據央視新聞消息,美國中央情報局(Central Intelligence Agency,簡稱CIA),一個比美國國家安全局(NSA)更為世人熟知的名字,它是美國聯邦政府主要情報機構之一,總部位于美國弗吉尼亞州蘭利,下設情報處(DI)、秘密行動處(NCS) 、科技處(DS&T)、支援處(DS)四個部門。其主要業務範圍涉及:收集外國政府、公司和公民情報資訊;綜合分析處理其他美國情報機構收集的情報資訊;向美國高層決策者提供國家安全情報和安全風險評估意見;根據美國總統要求組織實施和指導監督跨境秘密活動等。
長期以來,美國中央情報局(CIA)在世界各地秘密實施“和平演變”和“顔色革命”,持續進行間諜竊密活動。
進入二十一世紀以來,網際網路的快速發展給美國中央情報局(CIA)的滲透颠覆和搗亂破壞活動提供了新的機遇,全球各地使用美國網際網路裝置和軟體産品的機構和個人成為美國中央情報局(CIA)的傀儡“特工”,幫助該機構迅速成為網絡諜報戰中的耀眼“明星”。
本系列報告從360公司和國家計算機病毒應急進行中心參與調查的大量真實案例入手,揭秘其網絡攻擊武器的主要細節,披露部分發生在中國和其他國家的網絡安全典型案事件的具體過程,全面深入分析美國中央情報局(CIA)的網絡攻擊竊密和相關現實危害活動,以及其對美國成為“黑客帝國”所做的貢獻,為遍布全球的網絡攻擊受害者提供參考和建議。
1.概述
從20世紀80年代國際社會主義陣營遭受沖擊、90年代初蘇東劇變(“天鵝絨革命”)到2003年格魯吉亞“玫瑰革命”,從2004年烏克蘭“橙色革命”到2005年吉爾吉斯“郁金香革命”,從2011年西亞北非國家“阿拉伯之春”到2014年烏克蘭“二次顔色革命”、中國台灣“太陽花革命”等,都被國際機構和世界各地學者認定為由美國情治機構主導的“顔色革命”典型案例。其他一些國家中還發生過未遂的“顔色革命”事件,如2005年3月白俄羅斯“雪花革命”、2005年6月阿塞拜疆“橙色風暴”、2005年黎巴嫩“雪松革命”、2007年緬甸“藏紅花革命”、2009年伊朗“綠色革命”等等。如果從冷戰時期算起,帶有“和平演變”和“顔色革命”色彩的政權更替事件更是不勝枚舉。據統計,數十年來,美國中央情報局( CIA)至少推翻或試圖推翻50個他國合法政府(而中央情報局隻承認其中的7起),在相關國家引發動亂。
綜合分析上述事件中的各類技術,資訊通信和現場指揮成為影響事件成敗的決定性因素。美國的這些技術在國際上處于領先地位,特别是20世紀80年代美國将網際網路推向國際并得到世界各國的普遍接受,給美國情治部門對外發動“顔色革命”提供了前所未有的技術可能性。
美國前國務卿奧爾布賴特曾揚言:“有了網際網路我們對中國就有了辦法。”
此言不虛,多起“顔色革命”事件中都有西方大國借助網際網路推波助瀾的影子。西亞北非多國“阿拉伯之春”事件發生後,美國個别大型網際網路跨國企業積極介入,向沖突各方投入大量人力、物力、财力,拉攏支援反對派,向與美國利益不符的他國合法政府公開發難,協助釋出擴散虛假資訊,推動群眾抗議活動不斷激化。
一是提供加密網絡通信服務。為幫助中東地區部分國家的抗議者保持聯絡暢通,同時避免被跟蹤和抓捕,美國公司(據稱具有美國軍方背景)研發出一種可以接入國際網際網路又無法追蹤的TOR技術(“洋蔥頭”路由技術,The Onion Router)。相關伺服器對流經它們的所有資訊進行加密,進而幫助特定使用者實作匿名上網。該項目由美國企業推出後,立即向伊朗、突尼西亞、埃及等國的反政府人員免費提供,確定那些“想動搖本國政府統治的異見青年”在參與活動時,能躲避當地合法政府的審查和監視。
二是提供斷網通聯服務。為確定突尼西亞、埃及等國的反政府人員在斷網情況下仍能與外界保持聯系,美國谷歌、推特公司迅速推出一款名為“Speak2Tweet”的專用服務,它允許使用者免費撥号并上傳語音留言,這些留言被自動轉換成推文後再上傳至網際網路,推特等平台公開釋出,完成了對事件現場的實時報道。
三是提供基于網際網路和無線通信的集會遊行活動現場指揮工具。美國蘭德公司花費數年研發出一款被稱為“蜂擁”的非傳統政權更疊技術,用于幫助通過網際網路聯接的大量年輕人加入“打一槍換一個地方”的流動性抗議活動,大大提升了活動現場指揮效率。
四是美國公司研發了一款名為“暴動”的軟體,支援100%獨立的無線寬帶網絡、提供可變Wi-Fi網絡,不依賴任何傳統實體接入方式,無須電話、電纜或衛星連接配接,能輕易躲過任何形式的政府監測。借助上述功能強大的網絡技術和通信技術手段,美國中央情報局(CIA)在全球各地策劃組織實施了大量的“顔色革命”事件。
五是美國國務院将研發“反審查”資訊系統作為重要任務,并為該項目注資超過3000萬美元。
2. 美國中央情報局(CIA)的網絡攻擊武器系列
2017年3月7日,維基解密網站披露了8716份據稱是來自美國中央情報局(CIA)網絡情報中心的秘密檔案,内容涉及美國中央情報局(CIA)黑客團隊的攻擊手法、攻擊行動項目代号、攻擊工具技術規範和要求等,維基解密将相關檔案稱為“Vault7”(穹頂7),引發全球範圍的高度關注。
2020年,360公司獨立發現了一個從未被外界曝光的APT組織,專門針對中國及其友好國家實施網絡攻擊竊密活動,受害者遍布全球各地,我們将其單獨編号為APT-C-39。有證據表明,該組織使用與被曝“Vault7”(穹頂7)資料相關聯的網絡武器工具(包括Athena、Fluxwire,Grasshopper、AfterMidnight、HIVE、ChimayRed等),針對中國和其他國家受害目标實施網絡攻擊,攻擊活動最早可以追溯到2011年,相關攻擊一直延續至今。被攻擊目标涉及各國重要資訊基礎設施、航空航天、科研機構、石油石化、大型網際網路公司以及政府機構等諸多方面。
在規模龐大的全球性網絡攻擊行動中,美國中央情報局(CIA)大量使用“零日”(0day)漏洞,其中包括一大批至今未被公開披露的後門和漏洞(部分功能已得到驗證),在世界各地建立“僵屍”網絡和攻擊跳闆網絡,針對網絡伺服器、網絡終端、交換機和路由器,以及數量衆多的工業控制裝置分階段實施攻擊入侵行動。在現已發現的專門針對中國境内目标實施的網絡攻擊行動中,我們成功提取了多個“Vault7”(穹頂7)網絡攻擊武器樣本,多個東南亞國家和歐洲的合作夥伴也提取到了幾乎完全相同的樣本,主要包括:
2.1 Fluxwire(磁通線)後門程式平台
一款支援Windows、Unix、Linux、MacOS等9種主流作業系統和6種不同網絡架構的複雜後門攻擊行動管理平台,可将衆多“殭屍電腦”節點組成完全自主運作的網狀網絡,支援自我修複、循環攻擊和多路徑路由。
2.2 Athena(雅典娜)程式
一款針對微軟Windows作業系統的輕量級後門程式,由美國中央情報局(CIA)與美國Siege Technologies公司(2016年被Nehemiah Security收購)合作開發,可以通過遠端安裝、供應鍊攻擊、中間人劫持攻擊和實體接觸安裝等方式植入,以微軟Windows服務方式駐留。所有攻擊功能子產品均以插件形式在記憶體中解密執行。
2.3 Grasshopper(蚱蜢)後門程式
一款針對微軟Windows作業系統的進階可配置後門程式,可生成多種檔案格式形式的(EXE,DLL,SYS,PIC)惡意荷載,支援多種執行方式,配以不同插件子產品後,可隐蔽駐留并執行間諜功能。
2.4 AfterMidnight(午夜之後)後門程式
一款以微軟Windows作業系統DLL服務形式運作的輕量級後門,它通過HTTPS協定動态傳輸、加載“Gremlins”子產品,全程以加密方式執行惡意荷載。
2.5 ChimayRed(智美紅帽)漏洞利用工具
一款針對MikroTik等品牌路由器的漏洞利用工具套件,配合漏洞利用可植入“TinyShell”等輕量級網絡裝置後門程式。
2.6 HIVE(蜂巢)網絡攻擊平台
“蜂巢”網絡攻擊平台由美國中央情報局(CIA)下屬部門和美國著名軍工企業諾斯羅普·格魯曼(NOC)旗下公司聯合研發,它為美國中央情報局(CIA)網絡攻擊團隊提供一種結構複雜的持續性攻擊竊密手段。它管理利用全球範圍内數量龐大的失陷資産,組成多層動态跳闆和秘密資料傳輸通道,7×24小時向美國中央情報局(CIA)上傳使用者賬戶、密碼和隐私資料(https://www.cverc.org.cn/head/zhaiyao/news20220419-hive.htm)。
2.7 其他衍生工具
美國中央情報局(CIA)在通過上述“Vault7”(穹頂7)網絡武器實施攻擊竊密過程中,還衍生和使用了大量“Vault7” (穹頂7)資料之外的攻擊樣本,現已提取的樣本中包括僞裝的釣魚軟體安裝包、鍵盤記錄元件、系統資訊收集元件、USB檔案竊取子產品和不同的開源黑客工具等。
3. 美國中央情報局(CIA)網絡攻擊武器樣本功能分析
在針對中國境内多起典型網絡攻擊事件的調查過程中,360公司從受害機關資訊網絡中捕獲并成功提取了一大批與網曝美國中央情報局(CIA)“Vault7”(穹頂7)資料緊密關聯的木馬程式、功能插件和攻擊平台樣本。深入分析發現,相關程式樣本大都遵循了“Vault7”(穹頂7)資料中的Network Operations Division In-memory Code Execution Specification、Network Operations Division Cryptographic Requirements和Network Operations Division Persisted DLL Specification等美國中央情報局(CIA)惡意軟體開發标準和技術規範。這些标準和規範分别對應網絡攻擊竊密活動中惡意代碼的加載執行、資料加密和持久化行為,相關網絡武器進行了極其嚴格的規範化、流程化和專業化的軟體工程管理。據悉,目前隻有美國中央情報局(CIA)嚴格遵守這些标準和規範開發網絡攻擊武器。
據“Vault7”( 穹頂7)資料顯示,上述網絡攻擊武器歸屬于美國中央情報局(CIA)的EDG(工程開發組),由其下屬的AED(應用工程部)和EDB(嵌入式裝置分部)等多個分部獨立或聯合研發。這些網絡武器大都誕生于一個名為“devlan.net”的美國中央情報局(CIA)最高機密内部網絡中。“devlan.net”是美國中央情報局(CIA)工程開發部(EDG)建立的龐大的網絡武器開發測試基礎設施。另據“devlan.net”的開發日志資料顯示,僅“HIVE”(蜂巢)一個項目就至少投入EDG兩百名工程師參與研發。
進一步技術分析發現,美國中央情報局(CIA)的後門程式和攻擊元件大都以無實體檔案的記憶體駐留執行的方式運作,這使得對相關樣本的發現和驗證難度極大。即使這樣,聯合技術團隊還是成功找到了解決驗證難題的有效方法。為後續描述和分析問題友善,我們暫且将美國中央情報局(CIA)的攻擊武器分為9個類别:
3.1 架構平台類。我們發現并捕獲了Fluxwire(磁通線)、Grasshopper(蚱蜢)、Athena(雅典娜)的攻擊樣本和攻擊活動,經過實地檢測,這些樣本的功能、攻擊特征和網絡行為均可與“Vault7”(穹頂7)資料中的描叙一一印證。
3.2 攻擊子產品投遞類。美國中央情報局(CIA)使用了大量功能簡單的小型惡意代碼下載下傳器,用于加載執行更多的惡意代碼及子產品,相關樣本無特别的惡意功能及特征,但在與架構平台等攻擊武器配合時卻可展現出強大的竊密功能,極難将其歸因溯源。
3.3 遠端控制類。現已提取多款遠端控制插件,大都屬于架構平台類攻擊武器衍生出的攻擊子產品元件,二者之間互相配合。
3.4 橫向移動類。提取到的大量惡意程式樣本中,包含多款通過系統管理者憑據使用Windows遠端服務安裝植入的後門程式。除此之外,美國中央情報局(CIA)還劫持多種安全産品内網的更新程式,通過内網更新伺服器的更新功能下發安裝後門程式,實施内網中的橫向移動攻擊。
3.5 資訊收集竊取類。聯合技術團隊偶然提取到美國中央情報局(CIA)使用的一款資訊竊取工具,它屬于網曝美國國家安全局(NSA)機密文檔ANT catalog48種先進網絡武器中的一個,是美國國家安全局(NSA)的專用資訊竊取工具。這種情況說明美國中央情報局(CIA)和美國國家安全局(NSA)會聯合攻擊同一個受害目标,或互相共享網絡攻擊武器,或提供相關技術或人力支援。這為對APT-C-39攻擊者身份的歸因溯源補充了新的重要證據。
3.6 漏洞利用類。調查中發現,至少從2015年開始,美國中央情報局(CIA)就在世界各地建立了龐大的網絡攻擊跳闆資源,利用“零日”(0 day)漏洞對全球範圍IOT(物聯網)裝置和網絡伺服器無差别攻擊,并将其中的大量失陷裝置轉換為跳闆“殭屍電腦”,或隐藏自身攻擊行為,或将網絡攻擊嫁禍給其他國家。例如,美國中央情報局(CIA)使用代号為“ChimayRed”(智美紅帽)的漏洞攻擊套件定向攻擊多個型号的MikroTik品牌路由器,其中包括中國境内大量使用這種路由器的網絡裝置。攻擊過程中,美國中央情報局(CIA)首先會惡意修改路由器啟動腳本,使路由器重新開機後仍執行後門程式;然後,美國中央情報局(CIA)再修改路由器的CGI程式堵住被美國中央情報局(CIA)自身利用的漏洞,防止其他攻擊者再次入侵造成權限丢失;最終,美國中央情報局(CIA)會向路由器植入“蜂巢”(HIVE)或“TinyShell”等隻有美國中央情報局(CIA)可以使用的專屬後門程式。
3.7 僞裝正常軟體類。美國中央情報局(CIA)針對攻擊目标的網絡環境,将後門程式定制僞裝為目标使用的使用者量較少的冷門軟體安裝包,針對目标實施精準的社會工程學攻擊。
3.8 安全軟體攻防類。美國中央情報局(CIA)掌握了專門用于攻擊商業防毒軟體的攻擊工具,可以通過這些專用工具遠端關閉和殺死指定防毒軟體的程序,使相關防毒軟體對美國中央情報局(CIA)的攻擊行為或攻擊武器失效。
3.9 第三方開源工具類。美國中央情報局(CIA)也會經常使用現成的開源黑客工具進行攻擊活動。美國中央情報局(CIA)網路攻擊行動的初始攻擊一般會針對受害者的網絡裝置或伺服器實施,也會進行社會工程學攻擊。在獲得目标權限之後,其會進一步探索目标機構的網絡拓撲結構,在内網中向其它聯網裝置進行橫向移動,以竊取更多敏感資訊和資料。被美國中央情報局(CIA)控制的目标計算機,會被進行24小時的實時監控,受害者的所有鍵盤擊鍵都會被記錄,剪切闆複制粘貼資訊會被竊取,USB裝置(主要以移動硬碟、U盤等)的插入狀态也會被實時監控,一旦有USB裝置接入,受害者USB裝置内的私有檔案都會被自動竊取。條件允許時,使用者終端上的攝像頭、麥克風和GPS定位裝置都會被遠端控制和通路。
4. 小結
美國操縱的網絡霸權發端于網絡空間,籠罩世界,波及全球,而作為美國三大情報搜集機構之一,美國中央情報局(CIA)針對全球發起的網絡攻擊行為早已呈現出自動化、體系化和智能化的特征。僅僅在維基解密網站中洩露出來的8716份檔案中,就包含了美國情治部門諸多重要黑客工具和網絡攻擊武器,表明美國已經打造了全球最大的網絡武器庫。通過實證分析,我們發現其網絡武器使用了極其嚴格的間諜技術規範,各種攻擊手法前後呼應、環環相扣,現已覆寫全球幾乎所有網際網路和物聯網資産,可以随時随地控制别國網絡,盜取别國重要、敏感資料,而這無疑需要大量的财力、技術和人力資源支撐,美國式的網絡霸權可見一斑,“黑客帝國”實至名歸。
本系列報告嘗試披露美國中央情報局(CIA)長期針對中國境内網絡目标進行攻擊竊密的各類活動,初步探索這些網絡攻擊和資料竊密活動。
針對美國中央情報局(CIA)對大陸發起的高度體系化、智能化、隐蔽化的網絡攻擊,境内政府機構、科研院校、工業企業和商業機構如何快速“看見”并第一時間進行“處置”尤為重要。為有效應對迫在眉睫的網絡和現實威脅,我們在采用自主可控國産化裝置的同時,應盡快組織開展APT攻擊的自檢自查工作,并逐漸建立起長效的防禦體系,實作全面系統化防治,抵禦進階威脅攻擊。
編輯 孫琳智