货币执法团队，专注于对抗非法使用虚拟币。

2021年10月6日，民事司发布民事网络欺诈倡议。参照现有的虚假申报法案(FCA)来追究不满足网络安全要求的政府承包商的民事责任。

司法部内部开展网络安全人才计划，旨在培养懂网络安全的新一代检察官和律师，应对网络犯罪和网络相关的国家安全威胁。

外部合作

美国司法部是通过开展和国内其他政府职能部门合作，国际合作，地方政府合作以及与私企合作来共同应对网络攻击。

总结

1. 美国司法部认为普通网络犯罪和国家级APT的边界变得模糊

2. 网络犯罪由于个案本身可能跨多种类型（例如诈骗案件中往往涉及诈骗，洗钱，滥用基础服务等），受害者跨地域，攻击者跨国界，且成组织成规模，需要建立更深入的协同，包括跨政府部门协同，跨私营企业协同以及跨国共同协同

3. 对网络犯罪基础设施的打击会让整个网络犯罪对抗更有成效

4. 美国司法部建设了除了起诉抓捕之外的司法手段来打击网络犯罪，包括但不限于没收域名，中断C2, 在没法确认犯罪者真实身份时没收非法所得。以及建立国际协同机制提升网络犯罪成本

5. 整体来看，美国司法部对于网络犯罪的认知还是比较到位的。对于包括勒索软件，加密货币都成立了单独的团队。对于包括舆论战，网络间谍，利用社交媒体进行恐怖主义等涉及网络技术领域均建立了较为完整的执法流程和工具

原文始发于微信公众号（落水轩）：美国司法部网络安全述职报告