近日,奇虎 360 在其核心安全技术博客更新了报告,披露美国中央情报局(CI[**])攻击组织([**]PT-C-39)对中国航空航天、科研机构、石油行业等关键领域进行长达 11 年的网络渗透攻击。360 安全卫士官微称,“这不仅是全球首度揭秘,更是全球首度实锤”。
360 称,CI[**] 的目标是中国的航空和能源行业、科研组织、互联网公司和政府机构。另外 360 还提到,CI[**] 所攻击的航空信息技术服务,不仅仅是针对国内航空航天领域,同时还覆盖百家海外及地区的商营航空公司。
CI[**] 目前尚未就此发表评论。
今年 2 月初,《华盛顿邮报》报道称 CI[**] 从上世纪五十年代开始就布局收购并完全控制了瑞士加密设备厂商 Crypto [**]G,在长达七十年的历史中,该公司售往全球一百多个国家的加密设备都被 CI[**] 植入了后门程序,使得这期间 CI[**] 都可以解密这些国家的相关加密通讯和情报。
尽管从事着国家级的监测和解密行动,但美国方面却多次宣称遭到 “中国黑客” 攻击,只不过从未拿出过硬的证据。事实上,中国国家计算机网络应急技术处理协调中心 2019 年 6 月发布的《2018 年我国互联网网络安全态势综述》数据显示,来自美国的网络攻击数量最多,且呈愈演愈烈之势。
有意思的是,此前一直是美国公司状告中国,中国公司很少对国外黑客组织采取同样的举动。Forbes 线上发表文章评论说:对北京来说,美国指控中国公民和巨头公司从事间谍活动和窃取知识产权的行为是单方面的。这(360 披露 CI[**])可能是尝试平衡天平的开始。
此前,360 团队会定期推送网络安全相关报告,报告一般都会溯源到具体单位和组织,甚至是个人攻击者。例如,该团队曾披露过印度和哈萨克斯坦的 [**]PT 报告。
[**]PT ( [**]dvanced Persistent Threat)是一种黑客攻击手段,主要的特点就是高级和持续,攻击手段很强,攻击对象一般是国家政府单位、政企高管、国家或者军事机密等;攻击时间极长,通常以年为单位,长期潜伏。中国是目前主要的受害国之一,境外被发现的 [**]PT 间谍组织有三十多个。
360 安全专家告诉 DeepTech,“360 威胁情报中心长期追踪全球的 [**]PT 组织,此次公开的 CI[**] 的 [**]PT 组织是我们一直就在监测和捕获的。但是由于攻击的目标多,涉及到的数量大,我们花费了大量的时间来进行整理、分析和溯源。在近期,我们又获取到了一些可以将相关网络攻击溯源定性到 CI[**] 的关键性强证据,因此我们决定把相关确凿的证据公开。”
360 的报告称,它是通过将发现的恶意软件样本与维基解密 (WikiLeaks) 2017 年公布的一批中央情报局(CI[**]) 数字间谍工具进行对比,发现了这起间谍活动。该团队根据来自 CI[**] 前雇员约书亚 · 亚当 · 舒尔 (Joshua [**]dam Schulte) 披露在维基解密的文件,通过 360 安全大脑进行信息分析,找到 “五大证据”,论证一个涉美 [**]PT 组织“[**]PT-C-39”使用的网络武器和 CI[**] 核心武器“ Vault 7(穹窿 7)” 相似,最终认为一个涉美 [**]PT 组织隶属于 CI[**]。
简单来说,其所谓 “实锤”,即 360 安全大脑对比了“ Vault 7(穹窿 7)” 和约书亚的公开材料,包括相关的样本代码、行为指纹等信息推理而来。
目前,该报告中提到的数据证据有两个,一个是 [**]PT-C-39 组织历年对我国境内目标攻击使用的版本、攻击时间和其本身捕获的样本数量进行的统计归类,另一个是 [**]PT-C-39 组织的编译活动时间表。
报告中列出的攻击工具,比如 Fluxwire、Grasshopper 和 WISTFULTOLL,此类工具可以在维基解密中找得到,此类规范化的攻击组织和活动都具备规律性特征。要区分 [**]PT-C-39 ,这需要更多的数据来证实。
其他证明 [**]PT-C-39 从属 CI[**] 的数据资料在文中并没有透露。DeepTech 询问 360 是如何捕获航班攻击信息的,360 暂未进一步公开披露。
上述 360 安全专家回应,“我们发现了 [**]PT-C-39 很多攻击武器,为了证明和美国 CI[**] 相关,我们举了一个 CI[**] 的专属武器的例子而已。”
Forbes 文章评论说,从公开资源和已知的行动来做推理这是有趣的,但这无法成为归因依据。
纽约对外关系委员会研究中国和网络安全问题的亚当 · 塞加尔([**]dam Segal)在回应路透社采访时表示,360 选择在这个时机发布报告可能与之前的一起起诉有关,上个月美国信用报告机构 Equifax 遭遇了大规模网络入侵,四名中国人被起诉。
“这对他们来说是很好的公共关系”,他说,通过披露 CI[**] 的行动可能是向华盛顿传递信息的一种方式,同时也能提升 360 的声誉。
360 对此没有发表评论。但回应 DeepTech 称,接下来还将利用其在海量安全大数据、情报、专家上的优势,专注于 [**]PT 攻击、0day 漏洞等高级威胁攻击方面。
在 360 报告刚出后不久,也就是在 3 月 4 日举行的中国外交部例行记者会上发言人赵立坚在回应记者关于 360 此次报告的提问时表示,事实证明,美国才是全球最大的网络攻击者,是名副其实的“黑客帝国”。美方却贼喊追贼,时时处处把自己装扮成网络攻击的受害者,充分暴露美方在网络安全问题上的虚伪性和双重标准。中国一直是美方网络窃密和攻击的严重受害者,中方就此多次向美方提出严正交涉。我们再次强烈敦促美方作出清楚解释,立即停止此类活动,还中国和世界一个和平、安全、开放、合作的网络空间。