記載歷史時(shí)刻，全球首家實(shí)錘!涉美CIA攻擊組織對(duì)我國(guó)發(fā)起網(wǎng)絡(luò)攻擊。

全球首家實(shí)錘

360安全大腦捕獲了美國(guó)中央情報(bào)局CIA攻擊組織(APT-C-39)對(duì)我國(guó)進(jìn)行的長(zhǎng)達(dá)十一年的網(wǎng)絡(luò)攻擊滲透。在此期間，我國(guó)航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等多個(gè)單位均遭到不同程度的攻擊。

不但如此，360安全大腦通過(guò)關(guān)聯(lián)相關(guān)情報(bào)，還定位到負(fù)責(zé)從事研發(fā)和制作相關(guān)網(wǎng)絡(luò)武器的CIA前雇員：約書亞·亞當(dāng)·舒爾特(Joshua Adam Schulte)。在該組織攻擊我國(guó)目標(biāo)期間，他在CIA的秘密行動(dòng)處(NCS)擔(dān)任科技情報(bào)主管職位，直接參與研發(fā)了針對(duì)我國(guó)攻擊的網(wǎng)絡(luò)武器：Vault7(穹窿7)。這部分相關(guān)線索，更進(jìn)一步地將360安全大腦發(fā)現(xiàn)的這一APT組織的攻擊來(lái)源，鎖定為美國(guó)中央情報(bào)局。

美國(guó)中央情報(bào)局(Central Intelligence Agency，簡(jiǎn)稱CIA)，一個(gè)可以比美國(guó)國(guó)家安全局(NSA)更為世人熟知的名字，它是美國(guó)聯(lián)邦政府主要情報(bào)搜集機(jī)構(gòu)之一，下設(shè)情報(bào)處(DI)、秘密行動(dòng)處 (NCS) 、科技處(DS&T)、支援處(DS)四大部門，總部位于美國(guó)弗吉尼亞州的蘭利。

其主要業(yè)務(wù)包括：

• 收集外國(guó)政府、公司和個(gè)人的信息;
• 分析其他美國(guó)情報(bào)機(jī)構(gòu)收集的信息以及情報(bào);
• 提供國(guó)家安全情報(bào)評(píng)估給美國(guó)高級(jí)決策者;
• 在美國(guó)總統(tǒng)要求下執(zhí)行或監(jiān)督秘密活動(dòng)等。

CIA核心網(wǎng)絡(luò)武器“Vault7”成重要突破口，360安全大腦全球首家捕獲涉美攻擊組織 APT-C-39

時(shí)間追溯到2017年，維基解密接受了來(lái)自約書亞的“拷貝情報(bào)”，向全球披露了8716份來(lái)自美國(guó)中央情報(bào)局CIA網(wǎng)絡(luò)情報(bào)中心的文件，其中包含涉密文件156份，涵蓋了CIA黑客部隊(duì)的攻擊手法、目標(biāo)、工具的技術(shù)規(guī)范和要求。而這次的公布中，其中包含了核心武器文件——“Vault7(穹窿7)”。

360安全大腦通過(guò)對(duì)泄漏的“Vault7(穹窿7)”網(wǎng)絡(luò)武器資料的研究，并對(duì)其深入分析和溯源，于全球首次發(fā)現(xiàn)與其關(guān)聯(lián)的一系列針對(duì)我國(guó)航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等長(zhǎng)達(dá)十一年的定向攻擊活動(dòng)。

而這些攻擊活動(dòng)最早可以追溯到2008年(從2008年9月一直持續(xù)到2019年6月左右)，并主要集中在北京、廣東、浙江等省份。

而上述這些定向攻擊活動(dòng)都?xì)w結(jié)于一個(gè)鮮少被外界曝光的涉美APT組織——APT-C-39(360安全大腦將其單獨(dú)編號(hào))。

關(guān)于APT-C-39組織其攻擊實(shí)力如何，有多大的安全隱患?這里以航空航天機(jī)構(gòu)為例說(shuō)明。

因涉及國(guó)家安全領(lǐng)域，所以我們只披露360安全大腦所掌握情報(bào)數(shù)據(jù)的部分細(xì)節(jié)：其中CIA在針對(duì)我國(guó)航空航天與科研機(jī)構(gòu)的攻擊中，我們發(fā)現(xiàn)：主要是圍繞這些機(jī)構(gòu)的系統(tǒng)開發(fā)人員來(lái)進(jìn)行定向打擊。

而這些開發(fā)人員主要從事的是：航空信息技術(shù)有關(guān)服務(wù)，如航班控制系統(tǒng)服務(wù)、貨運(yùn)信息服務(wù)、結(jié)算分銷服務(wù)、乘客信息服務(wù)等。

(航空信息技術(shù)有關(guān)服務(wù)：指為國(guó)內(nèi)與國(guó)際商營(yíng)航空公司提供航班控制系統(tǒng)服務(wù)，乘客信息服務(wù)，機(jī)場(chǎng)旅客處理系統(tǒng)服務(wù)及相關(guān)數(shù)據(jù)、延伸信息技術(shù)服務(wù)。)

值得注意的是，CIA所攻擊的航空信息技術(shù)服務(wù)，不僅僅是針對(duì)國(guó)內(nèi)航空航天領(lǐng)域，同時(shí)還覆蓋百家海外及地區(qū)的商營(yíng)航空公司，CIA此舉的目的到底為何?

其實(shí)，對(duì)于CIA來(lái)說(shuō)，為獲取類似的情報(bào)而進(jìn)行長(zhǎng)期、精心布局和大量投入是很常見(jiàn)的操作。

就在今年2月初，《華盛頓郵報(bào)》等媒體的聯(lián)合調(diào)查報(bào)道指出，CIA從上世紀(jì)五十年代開始就布局收購(gòu)并完全控制了瑞士加密設(shè)備廠商Crypto AG，在長(zhǎng)達(dá)七十年的歷史中，該公司售往全球一百多個(gè)國(guó)家的加密設(shè)備都被CIA植入了后門程序，使得這期間CIA都可以解密這些國(guó)家的相關(guān)加密通訊和情報(bào)。

至此，我們可以推測(cè)：CIA在過(guò)去長(zhǎng)達(dá)十一年的滲透攻擊里，通過(guò)攻破或許早已掌握到了我乃至國(guó)際航空的精密信息，甚至不排除CIA已實(shí)時(shí)追蹤定位全球的航班實(shí)時(shí)動(dòng)態(tài)、飛機(jī)飛行軌跡、乘客信息、貿(mào)易貨運(yùn)等相關(guān)情報(bào)。

如猜測(cè)屬實(shí)，那CIA掌控到如此機(jī)密的重要情報(bào)，將會(huì)做出哪些意想不到的事情呢?獲取關(guān)鍵人物的行程信息，進(jìn)而政治威脅，或軍事打壓……

這并不是危言聳聽(tīng)，2020年1月初，伊朗一代“軍神”卡西姆·蘇萊曼尼被美國(guó)總統(tǒng)特朗普輕易“獵殺”，其中掌握到蘇萊曼尼航班和行程的精確信息就是暗殺成功的最關(guān)鍵核心，而這些信息正是以CIA為代表的美國(guó)情報(bào)機(jī)構(gòu)通過(guò)包括網(wǎng)絡(luò)攻擊在內(nèi)的種種手段獲取的。這一事件，是美國(guó)情報(bào)機(jī)構(gòu)在現(xiàn)實(shí)世界作用的一個(gè)典型案例。

CIA”武器”研發(fā)關(guān)鍵人物：約書亞·亞當(dāng)·舒爾特(Joshua Adam Schulte)

提到CIA關(guān)鍵網(wǎng)絡(luò)武器——Vault7(穹窿7)，就不得不介紹一下這位CIA前雇員：約書亞·亞當(dāng)·舒爾特(Joshua Adam Schulte)。

[[317255]]

約書亞·亞當(dāng)·舒爾特(Joshua Adam Schulte，以下簡(jiǎn)稱約書亞)，1988年9月出生于美國(guó)德克薩斯州拉伯克，現(xiàn)年31歲，畢業(yè)于德薩斯大學(xué)斯汀分校，曾作為實(shí)習(xí)生在美國(guó)國(guó)家安全局(NSA)工作過(guò)一段時(shí)間，于2010年加入美國(guó)中央情報(bào)局CIA，在其秘密行動(dòng)處(NCS)擔(dān)任科技情報(bào)主管。

國(guó)家秘密行動(dòng)處(NCS)充當(dāng)中央情報(bào)局秘密部門，是協(xié)調(diào)、去除沖突以及評(píng)估美國(guó)情報(bào)界秘密行動(dòng)的國(guó)家主管部門。

精通網(wǎng)絡(luò)武器設(shè)計(jì)研發(fā)專業(yè)技術(shù)，又懂情報(bào)運(yùn)作，約書亞成為CIA諸多重要黑客工具和網(wǎng)絡(luò)空間武器主要參與設(shè)計(jì)研發(fā)者核心骨干之一。這其中就包含“Vault7(穹窿7)” CIA這一關(guān)鍵網(wǎng)絡(luò)武器。

2016年，約書亞利用其在核心機(jī)房的管理員權(quán)限和設(shè)置的后門，拷走了“Vault7(穹窿7)” 并“給到”維基解密組織，該組織于2017年將資料公布在其官方網(wǎng)站上。

2018年，約書亞因泄露行為被美國(guó)司法部逮捕并起訴，2020年2月4日，在聯(lián)邦法庭的公開聽(tīng)證會(huì)上，檢方公訴人認(rèn)定，約書亞作為CIA網(wǎng)絡(luò)武器的核心研發(fā)人員和擁有其內(nèi)部武器庫(kù)最高管理員權(quán)限的負(fù)責(zé)人，將網(wǎng)絡(luò)武器交由維基解密公開，犯有“在中央情報(bào)局歷史上最大的一次機(jī)密國(guó)防情報(bào)泄露事件”。

以上約書亞的個(gè)人經(jīng)歷和泄露的信息，為我們提供了重要線索，而其研發(fā)并由美國(guó)檢方公訴人證實(shí)的核心網(wǎng)絡(luò)武器“Vault7(穹窿7)”，成為實(shí)錘APT-C-39隸屬于美國(guó)中央情報(bào)局CIA的重要突破口。

五大關(guān)聯(lián)證據(jù)實(shí)錘：APT-C-39組織隸屬于美國(guó)中央情報(bào)局

以“Vault7(穹窿7)” 為核心關(guān)聯(lián)點(diǎn)，再透過(guò)約書亞以上一系列經(jīng)歷與行為，為我們定位APT-C-39組織的歸屬提供了重要線索信息。此外，再綜合考慮該APT-C-39網(wǎng)絡(luò)武器使用的獨(dú)特性和時(shí)間周期，360安全大腦最終判定：該組織的攻擊行為，正是由約書亞所在的CIA主導(dǎo)的國(guó)家級(jí)黑客組織發(fā)起。具體關(guān)聯(lián)證據(jù)如下：

證 據(jù) 一

APT-C-39組織使用了大量CIA”Vault7(穹窿7)”項(xiàng)目中的專屬網(wǎng)絡(luò)武器。

研究發(fā)現(xiàn)，APT-C-39組織多次使用了Fluxwire，Grasshopper等CIA專屬網(wǎng)絡(luò)武器針對(duì)我國(guó)目標(biāo)實(shí)施網(wǎng)絡(luò)攻擊。

通過(guò)對(duì)比相關(guān)的樣本代碼、行為指紋等信息，可以確定該組織使用的網(wǎng)絡(luò)武器即為“Vault7(穹窿7)” 項(xiàng)目中所描述的網(wǎng)絡(luò)攻擊武器。

證 據(jù) 二

APT-C-39組織大部分樣本的技術(shù)細(xì)節(jié)與“Vault7(穹窿7)”文檔中描敘的技術(shù)細(xì)節(jié)一致。

360安全大腦分析發(fā)現(xiàn)，大部分樣本的技術(shù)細(xì)節(jié)與“Vault7(穹窿7)” 文檔中描敘的技術(shù)細(xì)節(jié)一致，如控制命令、編譯pdb路徑、加密方案等。

這些是規(guī)范化的攻擊組織常會(huì)出現(xiàn)的規(guī)律性特征，也是分類它們的方法之一。所以，確定該組織隸屬于CIA主導(dǎo)的國(guó)家級(jí)黑客組織。

證 據(jù) 三

早在“Vault7(穹窿7)”網(wǎng)絡(luò)武器被維基解密公開曝光前，APT-C-39組織就已經(jīng)針對(duì)中國(guó)目標(biāo)使用了相關(guān)網(wǎng)絡(luò)武器。

2010年初，APT-C-39組織已對(duì)我國(guó)境內(nèi)的網(wǎng)路攻擊活動(dòng)中，使用了“Vault7(穹窿7)”網(wǎng)絡(luò)武器中的Fluxwire系列后門。這遠(yuǎn)遠(yuǎn)早于2017年維基百科對(duì)“Vault7(穹窿7)”網(wǎng)絡(luò)武器的曝光。這也進(jìn)一步印證了其網(wǎng)絡(luò)武器的來(lái)源。

在通過(guò)深入分析解密了“Vault7(穹窿7)” 網(wǎng)絡(luò)武器中Fluxwire后門中的版本信息后，360安全大腦將APT-C-39組織歷年對(duì)我國(guó)境內(nèi)目標(biāo)攻擊使用的版本、攻擊時(shí)間和其本身捕獲的樣本數(shù)量進(jìn)行統(tǒng)計(jì)歸類，如下表：

從表中可以看出，從2010年開始，APT-C-39組織就一直在不斷升級(jí)最新的網(wǎng)絡(luò)武器，對(duì)我國(guó)境內(nèi)目標(biāo)頻繁發(fā)起網(wǎng)絡(luò)攻擊。

證 據(jù) 四

APT-C-39組織使用的部分攻擊武器同NSA存在關(guān)聯(lián)。

WISTFULTOLL是2014年 NSA泄露文檔中的一款攻擊插件。

在2011年針對(duì)我國(guó)某大型互聯(lián)網(wǎng)公司的一次攻擊中，APT-C-39組織使用了WISTFULTOOL插件對(duì)目標(biāo)進(jìn)行攻擊。

與此同時(shí)，在維基解密泄露的CIA機(jī)密文檔中，證實(shí)了NSA會(huì)協(xié)助CIA研發(fā)網(wǎng)絡(luò)武器，這也從側(cè)面證實(shí)了APT-C-39組織同美國(guó)情報(bào)機(jī)構(gòu)的關(guān)聯(lián)。

證 據(jù) 五

APT-C-39組織的武器研發(fā)時(shí)間規(guī)律定位在美國(guó)時(shí)區(qū)。

根據(jù)該組織的攻擊樣本編譯時(shí)間統(tǒng)計(jì)，樣本的開發(fā)編譯時(shí)間符合北美洲的作息時(shí)間。

惡意軟件的編譯時(shí)間是對(duì)其進(jìn)行規(guī)律研究、統(tǒng)計(jì)的一個(gè)常用方法，通過(guò)惡意程序的編譯時(shí)間的研究，我們可以探知其作者的工作與作息規(guī)律，從而獲知其大概所在的時(shí)區(qū)位置。

下表就是APT-C-39組織的編譯活動(dòng)時(shí)間表(時(shí)間我們以東8時(shí)區(qū)為基準(zhǔn))，可以看出該組織活動(dòng)接近于美國(guó)東部時(shí)區(qū)的作息時(shí)間，符合CIA的定位。(位于美國(guó)弗吉尼亞州，使用美國(guó)東部時(shí)間。)

綜合上述技術(shù)分析和數(shù)字證據(jù)，我們完全有理由相信：APT-C-39組織隸屬于美國(guó)，是由美國(guó)情報(bào)機(jī)構(gòu)參與發(fā)起的攻擊行為。

尤其是在調(diào)查分析過(guò)程中，360安全大腦資料已顯示，該組織所使用的網(wǎng)絡(luò)武器和CIA “Vault7(穹窿7)” 項(xiàng)目中所描述網(wǎng)絡(luò)武器幾乎完全吻合。而CIA “Vault7(穹窿7)” 武器從側(cè)面顯示美國(guó)打造了全球最大網(wǎng)絡(luò)武器庫(kù)，而這不僅給全球網(wǎng)絡(luò)安全帶來(lái)了嚴(yán)重威脅，更是展示出該APT組織高超的技術(shù)能力和專業(yè)化水準(zhǔn)。

戰(zhàn)爭(zhēng)的形式不止于兵戎相見(jiàn)這一種。網(wǎng)絡(luò)空間早已成為大國(guó)較量的另一重要戰(zhàn)場(chǎng)。而若與美國(guó)中央情報(bào)局CIA博弈，道阻且長(zhǎng)!