五大证据揭露CIA网攻中国11年
来源:环球时报
国防部发言人吴谦在2月28日的记者会上刚表示“在网络安全问题上,美方是国际公认的窃密惯犯”。中国网络安全公司360公司3月3日就爆出猛料:“多方面证据证实美国对中国关键领域的网络攻击已经持续了11年”。这是中国机构首次详细披露相关证据,该结论到底如何得出?美国此举对中国危害多大?《环球时报》记者就此采访了多名业内专家。
涉美神秘组织长期对华发动网络攻击
360公司于3月3日宣布,通过该公司旗下“360安全大脑”的调查分析,发现美国中央情报局(CIA)的国家级黑客组织“APT-C-39(由360公司命名)”对中国进行了长达11年的网络攻击和渗透。
美国媒体此前曾披露,作为CIA诸多重要黑客工具和网络武器主要设计研发骨干之一的约书亚·亚当·舒尔特,曾在2017年向维基解密提供了关键的“拷贝情报”,向全球披露8716份来自CIA网络情报中心的文件,涵盖CIA黑客部队的攻击手法、目标、工具的技术规范和要求,这一系列机密文件被称为“Vault7(穹窿7)”项目。这次事件被列为“CIA历史上最大一次机密国防情报泄露事件”。
360安全大脑通过对泄露的“穹窿7”网络武器资料的研究,并对其深入分析和溯源,于全球首次发现与其关联的一系列针对我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等长达11年的定向攻击活动。这些攻击活动最早可以追溯到2008年(从2008年9月一直持续到2019年6月左右),并主要集中在北京、广东、浙江等省份。上述这些定向攻击活动都归结于一个鲜少被外界曝光的涉美APT(高级可持续攻击)组织——APT-C-39。
一名360公司网络安全专家3日接受《环球时报》记者采访时表示,已被公开的“穹窿7”项目信息显示,几乎所有的主流计算机、移动设备、智能设备、物联网设备等,CIA都配备了针对性的网络攻击武器。例如Fluxwire系列后门是“穹窿7”项目中数十种网络武器之一。“通俗地说,它是一个计算机后门程序,但与我们一般遇到的木马、后门程序不同的是,它是一个大型、复杂的国家级网络攻击平台,可以攻击控制Windows、Linux、MacOS等所有主流操作系统及软硬件设备。它的目的是要稳定且隐蔽地控制各类电子设备,伺机而动发起网络攻击,窃取我国相关单位的机密情报。”该专家透露,360安全大脑披露的这些攻击活动还涉及“穹窿7”项目的其他大量网络武器,它们可在不同攻击阶段相互配合。
近年来,不断有信息曝光以CIA为主的美国政府机构正通过各种方式进行黑客活动或大规模的监控。10年前针对伊朗核设施的“震网”病毒攻击,去年委内瑞拉大面积停电以及针对俄罗斯和伊朗基础设施的网络攻击,背后均有美国网军的身影。
根据维基解密2017年披露的信息,CIA的网络武器“能将任何设备变成监视设备”,包括电脑、智能手机、游戏机、路由器和智能电视。今年2月,美国《华盛顿邮报》称,CIA从20世纪50年代就布局收购并完全控制瑞士加密设备厂商Crypto AG,在长达70年的历史中,该公司售往全球100多个国家的加密设备都被CIA植入后门程序,使得这期间CIA可以解密这些国家的相关加密通信和情报。▲
“穹窿7”成为关键证据
360公司网络安全专家表示,在美国联邦法庭针对约书亚的起诉书中,美国检方公诉人证实了“穹窿7”的存在以及它与CIA的关系。这成为证明CIA是伸向中国“幕后黑手”的关键证据。
第一,APT-C-39组织大量使用Fluxwire、Grasshopper等网络武器对中国目标实施网络攻击。通过对比相关样本代码、行为指纹等信息,可以确定该组织使用的即为“穹窿7” 项目中描述的CIA专属网络武器。
该专家解释说,样本代码、行为指纹等证据信息和刑侦中的指纹、笔迹等概念类似,它是溯源网络犯罪和网络攻击的重要手段之一。“我们通过对比国内受害单位网络中的攻击样本和CIA专属的网络武器,发现其中大量的专有技术细节吻合甚至完全相同。据美国官方消息,这些网络武器是CIA的研发团队耗费数年、耗资数百万美元,在层层把守和防护下秘密研发的,只有经过严格审查和管理的CIA相关人员才可以使用它们。”
第二,APT-C-39组织大部分样本的技术细节与“穹窿7”文档中描述的技术细节一致,如控制命令、编译pdb路径、加密方案等。专家表示,这些是规范化的攻击组织常会出现的规律性特征,也是分类它们的方法之一。所以,由此也确定该组织是隶属于CIA主导的国家级黑客组织。
第三,在“穹窿7”被维基解密公开曝光前,APT-C-39组织就已经针对中国目标使用相关网络武器。360公司披露的信息显示,早在2010年初,APT-C-39组织对我国境内的网络攻击活动中,已使用“穹窿7”网络武器中的Fluxwire系列后门。此后APT-C-39组织还在不断升级最新网络武器,对我国境内目标频繁发起网络攻击。
第四,APT-C-39组织使用的部分攻击武器同美国国家安全局(NSA)存在关联,维基解密披露的文件显示NSA会协助CIA开发网络武器。这也从侧面证实了APT-C-39组织同美国情报机构的关联。
第五,APT-C-39组织的武器研发时间规律定位在美国时区。安全专家介绍说,恶意软件的编译时间是对其进行规律研究、统计的一个常用方法,通过对恶意程序编译时间的研究,可以探知其作者的工作与作息规律,从而获知其大概所在的时区位置。APT-C-39组织编译活动时间接近美国东部时区的作息规律,也与CIA相符(CIA位于美国弗吉尼亚州,使用美国东部时间)。▲
面对国家级网络攻击应如何应付
CIA通过APT-C-39组织对中国关键领域的长期网络攻击和渗透,可能获得了哪些重要信息?接受采访的360公司安全专家告诉《环球时报》记者,这次披露的攻击活动主要针对航空领域、政府单位、科研机构等。例如在针对我国航空航天与科研机构的攻击中,APT-C-39组织主要围绕这些机构的系统开发人员进行定向打击。这些开发人员从事的内容包括航空信息技术有关服务,如航班控制系统服务、货运信息服务、结算分销服务、乘客信息服务等。
遭到网络攻击的航空信息技术服务不仅针对国内航空航天领域,同时还覆盖上百家海外及地区的商营航空公司。该专家表示,对于CIA来说,为获取类似的情报而进行长期、精心布局和大量投入是很常见的操作。在过去长达11年的渗透攻击中,或许早已掌握到中国乃至国际航空的精密信息,甚至不排除CIA已能追踪定位全球的航班实时动态、飞机飞行轨迹、乘客信息、贸易货运等相关情报。今年1月初,伊朗“圣城旅”指挥官苏莱曼尼被美国精确“猎杀”,其中掌握到苏莱曼尼航班和行程的精确信息是暗杀成功的最关键核心,而这些信息正是以CIA为代表的美国情报机构通过包括网络攻击在内的种种手段获取的。
该专家警告称,CIA针对中国进行了长达11年的网络攻击和渗透,“通过我们发现的相关受害目标群推测,CIA已经攻破了这些目标,或已经掌握了我国国内和国际航空的大量机密信息”。
中国警察法学研究会反恐与网络安全治理专委会常务副主任秦安3日接受《环球时报》记者采访时评论称,这是中国机构首次详细披露美方对中国发起网络攻击的相关证据,美国黑客可能已经从中国网络信息系统中窃取大量敏感数据,中国政府应对CIA和有关黑客进行司法起诉。秦安表示,美国一直鼓吹它是网络攻击的受害者,但事实证明它一直是网络攻击惯犯。美国对中国进行长时间的网络攻击,是霸权思维在网络空间的延续,企图通过其惯用的霸权行为来控制网络空间,这应该遭到世界的一致鄙视。
据了解,360安全大脑近年已发现40多起以国家级黑客为背景的APT攻击,这些黑客潜伏、渗透在互联网中窃取情报,涉及能源、通信、金融、交通、制造、教育、医疗等关键基础设施和政府部门、科研机构。专家警告说,在当前的网络安全形势中,国家级力量已经入场,各行业的关键基础设施已经成为他国国家级黑客的重点攻击对象。要应对这样的网络攻击,需要业界共同打造和构建一个国家级网络攻防体系,提高国家网络安全防御能力。