【環球時報-環球網報道 記者 範淩志 曹思琦】《環球時報》記者近日獨家從360公司獲悉,2008年開始,360雲端安全大腦整合海量安全大資料,獨立捕獲大量進階複雜的攻擊程式,通過長期的分析與跟蹤并實地從多個受害機關驗證,結合關聯全球威脅情報,以及對斯諾登事件、“影子經紀人”黑客組織的持續追蹤,确認了這些針對系列行業龍頭企業長達十餘年的攻擊屬于美國國家安全局(NSA)組織。
《環球時報》記者了解到,除嚴重威脅電力、水利、交通、能源等關鍵基礎設施外,NSA還将通信行業視為重點攻擊目标,長期“偷窺”及收集關于通信行業存儲的大量個人資訊及行業關鍵資料,導緻大量網民的公民身份、财産、家庭住址、甚至通話錄音等隐私資料面臨着惡意采集、非法濫用、跨境流出的嚴重威脅。在NSA組織的監視下,全球數億公民隐私和敏感資訊無處藏身猶如“裸奔”。
大陸是美國國安局組織重點攻擊目标之一,受害機關感染量或達百萬量級
美國國家安全局隸屬美國國防部,專門從事電子通信偵察,主要任務是搜集各國的資訊資料,揭露潛伏間諜通信聯絡活動,為美國政府提供各種加工整理的情報資訊。長期以來,為達到美國政府情報收集目的,NSA組織針對全球發起大規模網絡攻擊,大陸就是NSA組織的重點攻擊目标之一。
2013年,前美國中央情報局(CIA)職員、美國國家安全局(NSA)外包技術員愛德華·斯諾登向全世界揭發美國政府收集使用者資料資訊的醜聞,并洩漏了NSA組織大量網絡戰機密文檔資料,這起美國曆史上最嚴重的洩密事件轟動全球。經此一事,“網絡戰”及“國家級網絡威脅”等概念為全世界所認知。
之後的2016年、2017年,黑客組織“影子經紀人”又公開了被NSA組織應用的網絡武器的樣本,NSA組織大規模高危網絡作戰武器及配套元件逐一曝光。360公司相關人士對《環球時報》記者表示,360公司是國内第一批有意識追蹤進階别網絡威脅的安全公司,并率先提出了APT(進階可持續威脅攻擊)概念。在此期間,360團隊依托海量安全大資料的情報視野,看到各行各業相繼淪陷于NSA網絡武器攻擊之下,積極推出各種包括永恒之藍武器庫防禦方案和漏洞更新檔等配套防護工具,全力抵禦NSA武器庫攻擊。
《環球時報》記者了解到,長期以來,為達到美國政府情報收集目的,NSA組織針對全球發起大規模網絡攻擊,大陸就是NSA組織的重點攻擊目标之一,NSA組織對中國境内目标的攻擊如政府、金融、科研院所、營運商、教育、軍工、航空航天、醫療等行業,重要敏感機關及組織機構成為主要目标,占比重較大的是高科技領域。
美國國家安全局(NSA)為監控全球的目标制定了衆多的作戰計劃,360安全專家告訴《環球時報》記者,通過對NSA專屬的Validator後門配置字段的統計分析,推測NSA針對中國的潛在攻擊量非常巨大,“僅Validator一項的感染量最保守估計應該在幾萬的數量級,數十萬甚至百萬都是有可能的。”
同時,《環球時報》記者獲悉,根據NSA機密文檔中描述的FOXCID伺服器代号,可以發現其針對英國、德國、法國、南韓、波蘭、日本、伊朗等全球47個國家及地區發起攻擊,403個目标受到影響,潛伏時間長達十幾年。
詳細揭秘:美國國安局的網絡攻擊手法有哪些?
《環球時報》記者獲悉,360安全團隊将NSA及其關聯機構單獨編号為APT-C-40,并與系列行業龍頭共建了APT進階威脅研究實驗室,發現美國國家安全局針對系列行業龍頭企業長達十餘年時間的攻擊活動。通過對驗證資料分析,發現這些攻擊實際開始于2010年,結合網絡情報分析研判,該攻擊活動與NSA的某網絡戰計劃實施時間前後銜接,攻擊活動涉及企業衆多關鍵的網絡管理伺服器和終端,其攻擊手法多樣、隐秘且危害巨大,具體手法如下:
(1)QUANTUM(量子)攻擊系統
QUANTUM(量子)攻擊系統是NSA發展的一系列網絡攻擊與利用平台的總稱,其下包含多個子項目,均以QUANTUM開頭命名。它是NSA最強大的網際網路攻擊工具,也是NSA進行網絡情報戰最重要的能力系統之一,最早的項目從2004年就已經開始建立。
從文檔中不難看出,在NSA的三個主要網絡戰方向(CNE、CNA、CND)中,QUANTUM均有相關項目。NSA利用美國在全球網絡通訊和網際網路體系中所處的核心地位,利用先進技術手段實作對網絡信号的監聽、截獲與自動化利用,QUANTUM項目的本質就是在此基礎上實作的一系列資料分析與利用能力。
(2)FOXACID(酸狐狸)0Day漏洞攻擊平台
QUANTUM(量子)攻擊經常配套使用的是代号為FOXACID(酸狐狸)的系統。FOXACID是NSA設計的一個威力巨大的0Day漏洞攻擊平台,并且可以對漏洞攻擊的主要步驟實施自動化,甚至讓沒有什麼網絡攻擊經驗的營運商也參與進來,成為一件威力巨大的“大規模入侵工具”。 根據NSA機密文檔介紹,FOXACID伺服器使用了各種浏覽器0Day漏洞,比如Flash、IE、火狐浏覽器漏洞,用于向計算機目标植入木馬程式。
而從現有情報來看,FOXACID在2007年之前就已經開始投入運作,直到2013年仍有其使用的痕迹,以此估算其使用時間至少長達八年之久。NSA依靠與美國電信公司的秘密合作,把FOXACID伺服器放在Internet骨幹網,保證了FOXACID伺服器的反應速度要快于實際網站伺服器的反應速度。利用這個速度差,QUANTUM(量子)注入攻擊可以在實際網站反應之前模仿這個網站,迫使目标機器的浏覽器來通路FoxAcid伺服器。
(3)Validator(驗證器)後門
Validator(驗證器)是用于FoxAcid項目的主要後門程式之一,一般被用于NSA的初步入侵,通過其再植入更複雜的木馬程式,比如UnitedRake(聯合耙),每個被植入的計算機系統都會被配置設定一個唯一的驗證ID。
根據NSA機密文檔的描述,Validator主要配合FOXACID攻擊使用,基于基本的C/S架構,為敏感目标提供了可供接觸的後門。Validator可以通過遠端和直接接觸進行部署,并提供了7x24小時的線上能力。Validator是一種很簡單的後門程式,提供了一種隊列式的操作模式,隻能支援上傳下載下傳檔案、執行程式、擷取系統資訊、改變ID和自毀這類簡單功能。
(4)UNITEDRAKE(聯合耙)後門系統
UNITEDRAKE(聯合耙),是NSA開發的一套先進後門系統。360安全專家通過對洩露的相關文檔進行分析,UNITEDRAKE的整體結構大緻分為5個子系統,分别是伺服器、系統管理界面、資料庫、子產品插件集和用戶端,其關系如下所示:
伺服器:伺服器即為CC伺服器,主要功能為接受用戶端的連接配接請求,并且管理用戶端和其他子系統間的通訊,設計該系統的目的為盡可能的減少操作請求次數。在文檔中其被描述為 Listening Port,即監聽端口。
系統管理界面:系統管理界面為一套圖形使用者界面,操作者可以通過該界面直接檢視用戶端狀态、給用戶端下發指令、管理插件和調整用戶端的配置。在文檔中其被描述為UR GUI。
插件子產品集:該部分為整套UNITEDRAKE系統的技術核心,功能插件化使得整套系統具備極強的可擴充性和适應性;一個插件子產品由一個或多個用戶端插件,一個或多個服務端插件以及一個或多個系統管理界面元件組成的,三者配合共同組成一個完整的功能插件子產品;并且針對不同的行動,插件子產品可以根據任務需求彈性化選擇組合與安裝。
資料庫:UNITEDRAKE系統使用SQL資料庫來存儲和管理一下資訊:系統配置資訊、用戶端配置資訊、各類狀态資訊和收集到的資料。
用戶端:用戶端程式,即為下發植入的木馬程式;其能隐蔽的植入目标機器中,并為進一步的攻擊提供支援,用戶端的設計重點為提高隐蔽性。
全球數億公民隐私和敏感資訊無處藏身猶如“裸奔”
《環球時報》記者獲悉,綜合(APT-C-40組織)即NSA的非法入侵行徑,其行為将可能對大陸甚至其他國家的國防安全、關鍵基礎設施安全、金融安全、社會安全、生産安全以及公民個人資訊造成嚴重危害。
360安全專家對《環球時報》記者表示,面對這些非法網絡攻擊,首先應警惕國家級APT組織對國家安全的危害。戰争的形式不止于兵戎相見這一種,網絡空間早已成為大國較量的另一重要戰場,“回顧2020年,360披露美國中央情報局CIA(APT-C-39)對中國進行長達 11 年的網絡攻擊滲透一案依然曆曆在目,面對網絡強國咄咄逼人的戰略攻勢,以國家力量為背景的APT網絡攻擊及全球化網絡戰争再一次敲響我們頭上警鐘。”
“網絡戰及國家級APT組織對國家安全的危害是多方面的。”這位專家告訴記者,入侵組織不僅對國家政府及要害部門進行持續監視與間諜活動,甚至對于一國政治、經濟、社會、國防軍事等方面的威脅不斷加深。一旦APT組織對整個國家社會系統進行攻擊,将可能導緻交通、銀行、航空、水電系統癱瘓,并對國家政治穩定、經濟命脈造成不可估量的傷害。
360安全專家表示,此外,還應警惕國家級APT組織對關鍵基礎設施的危害,“關鍵基礎設施逐漸成為網絡戰首選目标,國與國之間的網絡對抗,以關鍵基礎設施為目标的網絡戰愈加頻繁,網絡攻擊不再隻是為了竊取情報,更可以對電力、水利、電信、交通、能源等關鍵基礎設施發起攻擊,進而對公共資料、公共通信網絡、公共交通網絡、公共服務等造成災難性後果,嚴重影響關系百姓民生的公共安全,破壞整個社會的神經中樞。”
“同時,國家級APT組織對個人資訊安全的危害也不可低估。”《環球時報》根據360雲端安全大腦長期監測資料發現,NSA将通信行業視為重點攻擊目标,長期“偷窺”及收集關于通信行業存儲的大量個人資訊及行業關鍵資料,導緻大量網民的公民身份、财産、家庭住址、甚至通話錄音等隐私資料面臨着惡意采集、非法濫用、跨境流出的嚴重威脅,“在NSA組織的監視下,全球數億公民隐私和敏感資訊無處藏身猶如“裸奔”,而其幕後政府及政客隻關注政治私利,全然漠視公民個人權利,公民人權淪為政治博弈的籌碼,其入侵行徑嚴重侵犯大陸及全球公民的合法利益。”360安全專家表示。
專家提醒,根據公開網絡情報,美國國家安全局(NSA)的全球化入侵行徑,離不開其下屬部門及其關聯機構為其提供資料和攻擊武器支援,文中提及的後門程式UnitedRake(聯合耙)、QUANTUM(量子)攻擊系統、仿冒伺服器Foxacid等是代表性的攻擊套件組合。“後續關于美國NSA武器庫的更多情報資料與戰例分析,我們将會進一步分析研判。”
來源:環球時報-環球網