记录历史瞬间,全球第一实锤!涉美CIA攻击组织对我国发起网络攻击。全球首发实锤360SecurityBrain抓获美国中央情报局CIA攻击组织(APT-C-39)对我国长达11年的网络攻击渗透。在此期间,我国航天、科研机构、石油行业、大型互联网企业、政府机构等都受到了不同程度的攻击。不仅如此,360SecurityBrain还通过关联相关情报定位了前CIA雇员JoshuaAdamSchulte,负责相关网络武器的研发和生产。在该组织对我国目标进行攻击期间,他在中央情报局秘密行动(NCS)担任科技情报主管,并直接参与研制了针对我国的网络武器:Vault7(穹顶7)。这些相关线索进一步将360SecurityBrain发现的这个APT组织的攻击源头钉在了美国中央情报局身上。中央情报局(CIA),这个名字可能比国家安全局(NSA)更为世人熟悉,是美国联邦政府的主要情报收集机构之一。它由情报处(DI)、秘密行动处(NCS)、技术处(DS&T)和支援处(DS)四个部门组成,总部设在美国弗吉尼亚州兰利市。其主要业务包括:收集外国政府、公司和个人的信息;分析其他美国情报机构收集的信息和情报;向美国高级决策者提供国家安全情报评估;应美国总统等要求执行或监督秘密活动CIA核心网络武器“Vault7”成为重要突破口。360SecurityBrain全球率先抓获涉美攻击组织APT-C-39。追溯到2017年,维基解密接受了约书亚的“复制情报”,并将其发送至美国中央情报局(CIA)CIA网络情报中心,共计8716份文件在全球公开,其中机密文件156份,涵盖中情局黑客部队的攻击方法、目标和工具的技术规范和要求。在这个公告中,包含了核心武器文件——“Vault7(保险库7)”。360通过对泄露的“Vault7”网络武器信息的研究,并对其进行深入分析追溯,在国际上首次发现了一系列针对我国航天、科研机构的相关攻击事件,石油行业,十一年来针对大型互联网公司和政府机构的针对性攻击。这些攻击事件最早可追溯到2008年(2008年9月至2019年6月左右),主要集中在北京、广东、浙江等省份。上述这些针对性攻击,均归咎于一个鲜少对外曝光的涉美APT组织——APT-C-39(360SecurityBrain对其单独编号)。APT-C-39组织的攻击强度如何,安全隐患有多大?这里我们以航空航天机构为例。由于涉及国家安全领域,我们只公开了360SecurityBrain持有的情报数据的部分细节:其中,在CIA对我国航天和科研机构的攻击中,我们发现:主要围绕系统这些机构的开发商进行有针对性的打击。这些开发商主要从事与航空信息技术相关的服务,如飞行控制系统服务、货物信息服务、结算配送服务、旅客信息服务等。(航空信息技术相关服务:指为国内外商业航空公司提供飞行控制系统服务、旅客信息服务、机场旅客处理系统服务及相关数据、信息技术延伸服务。)CIA攻击航空信息技术服务不仅针对国内航空航天业,还覆盖了数百家海外和地区商业航空公司。CIA此举的目的何在?事实上,对于中情局来说,需要获得类似情报的长期、计划周密、投入巨资的行动是很常见的。就在今年2月初,《华盛顿邮报》等媒体的联合调查报告指出,美国中央情报局从1950年代开始就收购并完全控制了瑞士加密设备制造商CryptoAG。该公司销往全球100多个国家的加密设备都被CIA植入了后门程序,使得CIA能够解密这些国家在此期间的相关加密通信和情报。至此,我们可以推测,在过去11年的渗透攻击中,中情局可能已经通过突破掌握了我乃至国际航空的精确信息。甚至不排除中情局对全球航班实时动态和飞机飞行轨迹进行实时跟踪定位。、客运信息、贸易运费等相关信息。如果猜测属实,掌握了如此机密的重要情报,中情局会做出什么意想不到的事情呢?获取关键人物的行程信息,然后进行政治威胁,或者军事打压……这并非危言耸听,2020年1月上旬,伊朗一代“军神”苏莱曼尼被美国总统特朗普轻松“猎杀”。苏莱曼尼的航班和行程的准确信息是刺杀成功的最关键核心,而这些信息是由以CIA为代表的美国情报机构通过包括网络攻击在内的各种手段获得的。这起事件是美国情报机构在现实世界中发挥作用的典型例子。CIA“武器”研发关键人物:约书亚·亚当·舒尔特(JoshuaAdamSchulte)提到CIA的关键网络武器——Vault7(穹顶7),不得不介绍这位前CIA雇员:约书亚·亚当·舒尔特JoshuaAdamSchulte。约书亚·亚当·舒尔特(JoshuaAdamSchulte,以下简称约书亚),1988年9月出生于美国得克萨斯州拉伯克市,现年31岁,毕业于德克萨斯大学斯汀分校,曾在美国国家安全局实习(NSA)一段时间,并于2010年加入中央情报局,担任其秘密行动部(NCS)的科技情报总监。国家秘密情报局(NCS)作为中央情报局的秘密部门,是协调、消除冲突和评估美国情报界秘密行动的国家机构。精通网络武器的设计开发和情报作战,约书亚成为CIA众多重要黑客工具和网络空间武器的核心骨干之一,主要参与武器的设计和开发。这包括关键网络武器“Vault7(穹顶7)”CIA。2016年,约书亚利用自己在核心机房的管理员权限,设置后门将“Vault7(金库7)”复制走,“交给”维基解密,维基解密于2017年在其官网公布了该信息。在网站上。2018年,约书亚因泄密行为被美国司法部逮捕起诉。2020年2月4日,在联邦法院的公开听证会上,检方认定约书亚作为CIA网络武器的核心开发者和在其内部武器库中拥有最高管理员权限的负责人,将网络武器交给维基解密为了披露,犯下了“中央情报局历史上最大的机密国防情报泄露事件”。上述约书亚的亲身经历和泄露的信息为我们提供了重要线索,美国检方和检察官研发并确认的核心网络武器“Vault7(穹顶7)”已成为真锤子APT-C-39的附属品美国中央情报局CIA的重要突破。相关证据五:APT-C-39组织隶属于美国中央情报局,以“Vault7”为核心连接点,通过Joshua的上述一系列经历和行为,为我们定位APT-C-39组织的隶属关系提供了重要的线索信息。另外,考虑到APT-C-39网络武器使用的独特性和时间段,360SecurityBrain最终判断该组织的攻击行为是由Joshua所在的CIA领导的国家级黑客组织发起。具体相关证据如下:证据一、APT-C-39组织在CIA“Vault7(穹顶7)”项目中使用了大量专属网络武器。研究发现,APT-C-39组织多次使用Fluxwire、Grasshopper等CIA专属网络武器对中国目标实施网络攻击。通过对比相关样本代码、行为指纹等信息,可以确定该组织使用的网络武器就是“Vault7(穹顶7)”项目描述的网络攻击武器。证据2APT-C-39组织的大部分样本的技术细节与“Vault7(金库7)”文件中描述的技术细节一致。360SecurityBrain分析发现,大部分样本的技术细节与“Vault7”文档中描述的技术细节一致,如控制命令、编译的pdb路径、加密方案等,这些都是归一化攻击的常规特征群体往往有,也是对群体进行分类的方法之一。因此,确定该组织属于以CIA为首的国家级黑客组织。证据三、在“Vault7”网络武器被维基解密公开曝光之前,APT-C-39组织已经对中国目标使用了相关网络武器。2010年初,APT-C-39组织利用“Vault7(穹顶7)”网络武器中的Fluxwire系列后门,在我国开展网络攻击活动。这比维基百科在2017年曝光“Vault7(穹顶7)”网络武器要早得多,这进一步证实了其网络武器的来源。在深入分析解密“Vault7”网络武器Fluxwire后门中的版本信息后,360SecurityBrain整理出APT-C-39攻击我国目标所使用的版本、攻击时间等信息这些年来。对自己捕获的样本数量进行统计分类,如下表所示:从表中可以看出,自2010年以来,APT-C-39组织不断升级最新的网络武器,频繁发动网络攻击关于我国的目标。证据四APT-C-39使用了部分与NSA相关的攻击性武器。WISTFULTOLL是2014年NSA泄露文件中的一个攻击插件。在2011年针对我国某大型互联网公司的一次攻击中,APT-C-39组织使用了WISTFULTOOL插件对目标进行攻击。同时,在维基解密泄露的CIA机密文件中,确认NSA将协助CIA研制网络武器,这也从侧面印证了APT-C-39组织与美国情报机构的联系。.证据五APT-C-39组织的武器研发时间常规地点在美国时区。根据该组织攻击样本编译时间统计,样本的开发编译时间符合北美作息时间。恶意软件的编译时间是常规研究和统计的常用方法。通过研究恶意程序的编译时间,我们可以了解作者的工作和日程安排,从而知道大致的时区位置。下表是APT-C-39组织的编译活动时间表(时间以东8时区为准)。可以看出,该组织的活动时间紧贴美国东部时区,符合中情局的定位。(位于美国弗吉尼亚州,使用美国东部时间。)基于以上技术分析和数字证据,我们完全有理由相信APT-C-39组织隶属于美国,发起攻击的对象是美国情报机构的参与。尤其是在调查分析过程中,360SecurityBrain数据显示,该组织使用的网络武器与CIA“Vault7(穹顶7)”项目中描述的网络武器几乎完全一致。CIA“Vault7”武器从侧面表明,美国已经建成了世界上最大的网络武器库,不仅对全球网络安全构成严重威胁,也彰显了APT组织高超的技术能力和专业素养。战争的形式不仅限于此。网络空间已经成为大国角逐的又一重要战场。而如果是和美国中央情报局CIA的博弈,那路漫漫其修远兮!
