360发布《网络战序幕:美国国安局NSA(APT-C-40)对全球发起长达十余年无差别攻击》报告
来源:数据观综合
3月24日,外交部发言人汪文斌主持例行记者会。有记者提问,不久前,中国网络安全企业360公司发布了《网络战序幕:美国国安局NSA(APT-C-40)对全球发起长达十余年无差别攻击》报告。日前,360公司完整披露了报告中提及的NSA针对中国境内目标的代表性网络武器——量子攻击平台的技术特点。发言人对此是否有进一步评论?
汪文斌表示:“我注意到相关报告。这个报告披露的内容显示,量子攻击是美国国家安全局针对国家级互联网专门设计的一种先进的网络流量劫持攻击技术。美方可以利用这一技术,对世界各国访问推特、油管、亚马逊等美国网站的所有互联网用户发起网络攻击,中国的社交软件也是攻击目标。这意味着无论你是谁,无论你在世界哪个角落,只要你使用网络社交平台,背后都可能有个‘老大’在盯着你。”
近年来,美方宣称构建所谓的“清洁网络”,酝酿成立所谓“未来互联网联盟”,以提升网络安全防范能力为由同多国加强网络安全合作。这次360公司的报告指出,许多与美国有合作的国家同样也是美国网络攻击的目标。此前曝出的“脏盒”“棱镜门”“怒角计划”“电幕行动”等美国网络监控和攻击内幕也表明,连美国的盟友、伙伴都在美国的严密监控之列。可见,所谓的“清洁网络”不过是美方为方便其全球监控窃密摆下的“迷魂阵”,是“黑客帝国”为自己披上的“隐身衣”。
汪文斌强调:“我们再次敦促美方在网络空间做一个负责任的国家,停止针对中国和全球的网络窃密和攻击。美方要求别国遵守的规则,自己首先应当遵守。”
NSA网络武器攻击已实现工程化、自动化和人工智能化
3月22日,360政企安全集团首次对外界完全披露美国国家安全局(NSA)针对中国境内目标所使用的代表性网络武器——quantum(量子)攻击平台的技术特点,同时证明美国的网络攻击属于无差别攻击,其可以劫持全世界任意地区任意上网用户的正常网页浏览流量。
根据360发布的报告显示,量子攻击是美国国家安全局针对国家级互联网专门设计的一种先进的网络流量劫持攻击技术,美国国家安全局利用量子攻击技术针对世界各国访问脸书、推特、油管、亚马逊等美国网站的所有互联网用户发起网络攻击,另外像qq等中国社交软件也同样是他们的攻击目标。
据悉,量子攻击系统是美国国家安全局最强大的互联网攻击工具,也是其进行网络情报战最重要的能力系统之一,创建于2004年,其下包含多个子项目,均以quantum开头命名。360云端安全大脑现已发现其包含的九种先进网络攻击能力模块,分别为quantuminsert(量子注入)、quantumbot(量子傀儡)、quantumbiscuit(量子饼干)、quantumdns(量子dns)、quantumhand(量子掌握)、quantumphantom(量子幻影)、quantumsky(量子天空)、quantumcopper(量子警察)、quantummackdown(量子下载)。
量子攻击系统主要针对国家级网络通信进行中间劫持,以实施漏洞利用、通信操控、情报窃取等一系列复杂网络攻击。360相关研究人员指出:“量子攻击可以劫持全世界任意地区任意上网用户的正常网页浏览流量,进行0day(零日)漏洞利用攻击并远程植入后门程序。”
根据介绍,为了监控全球互联网目标,美国国家安全局制定了众多的作战计划,相关计划涉及的具体任务会通过量子攻击平台实施,量子攻击的完整实施过程分为以下三个阶段:
第一阶段:
量子攻击实施者会首先对被攻击目标进行网络定位,整个定位过程是通过美国国家安全局持有的一整套“量子能力”,网络黑客攻击工具完成,这些工作具有对全球互联网巨头网络流量的远程劫持操控能力。
据美国国家安全局机密文档显示,“量子能力”的定位操作除了针对特定ip,更重要的是能够针对电子邮箱、社交网络、搜索引擎、视频网站等全球网民使用最多的互联网服务及不同的网站账号进行远程定位,快速找出攻击目标所处的网络及上网地点。
第二阶段:
在第二阶段,相关武器会全面监控攻击目标的互联网账号等相关网络通信内容和其它网络活动,包括上网终端中存储的静态文件、上网流量及通讯内容等等。美国国家安全局机密文档所示,量子攻击系统后台显示了如何监控雅虎、脸书和hotmail等美国互联网产品网络注册用户的部分细节,表明美国国家安全局实际上正在对全球各地使用美国互联网产品的用户实施无差别监控。
第三阶段:
第三阶段,美国国家安全局开始实施漏洞利用攻击,向受害者植入其专属后门程序,大量窃取受害者个人隐私和上网数据等内容。整个攻击过程中所采集的大量数据都是在用户毫不知情的情况下获得的。
报告显示,美国国家安全局(NSA)的全球化无差别黑客入侵行径,离不开庞大而复杂的网络武器平台支持。
一、美国NSA网络武器攻击已完全实现了工程化、自动化。网络战时代到来,网络武器的自动化、智能化优势成为超越信息优势的“进阶优势”,而NSA组织的quantum(量子)系统可能仅是冰山一角,美国或掌握着更多更高度工程化的网络攻击平台,其自动化的“思考”速度和质量,极大提高了美国自主作战系统实现制胜目标的优势,也为全球网络安全带来无穷隐忧。
二、为实施并制胜网络战,美国政府充分利用一切先进技术和网络资源。美国有着全球最先进的互联网技术,这是尽人皆知的,但为了掌握网络战主导权,美国将诸如quantum(量子)攻击系统等大量顶级技术手段、高端人才、情报力量纳入作战序列,由此可见,美国对发展网络作战力量的重视程度,并不计成本地投入资源、增加筹码。
三、美国的网络攻击属于无差别攻击,目标是全球范围,甚至包括美国盟友。由上述分析可见,美国针对各类电子邮箱、社交网络、搜索引擎、视频网站等几乎所有互联网用户发起无差别的网络攻击,美国的网络战略打击是全球性的、无节制的,在美国网络攻击的镰刀之下,没有哪一国能独善其身。
四、美国的网络战战略,或不仅限于网络窃密。通过公开的资料已知,美国已经完成了其网络战战略目标第一步——网络窃密,像斯诺登还有维基百科爆料的“棱镜”计划都属于这一范畴,但不排除美国的下一步目标野心将更大。一旦通过在对手的电脑网络中安插硬件或软件后门,实现关键目标远程操控,包括军事系统、国家公共安全领域的服务器、民航公路铁路交通系统的主机、银行金融系统的服务器等,如果美国更大的战略目标实现,其对手将毫无谈判余地。
NSA对47个国家地区发起长达10余年网络攻击
此前3月2日,360政企安全集团发布独家报告,公开披露美国国家安全局为达到美国政府情报收集目的,针对全球发起大规模网络攻击,其中我国是NSA组织的重点攻击目标之一。360发现了美国国家安全局针对系列行业龙头企业长达十余年时间的攻击活动,随后将NSA及其关联机构单独编号为APT-C-40。这是继2020年,360实锤美国中央情报局CIA(APT-C-39)对中国进行长达11年的网络攻击渗透后的又一次公开揭批。
360分析得出,NSA针对我国的大型攻击活动,仅Validator后门一项的感染量保守估计达几万数量级,随着持续攻击演进感染量甚至可能已经达到数十万、百万量级。对中国境内目标的攻击如政府、金融、科研院所、运营商、教育、军工、航空航天、医疗等行业,重要敏感单位及组织机构成为主要目标,占比重较大的是高科技领域。同时,360还分析发现其针对英国、德国、法国、韩国、波兰、日本、伊朗等全球超过47个国家和地区发起攻击,403个目标受到影响,潜伏时间长达十几年。
3月3日,针对360发布的报告,中国外交部发言人汪文斌表示:“我们注意到360公司的有关报告,谴责报告曝光的恶意网络活动,再次强烈敦促美方作出解释,并立即停止此类活动。中方将采取必要措施维护中国的网络安全和自身利益。360公司此前曾经发布APT-C-39报告,上周北京奇安盘古实验室刚发布美对中国网络攻击报告,再到这次APT-C-40报告,这一系列报告说明美国对中国进行了大规模、长时间、系统性的网络攻击,严重危害中国关键基础设施安全,海量个人数据安全以及商业和技术秘密,严重影响了中美在网络空间的互信。相关报告显示,美国在网络空间没有遵守任何国际规则,也彻底抛弃了中美2015年达成的网络安全双边共识。”
“具有讽刺意味的是,作为全球头号的黑客帝国,美国还以受害者形象误导国际社会,试图主导网络安全国际议程。”汪文斌说,美方发起了打击勒索软件倡议,酝酿成立所谓“未来互联网联盟”,成立各种小圈子,讨论供应链安全问题。值得注意的是,美方近来还以“提升网络能力”为由,加大与中国部分周边国家的网络安全合作,包括东亚、东南亚、南亚和中亚。根据中国网络安全公司的系列报告,很多与美有合作的国家也是美国网络攻击的目标。
汪文斌强调,网络空间是人类的共同家园,网络攻击是全球面临的共同威胁,中方再次强烈要求美国停止针对中国和全球的网络窃密和攻击,切实采取负责任的态度,与各方一道共同维护网络空间和平与安全。
详细揭秘:美国国安局的网络攻击手法
1、quantum(量子)攻击系统
quantum(量子)攻击系统是NSA发展的一系列网络攻击与利用平台的总称,其下包含多个子项目,均以quantum开头命名。它是NSA最强大的互联网攻击工具,也是NSA进行网络情报战最重要的能力系统之一,最早的项目从2004年就已经开始创建。
从文档中不难看出,在NSA的三个主要网络战方向(CNE、CNA、CND)中,quantum均有相关项目。NSA利用美国在全球网络通讯和互联网体系中所处的核心地位,利用先进技术手段实现对网络信号的监听、截获与自动化利用,quantum项目的本质就是在此基础上实现的一系列数据分析与利用能力。
2、FOXACID(酸狐狸)0Day漏洞攻击平台
QUANTUM(量子)攻击经常配套使用的是代号为FOXACID(酸狐狸)的系统。FOXACID是NSA设计的一个威力巨大的0Day漏洞攻击平台,并且可以对漏洞攻击的主要步骤实施自动化,甚至让没有什么网络攻击经验的运营商也参与进来,成为一件威力巨大的“大规模入侵工具”。根据NSA机密文档介绍,FOXACID服务器使用了各种浏览器0Day漏洞,比如Flash、IE、火狐浏览器漏洞,用于向计算机目标植入木马程序。
而从现有情报来看,FOXACID在2007年之前就已经开始投入运作,直到2013年仍有其使用的痕迹,以此估算其使用时间至少长达八年之久。NSA依靠与美国电信公司的秘密合作,把FOXACID服务器放在Internet骨干网,保证了FOXACID服务器的反应速度要快于实际网站服务器的反应速度。利用这个速度差,QUANTUM(量子)注入攻击可以在实际网站反应之前模仿这个网站,迫使目标机器的浏览器来访问FoxAcid服务器。
3、Validator(验证器)后门
Validator(验证器)是用于FoxAcid项目的主要后门程序之一,一般被用于NSA的初步入侵,通过其再植入更复杂的木马程序,比如UnitedRake(联合耙),每个被植入的计算机系统都会被分配一个唯一的验证ID。
根据NSA机密文档的描述,Validator主要配合FOXACID攻击使用,基于基本的C/S架构,为敏感目标提供了可供接触的后门。Validator可以通过远程和直接接触进行部署,并提供了7x24小时的在线能力。Validator是一种很简单的后门程序,提供了一种队列式的操作模式,只能支持上传下载文件、执行程序、获取系统信息、改变ID和自毁这类简单功能。
4、UNITEDRAKE(联合耙)后门系统
UNITEDRAKE(联合耙),是NSA开发的一套先进后门系统。360安全专家通过对泄露的相关文档进行分析,UNITEDRAKE的整体结构大致分为5个子系统,分别是服务器、系统管理界面、数据库、模块插件集和客户端,其关系如下所示:
服务器:服务器即为CC服务器,主要功能为接受客户端的连接请求,并且管理客户端和其他子系统间的通讯,设计该系统的目的为尽可能的减少操作请求次数。在文档中其被描述为 Listening Port,即监听端口。
系统管理界面:系统管理界面为一套图形用户界面,操作者可以通过该界面直接查看客户端状态、给客户端下发命令、管理插件和调整客户端的配置。在文档中其被描述为UR GUI。
插件模块集:该部分为整套UNITEDRAKE系统的技术核心,功能插件化使得整套系统具备极强的可扩展性和适应性;一个插件模块由一个或多个客户端插件,一个或多个服务端插件以及一个或多个系统管理界面组件组成的,三者配合共同组成一个完整的功能插件模块;并且针对不同的行动,插件模块可以根据任务需求弹性化选择组合与安装。
数据库:UNITEDRAKE系统使用SQL数据库来存储和管理信息:系统配置信息、客户端配置信息、各类状态信息和收集到的数据。
客户端:客户端程序,即为下发植入的木马程序;其能隐蔽的植入目标机器中,并为进一步的攻击提供支持,客户端的设计重点为提高隐蔽性。
360安全专家:美对华网络攻击出现“六大变化”
近日,360政企安全集团追日实验室负责人边亮在接受《环球时报》独家专访时表示,这些威胁一旦被引爆,危害将超越虚拟世界,给现实世界造成重大安全事件,各部门必须意识到网络安全的紧迫性并立即采取措施防范潜在威胁。
NSA与CIA的攻击区别
环球时报:请问360公司是如何最终确定发现攻击方来自NSA?
边亮:根据维基百科记录,NSA下设一个名为接入技术行动处的绝密部门TAO (Tailored Access Operations,也称“特定入侵行动办公室”),主要负责对其他国家互联网设施进行网络监控、情报获取,甚至远程破坏等活动。这个部门至少在1998年时就开始活跃。从2008年开始,360通过安全大脑整合海量的安全大数据,捕获发现大量异常复杂的网络黑客攻击程序样本,经过长期分析跟踪并从多个受害单位实地取证,确认其中一大批黑客攻击程序样本属于NSA。
环球时报:NSA实施的网络攻击是否有其特有属性?
边亮:与常规的黑客攻击破坏活动不同,NSA的黑客攻击更为精细化,能针对正常网络流量中的任意网络通信和文件传输进行操控、分析和破坏,特定情况下可以远程关闭或破坏遭攻击目标的关键信息基础设施和水、电、气等民生设施。
环球时报:2020年,360公司曾经公开披露过CIA(美国中央情报局)对全球的攻击,与NSA相比较,这两者之间有何不同?
边亮:从攻击工具看,美国CIA是利用核心网络武器“Vault7(穹窿7)”进行的一系列攻击活动。而此次所披露的NSA网络武器数量更多,攻击能力更强,并且这些网络武器相互之间已经实现自动化、工业化和人工智能化利用。
在攻击目标方面,此前披露的CIA组织主要针对我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位,其中较为突出的是以航空航天与科研机构的系统开发人员为目标进行定向打击。而此次NSA组织的网络攻击属于无差别攻击,目标是全球范围,甚至包括美国盟友。其针对各类电子邮箱、社交网络、搜索引擎、视频网站等几乎所有互联网用户发起无差别的网络攻击。
秘密黑客攻击长达十余年
环球时报:在360的长期跟踪研究中,美国对我国的网络攻击是否出现一些新特点?
边亮:的确出现一些变化,有一些新特点,我们总结为“六大变化”。首先,对手变大了:从以前的个体性黑客发展成为NSA和CIA牵头的有规模有组织的网军;其次,实施攻击的领域越来越大,战场变大:从上网计算机、信息网络,到军用、民用等各种关键信息基础设施;第三,手段变多,呈现多样化:从木马、病毒到漏洞、后门、仿冒服务器等;第四,对手攻击目标变大:从此前炫技、黑产发展到国家关键信息基础设施,重大国家秘密;第五,相应的挑战变大:威胁难以事先防范,无孔不入;第六,危害变大:平时窃取对手国家秘密,战时成为首选战争形态、重要情报来源、制造动乱等。
环球时报:您刚刚提到NSA实施的网络攻击特点之一是危害变大,那么对我国带来怎样的危害?
边亮:根据360掌握的数据,NSA针对我国各行业龙头企业、政府、大学、医疗机构、科研机构甚至关乎国计民生的重要信息基础设施运维单位等机构进行长达十余年时间的秘密黑客攻击活动,窃取海量重要数据,包括人口数据、医疗卫生数据、教育科研数据、军事国防数据、航空航天数据、社会管理数据、交通管理数据、基础设施数据等,在我国众多的信息系统中植入后门,造成的现实危害和潜在威胁难以评估。这些威胁,一旦被引爆,危害将超越虚拟世界,给现实世界造成重大安全事件。
环球时报:实际上在近期爆发的俄乌战争中,网络战已经超越虚拟世界走入现实。请您描述一下网络战究竟会以何种形式进行?
边亮:毫无疑问,数字时代下网络战将成首选。随着未来数字城市万物互联,智能终端和网络用户数量的增加、数据来源的广泛以及数据的多样化和数据结构的复杂化,使得各种承载城市运行数据的关键信息基础设施难以有效维护,进而产生网络安全建设及运营风险。同时,关键信息基础设施各种软硬件系统的漏洞也难以避免被用于攻击。
这也就意味着网络战攻击不仅仅是为了窃取情报,还可以对交通、能源等基础设施造成破坏,任何一个节点都可能成为攻击跳板,牵一发而动全身引发严重后果,为此必须要意识到网络战的严峻形势,正视网络战。
中方如何防范?
环球时报:对于这种现状,我们该如何防范?
边亮:我们建议将网络安全升级为数字安全,打造覆盖所有数字化场景的数字安全防范应急体系,鼓励相关机构主动上报风险。这要求建立区域、行业级安全大脑,打造国家级防御体系——国家级分布式安全大脑,为“看见”网络攻击提供能力基础。
此外,城市是未来网络战的主要打击对象。应该建立城市的应急响应体系,建立类似城市级“防空反导”系统的安全基础设施。同时,要加强实网实兵实战演练,在实战中提升各单位的攻防能力。
第四,全网测绘、摸清家底,要定期针对关键基础设施展开APT(高级可持续威胁攻击)排查。要假定敌已在我,实时动态推进重要信息系统排查,摸清家底,实现自动化威胁识别、风险阻断和攻击溯源。
环球时报:当前我们网络防御体系建设已经有了长足进步,您认为哪些方面仍需要进一步加强?
边亮:首先,提升网络安全和保密意识。建立信息系统的单位无论规模大小,都要确保单位领导充分意识到网络安全的紧迫性并立即采取措施防范潜在威胁。同时要提升本单位网络安全防护能力。此外,降低破坏性网络入侵的可能性,比如对组织机构网络的所有远程访问和特权或管理访问需要多因素身份验证。
最后是要确保企业或组织在被入侵时及时响应。比如测试备份程序,确保本单位受到勒索软件或其他网络攻击时,能够迅速恢复关键数据。遭到勒索软件或其他网络攻击时,确保备份与网络隔离等。
附:360针对quantum(量子)攻击平台技术特点的分析报告
专知便捷查看
便捷下载,请关注专知公众号(点击上方蓝色专知关注)
后台回复“APT40” 就可以获取《360发布《网络战序幕:美国国安局NSA(APT-C-40)对全球发起长达十余年无差别攻击》报告》专知下载链接
请扫码加入专知人工智能群(长按二维码),或者加专知小助手微信(zhuanzhi02),加入专知主题群(请备注主题类型:AI、NLP、CV、 KG、论文等)交流~
相关内容
微信扫码咨询专知VIP会员