Categories
程式開發

中國關鍵領域遭受11年的網絡攻擊,攻擊者竟為美國CIA


中國關鍵領域遭受11年的網絡攻擊,攻擊者竟為美國CIA 1

3月2日,360安全大腦披露一則重磅消息美國中央情報局CIA攻擊組織對中國進行長達十一年的網絡攻擊滲透,包括航空航天、科研機構、石油行業、大型互聯網公司以及政府機構等多個單位均遭到不同程度攻擊

發現突破口:Vault7

早在2017年,維基解密接受一名CIA前僱員約書亞的“拷貝情報”,向全球披露8716份來自美國中央情報局CIA網絡情報中心的文件,其中,包含核心武器文件——“Vault7(穹窿7)”。

360安全大腦表示,“通過對洩漏的’Vault7(穹窿7)’網絡武器資料的研究,並對其深入分析和溯源,於全球首次發現與其關聯的一系列針對中國航空航天、科研機構、石油行業、大型互聯網公司以及政府機構等長達十一年的定向攻擊活動。 ”

據悉,這些攻擊活動從2008年9月開始,一直持續到2019年6月左右,並且,主要集中在北京、廣東、浙江等省份。而這些定向攻擊活動都歸結於一個涉美APT組織——APT-C-39。

中國關鍵領域遭受11年的網絡攻擊,攻擊者竟為美國CIA 2

以航空航天為例,“其中CIA在針對我國航空航天與科研機構的攻擊中,我們發現:主要是圍繞這些機構的系統開發人員來進行定向打擊。而這些開發人員主要從事的是:航空信息技術有關服務,如航班控制系統服務、貨運信息服務、結算分銷服務、乘客信息服務等。”360核心安全技術博客上寫道。

並且,CIA所攻擊的航空信息技術服務,不僅僅是針對國內航空航天領域,同時還覆蓋百家海外及地區的商營航空公司。

關鍵人物:CIA前僱員約書亞

據悉,約書亞曾作為實習生在美國國家安全局(NSA)工作過一段時間,於2010年加入美國中央情報局CIA,在其秘密行動處(NCS)擔任科技情報主管。

360安全大腦稱,“精通網絡武器設計研發專業技術,又懂情報運作。”並且,他是“Vault7(穹窿7)”網絡武器的設計研發者之一。

中國關鍵領域遭受11年的網絡攻擊,攻擊者竟為美國CIA 3

2016年,約書亞利用其在核心機房的管理員權限和設置的後門,拷走了“Vault7(穹窿7)” 並“給到”維基解密組織,該組織於2017年將資料公佈在其官方網站上。

五大關聯證據

360安全大腦判定:APT-C-39組織的攻擊行為,正是由約書亞所在的CIA主導的國家級黑客組織發起。

有五大證據:

1.APT-C-39組織使用大量CIA”Vault7(穹窿7)”項目中的專屬網絡武器

360安全大腦稱,“研究發現,APT-C-39組織多次使用了Fluxwire,Grasshopper等CIA專屬網絡武器針對我國目標實施網絡攻擊。通過對比相關的樣本代碼、行為指紋等信息,可以確定該組織使用的網絡武器即為“Vault7(穹窿7)” 項目中所描述的網絡攻擊武器。”

2.APT-C-39組織大部分樣本的技術細節與“Vault7(穹窿7)”文檔中描敘的技術細節一致

360安全大腦分析發現,大部分樣本的技術細節與“Vault7(穹窿7)” 文檔中描敘的技術細節一致,如控制命令、編譯pdb路徑、加密方案等。

“這些是規範化的攻擊組織常會出現的規律性特徵,也是分類它們的方法之一。所以,確定該組織隸屬於CIA主導的國家級黑客組織。”360核心安全技術博客上寫道。

3.APT-C-39組織很早已經針對中國目標使用相關網絡武器

2010年初,APT-C-39組織已對中國境內的網路攻擊活動中,使用了“Vault7(穹窿7)”網絡武器中的Fluxwire系列後門。這遠遠早於2017年維基百科對“Vault7(穹窿7)”網絡武器的曝光。這也進一步印證了其網絡武器的來源。

中國關鍵領域遭受11年的網絡攻擊,攻擊者竟為美國CIA 4

4.APT-C-39組織使用的部分攻擊武器同NSA存在關聯

在2011年針對中國某大型互聯網公司的一次攻擊中,APT-C-39組織使用了WISTFULTOOL插件對目標進行攻擊。 WISTFULTOLL則是2014年 NSA洩露文檔中的一款攻擊插件。

與此同時,在維基解密洩露的CIA機密文檔中,證實了NSA會協助CIA研發網絡武器,這也從側面證實了APT-C-39組織同美國情報機構的關聯。

5.APT-C-39組織的武器研發時間規律定位在美國時區

根據該組織的攻擊樣本編譯時間統計,樣本的開發編譯時間符合北美洲的作息時間。 360安全大腦稱,“該組織活動接近於美國東部時區的作息時間,符合CIA的定位。”

中國關鍵領域遭受11年的網絡攻擊,攻擊者竟為美國CIA 5

最後,360安全大腦表示,“綜合上述技術分析和數字證據,我們完全有理由相信:APT-C-39組織隸屬於美國,是由美國情報機構參與發起的攻擊行為。尤其是在調查分析過程中,360安全大腦資料已顯示,該組織所使用的網絡武器和CIA ‘Vault7(穹窿7)’項目中所描述網絡武器幾乎完全吻合。而CIA ‘Vault7(穹窿7)’ 武器從側面顯示美國打造了全球最大網絡武器庫,而這不僅給全球網絡安全帶來了嚴重威脅,更是展示出該APT組織高超的技術能力和專業化水準。”

參考資料:

The CIA Hacking Group (APT-C-39) Conducts Cyber​​-Espionage Operation on China’s Critical Industries for 11 Years