本報(bào)記者 趙覺珵 劉彩 玉馬俊 本報(bào)特約記者 武彥
國(guó)防部發(fā)言人吳謙在2月28日的記者會(huì)上剛表示“在網(wǎng)絡(luò)安全問題上,美方是國(guó)際公認(rèn)的竊密慣犯”。中國(guó)網(wǎng)絡(luò)安全公司360公司3月3日就爆出猛料:“多方面證據(jù)證實(shí)美國(guó)對(duì)中國(guó)關(guān)鍵領(lǐng)域的網(wǎng)絡(luò)攻擊已經(jīng)持續(xù)了11年”。這是中國(guó)機(jī)構(gòu)首次詳細(xì)披露相關(guān)證據(jù),該結(jié)論到底如何得出?美國(guó)此舉對(duì)中國(guó)危害多大?《環(huán)球時(shí)報(bào)》記者就此采訪了多名業(yè)內(nèi)專家。
涉美神秘組織長(zhǎng)期對(duì)華發(fā)動(dòng)網(wǎng)絡(luò)攻擊
360公司于3月3日宣布,通過該公司旗下“360安全大腦”的調(diào)查分析,發(fā)現(xiàn)美國(guó)中央情報(bào)局(CIA)的國(guó)家級(jí)黑客組織“APT-C-39(由360公司命名)”對(duì)中國(guó)進(jìn)行了長(zhǎng)達(dá)11年的網(wǎng)絡(luò)攻擊和滲透。
美國(guó)媒體此前曾披露,作為CIA諸多重要黑客工具和網(wǎng)絡(luò)武器主要設(shè)計(jì)研發(fā)骨干之一的約書亞·亞當(dāng)·舒爾特,曾在2017年向維基解密提供了關(guān)鍵的“拷貝情報(bào)”,向全球披露8716份來自CIA網(wǎng)絡(luò)情報(bào)中心的文件,涵蓋CIA黑客部隊(duì)的攻擊手法、目標(biāo)、工具的技術(shù)規(guī)范和要求,這一系列機(jī)密文件被稱為“Vault7(穹窿7)”項(xiàng)目。這次事件被列為“CIA歷史上最大一次機(jī)密國(guó)防情報(bào)泄露事件”。
360安全大腦通過對(duì)泄露的“穹窿7”網(wǎng)絡(luò)武器資料的研究,并對(duì)其深入分析和溯源,于全球首次發(fā)現(xiàn)與其關(guān)聯(lián)的一系列針對(duì)我國(guó)航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等長(zhǎng)達(dá)11年的定向攻擊活動(dòng)。這些攻擊活動(dòng)最早可以追溯到2008年(從2008年9月一直持續(xù)到2019年6月左右),并主要集中在北京、廣東、浙江等省份。上述這些定向攻擊活動(dòng)都?xì)w結(jié)于一個(gè)鮮少被外界曝光的涉美APT(高級(jí)可持續(xù)攻擊)組織——APT-C-39。
一名360公司網(wǎng)絡(luò)安全專家3日接受《環(huán)球時(shí)報(bào)》記者采訪時(shí)表示,已被公開的“穹窿7”項(xiàng)目信息顯示,幾乎所有的主流計(jì)算機(jī)、移動(dòng)設(shè)備、智能設(shè)備、物聯(lián)網(wǎng)設(shè)備等,CIA都配備了針對(duì)性的網(wǎng)絡(luò)攻擊武器。例如Flux?wire系列后門是“穹窿7”項(xiàng)目中數(shù)十種網(wǎng)絡(luò)武器之一?!巴ㄋ椎卣f,它是一個(gè)計(jì)算機(jī)后門程序,但與我們一般遇到的木馬、后門程序不同的是,它是一個(gè)大型、復(fù)雜的國(guó)家級(jí)網(wǎng)絡(luò)攻擊平臺(tái),可以攻擊控制Windows、Linux、MacOS等所有主流操作系統(tǒng)及軟硬件設(shè)備。它的目的是要穩(wěn)定且隱蔽地控制各類電子設(shè)備,伺機(jī)而動(dòng)發(fā)起網(wǎng)絡(luò)攻擊,竊取我國(guó)相關(guān)單位的機(jī)密情報(bào)?!痹搶<彝嘎?,360安全大腦披露的這些攻擊活動(dòng)還涉及“穹窿7”項(xiàng)目的其他大量網(wǎng)絡(luò)武器,它們可在不同攻擊階段相互配合。
近年來,不斷有信息曝光以CIA為主的美國(guó)政府機(jī)構(gòu)正通過各種方式進(jìn)行黑客活動(dòng)或大規(guī)模的監(jiān)控。10年前針對(duì)伊朗核設(shè)施的“震網(wǎng)”病毒攻擊,去年委內(nèi)瑞拉大面積停電以及針對(duì)俄羅斯和伊朗基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊,背后均有美國(guó)網(wǎng)軍的身影。
根據(jù)維基解密2017年披露的信息,CIA的網(wǎng)絡(luò)武器“能將任何設(shè)備變成監(jiān)視設(shè)備”,包括電腦、智能手機(jī)、游戲機(jī)、路由器和智能電視。今年2月,美國(guó)《華盛頓郵報(bào)》稱,CIA從20世紀(jì)50年代就布局收購(gòu)并完全控制瑞士加密設(shè)備廠商CryptoAG,在長(zhǎng)達(dá)70年的歷史中,該公司售往全球100多個(gè)國(guó)家的加密設(shè)備都被CIA植入后門程序,使得這期間CIA可以解密這些國(guó)家的相關(guān)加密通信和情報(bào)?!?/p>
“穹窿7”成為關(guān)鍵證據(jù)
360公司網(wǎng)絡(luò)安全專家表示,在美國(guó)聯(lián)邦法庭針對(duì)約書亞的起訴書中,美國(guó)檢方公訴人證實(shí)了“穹窿7”的存在以及它與CIA的關(guān)系。這成為證明CIA是伸向中國(guó)“幕后黑手”的關(guān)鍵證據(jù)。
第一,APT-C-39組織大量使用Fluxwire、Grasshopper等網(wǎng)絡(luò)武器對(duì)中國(guó)目標(biāo)實(shí)施網(wǎng)絡(luò)攻擊。通過對(duì)比相關(guān)樣本代碼、行為指紋等信息,可以確定該組織使用的即為“穹窿7”項(xiàng)目中描述的CIA專屬網(wǎng)絡(luò)武器。
該專家解釋說,樣本代碼、行為指紋等證據(jù)信息和刑偵中的指紋、筆跡等概念類似,它是溯源網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)攻擊的重要手段之一?!拔覀兺ㄟ^對(duì)比國(guó)內(nèi)受害單位網(wǎng)絡(luò)中的攻擊樣本和CIA專屬的網(wǎng)絡(luò)武器,發(fā)現(xiàn)其中大量的專有技術(shù)細(xì)節(jié)吻合甚至完全相同。據(jù)美國(guó)官方消息,這些網(wǎng)絡(luò)武器是CIA的研發(fā)團(tuán)隊(duì)耗費(fèi)數(shù)年、耗資數(shù)百萬美元,在層層把守和防護(hù)下秘密研發(fā)的,只有經(jīng)過嚴(yán)格審查和管理的CIA相關(guān)人員才可以使用它們?!?/p>
第二,APT-C-39組織大部分樣本的技術(shù)細(xì)節(jié)與“穹窿7”文檔中描述的技術(shù)細(xì)節(jié)一致,如控制命令、編譯pdb路徑、加密方案等。專家表示,這些是規(guī)范化的攻擊組織常會(huì)出現(xiàn)的規(guī)律性特征,也是分類它們的方法之一。所以,由此也確定該組織是隸屬于CIA主導(dǎo)的國(guó)家級(jí)黑客組織。
第三,在“穹窿7”被維基解密公開曝光前,APT-C-39組織就已經(jīng)針對(duì)中國(guó)目標(biāo)使用相關(guān)網(wǎng)絡(luò)武器。360公司披露的信息顯示,早在2010年初,APT-C-39組織對(duì)我國(guó)境內(nèi)的網(wǎng)絡(luò)攻擊活動(dòng)中,已使用“穹窿7”網(wǎng)絡(luò)武器中的Fluxwire系列后門。此后APT-C-39組織還在不斷升級(jí)最新網(wǎng)絡(luò)武器,對(duì)我國(guó)境內(nèi)目標(biāo)頻繁發(fā)起網(wǎng)絡(luò)攻擊。
第四,APT-C-39組織使用的部分攻擊武器同美國(guó)國(guó)家安全局(NSA)存在關(guān)聯(lián),維基解密披露的文件顯示NSA會(huì)協(xié)助CIA開發(fā)網(wǎng)絡(luò)武器。這也從側(cè)面證實(shí)了APT-C-39組織同美國(guó)情報(bào)機(jī)構(gòu)的關(guān)聯(lián)。
第五,APT-C-39組織的武器研發(fā)時(shí)間規(guī)律定位在美國(guó)時(shí)區(qū)。安全專家介紹說,惡意軟件的編譯時(shí)間是對(duì)其進(jìn)行規(guī)律研究、統(tǒng)計(jì)的一個(gè)常用方法,通過對(duì)惡意程序編譯時(shí)間的研究,可以探知其作者的工作與作息規(guī)律,從而獲知其大概所在的時(shí)區(qū)位置。APT-C-39組織編譯活動(dòng)時(shí)間接近美國(guó)東部時(shí)區(qū)的作息規(guī)律,也與CIA相符(CIA位于美國(guó)弗吉尼亞州,使用美國(guó)東部時(shí)間)?!?/p>
面對(duì)國(guó)家級(jí)網(wǎng)絡(luò)攻擊 應(yīng)如何應(yīng)付
CIA通過APT-C-39組織對(duì)中國(guó)關(guān)鍵領(lǐng)域的長(zhǎng)期網(wǎng)絡(luò)攻擊和滲透,可能獲得了哪些重要信息?接受采訪的360公司安全專家告訴《環(huán)球時(shí)報(bào)》記者,這次披露的攻擊活動(dòng)主要針對(duì)航空領(lǐng)域、政府單位、科研機(jī)構(gòu)等。例如在針對(duì)我國(guó)航空航天與科研機(jī)構(gòu)的攻擊中,APT-C-39組織主要圍繞這些機(jī)構(gòu)的系統(tǒng)開發(fā)人員進(jìn)行定向打擊。這些開發(fā)人員從事的內(nèi)容包括航空信息技術(shù)有關(guān)服務(wù),如航班控制系統(tǒng)服務(wù)、貨運(yùn)信息服務(wù)、結(jié)算分銷服務(wù)、乘客信息服務(wù)等。
遭到網(wǎng)絡(luò)攻擊的航空信息技術(shù)服務(wù)不僅針對(duì)國(guó)內(nèi)航空航天領(lǐng)域,同時(shí)還覆蓋上百家海外及地區(qū)的商營(yíng)航空公司。該專家表示,對(duì)于CIA來說,為獲取類似的情報(bào)而進(jìn)行長(zhǎng)期、精心布局和大量投入是很常見的操作。在過去長(zhǎng)達(dá)11年的滲透攻擊中,或許早已掌握到中國(guó)乃至國(guó)際航空的精密信息,甚至不排除CIA已能追蹤定位全球的航班實(shí)時(shí)動(dòng)態(tài)、飛機(jī)飛行軌跡、乘客信息、貿(mào)易貨運(yùn)等相關(guān)情報(bào)。今年1月初,伊朗“圣城旅”指揮官蘇萊曼尼被美國(guó)精確“獵殺”,其中掌握到蘇萊曼尼航班和行程的精確信息是暗殺成功的最關(guān)鍵核心,而這些信息正是以CIA為代表的美國(guó)情報(bào)機(jī)構(gòu)通過包括網(wǎng)絡(luò)攻擊在內(nèi)的種種手段獲取的。
該專家警告稱,CIA針對(duì)中國(guó)進(jìn)行了長(zhǎng)達(dá)11年的網(wǎng)絡(luò)攻擊和滲透,“通過我們發(fā)現(xiàn)的相關(guān)受害目標(biāo)群推測(cè),CIA已經(jīng)攻破了這些目標(biāo),或已經(jīng)掌握了我國(guó)國(guó)內(nèi)和國(guó)際航空的大量機(jī)密信息”。
中國(guó)警察法學(xué)研究會(huì)反恐與網(wǎng)絡(luò)安全治理專委會(huì)常務(wù)副主任秦安3日接受《環(huán)球時(shí)報(bào)》記者采訪時(shí)評(píng)論稱,這是中國(guó)機(jī)構(gòu)首次詳細(xì)披露美方對(duì)中國(guó)發(fā)起網(wǎng)絡(luò)攻擊的相關(guān)證據(jù),美國(guó)黑客可能已經(jīng)從中國(guó)網(wǎng)絡(luò)信息系統(tǒng)中竊取大量敏感數(shù)據(jù),中國(guó)政府應(yīng)對(duì)CIA和有關(guān)黑客進(jìn)行司法起訴。秦安表示,美國(guó)一直鼓吹它是網(wǎng)絡(luò)攻擊的受害者,但事實(shí)證明它一直是網(wǎng)絡(luò)攻擊慣犯。美國(guó)對(duì)中國(guó)進(jìn)行長(zhǎng)時(shí)間的網(wǎng)絡(luò)攻擊,是霸權(quán)思維在網(wǎng)絡(luò)空間的延續(xù),企圖通過其慣用的霸權(quán)行為來控制網(wǎng)絡(luò)空間,這應(yīng)該遭到世界的一致鄙視。
據(jù)了解,360安全大腦近年已發(fā)現(xiàn)40多起以國(guó)家級(jí)黑客為背景的APT攻擊,這些黑客潛伏、滲透在互聯(lián)網(wǎng)中竊取情報(bào),涉及能源、通信、金融、交通、制造、教育、醫(yī)療等關(guān)鍵基礎(chǔ)設(shè)施和政府部門、科研機(jī)構(gòu)。專家警告說,在當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)中,國(guó)家級(jí)力量已經(jīng)入場(chǎng),各行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施已經(jīng)成為他國(guó)國(guó)家級(jí)黑客的重點(diǎn)攻擊對(duì)象。要應(yīng)對(duì)這樣的網(wǎng)絡(luò)攻擊,需要業(yè)界共同打造和構(gòu)建一個(gè)國(guó)家級(jí)網(wǎng)絡(luò)攻防體系,提高國(guó)家網(wǎng)絡(luò)安全防御能力?!?/p>