披露美國中央情報局CIA攻擊組織(APT-C-39)對中國關鍵領域長達十一年的網路滲透攻擊

國際安全智庫發表於2020-03-04
APT
記載歷史時刻,全球首家實錘!涉美CIA攻擊組織對我國發起網路攻擊。

​全球首家實錘

360安全大腦捕獲了美國中央情報局CIA攻擊組織(APT-C-39)對我國進行的長達十一年的網路攻擊滲透。在此期間,我國航空航天、科研機構、石油行業、大型網際網路公司以及政府機構等多個單位均遭到不同程度的攻擊。

不但如此,360安全大腦通過關聯相關情報,還定位到負責從事研發和製作相關網路武器的CIA前僱員:約書亞·亞當·舒爾特(Joshua Adam Schulte)。在該組織攻擊我國目標期間,他在CIA的祕密行動處(NCS)擔任科技情報主管職位,直接參與研發了針對我國攻擊的網路武器:Vault7(穹窿7)。這部分相關線索,更進一步地將360安全大腦發現的這一APT組織的攻擊來源,鎖定為美國中央情報局。

美國中央情報局(Central Intelligence Agency,簡稱CIA),一個可以比美國國家安全域性(NSA)更為世人熟知的名字,它是美國聯邦政府主要情報蒐集機構之一,下設情報處(DI)、祕密行動處 (NCS) 、科技處(DS&T)、支援處(DS)四大部門,總部位於美國弗吉尼亞州的蘭利。 
其主要業務包括:
收集外國政府、公司和個人的資訊;
分析其他美國情報機構收集的資訊以及情報;
提供國家安全情報評估給美國高階決策者;
在美國總統要求下執行或監督祕密活動等。

CIA核心網路武器“Vault7”成重要突破口,360安全大腦全球首家捕獲涉美攻擊組織APT-C-39


時間追溯到2017年,維基解密接受了來自約書亞的“拷貝情報”,向全球披露了8716份來自美國中央情報局CIA網路情報中心的檔案,其中包含涉密檔案156份,涵蓋了CIA黑客部隊的攻擊手法、目標、工具的技術規範和要求。而這次的公佈中,其中包含了核心武器檔案——“Vault7(穹窿7)”。
 
360安全大腦通過對洩漏的“Vault7(穹窿7)”網路武器資料的研究,並對其深入分析和溯源,於全球首次發現與其關聯的一系列針對我國航空航天、科研機構、石油行業、大型網際網路公司以及政府機構等長達十一年的定向攻擊活動。

而這些攻擊活動最早可以追溯到2008年(從2008年9月一直持續到2019年6月左右),並主要集中在北京、廣東、浙江等省份。

而上述這些定向攻擊活動都歸結於一個鮮少被外界曝光的涉美APT組織——APT-C-39(360安全大腦將其單獨編號)。
披露美國中央情報局CIA攻擊組織(APT-C-39)對中國關鍵領域長達十一年的網路滲透攻擊
關於APT-C-39組織其攻擊實力如何,有多大的安全隱患?這裡以航空航天機構為例說明。
 
因涉及國家安全領域,所以我們只披露360安全大腦所掌握情報資料的部分細節:其中CIA在針對我國航空航天與科研機構的攻擊中,我們發現:主要是圍繞這些機構的系統開發人員來進行定向打擊。

而這些開發人員主要從事的是:航空資訊科技有關服務,如航班控制系統服務、貨運資訊服務、結算分銷服務、乘客資訊服務等。

(航空資訊科技有關服務:指為國內與國際商營航空公司提供航班控制系統服務,乘客資訊服務,機場旅客處理系統服務及相關資料、延伸資訊科技服務。)
 
值得注意的是,CIA所攻擊的航空資訊科技服務,不僅僅是針對國內航空航天領域,同時還覆蓋百家海外及地區的商營航空公司,CIA此舉的目的到底為何?
 
其實,對於CIA來說,為獲取類似的情報而進行長期、精心佈局和大量投入是很常見的操作。

就在今年2月初,《華盛頓郵報》等媒體的聯合調查報導指出,CIA從上世紀五十年代開始就佈局收購併完全控制了瑞士加密裝置廠商Crypto AG,在長達七十年的歷史中,該公司售往全球一百多個國家的加密裝置都被CIA植入了後門程式,使得這期間CIA都可以解密這些國家的相關加密通訊和情報。
 
至此,我們可以推測:CIA在過去長達十一年的滲透攻擊裡,通過攻破或許早已掌握到了我乃至國際航空的精密資訊,甚至不排除CIA已實時追蹤定位全球的航班實時動態、飛機飛行軌跡、乘客資訊、貿易貨運等相關情報。

如猜測屬實,那CIA掌控到如此機密的重要情報,將會做出哪些意想不到的事情呢?獲取關鍵人物的行程資訊,進而政治威脅,或軍事打壓......
 
這並不是危言聳聽,2020年1月初,伊朗一代“軍神”卡西姆·蘇萊曼尼被美國總統川普輕易“獵殺”,其中掌握到蘇萊曼尼航班和行程的精確資訊就是暗殺成功的最關鍵核心,而這些資訊正是以CIA為代表的美國情報機構通過包括網路攻擊在內的種種手段獲取的。這一事件,是美國情報機構在現實世界作用的一個典型案例。

360安全大腦精準鎖定CIA"武器"研發關鍵人物,約書亞·亞當·舒爾特(Joshua Adam Schulte)


提到CIA關鍵網路武器——Vault7(穹窿7),就不得不介紹一下這位CIA前僱員:約書亞·亞當·舒爾特(Joshua Adam Schulte)。
披露美國中央情報局CIA攻擊組織(APT-C-39)對中國關鍵領域長達十一年的網路滲透攻擊
約書亞·亞當·舒爾特(Joshua Adam Schulte,以下簡稱約書亞),1988年9月出生於美國德克薩斯州拉伯克,現年31歲,畢業於德薩斯大學斯汀分校,曾作為實習生在美國國家安全域性(NSA)工作過一段時間,於2010年加入美國中央情報局CIA,在其祕密行動處(NCS)擔任科技情報主管。
披露美國中央情報局CIA攻擊組織(APT-C-39)對中國關鍵領域長達十一年的網路滲透攻擊
(國家祕密行動處(NCS)充當中央情報局祕密部門,是協調、去除衝突以及評估美國情報界祕密行動的國家主管部門。)

精通網路武器設計研發專業技術,又懂情報運作,約書亞成為CIA諸多重要黑客工具和網路空間武器主要參與設計研發者核心骨幹之一。這其中就包含“Vault7(穹窿7)” CIA這一關鍵網路武器。
 
2016年,約書亞利用其在核心機房的管理員許可權和設定的後門,拷走了“Vault7(穹窿7)” 並“給到”維基解密組織,該組織於2017年將資料公佈在其官方網站上。
 
2018年,約書亞因洩露行為被美國司法部逮捕並起訴,2020年2月4日,在聯邦法庭的公開聽證會上,檢方公訴人認定,約書亞作為CIA網路武器的核心研發人員和擁有其內部武器庫最高管理員許可權的負責人,將網路武器交由維基解密公開,犯有“在中央情報局歷史上最大的一次機密國防情報洩露事件”。
 
以上約書亞的個人經歷和洩露的資訊,為我們提供了重要線索,而其研發並由美國檢方公訴人證實的核心網路武器“Vault7(穹窿7)”,成為實錘APT-C-39隸屬於美國中央情報局CIA的重要突破口。
 

五大關聯證據實錘,APT-C-39組織隸屬於美國中央情報局


以“Vault7(穹窿7)” 為核心關聯點,再透過約書亞以上一系列經歷與行為,為我們定位APT-C-39組織的歸屬提供了重要線索資訊。此外,再綜合考慮該APT-C-39網路武器使用的獨特性和時間週期,360安全大腦最終判定:該組織的攻擊行為,正是由約書亞所在的CIA主導的國家級黑客組織發起。具體關聯證據如下:

證據一:APT-C-39組織使用了大量CIA"Vault7(穹窿7)"專案中的專屬網路武器

研究發現,APT-C-39組織多次使用了Fluxwire,Grasshopper等CIA專屬網路武器針對我國目標實施網路攻擊。

通過對比相關的樣本程式碼、行為指紋等資訊,可以確定該組織使用的網路武器即為“Vault7(穹窿7)” 專案中所描述的網路攻擊武器。

證據二:APT-C-39組織大部分樣本的技術細節與“Vault7(穹窿7)”文件中描敘的技術細節一致

360安全大腦分析發現,大部分樣本的技術細節與“Vault7(穹窿7)” 文件中描敘的技術細節一致,如控制命令、編譯pdb路徑、加密方案等。

這些是規範化的攻擊組織常會出現的規律性特徵,也是分類它們的方法之一。所以,確定該組織隸屬於CIA主導的國家級黑客組織。

證據三:早在“Vault7(穹窿7)”網路武器被維基解密公開曝光前,APT-C-39組織就已經針對中國目標使用了相關網路武器

2010年初,APT-C-39組織已對我國境內的網路攻擊活動中,使用了“Vault7(穹窿7)”網路武器中的Fluxwire系列後門。這遠遠早於2017年維基百科對“Vault7(穹窿7)”網路武器的曝光。這也進一步印證了其網路武器的來源。

在通過深入分析解密了“Vault7(穹窿7)” 網路武器中Fluxwire後門中的版本資訊後,360安全大腦將APT-C-39組織歷年對我國境內目標攻擊使用的版本、攻擊時間和其本身捕獲的樣本數量進行統計歸類,如下表:
披露美國中央情報局CIA攻擊組織(APT-C-39)對中國關鍵領域長達十一年的網路滲透攻擊
從表中可以看出,從2010年開始,APT-C-39組織就一直在不斷升級最新的網路武器,對我國境內目標頻繁發起網路攻擊。

證據四:APT-C-39組織使用的部分攻擊武器同NSA存在關聯

WISTFULTOLL是2014年 NSA洩露文件中的一款攻擊外掛。

在2011年針對我國某大型網際網路公司的一次攻擊中,APT-C-39組織使用了WISTFULTOOL外掛對目標進行攻擊。

與此同時,在維基解密洩露的CIA機密文件中,證實了NSA會協助CIA研發網路武器,這也從側面證實了APT-C-39組織同美國情報機構的關聯。

證據五:APT-C-39組織的武器研發時間規律定位在美國時區

根據該組織的攻擊樣本編譯時間統計,樣本的開發編譯時間符合北美洲的作息時間。

惡意軟體的編譯時間是對其進行規律研究、統計的一個常用方法,通過惡意程式的編譯時間的研究,我們可以探知其作者的工作與作息規律,從而獲知其大概所在的時區位置。

下表就是APT-C-39組織的編譯活動時間表(時間我們以東8時區為基準),可以看出該組織活動接近於美國東部時區的作息時間,符合CIA的定位。(位於美國弗吉尼亞州,使用美國東部時間。)
披露美國中央情報局CIA攻擊組織(APT-C-39)對中國關鍵領域長達十一年的網路滲透攻擊
綜合上述技術分析和數字證據,我們完全有理由相信:APT-C-39組織隸屬於美國,是由美國情報機構參與發起的攻擊行為。
 
尤其是在調查分析過程中,360安全大腦資料已顯示,該組織所使用的網路武器和CIA “Vault7(穹窿7)” 專案中所描述網路武器幾乎完全吻合。而CIA “Vault7(穹窿7)” 武器從側面顯示美國打造了全球最大網路武器庫,而這不僅給全球網路安全帶來了嚴重威脅,更是展示出該APT組織高超的技術能力和專業化水準。
 
戰爭的形式不止於兵戎相見這一種。網路空間早已成為大國較量的另一重要戰場。而若與美國中央情報局CIA博弈,道阻且長!

 

最後

關於360安全大腦—APT威脅情報中心:

從2014年開始,360安全大腦通過整合海量安全大資料,實現了APT威脅情報的快速關聯溯源,獨家發現並追蹤了四十個APT組織及黑客團伙,獨立發現了多起境外APT組織使用“在野”0day漏洞針對我國境內目標發起的APT攻擊,大大拓寬了國內關於APT攻擊的研究視野和研究深度,填補了國內APT研究的空白。我們發現境外針對中國境內目標的攻擊最早可以追溯到2007年,至少影響了中國境內超過萬臺電腦,攻擊範圍遍佈國內31個省級行政區。我們發現的APT攻擊和部分國外安全廠商機構發現的APT攻擊,都可以直接證明中國是APT攻擊中的主要受害國。


本文為國際安全智庫作品 (微信公眾號:guoji-anquanzhiku)

如需轉載,請標註文章來源於:國際安全智庫

披露美國中央情報局CIA攻擊組織(APT-C-39)對中國關鍵領域長達十一年的網路滲透攻擊


相關文章