記載歷史時刻，全球首家實錘！涉美CIA攻擊組織對我國發(fā)起網(wǎng)絡(luò)攻擊。

全球首家實錘

360安全大腦捕獲了美國中央情報局CIA攻擊組織（APT-C-39）對我國進行的長達十一年的網(wǎng)絡(luò)攻擊滲透。在此期間，我國航空航天、科研機構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機構(gòu)等多個單位均遭到不同程度的攻擊。不但如此，360安全大腦通過關(guān)聯(lián)相關(guān)情報，還定位到負責從事研發(fā)和制作相關(guān)網(wǎng)絡(luò)武器的CIA前雇員：約書亞?亞當?舒爾特(Joshua Adam Schulte)。在該組織攻擊我國目標期間，他在CIA的秘密行動處(NCS)擔任科技情報主管職位，直接參與研發(fā)了針對我國攻擊的網(wǎng)絡(luò)武器：Vault7（穹窿7）。這部分相關(guān)線索，更進一步地將360安全大腦發(fā)現(xiàn)的這一APT組織的攻擊來源，鎖定為美國中央情報局。

美國中央情報局（CentralIntelligence Agency，簡稱CIA），一個可以比美國國家安全局（NSA）更為世人熟知的名字，它是美國聯(lián)邦政府主要情報搜集機構(gòu)之一，下設(shè)情報處(DI)、秘密行動處 (NCS) 、科技處(DS&T)、支援處(DS)四大部門，總部位于美國弗吉尼亞州的蘭利。

其主要業(yè)務(wù)包括：

收集外國政府、公司和個人的信息；

分析其他美國情報機構(gòu)收集的信息以及情報；

提供國家安全情報評估給美國高級決策者；

在美國總統(tǒng)要求下執(zhí)行或監(jiān)督秘密活動等。

CIA核心網(wǎng)絡(luò)武器“Vault7”成重要突破口

360安全大腦全球首家捕獲涉美攻擊組織

APT-C-39

時間追溯到2017年，維基解密接受了來自約書亞的“拷貝情報”，向全球披露了8716份來自美國中央情報局CIA網(wǎng)絡(luò)情報中心的文件，其中包含涉密文件156份，涵蓋了CIA黑客部隊的攻擊手法、目標、工具的技術(shù)規(guī)范和要求。而這次的公布中，其中包含了核心武器文件——“Vault7（穹窿7）”。

360安全大腦通過對泄漏的“Vault7（穹窿7）”網(wǎng)絡(luò)武器資料的研究，并對其深入分析和溯源，于全球首次發(fā)現(xiàn)與其關(guān)聯(lián)的一系列針對我國航空航天、科研機構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機構(gòu)等長達十一年的定向攻擊活動。

而這些攻擊活動最早可以追溯到2008年（從2008年9月一直持續(xù)到2019年6月左右），并主要集中在北京、廣東、浙江等省市。

而上述這些定向攻擊活動都歸結(jié)于一個鮮少被外界曝光的涉美APT組織——APT-C-39（360安全大腦將其單獨編號）。

關(guān)于APT-C-39組織其攻擊實力如何，有多大的安全隱患？這里以航空航天機構(gòu)為例說明。

因涉及國家安全領(lǐng)域，所以我們只披露360安全大腦所掌握情報數(shù)據(jù)的部分細節(jié)：其中CIA在針對我國航空航天與科研機構(gòu)的攻擊中，我們發(fā)現(xiàn)：主要是圍繞這些機構(gòu)的系統(tǒng)開發(fā)人員來進行定向打擊。

而這些開發(fā)人員主要從事的是：航空信息技術(shù)有關(guān)服務(wù)，如航班控制系統(tǒng)服務(wù)、貨運信息服務(wù)、結(jié)算分銷服務(wù)、乘客信息服務(wù)等。

(航空信息技術(shù)有關(guān)服務(wù)：指為國內(nèi)與國際商營航空公司提供航班控制系統(tǒng)服務(wù)，乘客信息服務(wù)，機場旅客處理系統(tǒng)服務(wù)及相關(guān)數(shù)據(jù)、延伸信息技術(shù)服務(wù)。)

值得注意的是，CIA所攻擊的航空信息技術(shù)服務(wù)，不僅僅是針對國內(nèi)航空航天領(lǐng)域，同時還覆蓋百家海外及地區(qū)的商營航空公司，CIA此舉的目的到底為何？

其實，對于CIA來說，為獲取類似的情報而進行長期、精心布局和大量投入是很常見的操作。

就在今年2月初，《華盛頓郵報》等媒體的聯(lián)合調(diào)查報道指出，CIA從上世紀五十年代開始就布局收購并完全控制了瑞士加密設(shè)備廠商Crypto AG，在長達七十年的歷史中，該公司售往全球一百多個國家的加密設(shè)備都被CIA植入了后門程序，使得這期間CIA都可以解密這些國家的相關(guān)加密通訊和情報。

至此，我們可以推測：CIA在過去長達十一年的滲透攻擊里，通過攻破或許早已掌握到了我乃至國際航空的精密信息，甚至不排除CIA已實時追蹤定位全球的航班實時動態(tài)、飛機飛行軌跡、乘客信息、貿(mào)易貨運等相關(guān)情報。

如猜測屬實，那CIA掌控到如此機密的重要情報，將會做出哪些意想不到的事情呢？獲取關(guān)鍵人物的行程信息，進而政治威脅，或軍事打壓......

這并不是危言聳聽，2020年1月初，伊朗將軍卡西姆?蘇萊曼尼被美軍“獵殺”，其中掌握到蘇萊曼尼航班和行程的精確信息就是暗殺成功的最關(guān)鍵核心，而這些信息正是以CIA為代表的美國情報機構(gòu)通過包括網(wǎng)絡(luò)攻擊在內(nèi)的種種手段獲取的。這一事件，是美國情報機構(gòu)在現(xiàn)實世界作用的一個典型案例。

360安全大腦精準鎖定CIA"武器"研發(fā)關(guān)鍵人物

約書亞?亞當?舒爾特

(JoshuaAdam Schulte)

提到CIA關(guān)鍵網(wǎng)絡(luò)武器——“Vault7（穹窿7）”，就不得不介紹一下這位CIA前雇員：約書亞?亞當?舒爾特(Joshua Adam Schulte)。

約書亞?亞當?舒爾特(JoshuaAdam Schulte，以下簡稱約書亞)，1988年9月出生于美國德克薩斯州拉伯克，現(xiàn)年31歲，畢業(yè)于德薩斯大學斯汀分校，曾作為實習生在美國國家安全局（NSA）工作過一段時間，于2010年加入美國中央情報局CIA，在其秘密行動處（NCS）擔任科技情報主管。

(國家秘密行動處(NCS)充當中央情報局秘密部門，是協(xié)調(diào)、去除沖突以及評估美國情報界秘密行動的國家主管部門。)

精通網(wǎng)絡(luò)武器設(shè)計研發(fā)專業(yè)技術(shù)，又懂情報運作，約書亞成為CIA諸多重要黑客工具和網(wǎng)絡(luò)空間武器主要參與設(shè)計研發(fā)者核心骨干之一。這其中就包含“Vault7（穹窿7）” CIA這一關(guān)鍵網(wǎng)絡(luò)武器。

2016年，約書亞利用其在核心機房的管理員權(quán)限和設(shè)置的后門，拷走了“Vault7（穹窿7）”并“給到”維基解密組織，該組織于2017年將資料公布在其官方網(wǎng)站上。

2018年，約書亞因泄露行為被美國司法部逮捕并起訴，2020年2月4日，在聯(lián)邦法庭的公開聽證會上，檢方公訴人認定，約書亞作為CIA網(wǎng)絡(luò)武器的核心研發(fā)人員和擁有其內(nèi)部武器庫最高管理員權(quán)限的負責人，將網(wǎng)絡(luò)武器交由維基解密公開，犯有“在中央情報局歷史上最大的一次機密國防情報泄露事件”。

以上約書亞的個人經(jīng)歷和泄露的信息，為我們提供了重要線索，而其研發(fā)并由美國檢方公訴人證實的核心網(wǎng)絡(luò)武器“Vault7（穹窿7）”，成為實錘APT-C-39隸屬于美國中央情報局CIA的重要突破口。

五大關(guān)聯(lián)證據(jù)實錘

APT-C-39組織隸屬于美國中央情報局

以“Vault7（穹窿7）” 為核心關(guān)聯(lián)點，再透過約書亞以上一系列經(jīng)歷與行為，為我們定位APT-C-39組織的歸屬提供了重要線索信息。此外，再綜合考慮該APT-C-39網(wǎng)絡(luò)武器使用的獨特性和時間周期，360安全大腦最終判定：該組織的攻擊行為，正是由約書亞所在的CIA主導的國家級黑客組織發(fā)起。具體關(guān)聯(lián)證據(jù)如下：

證 據(jù) 一

APT-C-39組織使用了大量CIA“Vault7（穹窿7）”項目中的專屬網(wǎng)絡(luò)武器

研究發(fā)現(xiàn)，APT-C-39組織多次使用了Fluxwire，Grasshopper等CIA專屬網(wǎng)絡(luò)武器針對我國目標實施網(wǎng)絡(luò)攻擊。

通過對比相關(guān)的樣本代碼、行為指紋等信息，可以確定該組織使用的網(wǎng)絡(luò)武器即為“Vault7（穹窿7）”項目中所描述的網(wǎng)絡(luò)攻擊武器。

證 據(jù) 二

APT-C-39組織大部分樣本的技術(shù)細節(jié)與“Vault7（穹窿7）”文檔中描述的技術(shù)細節(jié)一致

360安全大腦分析發(fā)現(xiàn)，大部分樣本的技術(shù)細節(jié)與“Vault7（穹窿7）”文檔中描述的技術(shù)細節(jié)一致，如控制命令、編譯pdb路徑、加密方案等。

這些是規(guī)范化的攻擊組織常會出現(xiàn)的規(guī)律性特征，也是分類它們的方法之一。所以，確定該組織隸屬于CIA主導的國家級黑客組織。

證 據(jù) 三

早在“Vault7（穹窿7）”網(wǎng)絡(luò)武器被維基解密公開曝光前，APT-C-39組織就已經(jīng)針對中國目標使用了相關(guān)網(wǎng)絡(luò)武器

2010年初，APT-C-39組織已對我國境內(nèi)的網(wǎng)路攻擊活動中，使用了“Vault7（穹窿7）”網(wǎng)絡(luò)武器中的Fluxwire系列后門。這遠遠早于2017年維基百科對“Vault7（穹窿7）”網(wǎng)絡(luò)武器的曝光。這也進一步印證了其網(wǎng)絡(luò)武器的來源。

在通過深入分析解密了“Vault7（穹窿7）” 網(wǎng)絡(luò)武器中Fluxwire后門中的版本信息后，360安全大腦將APT-C-39組織歷年對我國境內(nèi)目標攻擊使用的版本、攻擊時間和其本身捕獲的樣本數(shù)量進行統(tǒng)計歸類，如下表：

從表中可以看出，從2010年開始，APT-C-39組織就一直在不斷升級最新的網(wǎng)絡(luò)武器，對我國境內(nèi)目標頻繁發(fā)起網(wǎng)絡(luò)攻擊。

證 據(jù) 四

APT-C-39組織使用的部分攻擊武器同NSA存在關(guān)聯(lián)

WISTFULTOLL是2014年 NSA泄露文檔中的一款攻擊插件。

在2011年針對我國某大型互聯(lián)網(wǎng)公司的一次攻擊中，APT-C-39組織使用了WISTFULTOOL插件對目標進行攻擊。

與此同時，在維基解密泄露的CIA機密文檔中，證實了NSA會協(xié)助CIA研發(fā)網(wǎng)絡(luò)武器，這也從側(cè)面證實了APT-C-39組織同美國情報機構(gòu)的關(guān)聯(lián)。

證 據(jù) 五

APT-C-39組織的武器研發(fā)時間規(guī)律定位在美國時區(qū)

根據(jù)該組織的攻擊樣本編譯時間統(tǒng)計，樣本的開發(fā)編譯時間符合北美洲的作息時間。

惡意軟件的編譯時間是對其進行規(guī)律研究、統(tǒng)計的一個常用方法，通過惡意程序的編譯時間的研究，我們可以探知其作者的工作與作息規(guī)律，從而獲知其大概所在的時區(qū)位置。

下表就是APT-C-39組織的編譯活動時間表（時間我們以東8時區(qū)為基準），可以看出該組織活動接近于美國東部時區(qū)的作息時間，符合CIA的定位。（位于美國弗吉尼亞州，使用美國東部時間。）

綜合上述技術(shù)分析和數(shù)字證據(jù)，我們完全有理由相信：APT-C-39組織隸屬于美國，是由美國情報機構(gòu)參與發(fā)起的攻擊行為。

尤其是在調(diào)查分析過程中，360安全大腦資料已顯示，該組織所使用的網(wǎng)絡(luò)武器和CIA “Vault7（穹窿7）”項目中所描述網(wǎng)絡(luò)武器幾乎完全吻合。而CIA “Vault7（穹窿7）”武器從側(cè)面顯示美國打造了全球最大網(wǎng)絡(luò)武器庫，而這不僅給全球網(wǎng)絡(luò)安全帶來了嚴重威脅，更是展示出該APT組織高超的技術(shù)能力和專業(yè)化水準。

戰(zhàn)爭的形式不止于兵戎相見這一種。網(wǎng)絡(luò)空間早已成為大國較量的另一重要戰(zhàn)場。而若與美國中央情報局CIA博弈，道阻且長！

最后

關(guān)于360安全大腦—APT威脅情報中心：

從2014年開始，360安全大腦通過整合海量安全大數(shù)據(jù)，實現(xiàn)了APT威脅情報的快速關(guān)聯(lián)溯源，獨家發(fā)現(xiàn)并追蹤了四十個APT組織及黑客團伙，獨立發(fā)現(xiàn)了多起境外APT組織使用“在野”0day漏洞針對我國境內(nèi)目標發(fā)起的APT攻擊，大大拓寬了國內(nèi)關(guān)于APT攻擊的研究視野和研究深度，填補了國內(nèi)APT研究的空白。我們發(fā)現(xiàn)境外針對中國境內(nèi)目標的攻擊最早可以追溯到2007年，至少影響了中國境內(nèi)超過萬臺電腦，攻擊范圍遍布國內(nèi)31個省級行政區(qū)。我們發(fā)現(xiàn)的APT攻擊和部分國外安全廠商機構(gòu)發(fā)現(xiàn)的APT攻擊，都可以直接證明中國是APT攻擊中的主要受害國。

（編者注：原文標題為《披露美國中央情報局CIA攻擊組織（APT-C-39）對中國關(guān)鍵領(lǐng)域長達11年的網(wǎng)絡(luò)滲透攻擊》）