來源:國家計(jì)算機(jī)病毒應(yīng)急處理中心網(wǎng)站 時(shí)間:2023-05-04 16:40:47 作者:
據(jù)央視新聞消息,國家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司4日聯(lián)合發(fā)布了一份調(diào)查報(bào)告,揭秘了美國中央情報(bào)局利用網(wǎng)絡(luò)攻擊他國的相關(guān)情況,披露部分發(fā)生在中國和其他國家的網(wǎng)絡(luò)安全典型案事件的具體過程,全面深入分析美國中央情報(bào)局的網(wǎng)絡(luò)攻擊竊密和相關(guān)現(xiàn)實(shí)危害活動(dòng),以及其對(duì)美國成為“黑客帝國”所做的貢獻(xiàn)。此次報(bào)告發(fā)布將為遍布全球的網(wǎng)絡(luò)攻擊受害者提供參考和建議。
美國中央情報(bào)局(CIA),是美國聯(lián)邦政府主要情報(bào)機(jī)構(gòu)之一,長期以來,美國中央情報(bào)局在世界各地秘密實(shí)施“和平演變”和“顏色革命”,持續(xù)進(jìn)行間諜竊密活動(dòng)。
2020年,360公司獨(dú)立發(fā)現(xiàn)一個(gè)從未被外界曝光的網(wǎng)絡(luò)攻擊組織,該組織使用與美國中央情報(bào)局相關(guān)聯(lián)的網(wǎng)絡(luò)武器工具,針對(duì)中國和其他國家受害目標(biāo)實(shí)施網(wǎng)絡(luò)攻擊,攻擊活動(dòng)最早可以追溯到2011年,相關(guān)攻擊一直延續(xù)至今。被攻擊目標(biāo)涉及各國重要信息基礎(chǔ)設(shè)施、航空航天、科研機(jī)構(gòu)、石油石化、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等諸多方面。
由國家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司聯(lián)合成立的調(diào)查組發(fā)現(xiàn)在規(guī)模龐大的全球性網(wǎng)絡(luò)攻擊行動(dòng)中,美國中央情報(bào)局大量使用“零日”漏洞,其中包括一大批至今未被公開披露的后門和漏洞(部分功能已得到驗(yàn)證),在世界各地建立“僵尸”網(wǎng)絡(luò)和攻擊跳板網(wǎng)絡(luò),針對(duì)網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)終端、交換機(jī)和路由器,以及數(shù)量眾多的工業(yè)控制設(shè)備分階段實(shí)施攻擊入侵行動(dòng)。
在針對(duì)中國境內(nèi)多起典型網(wǎng)絡(luò)攻擊事件的調(diào)查過程中,聯(lián)合調(diào)查組從受害單位信息網(wǎng)絡(luò)中捕獲并成功提取了一大批與美國中央情報(bào)局緊密關(guān)聯(lián)的木馬程序、功能插件和攻擊平臺(tái)樣本。這些相關(guān)網(wǎng)絡(luò)武器都進(jìn)行了極其嚴(yán)格的規(guī)范化、流程化和專業(yè)化的軟件工程管理,而目前只有美國中央情報(bào)局嚴(yán)格遵守這些標(biāo)準(zhǔn)和規(guī)范開發(fā)網(wǎng)絡(luò)攻擊武器。
通過實(shí)證分析,聯(lián)合調(diào)查組發(fā)現(xiàn)美國中央情報(bào)局的網(wǎng)絡(luò)武器使用了極其嚴(yán)格的間諜技術(shù)規(guī)范,各種攻擊手法前后呼應(yīng)、環(huán)環(huán)相扣,現(xiàn)已覆蓋全球幾乎所有互聯(lián)網(wǎng)和物聯(lián)網(wǎng)資產(chǎn),可以隨時(shí)隨地控制別國網(wǎng)絡(luò),盜取別國重要、敏感數(shù)據(jù),而這無疑需要大量的財(cái)力、技術(shù)和人力資源支撐,美國式的網(wǎng)絡(luò)霸權(quán)可見一斑,“黑客帝國”實(shí)至名歸。
“黑客帝國”調(diào)查報(bào)告——美國中央情報(bào)局(CIA)(之一)
美國中央情報(bào)局(CentralIntelligenceAgency,簡稱CIA),一個(gè)比美國國家安全局(NSA)更為世人熟知的名字,它是美國聯(lián)邦政府主要情報(bào)機(jī)構(gòu)之一,總部位于美國弗吉尼亞州蘭利,下設(shè)情報(bào)處(DI)、秘密行動(dòng)處(NCS)、科技處(DS&T)、支援處(DS)四個(gè)部門。
其主要業(yè)務(wù)范圍涉及:收集外國政府、公司和公民情報(bào)信息;綜合分析處理其他美國情報(bào)機(jī)構(gòu)收集的情報(bào)信息;向美國高層決策者提供國家安全情報(bào)和安全風(fēng)險(xiǎn)評(píng)估意見;根據(jù)美國總統(tǒng)要求組織實(shí)施和指導(dǎo)監(jiān)督跨境秘密活動(dòng)等。
長期以來,美國中央情報(bào)局(CIA)在世界各地秘密實(shí)施“和平演變”和“顏色革命”,持續(xù)進(jìn)行間諜竊密活動(dòng)。
進(jìn)入二十一世紀(jì)以來,互聯(lián)網(wǎng)的快速發(fā)展給美國中央情報(bào)局(CIA)的滲透顛覆和搗亂破壞活動(dòng)提供了新的機(jī)遇,全球各地使用美國互聯(lián)網(wǎng)設(shè)備和軟件產(chǎn)品的機(jī)構(gòu)和個(gè)人成為美國中央情報(bào)局(CIA)的傀儡“特工”,幫助該機(jī)構(gòu)迅速成為網(wǎng)絡(luò)諜報(bào)戰(zhàn)中的耀眼“明星”。
本系列報(bào)告從360公司和國家計(jì)算機(jī)病毒應(yīng)急處理中心參與調(diào)查的大量真實(shí)案例入手,揭秘其網(wǎng)絡(luò)攻擊武器的主要細(xì)節(jié),披露部分發(fā)生在中國和其他國家的網(wǎng)絡(luò)安全典型案事件的具體過程,全面深入分析美國中央情報(bào)局(CIA)的網(wǎng)絡(luò)攻擊竊密和相關(guān)現(xiàn)實(shí)危害活動(dòng),以及其對(duì)美國成為“黑客帝國”所做的貢獻(xiàn),為遍布全球的網(wǎng)絡(luò)攻擊受害者提供參考和建議。
1.概述
從20世紀(jì)80年代國際社會(huì)主義陣營遭受沖擊、90年代初蘇東劇變(“天鵝絨革命”)到2003年格魯吉亞“玫瑰革命”,從2004年烏克蘭“橙色革命”到2005年吉爾吉斯“郁金香革命”,從2011年西亞北非國家“阿拉伯之春”到2014年烏克蘭“二次顏色革命”、中國臺(tái)灣“太陽花革命”等,都被國際機(jī)構(gòu)和世界各地學(xué)者認(rèn)定為由美國情治機(jī)構(gòu)主導(dǎo)的“顏色革命”典型案例。
其他一些國家中還發(fā)生過未遂的“顏色革命”事件,如2005年3月白俄羅斯“雪花革命”、2005年6月阿塞拜疆“橙色風(fēng)暴”、2005年黎巴嫩“雪松革命”、2007年緬甸“藏紅花革命”、2009年伊朗“綠色革命”等等。如果從冷戰(zhàn)時(shí)期算起,帶有“和平演變”和“顏色革命”色彩的政權(quán)更替事件更是不勝枚舉。
據(jù)統(tǒng)計(jì),數(shù)十年來,美國中央情報(bào)局(CIA)至少推翻或試圖推翻超過50個(gè)他國合法政府(而中央情報(bào)局只承認(rèn)其中的7起),在相關(guān)國家引發(fā)動(dòng)亂。
綜合分析上述事件中的各類技術(shù),信息通信和現(xiàn)場指揮成為影響事件成敗的決定性因素。美國的這些技術(shù)在國際上處于領(lǐng)先地位,特別是20世紀(jì)80年代美國將互聯(lián)網(wǎng)推向國際并得到世界各國的普遍接受,給美國情治部門對(duì)外發(fā)動(dòng)“顏色革命”提供了前所未有的技術(shù)可能性。
美國前國務(wù)卿奧爾布賴特曾揚(yáng)言:“有了互聯(lián)網(wǎng)我們對(duì)中國就有了辦法?!?/p>
此言不虛,多起“顏色革命”事件中都有西方大國借助互聯(lián)網(wǎng)推波助瀾的影子。西亞北非多國“阿拉伯之春”事件發(fā)生后,美國個(gè)別大型互聯(lián)網(wǎng)跨國企業(yè)積極介入,向沖突各方投入大量人力、物力、財(cái)力,拉攏支持反對(duì)派,向與美國利益不符的他國合法政府公開發(fā)難,協(xié)助發(fā)布擴(kuò)散虛假信息,推動(dòng)民眾抗議活動(dòng)不斷激化。
1 提供加密網(wǎng)絡(luò)通信服務(wù)
為幫助中東地區(qū)部分國家的抗議者保持聯(lián)絡(luò)暢通,同時(shí)避免被跟蹤和抓捕,美國公司(據(jù)稱具有美國軍方背景)研發(fā)出一種可以接入國際互聯(lián)網(wǎng)又無法追蹤的TOR技術(shù)(“洋蔥頭”路由技術(shù),TheOnionRouter)。相關(guān)服務(wù)器對(duì)流經(jīng)它們的所有信息進(jìn)行加密,從而幫助特定用戶實(shí)現(xiàn)匿名上網(wǎng)。該項(xiàng)目由美國企業(yè)推出后,立即向伊朗、突尼斯、埃及等國的反政府人員免費(fèi)提供,確保那些“想動(dòng)搖本國政府統(tǒng)治的異見青年”在參與活動(dòng)時(shí),能躲避當(dāng)?shù)睾戏ㄕ膶彶楹捅O(jiān)視。
2 提供斷網(wǎng)通聯(lián)服務(wù)
為確保突尼斯、埃及等國的反政府人員在斷網(wǎng)情況下仍能與外界保持聯(lián)系,美國《谷歌》《推特》公司迅速推出一款名為“Speak2Tweet”的專用服務(wù),它允許用戶免費(fèi)撥號(hào)并上傳語音留言,這些留言被自動(dòng)轉(zhuǎn)換成推文后再上傳至因特網(wǎng),《推特》等平臺(tái)公開發(fā)布,完成了對(duì)事件現(xiàn)場的實(shí)時(shí)報(bào)道。
3 提供基于互聯(lián)網(wǎng)和無線通訊的集會(huì)游行活動(dòng)現(xiàn)場指揮工具
美國蘭德公司花費(fèi)數(shù)年研發(fā)出一款被稱為“蜂擁”的非傳統(tǒng)政權(quán)更迭技術(shù),用于幫助通過互聯(lián)網(wǎng)聯(lián)接的大量年輕人加入“打一槍換一個(gè)地方”的流動(dòng)性抗議活動(dòng),大大提升了活動(dòng)現(xiàn)場指揮效率。
4 美國公司研發(fā)了一款名為“暴動(dòng)”的軟件
支持100%獨(dú)立的無線寬帶網(wǎng)絡(luò)、提供可變WiFi網(wǎng)絡(luò),不依賴任何傳統(tǒng)物理接入方式,無須電話、電纜或衛(wèi)星連接,能輕易躲過任何形式的政府監(jiān)測。借助上述功能強(qiáng)大的網(wǎng)絡(luò)技術(shù)和通訊技術(shù)手段,美國中央情報(bào)局(CIA)在全球各地策劃組織實(shí)施了大量的“顏色革命”事件。
5 美國國務(wù)院將研發(fā)“反審查”信息系統(tǒng)作為重要任務(wù)
并為該項(xiàng)目注資超過3000萬美元。
2.美國中央情報(bào)局(CIA)的網(wǎng)絡(luò)攻擊武器系列
2017年3月7日,《維基解密》網(wǎng)站披露了8716份據(jù)稱是來自美國中央情報(bào)局(CIA)網(wǎng)絡(luò)情報(bào)中心的秘密文件,內(nèi)容涉及美國中央情報(bào)局(CIA)黑客團(tuán)隊(duì)的攻擊手法、攻擊行動(dòng)項(xiàng)目代號(hào)、攻擊工具技術(shù)規(guī)范和要求等,《維基解密》將相關(guān)文件稱為“Vault7”(穹頂7),引發(fā)全球范圍的高度關(guān)注。
2020年,360公司獨(dú)立發(fā)現(xiàn)了一個(gè)從未被外界曝光的APT組織,專門針對(duì)中國及其友好國家實(shí)施網(wǎng)絡(luò)攻擊竊密活動(dòng),受害者遍布全球各地,我們將其單獨(dú)編號(hào)為APT-C-39。
有證據(jù)表明,該組織使用與被曝“Vault7”(穹頂7)資料相關(guān)聯(lián)的網(wǎng)絡(luò)武器工具(包括Athena、Fluxwire,Grasshopper、AfterMidnight、HIVE、ChimayRed等),針對(duì)中國和其他國家受害目標(biāo)實(shí)施網(wǎng)絡(luò)攻擊,攻擊活動(dòng)最早可以追溯到2011年,相關(guān)攻擊一直延續(xù)至今。
被攻擊目標(biāo)涉及各國重要信息基礎(chǔ)設(shè)施、航空航天、科研機(jī)構(gòu)、石油石化、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等諸多方面。
在規(guī)模龐大的全球性網(wǎng)絡(luò)攻擊行動(dòng)中,美國中央情報(bào)局(CIA)大量使用“零日”(0day)漏洞,其中包括一大批至今未被公開披露的后門和漏洞(部分功能已得到驗(yàn)證),在世界各地建立“僵尸”網(wǎng)絡(luò)和攻擊跳板網(wǎng)絡(luò),針對(duì)網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)終端、交換機(jī)和路由器,以及數(shù)量眾多的工業(yè)控制設(shè)備分階段實(shí)施攻擊入侵行動(dòng)。
在現(xiàn)已發(fā)現(xiàn)的專門針對(duì)中國境內(nèi)目標(biāo)實(shí)施的網(wǎng)絡(luò)攻擊行動(dòng)中,我們成功提取了多個(gè)“Vault7”(穹頂7)網(wǎng)絡(luò)攻擊武器樣本,多個(gè)東南亞國家和歐洲的合作伙伴也提取到了幾乎完全相同的樣本,主要包括:
2.1 Fluxwire(磁通線)后門程序平臺(tái)
一款支持Windows、Unix、Linux、MacOS等9種主流操作系統(tǒng),和6種不同網(wǎng)絡(luò)架構(gòu)的復(fù)雜后門攻擊行動(dòng)管理平臺(tái),可將眾多“肉雞”節(jié)點(diǎn)組成完全自主運(yùn)行的網(wǎng)狀網(wǎng)絡(luò),支持自我修復(fù)、循環(huán)攻擊和多路徑路由。
2.2 Athena(雅典娜)程序
一款針對(duì)微軟Windows操作系統(tǒng)的輕量級(jí)后門程序,由美國中央情報(bào)局(CIA)與美國SiegeTechnologies公司(2016年被NehemiahSecurity收購)合作開發(fā),可以通過遠(yuǎn)程安裝、供應(yīng)鏈攻擊、中間人劫持攻擊和物理接觸安裝等方式植入,以微軟Windows服務(wù)方式駐留。所有攻擊功能模塊均以插件形式在內(nèi)存中解密執(zhí)行。
2.3 Grasshopper(蚱蜢)后門程序
一款針對(duì)微軟Windows操作系統(tǒng)的高級(jí)可配置后門程序,可生成多種文件格式形式的(EXE,DLL,SYS,PIC)惡意荷載,支持多種執(zhí)行方式,配以不同插件模塊后,可隱蔽駐留并執(zhí)行間諜功能。
2.4 AfterMidnight(午夜之后)后門程序
一款以微軟Windows操作系統(tǒng)DLL服務(wù)形式運(yùn)行的輕量級(jí)后門,它通過HTTPS協(xié)議動(dòng)態(tài)傳輸、加載“Gremlins”模塊,全程以加密方式執(zhí)行惡意荷載。
2.5 ChimayRed(智美紅帽)漏洞利用工具
一款針對(duì)MikroTik等品牌路由器的漏洞利用工具套件,配合漏洞利用可植入“TinyShell”等輕量級(jí)網(wǎng)絡(luò)設(shè)備后門程序。
2.6 HIVE(蜂巢)網(wǎng)絡(luò)攻擊平臺(tái)
“蜂巢”網(wǎng)絡(luò)攻擊平臺(tái)由美國中央情報(bào)局(CIA)下屬部門和美國著名軍工企業(yè)諾斯羅普·格魯曼(NOC)旗下公司聯(lián)合研發(fā),它為美國中央情報(bào)局(CIA)網(wǎng)絡(luò)攻擊團(tuán)隊(duì)提供一種結(jié)構(gòu)復(fù)雜的持續(xù)性攻擊竊密手段。它管理利用全球范圍內(nèi)數(shù)量龐大的失陷資產(chǎn),組成多層動(dòng)態(tài)跳板和秘密數(shù)據(jù)傳輸通道,7×24小時(shí)向美國中央情報(bào)局(CIA)上傳用戶賬戶、密碼和隱私數(shù)據(jù)
?。╤ttps://www.cverc.org.cn/head/zhaiyao/news20220419-hive.htm)。
2.7 其他衍生工具
美國中央情報(bào)局(CIA)在通過上述“Vault7”(穹頂7)網(wǎng)絡(luò)武器實(shí)施攻擊竊密過程中,還衍生和使用了大量“Vault7”(穹頂7)資料之外的攻擊樣本,現(xiàn)已提取的樣本中包括偽裝的釣魚軟件安裝包、鍵盤記錄組件、系統(tǒng)信息收集組件、USB文件竊取模塊和不同的開源黑客工具等。
3.美國中央情報(bào)局(CIA)網(wǎng)絡(luò)攻擊武器樣本功能分析
在針對(duì)中國境內(nèi)多起典型網(wǎng)絡(luò)攻擊事件的調(diào)查過程中,360公司從受害單位信息網(wǎng)絡(luò)中捕獲并成功提取了一大批與網(wǎng)曝美國中央情報(bào)局(CIA)“Vault7”(穹頂7)資料緊密關(guān)聯(lián)的木馬程序、功能插件和攻擊平臺(tái)樣本。深入分析發(fā)現(xiàn),相關(guān)程序樣本大都遵循了“Vault7”(穹頂7)資料中的《NetworkOperationsDivisionIn-memoryCodeExecutionSpecification》、《NetworkOperationsDivisionCryptographicRequirements》和《NetworkOperationsDivisionPersistedDLLSpecification》等美國中央情報(bào)局(CIA)惡意軟件開發(fā)標(biāo)準(zhǔn)和技術(shù)規(guī)范。
這些標(biāo)準(zhǔn)和規(guī)范分別對(duì)應(yīng)網(wǎng)絡(luò)攻擊竊密活動(dòng)中惡意代碼的加載執(zhí)行、數(shù)據(jù)加密和持久化行為,相關(guān)網(wǎng)絡(luò)武器進(jìn)行了極其嚴(yán)格的規(guī)范化、流程化和專業(yè)化的軟件工程管理。據(jù)悉,目前只有美國中央情報(bào)局(CIA)嚴(yán)格遵守這些標(biāo)準(zhǔn)和規(guī)范開發(fā)網(wǎng)絡(luò)攻擊武器。
據(jù)“Vault7”(穹頂7)資料顯示,上述網(wǎng)絡(luò)攻擊武器歸屬于美國中央情報(bào)局(CIA)的EDG(工程開發(fā)組),由其下屬的AED(應(yīng)用工程部)和EDB(嵌入式設(shè)備分部)等多個(gè)分部獨(dú)立或聯(lián)合研發(fā)。這些網(wǎng)絡(luò)武器大都誕生于一個(gè)名為“devlan.net”的美國中央情報(bào)局(CIA)最高機(jī)密內(nèi)部網(wǎng)絡(luò)中。“devlan.net”是美國中央情報(bào)局(CIA)工程開發(fā)部(EDG)建立的龐大的網(wǎng)絡(luò)武器開發(fā)測試基礎(chǔ)設(shè)施。另據(jù)“devlan.net”的開發(fā)日志數(shù)據(jù)顯示,僅“HIVE”(蜂巢)一個(gè)項(xiàng)目就至少投入EDG兩百余名工程師參與研發(fā)。
進(jìn)一步技術(shù)分析發(fā)現(xiàn),美國中央情報(bào)局(CIA)的后門程序和攻擊組件大都以無實(shí)體文件的內(nèi)存駐留執(zhí)行的方式運(yùn)行,這使得對(duì)相關(guān)樣本的發(fā)現(xiàn)和取證難度極大。即使這樣,聯(lián)合技術(shù)團(tuán)隊(duì)還是成功找到了解決取證難題的有效方法。為后續(xù)描述和分析問題方便,我們暫且將美國中央情報(bào)局(CIA)的攻擊武器分為9個(gè)類別:
3.1 框架平臺(tái)類
我們發(fā)現(xiàn)并捕獲了Fluxwire(磁通線)、Grasshopper(蚱蜢)、Athena(雅典娜)的攻擊樣本和攻擊活動(dòng),經(jīng)過實(shí)地檢測,這些樣本的功能、攻擊特征和網(wǎng)絡(luò)行為均可與“Vault7”(穹頂7)資料中的描敘一一印證。
3.2 攻擊模塊投遞類
美國中央情報(bào)局(CIA)使用了大量功能簡單的小型惡意代碼下載器,用于加載執(zhí)行更多的惡意代碼及模塊,相關(guān)樣本無特別的惡意功能及特征,但在與框架平臺(tái)等攻擊武器配合時(shí)卻可展現(xiàn)出強(qiáng)大的竊密功能,極難將其歸因溯源。
3.3 遠(yuǎn)程控制類
現(xiàn)已提取多款遠(yuǎn)程控制插件,大都屬于框架平臺(tái)類攻擊武器衍生出的攻擊模塊組件,二者之間相互配合。
3.4 橫向移動(dòng)類
提取到的大量惡意程序樣本中,包含多款通過系統(tǒng)管理員憑據(jù)使用Windows遠(yuǎn)程服務(wù)安裝植入的后門程序。除此之外,美國中央情報(bào)局(CIA)還劫持多種安全產(chǎn)品內(nèi)網(wǎng)的升級(jí)程序,通過內(nèi)網(wǎng)升級(jí)服務(wù)器的升級(jí)功能下發(fā)安裝后門程序,實(shí)施內(nèi)網(wǎng)中的橫向移動(dòng)攻擊。
3.5 信息收集竊取類
聯(lián)合技術(shù)團(tuán)隊(duì)偶然提取到美國中央情報(bào)局(CIA)使用的一款信息竊取工具,它屬于網(wǎng)曝美國國家安全局(NSA)機(jī)密文檔《ANTcatalog》48種先進(jìn)網(wǎng)絡(luò)武器中的一個(gè),是美國國家安全局(NSA)的專用信息竊取工具。這種情況說明美國中央情報(bào)局(CIA)和美國國家安全局(NSA)會(huì)聯(lián)合攻擊同一個(gè)受害目標(biāo),或相互共享網(wǎng)絡(luò)攻擊武器,或提供相關(guān)技術(shù)或人力支持。這為對(duì)APT-C-39攻擊者身份的歸因溯源補(bǔ)充了新的重要證據(jù)。
3.6 漏洞利用類
調(diào)查中發(fā)現(xiàn),至少從2015年開始,美國中央情報(bào)局(CIA)就在世界各地建立了龐大的網(wǎng)絡(luò)攻擊跳板資源,利用“零日”(0day)漏洞對(duì)全球范圍IOT(物聯(lián)網(wǎng))設(shè)備和網(wǎng)絡(luò)服務(wù)器無差別攻擊,并將其中的大量失陷設(shè)備轉(zhuǎn)換為跳板“肉雞”,或隱藏自身攻擊行為,或?qū)⒕W(wǎng)絡(luò)攻擊嫁禍給其他國家。例如,美國中央情報(bào)局(CIA)使用代號(hào)為“ChimayRed”(智美紅帽)的漏洞攻擊套件定向攻擊多個(gè)型號(hào)的MikroTik品牌路由器,其中包括中國境內(nèi)大量使用這種路由器的網(wǎng)絡(luò)設(shè)備。
攻擊過程中,美國中央情報(bào)局(CIA)首先會(huì)惡意修改路由器啟動(dòng)腳本,使路由器重啟后仍執(zhí)行后門程序;然后,美國中央情報(bào)局(CIA)再修改路由器的CGI程序堵住被美國中央情報(bào)局(CIA)自身利用的漏洞,防止其他攻擊者再次入侵造成權(quán)限丟失;最終,美國中央情報(bào)局(CIA)會(huì)向路由器植入“蜂巢”(HIVE)或“TinyShell”等只有美國中央情報(bào)局(CIA)可以使用的專屬后門程序。
3.7 偽裝正常軟件類
美國中央情報(bào)局(CIA)針對(duì)攻擊目標(biāo)的網(wǎng)絡(luò)環(huán)境,將后門程序定制偽裝為目標(biāo)使用的用戶量較少的冷門軟件安裝包,針對(duì)目標(biāo)實(shí)施精準(zhǔn)的社會(huì)工程學(xué)攻擊。
3.8 安全軟件攻防類
美國中央情報(bào)局(CIA)掌握了專門用于攻擊商業(yè)殺毒軟件的攻擊工具,可以通過這些專用工具遠(yuǎn)程關(guān)閉和殺死指定殺毒軟件的進(jìn)程,使相關(guān)殺毒軟件對(duì)美國中央情報(bào)局(CIA)的攻擊行為或攻擊武器失效。
3.9 第三方開源工具類
美國中央情報(bào)局(CIA)也會(huì)經(jīng)常使用現(xiàn)成的開源黑客工具進(jìn)行攻擊活動(dòng)。美國中央情報(bào)局(CIA)網(wǎng)路攻擊行動(dòng)的初始攻擊一般會(huì)針對(duì)受害者的網(wǎng)絡(luò)設(shè)備或服務(wù)器實(shí)施,也會(huì)進(jìn)行社會(huì)工程學(xué)攻擊。在獲得目標(biāo)權(quán)限之后,其會(huì)進(jìn)一步探索目標(biāo)機(jī)構(gòu)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),在內(nèi)網(wǎng)中向其它聯(lián)網(wǎng)設(shè)備進(jìn)行橫向移動(dòng),以竊取更多敏感信息和數(shù)據(jù)。
被美國中央情報(bào)局(CIA)控制的目標(biāo)計(jì)算機(jī),會(huì)被進(jìn)行24小時(shí)的實(shí)時(shí)監(jiān)控,受害者的所有鍵盤擊鍵都會(huì)被記錄,剪切板復(fù)制粘貼信息會(huì)被竊取,USB設(shè)備(主要以移動(dòng)硬盤、U盤等)的插入狀態(tài)也會(huì)被實(shí)時(shí)監(jiān)控,一旦有USB設(shè)備接入,受害者USB設(shè)備內(nèi)的私有文件都會(huì)被自動(dòng)竊取。條件允許時(shí),用戶終端上的攝像頭、麥克風(fēng)和GPS定位設(shè)備都會(huì)被遠(yuǎn)程控制和訪問。
4.小結(jié)
美國操縱的網(wǎng)絡(luò)霸權(quán)發(fā)端于網(wǎng)絡(luò)空間,籠罩世界,波及全球,而作為美國三大情報(bào)搜集機(jī)構(gòu)之一,美國中央情報(bào)局(CIA)針對(duì)全球發(fā)起的網(wǎng)絡(luò)攻擊行為早已呈現(xiàn)出自動(dòng)化、體系化和智能化的特征。僅僅在《維基解密》網(wǎng)站中泄露出來的8716份文件中,就包含了美國情治部門諸多重要黑客工具和網(wǎng)絡(luò)攻擊武器,表明美國已經(jīng)打造了全球最大的網(wǎng)絡(luò)武器庫。
通過實(shí)證分析,我們發(fā)現(xiàn)其網(wǎng)絡(luò)武器使用了極其嚴(yán)格的間諜技術(shù)規(guī)范,各種攻擊手法前后呼應(yīng)、環(huán)環(huán)相扣,現(xiàn)已覆蓋全球幾乎所有互聯(lián)網(wǎng)和物聯(lián)網(wǎng)資產(chǎn),可以隨時(shí)隨地控制別國網(wǎng)絡(luò),盜取別國重要、敏感數(shù)據(jù),而這無疑需要大量的財(cái)力、技術(shù)和人力資源支撐,美國式的網(wǎng)絡(luò)霸權(quán)可見一斑,“黑客帝國”實(shí)至名歸。
本系列報(bào)告嘗試披露美國中央情報(bào)局(CIA)長期針對(duì)中國境內(nèi)網(wǎng)絡(luò)目標(biāo)進(jìn)行攻擊竊密的各類活動(dòng),初步探索這些網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密活動(dòng)。
針對(duì)美國中央情報(bào)局(CIA)對(duì)我國發(fā)起的高度體系化、智能化、隱蔽化的網(wǎng)絡(luò)攻擊,境內(nèi)政府機(jī)構(gòu)、科研院校、工業(yè)企業(yè)和商業(yè)機(jī)構(gòu)如何快速“看見”并第一時(shí)間進(jìn)行“處置”尤為重要。為有效應(yīng)對(duì)迫在眉睫的網(wǎng)絡(luò)和現(xiàn)實(shí)威脅,我們?cè)诓捎米灾骺煽貒a(chǎn)化設(shè)備的同時(shí),應(yīng)盡快組織開展APT攻擊的自檢自查工作,并逐步建立起長效的防御體系,實(shí)現(xiàn)全面系統(tǒng)化防治,抵御高級(jí)威脅攻擊。
責(zé)任編輯:張薇