红帽白皮书新鲜出炉!点击获取,让你的云战略更胜一筹! 了解详情
写点什么

中国关键领域遭受 11 年的网络攻击,攻击者竟为美国 CIA

  • 2020-03-04
  • 本文字数:1850 字

    阅读完需:约 6 分钟

中国关键领域遭受11年的网络攻击,攻击者竟为美国CIA


3 月 2 日,360 安全大脑披露一则重磅消息美国中央情报局 CIA 攻击组织对中国进行长达十一年的网络攻击渗透,包括航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度攻击

发现突破口:Vault7

早在 2017 年,维基解密接受一名CIA前雇员约书亚的“拷贝情报”,向全球披露 8716 份来自美国中央情报局 CIA 网络情报中心的文件,其中,包含核心武器文件——“Vault7(穹窿 7)”。


360 安全大脑表示,“通过对泄漏的’Vault7(穹窿7)'网络武器资料的研究,并对其深入分析和溯源,于全球首次发现与其关联的一系列针对中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等长达十一年的定向攻击活动。”


据悉,这些攻击活动从 2008 年 9 月开始,一直持续到 2019 年 6 月左右,并且,主要集中在北京、广东、浙江等省份。而这些定向攻击活动都归结于一个涉美 APT 组织——APT-C-39。



以航空航天为例,“其中 CIA 在针对我国航空航天与科研机构的攻击中,我们发现:主要是围绕这些机构的系统开发人员来进行定向打击。而这些开发人员主要从事的是:航空信息技术有关服务,如航班控制系统服务、货运信息服务、结算分销服务、乘客信息服务等。”360 核心安全技术博客上写道。


并且,CIA 所攻击的航空信息技术服务,不仅仅是针对国内航空航天领域,同时还覆盖百家海外及地区的商营航空公司。

关键人物:CIA 前雇员约书亚

据悉,约书亚曾作为实习生在美国国家安全局(NSA)工作过一段时间,于 2010 年加入美国中央情报局 CIA,在其秘密行动处(NCS)担任科技情报主管。


360 安全大脑称,“约书亚精通网络武器设计研发专业技术,又懂情报运作。”并且,他是“Vault7(穹窿 7)”网络武器的设计研发者之一。



2016 年,约书亚利用其在核心机房的管理员权限和设置的后门,拷走了“Vault7(穹窿 7)” 并“给到”维基解密组织,该组织于 2017 年将资料公布在其官方网站上。

五大关联证据

360 安全大脑判定:APT-C-39 组织的攻击行为,正是由约书亚所在的 CIA 主导的国家级黑客组织发起。


有五大证据:


1.APT-C-39 组织使用大量 CIA"Vault7(穹窿 7)"项目中的专属网络武器


360 安全大脑称,“研究发现,APT-C-39 组织多次使用了 Fluxwire,Grasshopper 等 CIA 专属网络武器针对我国目标实施网络攻击。通过对比相关的样本代码、行为指纹等信息,可以确定该组织使用的网络武器即为“Vault7(穹窿 7)” 项目中所描述的网络攻击武器。”


2.APT-C-39 组织大部分样本的技术细节与“Vault7(穹窿 7)”文档中描叙的技术细节一致


360 安全大脑分析发现,大部分样本的技术细节与“Vault7(穹窿 7)” 文档中描叙的技术细节一致,如控制命令、编译 pdb 路径、加密方案等。


“这些是规范化的攻击组织常会出现的规律性特征,也是分类它们的方法之一。所以,确定该组织隶属于 CIA 主导的国家级黑客组织。”360 核心安全技术博客上写道。


3.APT-C-39 组织很早已经针对中国目标使用相关网络武器


2010 年初,APT-C-39 组织已对中国境内的网路攻击活动中,使用了“Vault7(穹窿 7)”网络武器中的 Fluxwire 系列后门。这远远早于 2017 年维基百科对“Vault7(穹窿 7)”网络武器的曝光。这也进一步印证了其网络武器的来源。



4.APT-C-39 组织使用的部分攻击武器同 NSA 存在关联


在 2011 年针对中国某大型互联网公司的一次攻击中,APT-C-39 组织使用了 WISTFULTOLL 插件对目标进行攻击。WISTFULTOLL 则是 2014 年 NSA 泄露文档中的一款攻击插件。


与此同时,在维基解密泄露的 CIA 机密文档中,证实了 NSA 会协助 CIA 研发网络武器,这也从侧面证实了 APT-C-39 组织同美国情报机构的关联。


5.APT-C-39 组织的武器研发时间规律定位在美国时区


根据该组织的攻击样本编译时间统计,样本的开发编译时间符合北美洲的作息时间。360 安全大脑称,“该组织活动接近于美国东部时区的作息时间,符合 CIA 的定位。”



最后,360 安全大脑表示,“综合上述技术分析和数字证据,我们完全有理由相信:APT-C-39 组织隶属于美国,是由美国情报机构参与发起的攻击行为。尤其是在调查分析过程中,360 安全大脑资料已显示,该组织所使用的网络武器和 CIA ‘Vault7(穹窿 7)’项目中所描述网络武器几乎完全吻合。而 CIA ‘Vault7(穹窿 7)’ 武器从侧面显示美国打造了全球最大网络武器库,而这不仅给全球网络安全带来了严重威胁,更是展示出该 APT 组织高超的技术能力和专业化水准。”


参考资料:


The CIA Hacking Group (APT-C-39) Conducts Cyber-Espionage Operation on China’s Critical Industries for 11 Years


2020-03-04 07:305792
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 332.6 次阅读, 收获喜欢 1793 次。

关注

评论

发布
暂无评论
发现更多内容

我看 JAVA 之 线程同步(下)

awen

Java synchronized JOL 锁升级

anyRTC视频连麦demo上线啦!

anyRTC开发者

音视频 WebRTC 直播 视频直播 直播连麦

扩展ADO.net实现对象化CRUD(.net core/framework)

Spook

.net ORM ado

2021Android高级面试题及答案,Android篇

欢喜学安卓

android 程序员 面试 移动开发

35K成功入职:蚂蚁金服面试Java后端经历!「含面试题+答案」

Java 编程 程序员 架构 面试

智安小区建设,智慧安防小区改造建设方案

在C++中,你真的会用new吗?

华为云开发者联盟

c++ 内存 new new operator operator new

【全球软件大会】华为前端工程师分享:华为云官网的智能化实践

华为云开发者联盟

算法 智能化 华为云官网 全球软件大会 内容分发

Test

bobcatzoo

AI框架中图层IR的分析

华为云开发者联盟

mindspore IR

2021Android高级进阶学习资料,已拿意向书!

欢喜学安卓

android 程序员 面试 移动开发

百度关于EMP的探索:落地生产可用的微前端架构

百度Geek说

内蒙古公安重点人员管控研判平台建设方案

区块链技术如何赋能医学成像?

CECBC

react native实践总结与思考

碗盆

android 跨平台 React Native

Dapr:我不是Service Mesh!我只是长得很像

中原银行

云原生 Service Mesh istio Multi-Architecture dapr

千亿级数据迁移 mongodb 成本节省及性能优化实践(附性能对比质疑解答)

杨亚洲(专注MongoDB及高性能中间件)

MySQL 数据库 mongodb 架构 分布式数据库mongodb

秀出天际的SpringBoot笔记,让开发像搭积木一样简单

项目案例--吃货联盟

加百利

Java 项目 案例 6月日更

基于 BDD 理论的 Nebula 集成测试框架重构(下篇)

NebulaGraph

分布式数据库 测试 图数据库 BDD

百度工程师手把手教你实现代码规范检测工具

百度开发者中心

百度 代码规范

圆梦腾讯之路!6面阿里、5面字节、4面腾讯,终斩腾讯Offer

Java 编程 架构 面试

趣谈Java类加载器

程序猿阿星

Java ClassLoader 类加载器

浪潮云说丨浪潮云智能对话,想你所想,无限畅聊

浪潮云

测量电压调节器输出纹波和开关瞬变的方法

不脱发的程序猿

硬件研发 输出纹波测量 开关瞬变测量 电源测试 测量电压调节器

GaussDB(for Redis)揭秘:Redis存算分离架构最全解析

华为云开发者联盟

redis 华为云 GaussDB(for Redis) 存算分离架构 中国系统架构师大会SACC

UC生态系统APP开发详情

泪目!跳槽太不容易,蚂蚁金服三轮面试,四个小时灵魂拷问

Java 面试

7月日更,红心向党,党员入驻,即送马克杯~

InfoQ写作社区官方

7月日更 热门活动

区块链的正确应用方式与前景

CECBC

Tubacle挖矿系统APP开发搭建

中国关键领域遭受11年的网络攻击,攻击者竟为美国CIA_安全_万佳_InfoQ精选文章