写点什么

中国关键领域遭受 11 年的网络攻击,攻击者竟为美国 CIA

2020 年 3 月 04 日

中国关键领域遭受11年的网络攻击,攻击者竟为美国CIA


3 月 2 日,360 安全大脑披露一则重磅消息美国中央情报局 CIA 攻击组织对中国进行长达十一年的网络攻击渗透,包括航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度攻击


发现突破口:Vault7

早在 2017 年,维基解密接受一名CIA前雇员约书亚的“拷贝情报”,向全球披露 8716 份来自美国中央情报局 CIA 网络情报中心的文件,其中,包含核心武器文件——“Vault7(穹窿 7)”。


360 安全大脑表示,“通过对泄漏的’Vault7(穹窿7)'网络武器资料的研究,并对其深入分析和溯源,于全球首次发现与其关联的一系列针对中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等长达十一年的定向攻击活动。”


据悉,这些攻击活动从 2008 年 9 月开始,一直持续到 2019 年 6 月左右,并且,主要集中在北京、广东、浙江等省份。而这些定向攻击活动都归结于一个涉美 APT 组织——APT-C-39。



以航空航天为例,“其中 CIA 在针对我国航空航天与科研机构的攻击中,我们发现:主要是围绕这些机构的系统开发人员来进行定向打击。而这些开发人员主要从事的是:航空信息技术有关服务,如航班控制系统服务、货运信息服务、结算分销服务、乘客信息服务等。”360 核心安全技术博客上写道。


并且,CIA 所攻击的航空信息技术服务,不仅仅是针对国内航空航天领域,同时还覆盖百家海外及地区的商营航空公司。


关键人物:CIA 前雇员约书亚

据悉,约书亚曾作为实习生在美国国家安全局(NSA)工作过一段时间,于 2010 年加入美国中央情报局 CIA,在其秘密行动处(NCS)担任科技情报主管。


360 安全大脑称,“约书亚精通网络武器设计研发专业技术,又懂情报运作。”并且,他是“Vault7(穹窿 7)”网络武器的设计研发者之一。



2016 年,约书亚利用其在核心机房的管理员权限和设置的后门,拷走了“Vault7(穹窿 7)” 并“给到”维基解密组织,该组织于 2017 年将资料公布在其官方网站上。


五大关联证据

360 安全大脑判定:APT-C-39 组织的攻击行为,正是由约书亚所在的 CIA 主导的国家级黑客组织发起。


有五大证据:


1.APT-C-39 组织使用大量 CIA"Vault7(穹窿 7)"项目中的专属网络武器


360 安全大脑称,“研究发现,APT-C-39 组织多次使用了 Fluxwire,Grasshopper 等 CIA 专属网络武器针对我国目标实施网络攻击。通过对比相关的样本代码、行为指纹等信息,可以确定该组织使用的网络武器即为“Vault7(穹窿 7)” 项目中所描述的网络攻击武器。”


2.APT-C-39 组织大部分样本的技术细节与“Vault7(穹窿 7)”文档中描叙的技术细节一致


360 安全大脑分析发现,大部分样本的技术细节与“Vault7(穹窿 7)” 文档中描叙的技术细节一致,如控制命令、编译 pdb 路径、加密方案等。


“这些是规范化的攻击组织常会出现的规律性特征,也是分类它们的方法之一。所以,确定该组织隶属于 CIA 主导的国家级黑客组织。”360 核心安全技术博客上写道。


3.APT-C-39 组织很早已经针对中国目标使用相关网络武器


2010 年初,APT-C-39 组织已对中国境内的网路攻击活动中,使用了“Vault7(穹窿 7)”网络武器中的 Fluxwire 系列后门。这远远早于 2017 年维基百科对“Vault7(穹窿 7)”网络武器的曝光。这也进一步印证了其网络武器的来源。



4.APT-C-39 组织使用的部分攻击武器同 NSA 存在关联


在 2011 年针对中国某大型互联网公司的一次攻击中,APT-C-39 组织使用了 WISTFULTOLL 插件对目标进行攻击。WISTFULTOLL 则是 2014 年 NSA 泄露文档中的一款攻击插件。


与此同时,在维基解密泄露的 CIA 机密文档中,证实了 NSA 会协助 CIA 研发网络武器,这也从侧面证实了 APT-C-39 组织同美国情报机构的关联。


5.APT-C-39 组织的武器研发时间规律定位在美国时区


根据该组织的攻击样本编译时间统计,样本的开发编译时间符合北美洲的作息时间。360 安全大脑称,“该组织活动接近于美国东部时区的作息时间,符合 CIA 的定位。”



最后,360 安全大脑表示,“综合上述技术分析和数字证据,我们完全有理由相信:APT-C-39 组织隶属于美国,是由美国情报机构参与发起的攻击行为。尤其是在调查分析过程中,360 安全大脑资料已显示,该组织所使用的网络武器和 CIA ‘Vault7(穹窿 7)’项目中所描述网络武器几乎完全吻合。而 CIA ‘Vault7(穹窿 7)’ 武器从侧面显示美国打造了全球最大网络武器库,而这不仅给全球网络安全带来了严重威胁,更是展示出该 APT 组织高超的技术能力和专业化水准。”


参考资料:


The CIA Hacking Group (APT-C-39) Conducts Cyber-Espionage Operation on China’s Critical Industries for 11 Years


2020 年 3 月 04 日 07:305281
用户头像
万佳 InfoQ编辑

发布了 551 篇内容, 共 202.9 次阅读, 收获喜欢 1382 次。

关注

评论

发布
暂无评论
发现更多内容

Java并发编程系列——分布式锁

孙苏勇

Java zookeeper 并发编程 多线程 分布式锁

Web3极客日报#134

谢锐 | Frozen

区块链 独立开发者 技术社区 Rebase Web3 Daily

基准测试神器JMH —— 详解36个官方例子

捉虫大师

Java 性能 JMH

五十年前的一桩公案:数据库关系模型的流行史(下)

青菜年糕汤

数据库 分布式数据库 数据库规范 关系型数据库 数据库设计

python oop 指南

志学Python

Python python 爬虫 oop

如何成为一个高效的问题解决者?

汪锋

NIO看破也说破(一)—— Linux/IO基础

小眼睛聊技术

Linux 架构 后端 Netty nio

为什么厉害的人精力都那么好?

非著名程序员

程序员 程序人生 提升认知 精力管理

游戏夜读 | 工具游戏的辉煌

game1night

Java并发编程基础--线程

Java收录阁

Java 线程

程序员陪娃漫画系列——当她想吃的时候

孙苏勇

程序员 生活 程序员人生 陪伴 漫画

python中的GIL锁和互斥锁问题

半面人

Python

聊天机器人为什么这么难?

青菜年糕汤

人工智能 自然语言处理 搜索引擎 chatbot 聊天机器人

Web3极客日报#135

谢锐 | Frozen

区块链 独立开发者 技术社区 Rebase Web3 Daily

创投机会诞生在这四个核心变量中 | 2019年在某大学课堂做的一次讲演的实录

邓瑞恒Ryan

创业 管理 投资 行业资讯

一文带你搞懂RPC核心原理

松花皮蛋me

微服务 微服务架构 微服务冶理 RPC 远程调用

冥想与呼吸法之于情绪控制

树上

情绪 冥想 呼吸法 呼吸 自我

Redis学习笔记(安装)

编程随想曲

redis

leetcode8. 字符串转换整数 (atoi)

Damien

算法 数学

五十年前的一桩公案:数据库关系模型的流行史(上)

青菜年糕汤

数据库 分布式数据库 数据库规范 关系型数据库 数据库设计

我在极客大学算法训练营的收获

熊斌

极客时间 极客大学

MySQL自增ID以及其他唯一ID方式分析

Bruce Duan

MySQL自增ID 唯一ID

写在2020年五四青年节

耿老的竹林

个人成长

Golang杂谈 - graceful shutdown为何离奇失效?

星语

golang 后端 平滑重启 服务端

人人都要有经营意识

Neco.W

创业 重新理解创业 公司管理

花更多的时间在自己的优势上

Neco.W

创业 自我管理 重新理解创业

Impala UDTF 功能实现

小鹏

大数据 hadoop cloudera 数据仓库

leetcode141. 环形链表

Damien

算法 链表 LeetCode

程序员为什么要提高赚钱能力?程序员如何提高赚钱能力?

陆陆通通

赚钱

中台是为了复用?未必!浅谈产业中台建设的特点与误区

孤岛旭日

架构 中台 企业中台 企业架构 产业互联网

笔记:《如何系统思考》之因果回路图

wiflish

思维方式

中国关键领域遭受11年的网络攻击,攻击者竟为美国CIA-InfoQ