速来报名!AICon北京站鸿蒙专场~ 了解详情
写点什么

中国关键领域遭受 11 年的网络攻击,攻击者竟为美国 CIA

  • 2020-03-04
  • 本文字数:1850 字

    阅读完需:约 6 分钟

中国关键领域遭受11年的网络攻击,攻击者竟为美国CIA


3 月 2 日,360 安全大脑披露一则重磅消息美国中央情报局 CIA 攻击组织对中国进行长达十一年的网络攻击渗透,包括航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度攻击

发现突破口:Vault7

早在 2017 年,维基解密接受一名CIA前雇员约书亚的“拷贝情报”,向全球披露 8716 份来自美国中央情报局 CIA 网络情报中心的文件,其中,包含核心武器文件——“Vault7(穹窿 7)”。


360 安全大脑表示,“通过对泄漏的’Vault7(穹窿7)'网络武器资料的研究,并对其深入分析和溯源,于全球首次发现与其关联的一系列针对中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等长达十一年的定向攻击活动。”


据悉,这些攻击活动从 2008 年 9 月开始,一直持续到 2019 年 6 月左右,并且,主要集中在北京、广东、浙江等省份。而这些定向攻击活动都归结于一个涉美 APT 组织——APT-C-39。



以航空航天为例,“其中 CIA 在针对我国航空航天与科研机构的攻击中,我们发现:主要是围绕这些机构的系统开发人员来进行定向打击。而这些开发人员主要从事的是:航空信息技术有关服务,如航班控制系统服务、货运信息服务、结算分销服务、乘客信息服务等。”360 核心安全技术博客上写道。


并且,CIA 所攻击的航空信息技术服务,不仅仅是针对国内航空航天领域,同时还覆盖百家海外及地区的商营航空公司。

关键人物:CIA 前雇员约书亚

据悉,约书亚曾作为实习生在美国国家安全局(NSA)工作过一段时间,于 2010 年加入美国中央情报局 CIA,在其秘密行动处(NCS)担任科技情报主管。


360 安全大脑称,“约书亚精通网络武器设计研发专业技术,又懂情报运作。”并且,他是“Vault7(穹窿 7)”网络武器的设计研发者之一。



2016 年,约书亚利用其在核心机房的管理员权限和设置的后门,拷走了“Vault7(穹窿 7)” 并“给到”维基解密组织,该组织于 2017 年将资料公布在其官方网站上。

五大关联证据

360 安全大脑判定:APT-C-39 组织的攻击行为,正是由约书亚所在的 CIA 主导的国家级黑客组织发起。


有五大证据:


1.APT-C-39 组织使用大量 CIA"Vault7(穹窿 7)"项目中的专属网络武器


360 安全大脑称,“研究发现,APT-C-39 组织多次使用了 Fluxwire,Grasshopper 等 CIA 专属网络武器针对我国目标实施网络攻击。通过对比相关的样本代码、行为指纹等信息,可以确定该组织使用的网络武器即为“Vault7(穹窿 7)” 项目中所描述的网络攻击武器。”


2.APT-C-39 组织大部分样本的技术细节与“Vault7(穹窿 7)”文档中描叙的技术细节一致


360 安全大脑分析发现,大部分样本的技术细节与“Vault7(穹窿 7)” 文档中描叙的技术细节一致,如控制命令、编译 pdb 路径、加密方案等。


“这些是规范化的攻击组织常会出现的规律性特征,也是分类它们的方法之一。所以,确定该组织隶属于 CIA 主导的国家级黑客组织。”360 核心安全技术博客上写道。


3.APT-C-39 组织很早已经针对中国目标使用相关网络武器


2010 年初,APT-C-39 组织已对中国境内的网路攻击活动中,使用了“Vault7(穹窿 7)”网络武器中的 Fluxwire 系列后门。这远远早于 2017 年维基百科对“Vault7(穹窿 7)”网络武器的曝光。这也进一步印证了其网络武器的来源。



4.APT-C-39 组织使用的部分攻击武器同 NSA 存在关联


在 2011 年针对中国某大型互联网公司的一次攻击中,APT-C-39 组织使用了 WISTFULTOLL 插件对目标进行攻击。WISTFULTOLL 则是 2014 年 NSA 泄露文档中的一款攻击插件。


与此同时,在维基解密泄露的 CIA 机密文档中,证实了 NSA 会协助 CIA 研发网络武器,这也从侧面证实了 APT-C-39 组织同美国情报机构的关联。


5.APT-C-39 组织的武器研发时间规律定位在美国时区


根据该组织的攻击样本编译时间统计,样本的开发编译时间符合北美洲的作息时间。360 安全大脑称,“该组织活动接近于美国东部时区的作息时间,符合 CIA 的定位。”



最后,360 安全大脑表示,“综合上述技术分析和数字证据,我们完全有理由相信:APT-C-39 组织隶属于美国,是由美国情报机构参与发起的攻击行为。尤其是在调查分析过程中,360 安全大脑资料已显示,该组织所使用的网络武器和 CIA ‘Vault7(穹窿 7)’项目中所描述网络武器几乎完全吻合。而 CIA ‘Vault7(穹窿 7)’ 武器从侧面显示美国打造了全球最大网络武器库,而这不仅给全球网络安全带来了严重威胁,更是展示出该 APT 组织高超的技术能力和专业化水准。”


参考资料:


The CIA Hacking Group (APT-C-39) Conducts Cyber-Espionage Operation on China’s Critical Industries for 11 Years


2020-03-04 07:305971
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 359.1 次阅读, 收获喜欢 1800 次。

关注

评论

发布
暂无评论
发现更多内容

“开源之夏”活动火热报名中,丰厚奖金等你来拿!

云智慧AIOps社区

开源 活动 开源软件

如何写出有价值的竞品分析报告?

基调听云

竞品分析 基调听云

观测云入驻阿里云计算巢,为用户构建稳定安全的云上连接

阿里云弹性计算

深入理解JMM-CPU多核硬件架构剖析及Java内存模型

janyxe

JVM cpu Java内存模型

人为什么看不到真相?

源字节1号

网站开发

云原生虚拟化:基于 Kubevirt 构建边缘计算实例

火山引擎边缘云

容器 k8s 边缘计算 Kubevirt

真正的量子计算机触手可及!英特尔宣布规模化生产硅量子比特

科技新消息

区块链招聘会完美收官,行业大咖教你如何 Get Web3高薪职位

TinTinLand

区块链

java培训redis的集群策略

@零度

redis JAVA开发

vue中使用element-resize-detector

CRMEB

基于 TiDB 的 Apache APISIX 高可用配置中心的最佳实践

API7.ai 技术团队

微服务网关 api 网关 APISIX TiDB

开发者友好型公链Neo | 如何连接 Web2 开发者到 Web3 世界

TinTinLand

区块链

APISIX jwt-auth 插件存在错误响应中泄露信息的风险公告(CVE-2022-29266)

API7.ai 技术团队

api 网关 APISIX CVE

大数据培训Flink面试宝典

@零度

flink 大数据开发

Talent Plan 学习营初体验:交流+坚持 开源协作课程学习的不二路径

PingCAP

从mybatis-plus-generator看如何编写代码生成器

Rubble

4月日更 4月月更

web前端培训React 泛型组件

@零度

前端开发 React

NFT、GameFi、SocialFi、云存储,DFINITY 生态上最热赛道详解

TinTinLand

区块链

云融科技加入龙蜥社区,助力金融行业数字化转型

OpenAnolis小助手

数字化转型 龙蜥社区 CLA 云融科技

Docker Compose 部署Kibana和 Elasticsearch本地集群 8.1.3

Geek漫游指南

elasticsearch

Kafka设计的基本原理

平凡人生

Gartner调查研究:中国的数字化发展较之世界水平如何?高性能计算能否占据主导地位?

GPU算力

GPU服务器 GPU算力

Ampere Computing释放观测云“芯”算力,强强联合推动可观测性发展

观测云

可观测性 可观测

深度报告:异构时代,芯片需集成多个模板

Finovy Cloud

人工智能 云计算 gpu GPU服务器

nginx proxy_next_upstream 与openresty balancer.set_more_tries的使用

飞翔

nginx openresty

Dubbo 编程之夏报名启动了

阿里巴巴云原生

【课程汇总】Hello HarmonyOS系列课程,手把手带你零基础入门

HarmonyOS开发者

HarmonyOS ArKUI 3.0

在互联网+的背景下,企业如何创新客户服务?

小炮

客户服务

CrashSight 接入上报常见问题及解决方案

WeTest

量化系统开发,量化交易系统APP搭建

Geek_56201b

量化交易系统开发 量化交易源码 量化APP搭建

友好型公链Neo,助力开发者轻松掌握区块链智能合约

TinTinLand

区块链

中国关键领域遭受11年的网络攻击,攻击者竟为美国CIA_安全_万佳_InfoQ精选文章