記載歷史時(shí)刻，全球首家實(shí)錘！涉美CIA攻擊組織對(duì)我國發(fā)起網(wǎng)絡(luò)攻擊。

360安全大腦捕獲了美國中央情報(bào)局CIA攻擊組織（APT-C-39）對(duì)我國進(jìn)行的長達(dá)十一年的網(wǎng)絡(luò)攻擊滲透。在此期間，我國航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等多個(gè)單位均遭到不同程度的攻擊。 不但如此，360安全大腦通過關(guān)聯(lián)相關(guān)情報(bào)，還定位到負(fù)責(zé)從事研發(fā)和制作相關(guān)網(wǎng)絡(luò)武器的CIA前雇員：約書亞·亞當(dāng)·舒爾特(Joshua Adam Schulte)。在該組織攻擊我國目標(biāo)期間，他在CIA的秘密行動(dòng)處(NCS)擔(dān)任科技情報(bào)主管職位，直接參與研發(fā)了針對(duì)我國攻擊的網(wǎng)絡(luò)武器：Vault7（穹窿7）。這部分相關(guān)線索，更進(jìn)一步地將360安全大腦發(fā)現(xiàn)的這一APT組織的攻擊來源，鎖定為美國中央情報(bào)局。

美國中央情報(bào)局（Central Intelligence Agency，簡稱CIA），一個(gè)可以比美國國家安全局（NSA）更為世人熟知的名字，它是美國聯(lián)邦政府主要情報(bào)搜集機(jī)構(gòu)之一，下設(shè)情報(bào)處(DI)、秘密行動(dòng)處 (NCS) 、科技處(DS&T)、支援處(DS)四大部門，總部位于美國弗吉尼亞州的蘭利。

其主要業(yè)務(wù)包括：

收集外國政府、公司和個(gè)人的信息；

分析其他美國情報(bào)機(jī)構(gòu)收集的信息以及情報(bào)；

提供國家安全情報(bào)評(píng)估給美國高級(jí)決策者；

在美國總統(tǒng)要求下執(zhí)行或監(jiān)督秘密活動(dòng)等。

CIA核心網(wǎng)絡(luò)武器“Vault7”成重要突破口

360安全大腦全球首家捕獲涉美攻擊組織APT-C-39

時(shí)間追溯到2017年，維基解密接受了來自約書亞的“拷貝情報(bào)”，向全球披露了8716份來自美國中央情報(bào)局CIA網(wǎng)絡(luò)情報(bào)中心的文件，其中包含涉密文件156份，涵蓋了CIA黑客部隊(duì)的攻擊手法、目標(biāo)、工具的技術(shù)規(guī)范和要求。而這次的公布中，其中包含了核心武器文件——“Vault7（穹窿7）”。

360安全大腦通過對(duì)泄漏的“Vault7（穹窿7）”網(wǎng)絡(luò)武器資料的研究，并對(duì)其深入分析和溯源，于全球首次發(fā)現(xiàn)與其關(guān)聯(lián)的一系列針對(duì)我國航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等長達(dá)十一年的定向攻擊活動(dòng)。而這些攻擊活動(dòng)最早可以追溯到2008年（從2008年9月一直持續(xù)到2019年6月左右），并主要集中在北京、廣東、浙江等省份。而上述這些定向攻擊活動(dòng)都?xì)w結(jié)于一個(gè)鮮少被外界曝光的涉美APT組織——APT-C-39（360安全大腦將其單獨(dú)編號(hào)）。

關(guān)于APT-C-39組織其攻擊實(shí)力如何，有多大的安全隱患？這里以航空航天機(jī)構(gòu)為例說明。

因涉及國家安全領(lǐng)域，所以我們只披露360安全大腦所掌握情報(bào)數(shù)據(jù)的部分細(xì)節(jié)：其中CIA在針對(duì)我國航空航天與科研機(jī)構(gòu)的攻擊中，我們發(fā)現(xiàn)：主要是圍繞這些機(jī)構(gòu)的系統(tǒng)開發(fā)人員來進(jìn)行定向打擊。而這些開發(fā)人員主要從事的是：航空信息技術(shù)有關(guān)服務(wù)，如航班控制系統(tǒng)服務(wù)、貨運(yùn)信息服務(wù)、結(jié)算分銷服務(wù)、乘客信息服務(wù)等。

(航空信息技術(shù)有關(guān)服務(wù)：指為國內(nèi)與國際商營航空公司提供航班控制系統(tǒng)服務(wù)，乘客信息服務(wù)，機(jī)場旅客處理系統(tǒng)服務(wù)及相關(guān)數(shù)據(jù)、延伸信息技術(shù)服務(wù)。) 

值得注意的是，CIA所攻擊的航空信息技術(shù)服務(wù)，不僅僅是針對(duì)國內(nèi)航空航天領(lǐng)域，同時(shí)還覆蓋百家海外及地區(qū)的商營航空公司，CIA此舉的目的到底為何？ 其實(shí)，對(duì)于CIA來說，為獲取類似的情報(bào)而進(jìn)行長期、精心布局和大量投入是很常見的操作。

就在今年2月初，《華盛頓郵報(bào)》等媒體的聯(lián)合調(diào)查報(bào)道指出，CIA從上世紀(jì)五十年代開始就布局收購并完全控制了瑞士加密設(shè)備廠商Crypto AG，在長達(dá)七十年的歷史中，該公司售往全球一百多個(gè)國家的加密設(shè)備都被CIA植入了后門程序，使得這期間CIA都可以解密這些國家的相關(guān)加密通訊和情報(bào)。 

至此，我們可以推測：CIA在過去長達(dá)十一年的滲透攻擊里，通過攻破或許早已掌握到了我乃至國際航空的精密信息，甚至不排除CIA已實(shí)時(shí)追蹤定位全球的航班實(shí)時(shí)動(dòng)態(tài)、飛機(jī)飛行軌跡、乘客信息、貿(mào)易貨運(yùn)等相關(guān)情報(bào)。如猜測屬實(shí)，那CIA掌控到如此機(jī)密的重要情報(bào)，將會(huì)做出哪些意想不到的事情呢？獲取關(guān)鍵人物的行程信息，進(jìn)而政治威脅，或軍事打壓......

這并不是危言聳聽，2020年1月初，伊朗一代“軍神”卡西姆·蘇萊曼尼被美國總統(tǒng)特朗普輕易“獵殺”，其中掌握到蘇萊曼尼航班和行程的精確信息就是暗殺成功的最關(guān)鍵核心，而這些信息正是以CIA為代表的美國情報(bào)機(jī)構(gòu)通過包括網(wǎng)絡(luò)攻擊在內(nèi)的種種手段獲取的。這一事件，是美國情報(bào)機(jī)構(gòu)在現(xiàn)實(shí)世界作用的一個(gè)典型案例。

360安全大腦精準(zhǔn)鎖定CIA"武器"研發(fā)關(guān)鍵人物

約書亞·亞當(dāng)·舒爾特 (Joshua Adam Schulte)

提到CIA關(guān)鍵網(wǎng)絡(luò)武器——Vault7（穹窿7），就不得不介紹一下這位CIA前雇員：約書亞·亞當(dāng)·舒爾特(Joshua Adam Schulte)。

約書亞·亞當(dāng)·舒爾特(Joshua Adam Schulte，以下簡稱約書亞)，1988年9月出生于美國德克薩斯州拉伯克，現(xiàn)年31歲，畢業(yè)于德薩斯大學(xué)斯汀分校，曾作為實(shí)習(xí)生在美國國家安全局（NSA）工作過一段時(shí)間，于2010年加入美國中央情報(bào)局CIA，在其秘密行動(dòng)處（NCS）擔(dān)任科技情報(bào)主管。

 (國家秘密行動(dòng)處(NCS)充當(dāng)中央情報(bào)局秘密部門，是協(xié)調(diào)、去除沖突以及評(píng)估美國情報(bào)界秘密行動(dòng)的國家主管部門。)

精通網(wǎng)絡(luò)武器設(shè)計(jì)研發(fā)專業(yè)技術(shù)，又懂情報(bào)運(yùn)作，約書亞成為CIA諸多重要黑客工具和網(wǎng)絡(luò)空間武器主要參與設(shè)計(jì)研發(fā)者核心骨干之一。這其中就包含“Vault7（穹窿7）” CIA這一關(guān)鍵網(wǎng)絡(luò)武器。 

2016年，約書亞利用其在核心機(jī)房的管理員權(quán)限和設(shè)置的后門，拷走了“Vault7（穹窿7）” 并“給到”維基解密組織，該組織于2017年將資料公布在其官方網(wǎng)站上。

2018年，約書亞因泄露行為被美國司法部逮捕并起訴，2020年2月4日，在聯(lián)邦法庭的公開聽證會(huì)上，檢方公訴人認(rèn)定，約書亞作為CIA網(wǎng)絡(luò)武器的核心研發(fā)人員和擁有其內(nèi)部武器庫最高管理員權(quán)限的負(fù)責(zé)人，將網(wǎng)絡(luò)武器交由維基解密公開，犯有“在中央情報(bào)局歷史上最大的一次機(jī)密國防情報(bào)泄露事件”。 

以上約書亞的個(gè)人經(jīng)歷和泄露的信息，為我們提供了重要線索，而其研發(fā)并由美國檢方公訴人證實(shí)的核心網(wǎng)絡(luò)武器“Vault7（穹窿7）”，成為實(shí)錘APT-C-39隸屬于美國中央情報(bào)局CIA的重要突破口。 

五大關(guān)聯(lián)證據(jù)實(shí)錘

APT-C-39組織隸屬于美國中央情報(bào)局

以“Vault7（穹窿7）” 為核心關(guān)聯(lián)點(diǎn)，再透過約書亞以上一系列經(jīng)歷與行為，為我們定位APT-C-39組織的歸屬提供了重要線索信息。此外，再綜合考慮該APT-C-39網(wǎng)絡(luò)武器使用的獨(dú)特性和時(shí)間周期，360安全大腦最終判定：該組織的攻擊行為，正是由約書亞所在的CIA主導(dǎo)的國家級(jí)黑客組織發(fā)起。具體關(guān)聯(lián)證據(jù)如下：

• 證據(jù)一  

APT-C-39組織使用了大量CIA"Vault7(穹窿7)"項(xiàng)目中的專屬網(wǎng)絡(luò)武器

研究發(fā)現(xiàn)，APT-C-39組織多次使用了Fluxwire，Grasshopper等CIA專屬網(wǎng)絡(luò)武器針對(duì)我國目標(biāo)實(shí)施網(wǎng)絡(luò)攻擊。

通過對(duì)比相關(guān)的樣本代碼、行為指紋等信息，可以確定該組織使用的網(wǎng)絡(luò)武器即為“Vault7（穹窿7）” 項(xiàng)目中所描述的網(wǎng)絡(luò)攻擊武器。

• 證據(jù)二  

APT-C-39組織大部分樣本的技術(shù)細(xì)節(jié)與“Vault7（穹窿7）”文檔中描敘的技術(shù)細(xì)節(jié)一致
360安全大腦分析發(fā)現(xiàn)，大部分樣本的技術(shù)細(xì)節(jié)與“Vault7（穹窿7）” 文檔中描敘的技術(shù)細(xì)節(jié)一致，如控制命令、編譯pdb路徑、加密方案等。

這些是規(guī)范化的攻擊組織常會(huì)出現(xiàn)的規(guī)律性特征，也是分類它們的方法之一。所以，確定該組織隸屬于CIA主導(dǎo)的國家級(jí)黑客組織。

• 證據(jù)三  

早在“Vault7（穹窿7）”網(wǎng)絡(luò)武器被維基解密公開曝光前，APT-C-39組織就已經(jīng)針對(duì)中國目標(biāo)使用了相關(guān)網(wǎng)絡(luò)武器

2010年初，APT-C-39組織已對(duì)我國境內(nèi)的網(wǎng)路攻擊活動(dòng)中，使用了“Vault7（穹窿7）”網(wǎng)絡(luò)武器中的Fluxwire系列后門。這遠(yuǎn)遠(yuǎn)早于2017年維基百科對(duì)“Vault7（穹窿7）”網(wǎng)絡(luò)武器的曝光。這也進(jìn)一步印證了其網(wǎng)絡(luò)武器的來源。

在通過深入分析解密了“Vault7（穹窿7）” 網(wǎng)絡(luò)武器中Fluxwire后門中的版本信息后，360安全大腦將APT-C-39組織歷年對(duì)我國境內(nèi)目標(biāo)攻擊使用的版本、攻擊時(shí)間和其本身捕獲的樣本數(shù)量進(jìn)行統(tǒng)計(jì)歸類，如下表：

從表中可以看出，從2010年開始，APT-C-39組織就一直在不斷升級(jí)最新的網(wǎng)絡(luò)武器，對(duì)我國境內(nèi)目標(biāo)頻繁發(fā)起網(wǎng)絡(luò)攻擊。

• 證據(jù)四  

APT-C-39組織使用的部分攻擊武器同NSA存在關(guān)聯(lián)

WISTFULTOLL是2014年 NSA泄露文檔中的一款攻擊插件。

在2011年針對(duì)我國某大型互聯(lián)網(wǎng)公司的一次攻擊中，APT-C-39組織使用了WISTFULTOOL插件對(duì)目標(biāo)進(jìn)行攻擊。

與此同時(shí)，在維基解密泄露的CIA機(jī)密文檔中，證實(shí)了NSA會(huì)協(xié)助CIA研發(fā)網(wǎng)絡(luò)武器，這也從側(cè)面證實(shí)了APT-C-39組織同美國情報(bào)機(jī)構(gòu)的關(guān)聯(lián)。

• 證據(jù)五  

APT-C-39組織的武器研發(fā)時(shí)間規(guī)律定位在美國時(shí)區(qū)

根據(jù)該組織的攻擊樣本編譯時(shí)間統(tǒng)計(jì)，樣本的開發(fā)編譯時(shí)間符合北美洲的作息時(shí)間。

惡意軟件的編譯時(shí)間是對(duì)其進(jìn)行規(guī)律研究、統(tǒng)計(jì)的一個(gè)常用方法，通過惡意程序的編譯時(shí)間的研究，我們可以探知其作者的工作與作息規(guī)律，從而獲知其大概所在的時(shí)區(qū)位置。

下表就是APT-C-39組織的編譯活動(dòng)時(shí)間表（時(shí)間我們以東8時(shí)區(qū)為基準(zhǔn)），可以看出該組織活動(dòng)接近于美國東部時(shí)區(qū)的作息時(shí)間，符合CIA的定位。（位于美國弗吉尼亞州，使用美國東部時(shí)間。）

綜合上述技術(shù)分析和數(shù)字證據(jù)，我們完全有理由相信：APT-C-39組織隸屬于美國，是由美國情報(bào)機(jī)構(gòu)參與發(fā)起的攻擊行為。

尤其是在調(diào)查分析過程中，360安全大腦資料已顯示，該組織所使用的網(wǎng)絡(luò)武器和CIA “Vault7（穹窿7）” 項(xiàng)目中所描述網(wǎng)絡(luò)武器幾乎完全吻合。而CIA “Vault7（穹窿7）” 武器從側(cè)面顯示美國打造了全球最大網(wǎng)絡(luò)武器庫，而這不僅給全球網(wǎng)絡(luò)安全帶來了嚴(yán)重威脅，更是展示出該APT組織高超的技術(shù)能力和專業(yè)化水準(zhǔn)。 

戰(zhàn)爭的形式不止于兵戎相見這一種。網(wǎng)絡(luò)空間早已成為大國較量的另一重要戰(zhàn)場。而若與美國中央情報(bào)局CIA博弈，道阻且長！

最后 關(guān)于360安全大腦—APT威脅情報(bào)中心：

從2014年開始，360安全大腦通過整合海量安全大數(shù)據(jù)，實(shí)現(xiàn)了APT威脅情報(bào)的快速關(guān)聯(lián)溯源，獨(dú)家發(fā)現(xiàn)并追蹤了四十個(gè)APT組織及黑客團(tuán)伙，獨(dú)立發(fā)現(xiàn)了多起境外APT組織使用“在野”0day漏洞針對(duì)我國境內(nèi)目標(biāo)發(fā)起的APT攻擊，大大拓寬了國內(nèi)關(guān)于APT攻擊的研究視野和研究深度，填補(bǔ)了國內(nèi)APT研究的空白。我們發(fā)現(xiàn)境外針對(duì)中國境內(nèi)目標(biāo)的攻擊最早可以追溯到2007年，至少影響了中國境內(nèi)超過萬臺(tái)電腦，攻擊范圍遍布國內(nèi)31個(gè)省級(jí)行政區(qū)。我們發(fā)現(xiàn)的APT攻擊和部分國外安全廠商機(jī)構(gòu)發(fā)現(xiàn)的APT攻擊，都可以直接證明中國是APT攻擊中的主要受害國。

 

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。