持久的網(wǎng)絡(luò)戰(zhàn)已經(jīng)打響，這是技術(shù)實力的較量也是“人”的較量。

日前，360公司分析論證了一起美國中央情報局攻擊組織(APT-C-39)對我國關(guān)鍵領(lǐng)域進(jìn)行長達(dá)11年滲透的網(wǎng)絡(luò)攻擊事件。360公司通過一系列證據(jù)，確認(rèn)他們發(fā)現(xiàn)的APT-C-39網(wǎng)絡(luò)攻擊確系來自美國中央情報局CIA。

一方面，APT-C-39組織使用了大量CIA"Vault7(穹窿7)"項目中的專屬網(wǎng)絡(luò)武器，且該組織大部分樣本的技術(shù)細(xì)節(jié)與“Vault7（穹窿7）”文檔中描敘的技術(shù)細(xì)節(jié)一致。

另一方面，除了APT-C-39組織的武器研發(fā)時間規(guī)律定位在美國時區(qū)外，360公司在報告中也表示早在“Vault7（穹窿7）”網(wǎng)絡(luò)武器被維基解密公開曝光前，APT-C-39組織就已經(jīng)針對中國目標(biāo)使用了相關(guān)網(wǎng)絡(luò)武器，這些武器與美國國家安全局存在關(guān)聯(lián)。

追蹤分析發(fā)現(xiàn)，中國航空航天、科研機構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機構(gòu)等我國關(guān)鍵領(lǐng)域相關(guān)單位均遭到不同程度的攻擊。

以航空航天機構(gòu)為例，根據(jù)360公司掌握的情報細(xì)節(jié)，CIA在針對我國航空航天與科研機構(gòu)的攻擊中，主要圍繞這些機構(gòu)的系統(tǒng)開發(fā)人員來進(jìn)行定向打擊。而這些開發(fā)人員主要從事的是：航空信息技術(shù)有關(guān)服務(wù)，如航班控制系統(tǒng)服務(wù)、貨運信息服務(wù)、結(jié)算分銷服務(wù)、乘客信息服務(wù)等。

360公司推測，CIA在過去長達(dá)十一年的滲透攻擊里，通過攻破或許早已掌握到了我乃至國際航空的精密信息，甚至不排除CIA已實時追蹤定位全球的航班實時動態(tài)、飛機飛行軌跡、乘客信息、貿(mào)易貨運等相關(guān)情報。

2年前已發(fā)現(xiàn)，相關(guān)部門已采取措施

360安全專家告訴鈦媒體，APT高級威脅其實是一個持續(xù)時間很久，長期隱藏在網(wǎng)絡(luò)里的攻擊形式，時間跨度和隱蔽性很高，這也是為什么美情局的這次攻擊會潛伏長達(dá)11年的原因。

實際上，早在2年前，360安全大腦就發(fā)現(xiàn)了APT-C-39（360安全大腦將其單獨編號），因為沒有掌握確定的攻擊證據(jù)，所以一直沒有以報告的形式向公眾公開。

“我們在發(fā)現(xiàn)攻擊后要先確定這是來自哪個國家哪個組織的攻擊，要搜集整理線索，然后將他們串聯(lián)起來，才能生成完整的證據(jù)，這是一個持續(xù)的過程。并不會發(fā)現(xiàn)之后直接向公眾公布。”專家說道。

雖然發(fā)現(xiàn)時沒有確鑿的指向性證據(jù)，但360也及時就此攻擊進(jìn)行了針對性上報，并協(xié)助相關(guān)部門采取了防范措施。

從發(fā)現(xiàn)被攻擊到證據(jù)確鑿，網(wǎng)絡(luò)戰(zhàn)的雙方其實是一個攻防的過程。“舉個例子，比如說我們公布了相關(guān)的網(wǎng)絡(luò)戰(zhàn)，他知道被發(fā)現(xiàn)了，他肯定是要進(jìn)行升級換代。網(wǎng)絡(luò)武器是不斷升級的，我們追蹤會到APT-C-39內(nèi)部的版本號，比如2011的版本，我們發(fā)現(xiàn)這個版本已經(jīng)有一些對抗網(wǎng)絡(luò)安全攻擊的防御檢測的能力。”

CIA前核心成員成實錘關(guān)鍵

“人”的因素在數(shù)據(jù)安全、信息安全領(lǐng)域正在發(fā)揮越來越重要的作用，甚至是威脅。

360安全專家表示，2年多來，360安全大腦在不斷去發(fā)現(xiàn)新的有力線索，甚至發(fā)現(xiàn)了能夠證明APT-C-39確實是來自美國中央情報局CIA攻擊組織（APT-C-39）的關(guān)鍵人物——約書亞·亞當(dāng)·舒爾特(Joshua Adam Schulte，以下建成約書亞)。APT-C-39的“實錘”的關(guān)鍵證據(jù)也正是由于約書亞在盜走了CIA核心網(wǎng)絡(luò)武器的情況下，泄漏了APT-C-39的更多細(xì)節(jié)。

約書亞是CIA諸多重要黑客工具和網(wǎng)絡(luò)空間武器主要參與設(shè)計研發(fā)者核心骨干之一，“Vault7（穹窿7）” CIA這一關(guān)鍵網(wǎng)絡(luò)武器恰是出自約書亞之手。

但2016年，約書亞與CIA內(nèi)部發(fā)生矛盾，于是利用其在核心機房的管理員權(quán)限和設(shè)置的后門，拷走了“Vault7（穹窿7）” 并“給到”維基解密組織，2017年約書亞盜走的這些機密資料在維基解密官方網(wǎng)站公開。

隨后的一段時間，約書亞因泄露行為被美國司法部逮捕并起訴，2020年2月4日，也就是一個月前，在聯(lián)邦法庭的公開聽證會上，檢方公訴人認(rèn)定，約書亞作為CIA網(wǎng)絡(luò)武器的核心研發(fā)人員和擁有其內(nèi)部武器庫最高管理員權(quán)限的負(fù)責(zé)人，將網(wǎng)絡(luò)武器交由維基解密公開，犯有“在中央情報局歷史上最大的一次機密國防情報泄露事件”。

也正是這次聽證會庭審記錄的關(guān)鍵細(xì)節(jié)給360公司提供了APT-C-39攻擊的重要補充證據(jù)。

這讓360安全團隊再次確定了“APT-C-39系為中央情報局CIA攻擊組織”的論斷，“威脅情報里面有一個概念叫‘開源情報’，這種情報其實是公開信息，考驗的是我方的分析和收集能力。”

對于360安全專家也感慨：“網(wǎng)絡(luò)安全的攻防對抗最核心的還是人跟人之間的對抗，尤其越高級的攻擊越是這樣。網(wǎng)絡(luò)戰(zhàn)雖然是持續(xù)性的，但人總會有‘漏洞’，會重復(fù)自己的一些習(xí)慣，你今天不出問題，明天不出問題，總有一天會出問題，比如APT-C-39一開始發(fā)起攻擊的時候，它可能不知道，會出現(xiàn)一個人，突然就把情報偷出來，就完蛋了。”

外交部回應(yīng)：敦促美方作出清楚解釋

美國中央情報局攻擊組織(APT-C-39)對我國關(guān)鍵領(lǐng)域長達(dá)11年的攻擊滲透，已經(jīng)受到我國相關(guān)部門的關(guān)注。

據(jù)環(huán)球時報報道，在3月4日舉行的中國外交部例行記者會上，發(fā)言人趙立堅就此事做出了回應(yīng)：

長期以來，美國政府有關(guān)機構(gòu)違反國際法和國際關(guān)系基本準(zhǔn)則，對外國政府、企業(yè)和個人實施大規(guī)模有組織、無差別的網(wǎng)絡(luò)竊密、監(jiān)控和攻擊，這早已是人盡皆知。從“維基解密”到“斯諾登事件”，再到近期的“瑞士加密機事件”，美方這種不道德的行徑一再暴露。360公司有關(guān)的報告是又一有力的例證。

趙立堅還表示，事實證明，美國才是全球最大的網(wǎng)絡(luò)攻擊者，是名副其實的“黑客帝國”。美方卻賊喊追賊，時時處處把自己裝扮成網(wǎng)絡(luò)攻擊的受害者，充分暴露美方在網(wǎng)絡(luò)安全問題上的虛偽性和雙重標(biāo)準(zhǔn)。中國一直是美方網(wǎng)絡(luò)竊密和攻擊的嚴(yán)重受害者，中方就此多次向美方提出嚴(yán)正交涉。

“我們再次強烈敦促美方作出清楚解釋，立即停止此類活動，還中國和世界一個和平、安全、開放、合作的網(wǎng)絡(luò)空間。”趙立堅在發(fā)布會上說道。（本文首發(fā)鈦媒體，作者/秦聰慧）

763人已贊賞 >

敬原創(chuàng)，有鈦度，得贊賞

贊賞支持

0

2

0

掃描下載App