网络战已打响!360安全专家发现CIA对我国关键领域长达11年的网络攻击渗透

持久的网络战已经打响,这是技术实力的较量也是“人”的较量。

日前,360公司分析论证了一起美国中央情报局攻击组织(APT-C-39)对我国关键领域进行长达11年渗透的网络攻击事件。360公司通过一系列证据,确认他们发现的APT-C-39网络攻击确系来自美国中央情报局CIA。

一方面,APT-C-39组织使用了大量CIA"Vault7(穹窿7)"项目中的专属网络武器,且该组织大部分样本的技术细节与“Vault7(穹窿7)”文档中描叙的技术细节一致。

另一方面,除了APT-C-39组织的武器研发时间规律定位在美国时区外,360公司在报告中也表示早在“Vault7(穹窿7)”网络武器被维基解密公开曝光前,APT-C-39组织就已经针对中国目标使用了相关网络武器,这些武器与美国国家安全局存在关联。

追踪分析发现,中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等我国关键领域相关单位均遭到不同程度的攻击。

以航空航天机构为例,根据360公司掌握的情报细节,CIA在针对我国航空航天与科研机构的攻击中,主要围绕这些机构的系统开发人员来进行定向打击。而这些开发人员主要从事的是:航空信息技术有关服务,如航班控制系统服务、货运信息服务、结算分销服务、乘客信息服务等。

360公司推测,CIA在过去长达十一年的渗透攻击里,通过攻破或许早已掌握到了我乃至国际航空的精密信息,甚至不排除CIA已实时追踪定位全球的航班实时动态、飞机飞行轨迹、乘客信息、贸易货运等相关情报。

2年前已发现,相关部门已采取措施

360安全专家告诉钛媒体,APT高级威胁其实是一个持续时间很久,长期隐藏在网络里的攻击形式,时间跨度和隐蔽性很高,这也是为什么美情局的这次攻击会潜伏长达11年的原因。

实际上,早在2年前,360安全大脑就发现了APT-C-39(360安全大脑将其单独编号),因为没有掌握确定的攻击证据,所以一直没有以报告的形式向公众公开。

“我们在发现攻击后要先确定这是来自哪个国家哪个组织的攻击,要搜集整理线索,然后将他们串联起来,才能生成完整的证据,这是一个持续的过程。并不会发现之后直接向公众公布。”专家说道。

虽然发现时没有确凿的指向性证据,但360也及时就此攻击进行了针对性上报,并协助相关部门采取了防范措施。

从发现被攻击到证据确凿,网络战的双方其实是一个攻防的过程。“举个例子,比如说我们公布了相关的网络战,他知道被发现了,他肯定是要进行升级换代。网络武器是不断升级的,我们追踪会到APT-C-39内部的版本号,比如2011的版本,我们发现这个版本已经有一些对抗网络安全攻击的防御检测的能力。”

CIA前核心成员成实锤关键

“人”的因素在数据安全、信息安全领域正在发挥越来越重要的作用,甚至是威胁。

360安全专家表示,2年多来,360安全大脑在不断去发现新的有力线索,甚至发现了能够证明APT-C-39确实是来自美国中央情报局CIA攻击组织(APT-C-39)的关键人物——约书亚·亚当·舒尔特(Joshua Adam Schulte,以下建成约书亚)。APT-C-39的“实锤”的关键证据也正是由于约书亚在盗走了CIA核心网络武器的情况下,泄漏了APT-C-39的更多细节。


约书亚是CIA诸多重要黑客工具和网络空间武器主要参与设计研发者核心骨干之一,“Vault7(穹窿7)” CIA这一关键网络武器恰是出自约书亚之手。

但2016年,约书亚与CIA内部发生矛盾,于是利用其在核心机房的管理员权限和设置的后门,拷走了“Vault7(穹窿7)” 并“给到”维基解密组织,2017年约书亚盗走的这些机密资料在维基解密官方网站公开。

随后的一段时间,约书亚因泄露行为被美国司法部逮捕并起诉,2020年2月4日,也就是一个月前,在联邦法庭的公开听证会上,检方公诉人认定,约书亚作为CIA网络武器的核心研发人员和拥有其内部武器库最高管理员权限的负责人,将网络武器交由维基解密公开,犯有“在中央情报局历史上最大的一次机密国防情报泄露事件”。

也正是这次听证会庭审记录的关键细节给360公司提供了APT-C-39攻击的重要补充证据。

这让360安全团队再次确定了“APT-C-39系为中央情报局CIA攻击组织”的论断,“威胁情报里面有一个概念叫‘开源情报’,这种情报其实是公开信息,考验的是我方的分析和收集能力。”

对于360安全专家也感慨:“网络安全的攻防对抗最核心的还是人跟人之间的对抗,尤其越高级的攻击越是这样。网络战虽然是持续性的,但人总会有‘漏洞’,会重复自己的一些习惯,你今天不出问题,明天不出问题,总有一天会出问题,比如APT-C-39一开始发起攻击的时候,它可能不知道,会出现一个人,突然就把情报偷出来,就完蛋了。”

外交部回应:敦促美方作出清楚解释

美国中央情报局攻击组织(APT-C-39)对我国关键领域长达11年的攻击渗透,已经受到我国相关部门的关注。

据环球时报报道,在3月4日举行的中国外交部例行记者会上,发言人赵立坚就此事做出了回应:

长期以来,美国政府有关机构违反国际法和国际关系基本准则,对外国政府、企业和个人实施大规模有组织、无差别的网络窃密、监控和攻击,这早已是人尽皆知。从“维基解密”到“斯诺登事件”,再到近期的“瑞士加密机事件”,美方这种不道德的行径一再暴露。360公司有关的报告是又一有力的例证。

赵立坚还表示,事实证明,美国才是全球最大的网络攻击者,是名副其实的“黑客帝国”。美方却贼喊追贼,时时处处把自己装扮成网络攻击的受害者,充分暴露美方在网络安全问题上的虚伪性和双重标准。中国一直是美方网络窃密和攻击的严重受害者,中方就此多次向美方提出严正交涉。

“我们再次强烈敦促美方作出清楚解释,立即停止此类活动,还中国和世界一个和平、安全、开放、合作的网络空间。”赵立坚在发布会上说道。(本文首发钛媒体,作者/秦聪慧)
 

相关产品

评论