360核心安全团队日前发布研究报告称美国中央情报局 (CIA) 自2008年开始针对中国关键行业进行网络间谍活动。
这类网络间谍活动目标是中国多个关键行业如航空组织、科研机构、石油化工、互联网科技企业及中国政府机构。
安全团队追溯发现这类网络间谍活动最早自2008年开始,到2019年时已经持续11年并且至今没有停止此类活动。
中央情报局是美国联邦政府的主要情报收集机构,该机构设有多个不同的情报部门分别负责执行不同的间谍活动。
该机构下设部门包括情报局(DI)、国家秘密服务局或者称之为行动局(NCS)、支持局(DS)以及科学技术局(DS&T)。
这些部门主要任务包括从外国政府、公司或者个人收集情报信息;分析美国其他同级机构收集的信息和相关情报。
此外这些情报部门还负责诸如向美国高级决策者提供国家安全情报评估、应美国总统要求执行或监督密码活动等。
维基解密是 朱利安•保罗•阿桑奇 创立的网络媒体 , 维基解密在2017年披露从美国中央情报局获得的8716个文件。
这些文件中包含 156个机密文件详细记录美国中央情报局黑客组织的攻击方法、目标、工具以及相应的技术规格。
奇虎360 分析这些泄露材料并与团队的研究进行关联,随后发现针对中国航空业、科研和政府机构的针对性攻击。
这些攻击可以最早可以追溯到2008年并持续11年 (2008年9月~2019年6月) , 目标分布在北京、广东和浙江等地。
上述针对性攻击全部归因于与美国相关的高级持续性威胁组织APT-C-39(这个编号基于360的代码命名系统而来)。
约舒亚•亚当•舒尔特
该高级持续性威胁组织即为美国中央情报局相关的黑客组织,该组织被用来在全球范围内执行多种网络间谍活动。
中情局针对中国的网络间谍活动涉及面非常广泛,在这里奇虎安全团队以中国民用航空业为示例介绍其安全威胁。
由于涉及国家安全此处披露的相关信息仅为奇虎所拥有的部分情报数据,数据包括中国民航业和相关的科研机构。
中情局在针对中国航空业和科研机构的攻击中奇虎发现中情局主要针对该领域的系统开发人员进行攻击开展活动。
这些开发人员主要从事民航信息技术相关的工作,例如飞控系统、货运信息系统、结算与分配以及旅客信息系统。
值得注意的是中情局目标并不仅仅是中国的民航业,分析还发现攻击目标涉及数百个国家和地区的商业航空公司。
奇虎安全团队推测在过去数十年的渗透攻击中,中情局可能已经掌握中国乃至世界许多国家最高机密的商业信息。
甚至不排除现在中情局能够实时追踪全球各地的航班状态、班次和旅客信息、贸易货运信息以及其他相关信息等。
如果猜想是真的那么中情局拥有如此机密的信息用来做什么呢?获取重要人物出行信息构成政治威胁或军事压制?
奇虎安全团队表示当谈到美国中央情报局的关键网络武器库时,有必要先介绍中情局前雇员约舒亚•亚当•舒尔特。
约舒亚曾在美国国家安全局实习随后加入美国中央情报局,主要担任中央情报局下设科学与技术情报局的情报官。
约舒亚精通网络武器设计开发并拥有情报操作方面的知识,这使得约舒亚成为中情局许多黑客攻击的核心开发者。
在 2016 年约舒亚利用他对核心机房的管理权限和预设后门来窃取机密文件,随后这些机密文件共享给维基解密。
约舒亚的亲身经历和窃取的文件为研究人员提供重要的线索,多种证据表明 APT-C-39与中央情报局有直接关联。
译者注:约舒亚因非法获取国家情报罪等多项罪名被美国法院起诉,不过至今仍然被关押、法院还没有作出判决。
以维基解密文件为核心关联点所有证据都导致 APT-C-39归因,综合该组织网络武器的独特性奇虎得出归因结论。
奇虎安全团队归因结论:APT-C-39 发起的攻击是由约舒亚•亚当•舒尔特所在的中情局下属洲级黑客组织发起的。
相关证据1:APT-C-39 曾使用的诸如Fluxwire、Grasshopper 等等中情局独有的网络武器对中国实施网络攻击。
通过比较相关代码和行为指纹等信息奇虎安全团队可以确定该组织使用的武器是维基解密中泄露的网络攻击武器。
相关证据2:APT-C-39 多数样本技术细节与维基解密泄露文件中的描述相同 ,例如控制命令和加密方案等规格。
这是标准化攻击组织中常见的模式也是对他们进行分类的方法之一,该组织可认为是中情局领导的国家黑客组织。
相关证据3:在维基解密披露约舒亚窃取的资料以及网络武器前, APT-C-39 已经使用相同武器对中国发动攻击。
例如在2010年该组织就使用 Fluxwire 后门对中国发动网络攻击,这个使用时间也要远比资料泄密时间要早的多。
相关证据4:该组织使用的某些武器与美国国家安全局有关 ,泄露文件称美国国安局曾协助中情局开发网络武器。
例如在2011年APT-C-39 针对中国某大型互联网公司的网络攻击中使用名为WISTFULTOOL的插件(属黑客工具)。
而这个插件是在 2014年时美国国家安全局泄露的攻击插件,这也是 ATP-C-39 与美国情报机构关联的并列证据。
相关证据5:分析还发现 APT-C-39 开发的网络攻击武器编制时间位于美国东部时间可作为黑客组织位置的参考。
针对多个该组织使用的多个武器分析发现该组织活动时间接近美东日常安排,这与中情局所在的弗吉尼亚州相符。
综上分析奇虎安全团队完全有理由相信该黑客组织与美国有关联,并参与美国主要情报机构之间的网络攻击活动。
(蓝点网编译自360CoreSecurity Blog,原文地址:http://blogs.360.cn/post/APT-C-39_CIA_EN.html 有删改)
