近期,包括奇安信和360在內(nèi)的中國公司接連曝光美國對中國等國發(fā)動無差別網(wǎng)絡(luò)攻擊的完整證據(jù)鏈條。中國外交部本月也就相關(guān)報告回應(yīng)指出,美國對中國進(jìn)行了大規(guī)模、長時間、系統(tǒng)性的網(wǎng)絡(luò)攻擊,嚴(yán)重危害中國關(guān)鍵基礎(chǔ)設(shè)施安全,海量個人數(shù)據(jù)安全以及商業(yè)和技術(shù)秘密,嚴(yán)重影響了中美在網(wǎng)絡(luò)空間的互信。
3月23日,觀察者網(wǎng)再次從360公司獲取一份報告。該報告針對美國網(wǎng)絡(luò)攻擊手法之一的QUANTUM(量子)攻擊系統(tǒng),進(jìn)行應(yīng)用場景和攻擊實施過程的技術(shù)分析,并結(jié)合真實案例,再度印證美國國家安全局(NSA)針對全球互聯(lián)網(wǎng)用戶實施大規(guī)模無差別網(wǎng)絡(luò)攻擊的詳細(xì)情況。
具體來看,這份報告總結(jié)出美國政府發(fā)動網(wǎng)絡(luò)攻擊的四個特征:
首先,美國網(wǎng)絡(luò)武器攻擊已完全實現(xiàn)工程化、自動化。NSA組織的QUANTUM(量子)系統(tǒng)可能僅是冰山一角,美國或掌握著更多更高度工程化的網(wǎng)絡(luò)攻擊平臺,其自動化的“思考”速度和質(zhì)量,極大提高了美國自主作戰(zhàn)系統(tǒng)實現(xiàn)制勝目標(biāo)的優(yōu)勢,也為全球網(wǎng)絡(luò)安全帶來無窮隱憂。
第二,為實施并制勝網(wǎng)絡(luò)戰(zhàn),美國政府充分利用一切先進(jìn)技術(shù)和網(wǎng)絡(luò)資源。為了掌握網(wǎng)絡(luò)戰(zhàn)主導(dǎo)權(quán),美國將諸如QUANTUM(量子)攻擊系統(tǒng)等大量頂級技術(shù)手段、高端人才、情報力量納入作戰(zhàn)序列,由此可見,美國對發(fā)展網(wǎng)絡(luò)作戰(zhàn)力量的重視程度,并不計成本地投入資源、增加籌碼。
第三,美國的網(wǎng)絡(luò)攻擊屬于無差別攻擊,目標(biāo)是全球范圍,甚至包括美國盟友。報告分析顯示,美國針對各類電子郵箱、社交網(wǎng)絡(luò)、搜索引擎、視頻網(wǎng)站等幾乎所有互聯(lián)網(wǎng)用戶發(fā)起無差別的網(wǎng)絡(luò)攻擊,美國的網(wǎng)絡(luò)戰(zhàn)略打擊是全球性的、無節(jié)制的,在美國網(wǎng)絡(luò)攻擊的鐮刀之下,沒有哪一國能獨善其身。
第四,美國的網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略,或不僅限于網(wǎng)絡(luò)竊密。報告指出,美國已完成其網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略目標(biāo)第一步——網(wǎng)絡(luò)竊密,像斯諾登還有維基百科爆料的“棱鏡”計劃都屬于這一范疇,但不排除美國的下一步目標(biāo)野心將更大。一旦通過在對手的電腦網(wǎng)絡(luò)中安插硬件或軟件后門,實現(xiàn)關(guān)鍵目標(biāo)遠(yuǎn)程操控,包括軍事系統(tǒng)、國家公共安全領(lǐng)域的服務(wù)器、民航公路鐵路交通系統(tǒng)的主機、銀行金融系統(tǒng)的服務(wù)器等,如果美國更大的戰(zhàn)略目標(biāo)實現(xiàn),其對手將毫無談判余地。
以下是報告原文:
閱讀摘要:
“APT”(高級持續(xù)性攻擊)是一種針對性、隱蔽性、持續(xù)性極強的網(wǎng)絡(luò)攻擊行為,F(xiàn)已發(fā)現(xiàn)的絕大多數(shù)APT組織都具有國家或政府背景,相關(guān)攻擊行為通常由某個與特定國家政府關(guān)聯(lián)的實體機構(gòu)具體實施。APT攻擊的主要目標(biāo)不是普通個體,而是特定的組織機構(gòu),包括政府、**、醫(yī)療、企業(yè)、科研甚至重要信息基礎(chǔ)設(shè)施運維單位等不同類型的重要機構(gòu)。360云端安全大腦持續(xù)跟蹤世界現(xiàn)存諸多APT組織及其活動情況,率先發(fā)現(xiàn)并公開披露來自美國的世界頂尖APT組織對中國境內(nèi)目標(biāo)所發(fā)起的持續(xù)性攻擊行動,并將該組織命名為“APT-C-40”。
在對APT-C-40攻擊活動的長期跟蹤研究過程中,我們發(fā)現(xiàn)了遍布全球(包括美國多個盟友的各行各業(yè)的大量受害用戶,并實地從中國境內(nèi)部分受害者的上網(wǎng)設(shè)備中提取了該組織多種復(fù)雜而先進(jìn)的網(wǎng)絡(luò)攻擊武器程序樣本,經(jīng)過審慎而深入的技術(shù)分析,我們發(fā)現(xiàn)該組織所使用的網(wǎng)絡(luò)武器與NSA的專屬網(wǎng)絡(luò)攻擊武器完全吻合,且針對中國境內(nèi)機構(gòu)的黑客攻擊行為發(fā)生在斯諾登和“影子經(jīng)紀(jì)人”曝光事件之前。根據(jù)技術(shù)分析結(jié)果和已有數(shù)字證據(jù),我們完全有理由相信,發(fā)起上述黑客攻擊的組織隸屬于美國政府,美國國防部下屬的國家安全局(NSA)直接實施了相關(guān)黑客攻擊行為。
APT-C-40組織介紹
根據(jù)維基百科記錄,美國國家安全局(NSA)設(shè)有一個名為接入技術(shù)行動處(TAO Tailored Access Operations)的絕密行動部門,該部門早在1998年就開始在網(wǎng)上活躍,主要職責(zé)是為美國情治機構(gòu)提供針對美國本土和其他國家高級目標(biāo)的通訊監(jiān)控、情報獲取,甚至遠(yuǎn)程破壞(摧毀)行動。
2013年,安全專家Jacob Appelbaum曝光了一份長達(dá)50頁的NSA機密文檔《NSA ANT catalog》,該文檔描述了一系列名目繁雜的高端網(wǎng)絡(luò)黑客攻擊技術(shù)和項目。據(jù)該文檔內(nèi)容顯示,相關(guān)的網(wǎng)絡(luò)黑客攻擊技術(shù)和項目創(chuàng)建于2008年前后,它們可以認(rèn)為是為美國國家安全局下屬接入技術(shù)行動處(TAO)專門定制研發(fā)的先進(jìn)網(wǎng)絡(luò)攻擊武器。
2016至2017年間,“影子經(jīng)紀(jì)人”(The Shadow Broker)公開揭露了屬于NSA的大量網(wǎng)絡(luò)攻擊武器和機密辦公文檔。美國“The Intercept”網(wǎng)站結(jié)合愛德華 · 斯 諾 登(Edward Snowden,前CIA技術(shù)分析員和美國國家安全局NSA承包商雇員)揭露的美國國家安全局(NSA)內(nèi)幕情報,發(fā)布了重磅分析文章《THE NSA LEAK IS REAL, SNOWDEN DOCUMENTS CONFIRM》,確認(rèn)了斯諾登曝光的網(wǎng)絡(luò)攻擊武器確屬美國國家安全局(NSA)。
2013年至2017年間,中立網(wǎng)絡(luò)權(quán)威人士、中立新聞媒體和堅定捍衛(wèi)公民隱私權(quán)利的中立機構(gòu)相繼發(fā)布解讀分析報告,確認(rèn)網(wǎng)絡(luò)上披露的所謂“NSA網(wǎng)絡(luò)武器和機密文檔”全部屬于NSA。
從2008年開始,360云端安全大腦整合海量安全大數(shù)據(jù),獨立捕獲了大量異常復(fù)雜的網(wǎng)絡(luò)黑客攻擊程序樣本,經(jīng)過長期分析跟蹤并從多個受害單位實地取證,結(jié)合關(guān)聯(lián)全球各國發(fā)布的威脅情報,以及對斯諾登事件、“影子經(jīng)紀(jì)人”曝光事件的綜合研究,確認(rèn)這些黑客攻擊程序樣本屬于美國國家安全局(NSA),進(jìn)而證實NSA長期對我國開展了極為隱蔽的無差別黑客攻擊行動,最終將實施攻擊行動的這些帶有NSA背景的黑客組織單獨編號為APT-C-40。
據(jù)相關(guān)證據(jù)推測,泄露的一系列NSA網(wǎng)絡(luò)武器被他國特別是“五眼聯(lián)盟”國家黑客廣泛利用,造成了全球性的網(wǎng)絡(luò)安全災(zāi)難。如“永恒之藍(lán)”被“WannaCry”蠕蟲病毒利用,在2017年攻擊了中國和全球多個國家地區(qū),給各國信息網(wǎng)絡(luò)造成了嚴(yán)重危害。而APT-C-40組織則針對我國各行業(yè)龍頭企業(yè),政府、**、醫(yī)療機構(gòu)、科研機構(gòu),甚至關(guān)乎國計民生的重要信息基礎(chǔ)設(shè)施運維單位等機構(gòu)實施了長達(dá)十余年時間的秘密黑客攻擊活動,竊取了海量重要數(shù)據(jù),造成的潛在威脅難以評估。本報告將對美國國家安全局的相關(guān)黑客攻擊活動進(jìn)行分析披露。
Quantum攻擊技術(shù)簡介(量子)
被公開揭露的NSA高端網(wǎng)絡(luò)黑客攻擊武器名目繁雜數(shù)量眾多,難以通過一份技術(shù)分析報告完整呈現(xiàn)。本報告屬于360系列報告的第一篇,將聚焦APT-C-40組織針對中國境內(nèi)目標(biāo)的黑客攻擊中所使用的最具代表性的Quantum(量子)攻擊系統(tǒng)。Quantum( 量子)攻擊是 美國 國家安 全 局(NSA)針對國家 級 互聯(lián)網(wǎng)專門設(shè)計的一種先進(jìn)的網(wǎng)絡(luò)流量劫持攻擊技術(shù),主要針對國家級網(wǎng)絡(luò)通信進(jìn)行中間劫持,以實施漏洞利用、通信操控、情報竊取等一系列復(fù)雜網(wǎng)絡(luò)攻擊。據(jù)NSA官方機密文檔《Quantum Insert Diagrams》內(nèi)容顯示,Quantum(量子)攻擊可以劫持全世界任意地區(qū)任意網(wǎng)上用戶的正常網(wǎng)頁瀏覽流量,進(jìn)行0day(零日)漏洞利用攻擊并遠(yuǎn)程植入后門程序。
Quantum(量子)系統(tǒng)的應(yīng)用場景分析
Quantum(量子)攻擊系統(tǒng)均以英文單詞QUANTUM開頭命名,網(wǎng)上揭露的NSA機密文檔中,詳細(xì)描述了各QUANTUM系統(tǒng)模塊的具體代號、主要功能、應(yīng)用場景、項目狀態(tài)和相關(guān)網(wǎng)絡(luò)黑客攻擊武器啟用時間等。