0
本文作者: 刘琳 | 2020-03-04 19:50 |
“在网络安全问题上,美方是国际公认的窃密惯犯”,2 月 28 日国防部发言人吴谦在记者会上说过这样一句话,没想到竟一语成谶。
3 月 3 日, 360 公司宣布,通过该公司旗下“ 360 安全大脑”的调查分析,发现美国中央情报局(CIA)的国家级黑客组织“APT-C-39(由 360 公司命名,下文不再解释)”对中国进行了长达 11 年的网络攻击和渗透。 在此期间,我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。
不过,对于 CIA 来说,为获取类似的情报而进行长期、精心布局和大量投入是很常见的操作。
今年 2 月初,《华盛顿邮报》等媒体的联合调查报道指出,CIA 从上世纪五十年代开始就布局收购并完全控制了瑞士加密设备厂商 Crypto AG,在长达七十年的历史中,该公司售往全球一百多个国家的加密设备都被 CIA 植入了后门程序,使得这期间 CIA 都可以解密这些国家的相关加密通讯和情报。
由此,我们可以推测:CIA 在过去长达十一年的渗透攻击里,通过攻破或许早已掌握到了我乃至国际航空的精密信息,甚至不排除 CIA 已实时追踪定位全球的航班实时动态、飞机飞行轨迹、乘客信息、贸易货运等相关情报。如猜测属实,那么 CIA 掌控到如此机密的重要情报,将会做出哪些意想不到的事情呢?获取关键人物的行程信息,进而政治威胁,或军事打压......
不过,美国中央情报局怎么能轻易被 360 安全大脑捕获这么重要的信息呢?
这一切还要归功于一个不惜一切代价想要“背叛”CIA 的核心成员。
据环球时报报道,美国联邦检察官周一说,一名程序员因涉及中央情报局(CIA)历史上最大的机密信息泄露案而受审,称此人“准备不惜一切代价”来背叛 CIA 。
约书亚·亚当·舒尔特(Joshua Adam Schulte) 毕业于德萨斯大学斯汀分校,曾作为实习生在美国国家安全局(NSA)工作过一段时间,于 2010 年加入美国中央情报局 CIA ,在其秘密行动处(NCS)担任科技情报主管。
而约书亚精通网络武器设计研发专业技术,又懂情报运作,理所当然的成为 CIA 诸多重要黑客工具和网络空间武器主要参与设计研发者核心骨干之一,巧合的是,这其中就包含“ Vault7(穹窿7)” CIA 这一关键网络武器。
也正是因为这个关键网络武器的出现,360 才能锁定 CIA 借此攻击我国的五大证据。
1)APT-C-39 组织使用了大量 CIA"Vault7(穹窿7) "项目中的专属网络武器。
研究发现,APT-C-39 组织多次使用了 Fluxwire,Grasshopper 等 CIA 专属网络武器针对我国目标实施网络攻击。
通过对比相关的样本代码、行为指纹等信息,可以确定该组织使用的网络武器即为“ Vault7(穹窿7)” 项目中所描述的网络攻击武器。
2)APT-C-39 组织大部分样本的技术细节与“穹窿7”文档中描述的技术细节一致。
360 安全大脑分析发现,大部分样本的技术细节与“ Vault7(穹窿7)” 文档中描叙的技术细节一致,如控制命令、编译pdb路径、加密方案等。
这些是规范化的攻击组织常会出现的规律性特征,也是分类它们的方法之一。所以,确定该组织隶属于 CIA 主导的国家级黑客组织。
3)早在“Vault7(穹窿7)”网络武器被维基解密公开曝光前,APT-C-39 组织就已经针对中国目标使用了相关网络武器。
2010 年初,APT-C-39 组织已对我国境内的网路攻击活动中,使用了“Vault7(穹窿7)”网络武器中的 Fluxwire 系列后门。这远远早于 2017 年维基百科对“ Vault7(穹窿7)”网络武器的曝光。这也进一步印证了其网络武器的来源。
在通过深入分析解密了“ Vault7(穹窿7)” 网络武器中 Fluxwire 后门中的版本信息后,360 安全大脑将 APT-C-39 组织历年对我国境内目标攻击使用的版本、攻击时间和其本身捕获的样本数量进行统计归类,如下表:
从表中可以看出,从 2010 年开始,APT-C-39 组织就一直在不断升级最新的网络武器,对我国境内目标频繁发起网络攻击。
4)APT-C-39 组织使用的部分攻击武器同NSA存在关联。
WISTFULTOLL 是 2014 年 NSA 泄露文档中的一款攻击插件。
在 2011 年针对我国某大型互联网公司的一次攻击中,APT-C-39 组织使用了 WISTFULTOOL 插件对目标进行攻击。
与此同时,在维基解密泄露的 CIA 机密文档中,证实了 NSA 会协助 CIA 研发网络武器,这也从侧面证实了 APT-C-39 组织同美国情报机构的关联。
5)APT-C-39 组织的武器研发时间规律定位在美国时区。
根据该组织的攻击样本编译时间统计,样本的开发编译时间符合北美洲的作息时间。
恶意软件的编译时间是对其进行规律研究、统计的一个常用方法,通过恶意程序的编译时间的研究,我们可以探知其作者的工作与作息规律,从而获知其大概所在的时区位置。
可怕的是,公开的“穹窿 7 ”项目信息显示,几乎所有的主流计算机、移动设备、智能设备、物联网设备等,CIA 都配备了针对性的网络攻击武器。例如 Fluxwire 系列后门是“穹窿 7 ”项目中数十种网络武器之一。通俗地说,它是一个计算机后门程序,但与我们一般遇到的木马、后门程序不同的是,它是一个大型、复杂的国家级网络攻击平台,可以攻击控制 Windows 、Linux 、MacOS 等所有主流操作系统及软硬件设备。它的目的是要稳定且隐蔽地控制各类电子设备,伺机而动发起网络攻击,窃取我国相关单位的机密情报。
环球时报的报道也进一步证实了这一点。报道中称,美国 CIA 通过恶意软件等网络武器,控制大量美国、欧洲等地企业的电子设备及操作系统产品,包括苹果手机、谷歌安卓系统、微软视窗系统和三星智能电视,通过这些设备的麦克风进行窃听,并且,首批公布的 8000 多份文件仅仅是该网站掌握的一系列泄密文件的一部分。
也就是说,美国中央情报局可能不止在监测中方,很可能其他国家也在受其监控。
我们应该如何应对?
从本质上说,那些受境外组织指使,并针对特定目标进行的长期而蓄意的攻击就叫 APT 攻击。
而 APT 攻击的显著特征是目标明确、技术高级、持续性长、分布域广、隐蔽性强、威胁性大、手段多样。而美国中央情报局对中国长达十一年的持续攻击,毫无疑问这是骇人听闻的 APT 攻击。
据 360 介绍,360 安全大脑近年已发现 40 多个以国家级黑客为背景的 APT 攻击组织,这些黑客潜伏、渗透在互联网中窃取情报,涉及能源、通信、金融、交通、制造、教育、医疗等关键基础设施和政府部门、科研机构。
因此,360 专家建议,要应对这样的网络攻击,需要业界共同打造和构建一个国家级网络攻防体系,提高国家网络安全防御能力。
在今天举行的中国外交部例行记者会上,发言人赵立坚表示,长期以来,美国政府有关机构违反国际法和国际关系基本准则,对外国政府、企业和个人实施大规模有组织、无差别的网络窃密、监控和攻击,这早已是人尽皆知。从“维基解密”到“斯诺登事件“,再到近期的“瑞士加密机事件”,美方这种不道德的行径一再暴露。360 公司有关的报告是又一有力的例证。
赵立坚称,事实证明,美国才是全球最大的网络攻击者,是名副其实的“黑客帝国”。美方却贼喊追贼,时时处处把自己装扮成网络攻击的受害者,充分暴露美方在网络安全问题上的虚伪性和双重标准。中国一直是美方网络窃密和攻击的严重受害者,中方就此多次向美方提出严正交涉。我们再次强烈敦促美方作出清楚解释,立即停止此类活动,还中国和世界一个和平、安全、开放、合作的网络空间。雷锋网雷锋网雷锋网
参考来源:
全球首家实锤!美国中央情报局CIA攻击组织(APT-C-39)对中国关键领域长达十一年的网络渗透攻击!
CIA泄密案:美国监控各种电子设备的内情被透露给“维基揭秘”
雷峰网原创文章,未经授权禁止转载。详情见转载须知。