【要闻】重磅实锤！美国中情局黑客攻击中国关键行业，长达11年！

本篇文章3217字，读完约8分钟

以下复印件来自国际安全智囊团、作者的国际安全智囊团

国际安全智囊团

“安全智囊团”是专注于国际互联网安全产业的迅速发展和领域应用的高端智囊团平台，致力于成为国际互联网安全知识库。

河南省共产主义青年团

有态度有温度有深度

整个网上好青年都很关注

资料来源:国际安全智囊团( id:guoji-anquanzhiku )

世界上第一把锤子

记载历史时刻，世界上第一个实锤！ 涉美中情局攻击组织对我国发起了网络攻击。

360安全大脑捕获了美国中央情报局cia攻击组织( apt-c-39 )对我国进行的11年网络攻击渗透。 在此期间，我国航空航天、科研机构、石油领域、大规模网络企业以及政府机构等许多机构受到了不同程度的攻击。

不仅如此，360安全大脑还通过相关信息，负责相关互联网武器开发和制作的中情局前员工:约书亚·； 亚当·舒尔特( joshua adam schulte )。 在该组织攻击我国期间，他在中情局秘密行动处( ncs )担任科技情报的主管职务，直接参与了针对我国攻击的网络武器的开发: vault7(穹窿7 )。 。 这个相关线索的一部分将360个安全脑发现的这个apt组织的攻击源进一步锁定在美国中央情报局。

美国中央情报局( central intelligence agency，cia )是比美国国家安全局( nsa )更熟悉的名字，是美国联邦政府的主要信息收集机构之一，包括情报处( di )、秘密行动处( ncs )、科学技术处( ds&t

主要的业务是:

收集外国政府、企业和个人新闻

分解其他美国情报机构收集的新闻和情报

提供国家安全信息给美国高级决策人判断

在美国总统的请求下执行和监督秘密活动等。

中情局核心网络武器“vault7”成为重要的突破口

360安全脑捕获世界第一个涉美攻击组织

apt-c-39

警报音在宽阔的街道上回响，为疾驰的负压救护车画道流影。 又是生死时速！

追溯到时间，维基解密收到了约书亚的“复印件信息”，向世界公开了8716份来自美国中央情报局cia网络信息中心的文件。 其中包括156份涵盖中情局黑客部队攻击方法、目标、工具技术规范和要求的相关文件。 这次发布包括核心武器文件“vault7(穹窿7 )”。

360安全大脑通过对泄露的“vault7(穹窿7 )”网络武器资料的研究，对其进行了深入分析和跟踪，在世界上首次出现了与此相关的一系列中国航空航天、科研机构、石油领域、大型网络企业及政府机构等11年的方向

这些攻击活动可追溯到2008年(从2008年9月持续到年6月左右)，最集中在北京、广东、浙江等省。

这些定向攻击活动归结于外部暴露较少的涉美apt组织——apt-c-39(360安全脑个别编号)。

对于apt-c-39组织的攻击力，您有多大的安全隐患？ 这里以航空航天机构为例进行证明。

为了涉及国家安全行业，我们只公开了360安全大脑掌握的信息数据的一部分细节:其中中情局比较了中国航空航天科研机构的攻击，我们发现以这些机构为中心的系统开发者进行定向打击。

这些开发者从事航空新闻技术相关的服务，如航班控制系统服务、货物新闻服务、结算流通服务、乘客新闻服务等。

(航空新闻技术相关服务:应向国内和国际商业航空企业提供航班控制系统服务、乘客新闻服务、机场旅客解决系统服务和相关数据、增强新闻技术服务。 ）

值得注意的是，中情局攻击的航空新闻技术服务不仅要比较国内的航空航天行业，还以100多家海外和地区的商业航空企业为目标，中情局的目的到底是什么？

其实，对中情局来说，为了得到类似的信息而长时间、精心配置、大量投入是常见的操作。

今年2月初，根据华盛顿邮报等媒体的共同调查，cia从1950年代开始收购并完全管理瑞士加密设备制造商crypto ag，在长达70年的历史中，销售给世界100多个国家的加密设备被cia

迄今为止，中情局可能是通过在过去11年的渗透攻击中突破我乃至国际航空的精密新闻来掌握的，中情局实时追踪全世界航班的实时动态、飞机飞行轨迹、乘客新闻、贸易货物等相关信息

如果推测是真的，中情局会掌握这样机密的重要信息，发生意想不到的事件吗？ 获得主要人物的旅行新闻，施加政治威胁和军事压迫……。

这不是危险的语言。 年1月初，伊朗一代的“军神”卡西姆·； 苏莱曼尼被美国总统特朗普轻松“杀死”，其中掌握了苏莱曼尼航班和行程的准确消息是暗杀成功的最重要核心，这些消息是以中情局为代表的美国情报机构通过包括网络攻击在内的各种手段获得的 这是美国情报机构在现实世界中发挥作用的典型例子。

360安全脑精密锁定中情局“武器”的研制

主要人物约书亚·； 亚当·舒尔特

( joshua adam schulte )

关于中情局重要的互联网武器——vault7(穹窿7 )，我们必须介绍中情局前员工约书亚·，亚当·舒尔特( joshua adam schulte )。

约书亚& MIDOT亚当·舒尔特( joshua adam schulte，以下简称约书亚)于1988年9月出生于美国德克萨斯州实验室，现年31岁，从设计学院毕业，作为实习生担任美国国家安全局( nsa )

(国家秘密行动处( ncs )作为中央情报局的秘密部门，是调整、消除争端、判断美国情报界秘密行动的国家主管部门。 ）

熟悉网络武器设计研发专业技术，了解信息运营，约书亚成为中情局许多重要的黑客工具和网络空间武器主要参与设计的研发人员的核心之一。 这包括名为“vault7(穹窿7 )”中情局的重要互联网武器。

年，约书亚利用核心机房的管理权限和设置的后门，复制了“vault7(穹窿7 )”，“提供”给维基解密。 这个组织年在官网上公布了资料。

年，约书亚因泄露行为被美国司法部逮捕起诉，年2月4日，在联邦法庭听证会上，检方将约书亚作为cia网络武器的核心开发者及其内部武器库的最高管理者权限的负责人，将网络武器交给维基解密公开

以上约书亚的个人经验和泄露消息为我们提供了重要的线索，但其开发和美国检察方面证实的核心互联网武器“vault7(穹窿7 )”，实锤apt-c-39属于美国中央情报局cia

五大相关证据实锤

apt-c-39组织隶属于美国中央情报局

“vault7(穹窿7 )”是核心关联点，通过约书亚以上的一系列经验和行为，为定位apt-c-39组织归属提供了重要线索。 另外，综合考虑该apt-c-39网络武器采用的独特点和时间周期，360安全大脑最终判断该组织的攻击行为是由约书亚所属的cia主导的国家级黑客组织发起的。 具体证据如下:

证据1

apt-c-39组织大量采用了cia"vault7(穹窿7 ) "项目的专用互联网武器。

研究表明，apt-c-39组织多次采用fluxwire、grasshopper等cia专用网络武器，与中国目标相比较实施了网络攻击。

针对相关的样本代码、行动指纹等新闻，明确了该组织采用的互联网武器是“vault7(穹窿7 )”项目中阐述的互联网攻击武器。

证据2

apt-c-39组织示例的大部分技术细节与“vault7(穹窿7 )”文档中介绍的技术细节一致。

360在安全的大脑分解中，我们发现大多数样本的技术细节与“vault7(圆顶7 )”文档中描述的技术细节一致，包括控制命令、编译pdb路径和加密方案。

这些是规范化攻击组织常见的规则特征，也是对它们进行分类的方法之一。 因此，我们明确了这个组织属于中情局主导的国家级黑客组织。

证据3

在维基解密公开“vault7(穹窿7 )”的网络武器之前，apt-c-39组织针对中国的目标采用了相关的网络武器。

年初，apt-c-39组织已经在中国国内的网络攻击活动中采用了“vault7(穹窿7 )”的网络武器fluxwire系列后门。 这远远早于维基百科对“vault7(穹窿7 )”网络武器的曝光。 这进一步印证了网络武器的来源。

深入分析解读“vault7(穹窿7 )”网络武器fluxwire后门的版本新闻后，360安全大脑统计了apt-c-39组织在中国国内目标攻击中采用的版本、攻击时间及其自身捕获的样本数量

从表中可以看出，apt-c-39组织从年开始不断升级最新的网络武器，对我国国内的目标频繁发起网络攻击。

证据4

apt-c-39组织采用的攻击武器的一部分与nsa有关联。

wist风格的工具是年nsa泄露文档的攻击插件。

年在比较我国某大型网络企业的攻击中，apt-c-39组织使用wist风格的工具插件攻击了目标。

另外，在从维基解密流出的cia机密文件中，nsa被证实协助cia开发互联网武器，apt-c-39组织与美国情报机关的关联也从侧面得到了证实。

证据5

apt-c-39组织的武器开发时间规则位于美国时区。

根据该组织攻击样本的编译时间统计，样本的开发编译时间符合北美洲的工作时间。

恶意软件编译时间是进行规则研究、统计的一般方法，通过恶意软件编译时间的研究，可以探测作者的工作和工作规律，知道大致时区的位置。

下表是apt-c-39组织的编译活动日程(时间以东8时区为基准)，表明该组织活动接近美国东部时区的工作时间，符合中情局的定位。 (位于美国弗吉尼亚州，采用美国东部时间。 ）

综合这些技术的分解和数字证据，完全没有理由相信apt-c-39组织属于美国，是美国情报机构参加发起的攻击行为。

特别是在调查分解过程中，360安全脑资料显示，该组织采用的网络武器与cia “vault7(穹窿7 )”项目中所述的网络武器几乎完全一致。 中情局的“vault7(穹窿7 )”武器从侧面表明美国建设了世界上最大的互联网兵库，这不仅对世界上的互联网安全带造成了严重威胁，而且显示了apt组织的高度技术能力和专业化水平

战争的形式，不仅仅是兵戎相见的一种。 网络空间已经成为大国竞争的另一个重要战场。 和美国中央情报局中情局玩游戏，路又窄又长！

最后一次

360关于安全大脑—apt威胁信息中心:

从2010年开始，360个安全大脑通过整合大量安全大数据，实现了apt威胁信息的快速相关跟踪，独家发现和跟踪了40个apt组织和黑客集团，国外apt组织采用了“在野”0day脆弱性，与中国国内目标相比apt 我们发现国外对中国国内目标的攻击最早可追溯到2007年，至少影响到中国国内1万多台电脑，攻击范围扩展到国内31个省级行政区。 我们发现的apt攻击和一些海外安全制造商机构发现的apt攻击可以直接说明中国是apt攻击中最主要的受害国。

原题:“重磅实锤！ 中情局黑客攻击中国主要行业，长达11年！ 』