披露美CIA網絡滲透中國關鍵部門長達11年,360:將持續跟蹤

近日，奇虎 360 在其核心安全技術博客更新了報告，披露美國中央情報局（CIA）攻擊組織（APT-C-39）對中國航空航天、科研機構、石油行業等關鍵領域進行長達 11 年的網絡滲透攻擊。360 安全衛士官微稱，「這不僅是全球首度揭秘，更是全球首度實錘」。

360 稱，CIA 的目標是中國的航空和能源行業、科研組織、網際網路公司和政府機構。另外 360 還提到，CIA 所攻擊的航空信息技術服務，不僅僅是針對國內航空航天領域，同時還覆蓋百家海外及地區的商營航空公司。

CIA 目前尚未就此發表評論。

圖 | 報告截圖（來源：360）

今年 2 月初，《華盛頓郵報》報導稱 CIA 從上世紀五十年代開始就布局收購併完全控制了瑞士加密設備廠商 Crypto AG，在長達七十年的歷史中，該公司售往全球一百多個國家的加密設備都被 CIA 植入了後門程序，使得這期間 CIA 都可以解密這些國家的相關加密通訊和情報。

儘管從事著國家級的監測和解密行動，但美國方面卻多次宣稱遭到 「中國黑客」 攻擊，只不過從未拿出過硬的證據。事實上，中國國家計算機網絡應急技術處理協調中心 2019 年 6 月發布的《2018 年我國網際網路網絡安全態勢綜述》數據顯示，來自美國的網絡攻擊數量最多，且呈愈演愈烈之勢。

有意思的是，此前一直是美國公司狀告中國，中國公司很少對國外黑客組織採取同樣的舉動。Forbes 線上發表文章評論說：對北京來說，美國指控中國公民和巨頭公司從事間諜活動和竊取智慧財產權的行為是單方面的。這（360 披露 CIA）可能是嘗試平衡天平的開始。

此前，360 團隊會定期推送網絡安全相關報告，報告一般都會溯源到具體單位和組織，甚至是個人攻擊者。例如，該團隊曾披露過印度和哈薩克斯坦的 APT 報告。

APT （ Advanced Persistent Threat）是一種黑客攻擊手段，主要的特點就是高級和持續，攻擊手段很強，攻擊對象一般是國家政府單位、政企高管、國家或者軍事機密等；攻擊時間極長，通常以年為單位，長期潛伏。中國是目前主要的受害國之一，境外被發現的 APT 間諜組織有三十多個。

（圖源：pixabay）

360 安全專家告訴 DeepTech，「360 威脅情報中心長期追蹤全球的 APT 組織，此次公開的 CIA 的 APT 組織是我們一直就在監測和捕獲的。但是由於攻擊的目標多，涉及到的數量大，我們花費了大量的時間來進行整理、分析和溯源。在近期，我們又獲取到了一些可以將相關網絡攻擊溯源定性到 CIA 的關鍵性強證據，因此我們決定把相關確鑿的證據公開。」

360 的報告稱，它是通過將發現的惡意軟體樣本與維基解密 (WikiLeaks) 2017 年公布的一批中央情報局(CIA) 數字間諜工具進行對比，發現了這起間諜活動。該團隊根據來自 CIA 前僱員約書亞 · 亞當 · 舒爾 (Joshua Adam Schulte) 披露在維基解密的文件，通過 360 安全大腦進行信息分析，找到 「五大證據」，論證一個涉美 APT 組織「APT-C-39」使用的網絡武器和 CIA 核心武器「 Vault 7(穹窿 7)」 相似，最終認為一個涉美 APT 組織隸屬於 CIA。

簡單來說，其所謂 「實錘」，即 360 安全大腦對比了「 Vault 7(穹窿 7)」 和約書亞的公開材料，包括相關的樣本代碼、行為指紋等信息推理而來。

圖 | 360 證據截圖（來源：360 微信公眾號「國際安全智庫」）

目前，該報告中提到的數據證據有兩個，一個是APT-C-39組織歷年對我國境內目標攻擊使用的版本、攻擊時間和其本身捕獲的樣本數量進行的統計歸類，另一個是 APT-C-39 組織的編譯活動時間表。

報告中列出的攻擊工具，比如 Fluxwire、Grasshopper 和 WISTFULTOLL，此類工具可以在維基解密中找得到，此類規範化的攻擊組織和活動都具備規律性特徵。要區分 APT-C-39 ，這需要更多的數據來證實。

其他證明 APT-C-39 從屬 CIA 的數據資料在文中並沒有透露。DeepTech 詢問 360 是如何捕獲航班攻擊信息的，360 暫未進一步公開披露。

上述 360 安全專家回應，「我們發現了 APT-C-39 很多攻擊武器，為了證明和美國 CIA 相關，我們舉了一個 CIA 的專屬武器的例子而已。」

Forbes 文章評論說，從公開資源和已知的行動來做推理這是有趣的，但這無法成為歸因依據。

紐約對外關係委員會研究中國和網絡安全問題的亞當 · 塞加爾（Adam Segal）在回應路透社採訪時表示，360 選擇在這個時機發布報告可能與之前的一起起訴有關，上個月美國信用報告機構 Equifax 遭遇了大規模網絡入侵，四名中國人被起訴。

「這對他們來說是很好的公共關係」，他說，通過披露 CIA 的行動可能是向華盛頓傳遞信息的一種方式，同時也能提升 360 的聲譽。

360 對此沒有發表評論。但回應 DeepTech 稱，接下來還將利用其在海量安全大數據、情報、專家上的優勢，專注於 APT 攻擊、0day 漏洞等高級威脅攻擊方面。

在 360 報告剛出後不久，也就是在 3 月 4 日舉行的中國外交部例行記者會上發言人趙立堅在回應記者關於360此次報告的提問時表示，事實證明，美國才是全球最大的網絡攻擊者，是名副其實的「黑客帝國」。美方卻賊喊追賊，時時處處把自己裝扮成網絡攻擊的受害者，充分暴露美方在網絡安全問題上的虛偽性和雙重標準。中國一直是美方網絡竊密和攻擊的嚴重受害者，中方就此多次向美方提出嚴正交涉。我們再次強烈敦促美方作出清楚解釋，立即停止此類活動，還中國和世界一個和平、安全、開放、合作的網絡空間。

-End-

參考：

http://blogs.360.cn/post/APT-C-39_CIA_EN.html

https://www.reuters.com/article/us-china-usa-cia/chinese-cybersecurity-company-accuses-cia-of-11-year-long-hacking-campaign-idUSKBN20Q2SI

https://www.forbes.com/sites/zakdoffman/2020/03/03/new-chinese-cyber-report-just-accused-cia-of-11-year-attack-this-is-whats-behind-the-report/#7ac10c3457e6