实锤!涉美CIA攻击组织对我国发起长达十一年的网络渗透攻击-冯金伟博客园

  记载历史时刻,全球首家实锤!涉美 CIA 攻击组织对我国发起网络攻击。

  360 安全大脑捕获了美国中央情报局 CIA 攻击组织(APT-C-39)对我国进行的长达十一年的网络攻击渗透。在此期间,我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。 不但如此,360 安全大脑通过关联相关情报,还定位到负责从事研发和制作相关网络武器的 CIA 前雇员:约书亚·亚当·舒尔特(Joshua Adam Schulte)。在该组织攻击我国目标期间,他在 CIA 的秘密行动处(NCS)担任科技情报主管职位,直接参与研发了针对我国攻击的网络武器:Vault7(穹窿7)。这部分相关线索,更进一步地将 360 安全大脑发现的这一 APT 组织的攻击来源,锁定为美国中央情报局。

  美国中央情报局(Central Intelligence Agency,简称 CIA),一个可以比美国国家安全局(NSA)更为世人熟知的名字,它是美国联邦政府主要情报搜集机构之一,下设情报处(DI)、秘密行动处 (NCS) 、科技处(DS&T)、支援处(DS)四大部门,总部位于美国弗吉尼亚州的兰利。

  其主要业务包括:

  收集外国政府、公司和个人的信息;

  分析其他美国情报机构收集的信息以及情报;

  提供国家安全情报评估给美国高级决策者;

  在美国总统要求下执行或监督秘密活动等。

  CIA 核心网络武器“Vault7”成重要突破口

  360 安全大脑全球首家捕获涉美攻击组织 APT-C-39

  时间追溯到 2017 年,维基解密接受了来自约书亚的“拷贝情报”,向全球披露了 8716 份来自美国中央情报局 CIA 网络情报中心的文件,其中包含涉密文件 156 份,涵盖了 CIA 黑客部队的攻击手法、目标、工具的技术规范和要求。而这次的公布中,其中包含了核心武器文件——“Vault7(穹窿7)”。

  360 安全大脑通过对泄漏的“Vault7(穹窿7)”网络武器资料的研究,并对其深入分析和溯源,于全球首次发现与其关联的一系列针对我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等长达十一年的定向攻击活动。而这些攻击活动最早可以追溯到 2008 年(从 2008 年 9 月一直持续到 2019 年 6 月左右),并主要集中在北京、广东、浙江等省份。而上述这些定向攻击活动都归结于一个鲜少被外界曝光的涉美 APT 组织——APT-C-39(360 安全大脑将其单独编号)。

实锤!涉美CIA攻击组织对我国发起长达十一年的网络渗透攻击-冯金伟博客园

  关于 APT-C-39 组织其攻击实力如何,有多大的安全隐患?这里以航空航天机构为例说明。

  因涉及国家安全领域,所以我们只披露 360 安全大脑所掌握情报数据的部分细节:其中 CIA 在针对我国航空航天与科研机构的攻击中,我们发现:主要是围绕这些机构的系统开发人员来进行定向打击。而这些开发人员主要从事的是:航空信息技术有关服务,如航班控制系统服务、货运信息服务、结算分销服务、乘客信息服务等。

  (航空信息技术有关服务:指为国内与国际商营航空公司提供航班控制系统服务,乘客信息服务,机场旅客处理系统服务及相关数据、延伸信息技术服务。) 

  值得注意的是,CIA 所攻击的航空信息技术服务,不仅仅是针对国内航空航天领域,同时还覆盖百家海外及地区的商营航空公司,CIA 此举的目的到底为何? 其实,对于 CIA 来说,为获取类似的情报而进行长期、精心布局和大量投入是很常见的操作。

  就在今年 2 月初,《华盛顿邮报》等媒体的联合调查报道指出,CIA 从上世纪五十年代开始就布局收购并完全控制了瑞士加密设备厂商 Crypto AG,在长达七十年的历史中,该公司售往全球一百多个国家的加密设备都被 CIA 植入了后门程序,使得这期间 CIA 都可以解密这些国家的相关加密通讯和情报。 

  至此,我们可以推测:CIA 在过去长达十一年的渗透攻击里,通过攻破或许早已掌握到了我乃至国际航空的精密信息,甚至不排除 CIA 已实时追踪定位全球的航班实时动态、飞机飞行轨迹、乘客信息、贸易货运等相关情报。如猜测属实,那 CIA 掌控到如此机密的重要情报,将会做出哪些意想不到的事情呢?获取关键人物的行程信息,进而政治威胁,或军事打压……

  这并不是危言耸听,2020 年 1 月初,伊朗一代“军神”卡西姆·苏莱曼尼被美国总统特朗普轻易“猎杀”,其中掌握到苏莱曼尼航班和行程的精确信息就是暗杀成功的最关键核心,而这些信息正是以 CIA 为代表的美国情报机构通过包括网络攻击在内的种种手段获取的。这一事件,是美国情报机构在现实世界作用的一个典型案例。

  360 安全大脑精准锁定 CIA”武器”研发关键人物

  约书亚·亚当·舒尔特 (Joshua Adam Schulte)

  提到 CIA 关键网络武器——Vault7(穹窿7),就不得不介绍一下这位 CIA 前雇员:约书亚·亚当·舒尔特(Joshua Adam Schulte)。

实锤!涉美CIA攻击组织对我国发起长达十一年的网络渗透攻击-冯金伟博客园

  约书亚·亚当·舒尔特(Joshua Adam Schulte,以下简称约书亚),1988 年 9 月出生于美国德克萨斯州拉伯克,现年 31 岁,毕业于德萨斯大学斯汀分校,曾作为实习生在美国国家安全局(NSA)工作过一段时间,于 2010 年加入美国中央情报局 CIA,在其秘密行动处(NCS)担任科技情报主管。

实锤!涉美CIA攻击组织对我国发起长达十一年的网络渗透攻击-冯金伟博客园

   (国家秘密行动处(NCS)充当中央情报局秘密部门,是协调、去除冲突以及评估美国情报界秘密行动的国家主管部门。)

  精通网络武器设计研发专业技术,又懂情报运作,约书亚成为 CIA 诸多重要黑客工具和网络空间武器主要参与设计研发者核心骨干之一。这其中就包含“Vault7(穹窿7)” CIA 这一关键网络武器。 

  2016 年,约书亚利用其在核心机房的管理员权限和设置的后门,拷走了“Vault7(穹窿7)” 并“给到”维基解密组织,该组织于 2017 年将资料公布在其官方网站上。

  2018 年,约书亚因泄露行为被美国司法部逮捕并起诉,2020 年 2 月 4 日,在联邦法庭的公开听证会上,检方公诉人认定,约书亚作为 CIA 网络武器的核心研发人员和拥有其内部武器库最高管理员权限的负责人,将网络武器交由维基解密公开,犯有“在中央情报局历史上最大的一次机密国防情报泄露事件”。 

  以上约书亚的个人经历和泄露的信息,为我们提供了重要线索,而其研发并由美国检方公诉人证实的核心网络武器“Vault7(穹窿7)”,成为实锤 APT-C-39 隶属于美国中央情报局 CIA 的重要突破口。 

  五大关联证据实锤

  APT-C-39 组织隶属于美国中央情报局

  以“Vault7(穹窿7)” 为核心关联点,再透过约书亚以上一系列经历与行为,为我们定位 APT-C-39 组织的归属提供了重要线索信息。此外,再综合考虑该 APT-C-39 网络武器使用的独特性和时间周期,360 安全大脑最终判定:该组织的攻击行为,正是由约书亚所在的 CIA 主导的国家级黑客组织发起。具体关联证据如下:

  • 证据一  

  APT-C-39 组织使用了大量 CIA”Vault7(穹窿7)”项目中的专属网络武器

  研究发现,APT-C-39 组织多次使用了 Fluxwire,Grasshopper 等 CIA 专属网络武器针对我国目标实施网络攻击。

  通过对比相关的样本代码、行为指纹等信息,可以确定该组织使用的网络武器即为“Vault7(穹窿7)” 项目中所描述的网络攻击武器。

  • 证据二  

  APT-C-39 组织大部分样本的技术细节与“Vault7(穹窿7)”文档中描叙的技术细节一致

  360 安全大脑分析发现,大部分样本的技术细节与“Vault7(穹窿7)” 文档中描叙的技术细节一致,如控制命令、编译 pdb 路径、加密方案等。

  这些是规范化的攻击组织常会出现的规律性特征,也是分类它们的方法之一。所以,确定该组织隶属于 CIA 主导的国家级黑客组织。

  • 证据三  

  早在“Vault7(穹窿7)”网络武器被维基解密公开曝光前,APT-C-39 组织就已经针对中国目标使用了相关网络武器

  2010 年初,APT-C-39 组织已对我国境内的网路攻击活动中,使用了“Vault7(穹窿7)”网络武器中的 Fluxwire 系列后门。这远远早于 2017 年维基百科对“Vault7(穹窿7)”网络武器的曝光。这也进一步印证了其网络武器的来源。

  在通过深入分析解密了“Vault7(穹窿7)” 网络武器中 Fluxwire 后门中的版本信息后,360 安全大脑将 APT-C-39 组织历年对我国境内目标攻击使用的版本、攻击时间和其本身捕获的样本数量进行统计归类,如下表:

实锤!涉美CIA攻击组织对我国发起长达十一年的网络渗透攻击-冯金伟博客园

  从表中可以看出,从 2010 年开始,APT-C-39 组织就一直在不断升级最新的网络武器,对我国境内目标频繁发起网络攻击。

  • 证据四  

  APT-C-39 组织使用的部分攻击武器同 NSA 存在关联

  WISTFULTOLL 是 2014 年 NSA 泄露文档中的一款攻击插件。

  在 2011 年针对我国某大型互联网公司的一次攻击中,APT-C-39 组织使用了 WISTFULTOOL 插件对目标进行攻击。

  与此同时,在维基解密泄露的 CIA 机密文档中,证实了 NSA 会协助 CIA 研发网络武器,这也从侧面证实了 APT-C-39 组织同美国情报机构的关联。

  •   证据五  

  APT-C-39 组织的武器研发时间规律定位在美国时区

  根据该组织的攻击样本编译时间统计,样本的开发编译时间符合北美洲的作息时间。

  恶意软件的编译时间是对其进行规律研究、统计的一个常用方法,通过恶意程序的编译时间的研究,我们可以探知其作者的工作与作息规律,从而获知其大概所在的时区位置。

  下表就是 APT-C-39 组织的编译活动时间表(时间我们以东 8 时区为基准),可以看出该组织活动接近于美国东部时区的作息时间,符合 CIA 的定位。(位于美国弗吉尼亚州,使用美国东部时间。)

实锤!涉美CIA攻击组织对我国发起长达十一年的网络渗透攻击-冯金伟博客园

  综合上述技术分析和数字证据,我们完全有理由相信:APT-C-39 组织隶属于美国,是由美国情报机构参与发起的攻击行为。

  尤其是在调查分析过程中,360 安全大脑资料已显示,该组织所使用的网络武器和 CIA “Vault7(穹窿7)” 项目中所描述网络武器几乎完全吻合。而 CIA “Vault7(穹窿7)” 武器从侧面显示美国打造了全球最大网络武器库,而这不仅给全球网络安全带来了严重威胁,更是展示出该 APT 组织高超的技术能力和专业化水准。 

  战争的形式不止于兵戎相见这一种。网络空间早已成为大国较量的另一重要战场。而若与美国中央情报局 CIA 博弈,道阻且长!

  最后 关于 360 安全大脑—APT 威胁情报中心:

从 2014 年开始,360 安全大脑通过整合海量安全大数据,实现了 APT 威胁情报的快速关联溯源,独家发现并追踪了四十个 APT 组织及黑客团伙,独立发现了多起境外 APT 组织使用“在野”0day 漏洞针对我国境内目标发起的 APT 攻击,大大拓宽了国内关于 APT 攻击的研究视野和研究深度,填补了国内 APT 研究的空白。我们发现境外针对中国境内目标的攻击最早可以追溯到 2007 年,至少影响了中国境内超过万台电脑,攻击范围遍布国内 31 个省级行政区。我们发现的 APT 攻击和部分国外安全厂商机构发现的 APT 攻击,都可以直接证明中国是 APT 攻击中的主要受害国。