五大證據(jù)揭露CIA網(wǎng)攻中國(guó)11年

本報(bào)記者 趙覺珵 劉彩 玉馬俊 本報(bào)特約記者 武彥

國(guó)防部發(fā)言人吳謙在2月28日的記者會(huì)上剛表示“在網(wǎng)絡(luò)安全問題上，美方是國(guó)際公認(rèn)的竊密慣犯”。中國(guó)網(wǎng)絡(luò)安全公司360公司3月3日就爆出猛料：“多方面證據(jù)證實(shí)美國(guó)對(duì)中國(guó)關(guān)鍵領(lǐng)域的網(wǎng)絡(luò)攻擊已經(jīng)持續(xù)了11年”。這是中國(guó)機(jī)構(gòu)首次詳細(xì)披露相關(guān)證據(jù)，該結(jié)論到底如何得出？美國(guó)此舉對(duì)中國(guó)危害多大？《環(huán)球時(shí)報(bào)》記者就此采訪了多名業(yè)內(nèi)專家。

涉美神秘組織長(zhǎng)期對(duì)華發(fā)動(dòng)網(wǎng)絡(luò)攻擊

360公司于3月3日宣布，通過該公司旗下“360安全大腦”的調(diào)查分析，發(fā)現(xiàn)美國(guó)中央情報(bào)局（CIA）的國(guó)家級(jí)黑客組織“APT-C-39（由360公司命名）”對(duì)中國(guó)進(jìn)行了長(zhǎng)達(dá)11年的網(wǎng)絡(luò)攻擊和滲透。

美國(guó)媒體此前曾披露，作為CIA諸多重要黑客工具和網(wǎng)絡(luò)武器主要設(shè)計(jì)研發(fā)骨干之一的約書亞·亞當(dāng)·舒爾特，曾在2017年向維基解密提供了關(guān)鍵的“拷貝情報(bào)”，向全球披露8716份來自CIA網(wǎng)絡(luò)情報(bào)中心的文件，涵蓋CIA黑客部隊(duì)的攻擊手法、目標(biāo)、工具的技術(shù)規(guī)范和要求，這一系列機(jī)密文件被稱為“Vault7（穹窿7）”項(xiàng)目。這次事件被列為“CIA歷史上最大一次機(jī)密國(guó)防情報(bào)泄露事件”。

360安全大腦通過對(duì)泄露的“穹窿7”網(wǎng)絡(luò)武器資料的研究，并對(duì)其深入分析和溯源，于全球首次發(fā)現(xiàn)與其關(guān)聯(lián)的一系列針對(duì)我國(guó)航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等長(zhǎng)達(dá)11年的定向攻擊活動(dòng)。這些攻擊活動(dòng)最早可以追溯到2008年（從2008年9月一直持續(xù)到2019年6月左右），并主要集中在北京、廣東、浙江等省份。上述這些定向攻擊活動(dòng)都?xì)w結(jié)于一個(gè)鮮少被外界曝光的涉美APT（高級(jí)可持續(xù)攻擊）組織——APT-C-39。

一名360公司網(wǎng)絡(luò)安全專家3日接受《環(huán)球時(shí)報(bào)》記者采訪時(shí)表示，已被公開的“穹窿7”項(xiàng)目信息顯示，幾乎所有的主流計(jì)算機(jī)、移動(dòng)設(shè)備、智能設(shè)備、物聯(lián)網(wǎng)設(shè)備等，CIA都配備了針對(duì)性的網(wǎng)絡(luò)攻擊武器。例如Flux?wire系列后門是“穹窿7”項(xiàng)目中數(shù)十種網(wǎng)絡(luò)武器之一?！巴ㄋ椎卣f，它是一個(gè)計(jì)算機(jī)后門程序，但與我們一般遇到的木馬、后門程序不同的是，它是一個(gè)大型、復(fù)雜的國(guó)家級(jí)網(wǎng)絡(luò)攻擊平臺(tái)，可以攻擊控制Windows、Linux、MacOS等所有主流操作系統(tǒng)及軟硬件設(shè)備。它的目的是要穩(wěn)定且隱蔽地控制各類電子設(shè)備，伺機(jī)而動(dòng)發(fā)起網(wǎng)絡(luò)攻擊，竊取我國(guó)相關(guān)單位的機(jī)密情報(bào)?！痹搶＜彝嘎?，360安全大腦披露的這些攻擊活動(dòng)還涉及“穹窿7”項(xiàng)目的其他大量網(wǎng)絡(luò)武器，它們可在不同攻擊階段相互配合。

近年來，不斷有信息曝光以CIA為主的美國(guó)政府機(jī)構(gòu)正通過各種方式進(jìn)行黑客活動(dòng)或大規(guī)模的監(jiān)控。10年前針對(duì)伊朗核設(shè)施的“震網(wǎng)”病毒攻擊，去年委內(nèi)瑞拉大面積停電以及針對(duì)俄羅斯和伊朗基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊，背后均有美國(guó)網(wǎng)軍的身影。

根據(jù)維基解密2017年披露的信息，CIA的網(wǎng)絡(luò)武器“能將任何設(shè)備變成監(jiān)視設(shè)備”，包括電腦、智能手機(jī)、游戲機(jī)、路由器和智能電視。今年2月，美國(guó)《華盛頓郵報(bào)》稱，CIA從20世紀(jì)50年代就布局收購(gòu)并完全控制瑞士加密設(shè)備廠商CryptoAG，在長(zhǎng)達(dá)70年的歷史中，該公司售往全球100多個(gè)國(guó)家的加密設(shè)備都被CIA植入后門程序，使得這期間CIA可以解密這些國(guó)家的相關(guān)加密通信和情報(bào)?！?/p>

“穹窿7”成為關(guān)鍵證據(jù)

360公司網(wǎng)絡(luò)安全專家表示，在美國(guó)聯(lián)邦法庭針對(duì)約書亞的起訴書中，美國(guó)檢方公訴人證實(shí)了“穹窿7”的存在以及它與CIA的關(guān)系。這成為證明CIA是伸向中國(guó)“幕后黑手”的關(guān)鍵證據(jù)。

第一，APT-C-39組織大量使用Fluxwire、Grasshopper等網(wǎng)絡(luò)武器對(duì)中國(guó)目標(biāo)實(shí)施網(wǎng)絡(luò)攻擊。通過對(duì)比相關(guān)樣本代碼、行為指紋等信息，可以確定該組織使用的即為“穹窿7”項(xiàng)目中描述的CIA專屬網(wǎng)絡(luò)武器。

該專家解釋說，樣本代碼、行為指紋等證據(jù)信息和刑偵中的指紋、筆跡等概念類似，它是溯源網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)攻擊的重要手段之一?！拔覀兺ㄟ^對(duì)比國(guó)內(nèi)受害單位網(wǎng)絡(luò)中的攻擊樣本和CIA專屬的網(wǎng)絡(luò)武器，發(fā)現(xiàn)其中大量的專有技術(shù)細(xì)節(jié)吻合甚至完全相同。據(jù)美國(guó)官方消息，這些網(wǎng)絡(luò)武器是CIA的研發(fā)團(tuán)隊(duì)耗費(fèi)數(shù)年、耗資數(shù)百萬美元，在層層把守和防護(hù)下秘密研發(fā)的，只有經(jīng)過嚴(yán)格審查和管理的CIA相關(guān)人員才可以使用它們?！?/p>

第二，APT-C-39組織大部分樣本的技術(shù)細(xì)節(jié)與“穹窿7”文檔中描述的技術(shù)細(xì)節(jié)一致，如控制命令、編譯pdb路徑、加密方案等。專家表示，這些是規(guī)范化的攻擊組織常會(huì)出現(xiàn)的規(guī)律性特征，也是分類它們的方法之一。所以，由此也確定該組織是隸屬于CIA主導(dǎo)的國(guó)家級(jí)黑客組織。

第三，在“穹窿7”被維基解密公開曝光前，APT-C-39組織就已經(jīng)針對(duì)中國(guó)目標(biāo)使用相關(guān)網(wǎng)絡(luò)武器。360公司披露的信息顯示，早在2010年初，APT-C-39組織對(duì)我國(guó)境內(nèi)的網(wǎng)絡(luò)攻擊活動(dòng)中，已使用“穹窿7”網(wǎng)絡(luò)武器中的Fluxwire系列后門。此后APT-C-39組織還在不斷升級(jí)最新網(wǎng)絡(luò)武器，對(duì)我國(guó)境內(nèi)目標(biāo)頻繁發(fā)起網(wǎng)絡(luò)攻擊。

第四，APT-C-39組織使用的部分攻擊武器同美國(guó)國(guó)家安全局（NSA）存在關(guān)聯(lián)，維基解密披露的文件顯示NSA會(huì)協(xié)助CIA開發(fā)網(wǎng)絡(luò)武器。這也從側(cè)面證實(shí)了APT-C-39組織同美國(guó)情報(bào)機(jī)構(gòu)的關(guān)聯(lián)。

第五，APT-C-39組織的武器研發(fā)時(shí)間規(guī)律定位在美國(guó)時(shí)區(qū)。安全專家介紹說，惡意軟件的編譯時(shí)間是對(duì)其進(jìn)行規(guī)律研究、統(tǒng)計(jì)的一個(gè)常用方法，通過對(duì)惡意程序編譯時(shí)間的研究，可以探知其作者的工作與作息規(guī)律，從而獲知其大概所在的時(shí)區(qū)位置。APT-C-39組織編譯活動(dòng)時(shí)間接近美國(guó)東部時(shí)區(qū)的作息規(guī)律，也與CIA相符（CIA位于美國(guó)弗吉尼亞州，使用美國(guó)東部時(shí)間）?！?/p>

面對(duì)國(guó)家級(jí)網(wǎng)絡(luò)攻擊 應(yīng)如何應(yīng)付

CIA通過APT-C-39組織對(duì)中國(guó)關(guān)鍵領(lǐng)域的長(zhǎng)期網(wǎng)絡(luò)攻擊和滲透，可能獲得了哪些重要信息？接受采訪的360公司安全專家告訴《環(huán)球時(shí)報(bào)》記者，這次披露的攻擊活動(dòng)主要針對(duì)航空領(lǐng)域、政府單位、科研機(jī)構(gòu)等。例如在針對(duì)我國(guó)航空航天與科研機(jī)構(gòu)的攻擊中，APT-C-39組織主要圍繞這些機(jī)構(gòu)的系統(tǒng)開發(fā)人員進(jìn)行定向打擊。這些開發(fā)人員從事的內(nèi)容包括航空信息技術(shù)有關(guān)服務(wù)，如航班控制系統(tǒng)服務(wù)、貨運(yùn)信息服務(wù)、結(jié)算分銷服務(wù)、乘客信息服務(wù)等。

遭到網(wǎng)絡(luò)攻擊的航空信息技術(shù)服務(wù)不僅針對(duì)國(guó)內(nèi)航空航天領(lǐng)域，同時(shí)還覆蓋上百家海外及地區(qū)的商營(yíng)航空公司。該專家表示，對(duì)于CIA來說，為獲取類似的情報(bào)而進(jìn)行長(zhǎng)期、精心布局和大量投入是很常見的操作。在過去長(zhǎng)達(dá)11年的滲透攻擊中，或許早已掌握到中國(guó)乃至國(guó)際航空的精密信息，甚至不排除CIA已能追蹤定位全球的航班實(shí)時(shí)動(dòng)態(tài)、飛機(jī)飛行軌跡、乘客信息、貿(mào)易貨運(yùn)等相關(guān)情報(bào)。今年1月初，伊朗“圣城旅”指揮官蘇萊曼尼被美國(guó)精確“獵殺”，其中掌握到蘇萊曼尼航班和行程的精確信息是暗殺成功的最關(guān)鍵核心，而這些信息正是以CIA為代表的美國(guó)情報(bào)機(jī)構(gòu)通過包括網(wǎng)絡(luò)攻擊在內(nèi)的種種手段獲取的。

該專家警告稱，CIA針對(duì)中國(guó)進(jìn)行了長(zhǎng)達(dá)11年的網(wǎng)絡(luò)攻擊和滲透，“通過我們發(fā)現(xiàn)的相關(guān)受害目標(biāo)群推測(cè)，CIA已經(jīng)攻破了這些目標(biāo)，或已經(jīng)掌握了我國(guó)國(guó)內(nèi)和國(guó)際航空的大量機(jī)密信息”。

中國(guó)警察法學(xué)研究會(huì)反恐與網(wǎng)絡(luò)安全治理專委會(huì)常務(wù)副主任秦安3日接受《環(huán)球時(shí)報(bào)》記者采訪時(shí)評(píng)論稱，這是中國(guó)機(jī)構(gòu)首次詳細(xì)披露美方對(duì)中國(guó)發(fā)起網(wǎng)絡(luò)攻擊的相關(guān)證據(jù)，美國(guó)黑客可能已經(jīng)從中國(guó)網(wǎng)絡(luò)信息系統(tǒng)中竊取大量敏感數(shù)據(jù)，中國(guó)政府應(yīng)對(duì)CIA和有關(guān)黑客進(jìn)行司法起訴。秦安表示，美國(guó)一直鼓吹它是網(wǎng)絡(luò)攻擊的受害者，但事實(shí)證明它一直是網(wǎng)絡(luò)攻擊慣犯。美國(guó)對(duì)中國(guó)進(jìn)行長(zhǎng)時(shí)間的網(wǎng)絡(luò)攻擊，是霸權(quán)思維在網(wǎng)絡(luò)空間的延續(xù)，企圖通過其慣用的霸權(quán)行為來控制網(wǎng)絡(luò)空間，這應(yīng)該遭到世界的一致鄙視。

據(jù)了解，360安全大腦近年已發(fā)現(xiàn)40多起以國(guó)家級(jí)黑客為背景的APT攻擊，這些黑客潛伏、滲透在互聯(lián)網(wǎng)中竊取情報(bào)，涉及能源、通信、金融、交通、制造、教育、醫(yī)療等關(guān)鍵基礎(chǔ)設(shè)施和政府部門、科研機(jī)構(gòu)。專家警告說，在當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)中，國(guó)家級(jí)力量已經(jīng)入場(chǎng)，各行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施已經(jīng)成為他國(guó)國(guó)家級(jí)黑客的重點(diǎn)攻擊對(duì)象。要應(yīng)對(duì)這樣的網(wǎng)絡(luò)攻擊，需要業(yè)界共同打造和構(gòu)建一個(gè)國(guó)家級(jí)網(wǎng)絡(luò)攻防體系，提高國(guó)家網(wǎng)絡(luò)安全防御能力?！?/p>