披露美國中央情報局CIA攻擊組織（APT-C-39）對中國關鍵領域長達十一年的網絡滲透攻擊

記載歷史時刻，全球首家實錘！涉美CIA攻擊組織對我國發起網絡攻擊。

​ 全球首家實錘
360安全大腦捕獲了美國中央情報局CIA攻擊組織（APT-C-39）對我國進行的長達十一年的網絡攻擊滲透。在此期間，我國航空航天、科研機構、石油行業、大型互聯網公司以及政府機構等多個單位均遭到不一樣程度的攻擊。
不但如此，360安全大腦經過關聯相關情報，還定位到負責從事研發和製做相關網絡武器的CIA前僱員：約書亞·亞當·舒爾特(Joshua Adam Schulte)。在該組織攻擊我國目標期間，他在CIA的祕密行動處(NCS)擔任科技情報主管職位，直接參與研發了針對我國攻擊的網絡武器：Vault7（穹窿7）。這部分相關線索，更進一步地將360安全大腦發現的這一APT組織的攻擊來源，鎖定爲美國中央情報局。

美國中央情報局（Central Intelligence Agency，簡稱CIA），一個能夠比美國國家安全局（NSA）更爲世人熟知的名字，它是美國聯邦政府主要情報蒐集機構之一，下設情報處(DI)、祕密行動處 (NCS) 、科技處(DS&T)、支援處(DS)四大部門，總部位於美國弗吉尼亞州的蘭利。

其主要業務包括：
收集外國政府、公司和我的的信息；
分析其餘美國情報機構收集的信息以及情報；
提供國家安全情報評估給美國高級決策者；
在美國總統要求下執行或監督祕密活動等。

CIA核心網絡武器「Vault7」成重要突破口，360安全大腦全球首家捕獲涉美攻擊組織APT-C-39

時間追溯到2017年，維基解密接受了來自約書亞的「拷貝情報」，向全球披露了8716份來自美國中央情報局CIA網絡情報中心的文件，其中包含涉密文件156份，涵蓋了CIA黑客部隊的攻擊手法、目標、工具的技術規範和要求。而此次的公佈中，其中包含了核心武器文件——「Vault7（穹窿7）」。

360安全大腦經過對泄漏的「Vault7（穹窿7）」網絡武器資料的研究，並對其深刻分析和溯源，於全球首次發現與其關聯的一系列針對我國航空航天、科研機構、石油行業、大型互聯網公司以及政府機構等長達十一年的定向攻擊活動。

而這些攻擊活動最先能夠追溯到2008年（從2008年9月一直持續到2019年6月左右），並主要集中在北京、廣東、浙江等省份。

而上述這些定向攻擊活動都歸結於一個鮮少被外界曝光的涉美APT組織——APT-C-39（360安全大腦將其單獨編號）。

關於APT-C-39組織其攻擊實力如何，有多大的安全隱患？這裏以航空航天機構爲例說明。

因涉及國家安全領域，因此咱們只披露360安全大腦所掌握情報數據的部分細節：其中CIA在針對我國航空航天與科研機構的攻擊中，咱們發現：主要是圍繞這些機構的系統開發人員來進行定向打擊。

而這些開發人員主要從事的是：航空信息技術有關服務，如航班控制系統服務、貨運信息服務、結算分銷服務、乘客信息服務等。

(航空信息技術有關服務：指爲國內與國際商營航空公司提供航班控制系統服務，乘客信息服務，機場旅客處理系統服務及相關數據、延伸信息技術服務。)

值得注意的是，CIA所攻擊的航空信息技術服務，不只僅是針對國內航空航天領域，同時還覆蓋百家海外及地區的商營航空公司，CIA此舉的目的到底爲什麼？

其實，對於CIA來講，爲獲取相似的情報而進行長期、精心佈局和大量投入是很常見的操做。

就在今年2月初，《華盛頓郵報》等媒體的聯合調查報道指出，CIA從上世紀五十年代開始就佈局收購併徹底控制了瑞士加密設備廠商Crypto AG，在長達七十年的歷史中，該公司售往全球一百多個國家的加密設備都被CIA植入了後門程序，使得這期間CIA均可以解密這些國家的相關加密通信和情報。

至此，咱們能夠推測：CIA在過去長達十一年的滲透攻擊裏，經過攻破或許早已掌握到了我乃至國際航空的精密信息，甚至不排除CIA已實時追蹤定位全球的航班實時動態、飛機飛行軌跡、乘客信息、貿易貨運等相關情報。

如猜想屬實，那CIA掌控到如此機密的重要情報，將會作出哪些意想不到的事情呢？獲取關鍵人物的行程信息，進而政治威脅，或軍事打壓......

這並非危言聳聽，2020年1月初，伊朗一代「軍神」卡西姆·蘇萊曼尼被美國總統特朗普輕易「獵殺」，其中掌握到蘇萊曼尼航班和行程的精確信息就是暗殺成功的最關鍵核心，而這些信息正是以CIA爲表明的美國情報機構經過包括網絡攻擊在內的種種手段獲取的。這一事件，是美國情報機構在現實世界做用的一個典型案例。

360安全大腦精準鎖定CIA"武器"研發關鍵人物，約書亞·亞當·舒爾特(Joshua Adam Schulte)

提到CIA關鍵網絡武器——Vault7（穹窿7），就不得不介紹一下這位CIA前僱員：約書亞·亞當·舒爾特(Joshua Adam Schulte)。

約書亞·亞當·舒爾特(Joshua Adam Schulte，如下簡稱約書亞)，1988年9月出生於美國德克薩斯州拉伯克，現年31歲，畢業於德薩斯大學斯汀分校，曾做爲實習生在美國國家安全局（NSA）工做過一段時間，於2010年加入美國中央情報局CIA，在其祕密行動處（NCS）擔任科技情報主管。

(國家祕密行動處(NCS)充當中央情報局祕密部門，是協調、去除衝突以及評估美國情報界祕密行動的國家主管部門。)

精通網絡武器設計研發專業技術，又懂情報運做，約書亞成爲CIA諸多重要黑客工具和網絡空間武器主要參與設計研發者核心骨幹之一。這其中就包含「Vault7（穹窿7）」 CIA這一關鍵網絡武器。

2016年，約書亞利用其在覈心機房的管理員權限和設置的後門，拷走了「Vault7（穹窿7）」 並「給到」維基解密組織，該組織於2017年將資料公佈在其官方網站上。

2018年，約書亞因泄露行爲被美國司法部逮捕並起訴，2020年2月4日，在聯邦法庭的公開聽證會上，檢方公訴人認定，約書亞做爲CIA網絡武器的核心研發人員和擁有其內部武器庫最高管理員權限的負責人，將網絡武器交由維基解密公開，犯有「在中央情報局歷史上最大的一次機密國防情報泄露事件」。

以上約書亞的我的經歷和泄露的信息，爲咱們提供了重要線索，而其研發並由美國檢方公訴人證明的核心網絡武器「Vault7（穹窿7）」，成爲實錘APT-C-39隸屬於美國中央情報局CIA的重要突破口。

五大關聯證據實錘，APT-C-39組織隸屬於美國中央情報局

以「Vault7（穹窿7）」 爲核心關聯點，再透過約書亞以上一系列經歷與行爲，爲咱們定位APT-C-39組織的歸屬提供了重要線索信息。此外，再綜合考慮該APT-C-39網絡武器使用的獨特性和時間週期，360安全大腦最終斷定：該組織的攻擊行爲，正是由約書亞所在的CIA主導的國家級黑客組織發起。具體關聯證據以下：

證據一：APT-C-39組織使用了大量CIA"Vault7(穹窿7)"項目中的專屬網絡武器

研究發現，APT-C-39組織屢次使用了Fluxwire，Grasshopper等CIA專屬網絡武器針對我國目標實施網絡攻擊。

經過對比相關的樣本代碼、行爲指紋等信息，能夠肯定該組織使用的網絡武器即爲「Vault7（穹窿7）」 項目中所描述的網絡攻擊武器。

證據二：APT-C-39組織大部分樣本的技術細節與「Vault7（穹窿7）」文檔中描敘的技術細節一致

360安全大腦分析發現，大部分樣本的技術細節與「Vault7（穹窿7）」 文檔中描敘的技術細節一致，如控制命令、編譯pdb路徑、加密方案等。

這些是規範化的攻擊組織常會出現的規律性特徵，也是分類它們的方法之一。因此，肯定該組織隸屬於CIA主導的國家級黑客組織。

證據三：早在「Vault7（穹窿7）」網絡武器被維基解密公開曝光前，APT-C-39組織就已經針對中國目標使用了相關網絡武器

2010年初，APT-C-39組織已對我國境內的網路攻擊活動中，使用了「Vault7（穹窿7）」網絡武器中的Fluxwire系列後門。這遠遠早於2017年維基百科對「Vault7（穹窿7）」網絡武器的曝光。這也進一步印證了其網絡武器的來源。

在經過深刻分析解密了「Vault7（穹窿7）」 網絡武器中Fluxwire後門中的版本信息後，360安全大腦將APT-C-39組織歷年對我國境內目標攻擊使用的版本、攻擊時間和其自己捕獲的樣本數量進行統計歸類，以下表：

從表中能夠看出，從2010年開始，APT-C-39組織就一直在不斷升級最新的網絡武器，對我國境內目標頻繁發起網絡攻擊。

證據四：APT-C-39組織使用的部分攻擊武器同NSA存在關聯

WISTFULTOLL是2014年 NSA泄露文檔中的一款攻擊插件。

在2011年針對我國某大型互聯網公司的一次攻擊中，APT-C-39組織使用了WISTFULTOOL插件對目標進行攻擊。

與此同時，在維基解密泄露的CIA機密文檔中，證明了NSA會協助CIA研發網絡武器，這也從側面證明了APT-C-39組織同美國情報機構的關聯。

證據五：APT-C-39組織的武器研發時間規律定位在美國時區

根據該組織的攻擊樣本編譯時間統計，樣本的開發編譯時間符合北美洲的做息時間。

惡意軟件的編譯時間是對其進行規律研究、統計的一個經常使用方法，經過惡意程序的編譯時間的研究，咱們能夠探知其做者的工做與做息規律，從而獲知其大概所在的時區位置。

下表就是APT-C-39組織的編譯活動時間表（時間咱們以東8時區爲基準），能夠看出該組織活動接近於美國東部時區的做息時間，符合CIA的定位。（位於美國弗吉尼亞州，使用美國東部時間。）

綜合上述技術分析和數字證據，咱們徹底有理由相信：APT-C-39組織隸屬於美國，是由美國情報機構參與發起的攻擊行爲。

尤爲是在調查分析過程當中，360安全大腦資料已顯示，該組織所使用的網絡武器和CIA 「Vault7（穹窿7）」 項目中所描述網絡武器幾乎徹底吻合。而CIA 「Vault7（穹窿7）」 武器從側面顯示美國打造了全球最大網絡武器庫，而這不只給全球網絡安全帶來了嚴重威脅，更是展現出該APT組織高超的技術能力和專業化水準。

戰爭的形式不止於兵戎相見這一種。網絡空間早已成爲大國較量的另外一重要戰場。而若與美國中央情報局CIA博弈，道阻且長！

最後

關於360安全大腦—APT威脅情報中心：
從2014年開始，360安全大腦經過整合海量安全大數據，實現了APT威脅情報的快速關聯溯源，獨家發現並追蹤了四十個APT組織及黑客團伙，獨立發現了多起境外APT組織使用「在野」0day漏洞針對我國境內目標發起的APT攻擊，大大拓寬了國內關於APT攻擊的研究視野和研究深度，填補了國內APT研究的空白。咱們發現境外針對中國境內目標的攻擊最先能夠追溯到2007年，至少影響了中國境內超過萬臺電腦，攻擊範圍遍及國內31個省級行政區。咱們發現的APT攻擊和部分國外安全廠商機構發現的APT攻擊，均可以直接證實中國是APT攻擊中的主要受害國。

本文爲國際安全智庫做品 （微信公衆號：guoji-anquanzhiku）
如需轉載，請標註文章來源於：國際安全智庫