3月2日,360安全大脑披露一则重磅消息:美国中央情报局CIA攻击组织对中国进行长达十一年的网络攻击渗透,包括航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度攻击。
早在2017年,维基解密接受一名CIA前雇员约书亚的“拷贝情报”,向全球披露8716份来自美国中央情报局CIA网络情报中心的文件,其中,包含核心武器文件——“Vault7(穹窿7)”。
360安全大脑表示,“通过对泄漏的’Vault7(穹窿7)'网络武器资料的研究,并对其深入分析和溯源,于全球首次发现与其关联的一系列针对中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等长达十一年的定向攻击活动。”
据悉,这些攻击活动从2008年9月开始,一直持续到2019年6月左右,并且,主要集中在北京、广东、浙江等省份。而这些定向攻击活动都归结于一个涉美APT组织——APT-C-39。
以航空航天为例,“其中CIA在针对我国航空航天与科研机构的攻击中,我们发现:主要是围绕这些机构的系统开发人员来进行定向打击。而这些开发人员主要从事的是:航空信息技术有关服务,如航班控制系统服务、货运信息服务、结算分销服务、乘客信息服务等。”360核心安全技术博客上写道。
并且,CIA所攻击的航空信息技术服务,不仅仅是针对国内航空航天领域,同时还覆盖百家海外及地区的商营航空公司。
据悉,约书亚曾作为实习生在美国国家安全局(NSA)工作过一段时间,于2010年加入美国中央情报局CIA,在其秘密行动处(NCS)担任科技情报主管。
360安全大脑称,“精通网络武器设计研发专业技术,又懂情报运作。”并且,他是“Vault7(穹窿7)”网络武器的设计研发者之一。
2016年,约书亚利用其在核心机房的管理员权限和设置的后门,拷走了“Vault7(穹窿7)” 并“给到”维基解密组织,该组织于2017年将资料公布在其官方网站上。
360安全大脑判定:APT-C-39组织的攻击行为,正是由约书亚所在的CIA主导的国家级黑客组织发起。
有五大证据:
1.APT-C-39组织使用大量CIA"Vault7(穹窿7)"项目中的专属网络武器
360安全大脑称,“研究发现,APT-C-39组织多次使用了Fluxwire,Grasshopper等CIA专属网络武器针对我国目标实施网络攻击。通过对比相关的样本代码、行为指纹等信息,可以确定该组织使用的网络武器即为“Vault7(穹窿7)” 项目中所描述的网络攻击武器。”
2.APT-C-39组织大部分样本的技术细节与“Vault7(穹窿7)”文档中描叙的技术细节一致
360安全大脑分析发现,大部分样本的技术细节与“Vault7(穹窿7)” 文档中描叙的技术细节一致,如控制命令、编译pdb路径、加密方案等。
“这些是规范化的攻击组织常会出现的规律性特征,也是分类它们的方法之一。所以,确定该组织隶属于CIA主导的国家级黑客组织。”360核心安全技术博客上写道。
3.APT-C-39组织很早已经针对中国目标使用相关网络武器
2010年初,APT-C-39组织已对中国境内的网路攻击活动中,使用了“Vault7(穹窿7)”网络武器中的Fluxwire系列后门。这远远早于2017年维基百科对“Vault7(穹窿7)”网络武器的曝光。这也进一步印证了其网络武器的来源。
4.APT-C-39组织使用的部分攻击武器同NSA存在关联
在2011年针对中国某大型互联网公司的一次攻击中,APT-C-39组织使用了WISTFULTOOL插件对目标进行攻击。WISTFULTOLL则是2014年 NSA泄露文档中的一款攻击插件。
与此同时,在维基解密泄露的CIA机密文档中,证实了NSA会协助CIA研发网络武器,这也从侧面证实了APT-C-39组织同美国情报机构的关联。
5.APT-C-39组织的武器研发时间规律定位在美国时区
根据该组织的攻击样本编译时间统计,样本的开发编译时间符合北美洲的作息时间。360安全大脑称,“该组织活动接近于美国东部时区的作息时间,符合CIA的定位。”
最后,360安全大脑表示,“综合上述技术分析和数字证据,我们完全有理由相信:APT-C-39组织隶属于美国,是由美国情报机构参与发起的攻击行为。尤其是在调查分析过程中,360安全大脑资料已显示,该组织所使用的网络武器和CIA ‘Vault7(穹窿7)’项目中所描述网络武器几乎完全吻合。而CIA ‘Vault7(穹窿7)’ 武器从侧面显示美国打造了全球最大网络武器库,而这不仅给全球网络安全带来了严重威胁,更是展示出该APT组织高超的技术能力和专业化水准。”
参考资料:
领取专属 10元无门槛券
私享最新 技术干货