中国关键领域遭受 11 年的网络攻击，攻击者竟为美国 CIA

3 月 2 日，360 安全大脑披露一则重磅消息：美国中央情报局 CIA 攻击组织对中国进行长达十一年的网络攻击渗透，包括航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度攻击。

发现突破口：Vault7

早在 2017 年，维基解密接受一名CIA前雇员约书亚的“拷贝情报”，向全球披露 8716 份来自美国中央情报局 CIA 网络情报中心的文件，其中，包含核心武器文件——“Vault7（穹窿 7）”。

360 安全大脑表示，“通过对泄漏的’Vault7（穹窿7）'网络武器资料的研究，并对其深入分析和溯源，于全球首次发现与其关联的一系列针对中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等长达十一年的定向攻击活动。”

据悉，这些攻击活动从 2008 年 9 月开始，一直持续到 2019 年 6 月左右，并且，主要集中在北京、广东、浙江等省份。而这些定向攻击活动都归结于一个涉美 APT 组织——APT-C-39。

以航空航天为例，“其中 CIA 在针对我国航空航天与科研机构的攻击中，我们发现：主要是围绕这些机构的系统开发人员来进行定向打击。而这些开发人员主要从事的是：航空信息技术有关服务，如航班控制系统服务、货运信息服务、结算分销服务、乘客信息服务等。”360 核心安全技术博客上写道。

并且，CIA 所攻击的航空信息技术服务，不仅仅是针对国内航空航天领域，同时还覆盖百家海外及地区的商营航空公司。

关键人物：CIA 前雇员约书亚

据悉，约书亚曾作为实习生在美国国家安全局（NSA）工作过一段时间，于 2010 年加入美国中央情报局 CIA，在其秘密行动处（NCS）担任科技情报主管。

360 安全大脑称，“约书亚精通网络武器设计研发专业技术，又懂情报运作。”并且，他是“Vault7（穹窿 7）”网络武器的设计研发者之一。

2016 年，约书亚利用其在核心机房的管理员权限和设置的后门，拷走了“Vault7（穹窿 7）” 并“给到”维基解密组织，该组织于 2017 年将资料公布在其官方网站上。

五大关联证据

360 安全大脑判定：APT-C-39 组织的攻击行为，正是由约书亚所在的 CIA 主导的国家级黑客组织发起。

有五大证据：

1.APT-C-39 组织使用大量 CIA"Vault7(穹窿 7)"项目中的专属网络武器

360 安全大脑称，“研究发现，APT-C-39 组织多次使用了 Fluxwire，Grasshopper 等 CIA 专属网络武器针对我国目标实施网络攻击。通过对比相关的样本代码、行为指纹等信息，可以确定该组织使用的网络武器即为“Vault7（穹窿 7）” 项目中所描述的网络攻击武器。”

2.APT-C-39 组织大部分样本的技术细节与“Vault7（穹窿 7）”文档中描叙的技术细节一致

360 安全大脑分析发现，大部分样本的技术细节与“Vault7（穹窿 7）” 文档中描叙的技术细节一致，如控制命令、编译 pdb 路径、加密方案等。

“这些是规范化的攻击组织常会出现的规律性特征，也是分类它们的方法之一。所以，确定该组织隶属于 CIA 主导的国家级黑客组织。”360 核心安全技术博客上写道。

3.APT-C-39 组织很早已经针对中国目标使用相关网络武器

2010 年初，APT-C-39 组织已对中国境内的网路攻击活动中，使用了“Vault7（穹窿 7）”网络武器中的 Fluxwire 系列后门。这远远早于 2017 年维基百科对“Vault7（穹窿 7）”网络武器的曝光。这也进一步印证了其网络武器的来源。

4.APT-C-39 组织使用的部分攻击武器同 NSA 存在关联

在 2011 年针对中国某大型互联网公司的一次攻击中，APT-C-39 组织使用了 WISTFULTOLL 插件对目标进行攻击。WISTFULTOLL 则是 2014 年 NSA 泄露文档中的一款攻击插件。

与此同时，在维基解密泄露的 CIA 机密文档中，证实了 NSA 会协助 CIA 研发网络武器，这也从侧面证实了 APT-C-39 组织同美国情报机构的关联。

5.APT-C-39 组织的武器研发时间规律定位在美国时区

根据该组织的攻击样本编译时间统计，样本的开发编译时间符合北美洲的作息时间。360 安全大脑称，“该组织活动接近于美国东部时区的作息时间，符合 CIA 的定位。”

最后，360 安全大脑表示，“综合上述技术分析和数字证据，我们完全有理由相信：APT-C-39 组织隶属于美国，是由美国情报机构参与发起的攻击行为。尤其是在调查分析过程中，360 安全大脑资料已显示，该组织所使用的网络武器和 CIA ‘Vault7（穹窿 7）’项目中所描述网络武器几乎完全吻合。而 CIA ‘Vault7（穹窿 7）’ 武器从侧面显示美国打造了全球最大网络武器库，而这不仅给全球网络安全带来了严重威胁，更是展示出该 APT 组织高超的技术能力和专业化水准。”

参考资料：

The CIA Hacking Group (APT-C-39) Conducts Cyber-Espionage Operation on China’s Critical Industries for 11 Years