奇闻异事:偷窥中国11年的黑客组织终于露出了马脚

人类社会的进步,让战争的形式不止于血拼肉搏,代码世界亦有无声的殊死较量。

2005 年,伊朗在撕毁了核武器协议后,宣布将重启核武器研制计划,任务落在了纳坦兹核工厂。为了核计划的复兴,工厂购入数千台离心机,准备制取浓缩铀原料。然而,奇怪的事情发生了,崭新的离心机,只要一投入生产,很快就会损坏。说明书都被翻烂了,依然找不出原因,所有人只好继续埋头钻研。

奇闻异事:偷窥中国11年的黑客组织终于露出了马脚


时间线推进到 2010 年,一家俄罗斯安全公司受邀,对伊朗一些个人计算机进行故障检测,面对这些计算机频繁崩溃、自动重启的情况,安全公司判断是感染了病毒。

经过仔细检查,安全公司发现了一种前所未见的计算机病毒,500KB 左右的体积下,竟藏着 4 个 0day 漏洞,要知道,一个 0day 漏洞的价值可高达数十万美金。此外,病毒程序中还包含了多种编程语言,保密性极强,对网络没有要求,通过 U 盘即可传播。

如此病毒,仅凭一人之力,几乎不可能完成。发现时,这个病毒已经感染了伊朗 60% 的计算机,安全公司将其命名为“震网病毒”(Stuxnet)。

奇闻异事:偷窥中国11年的黑客组织终于露出了马脚


“震网病毒”的发现,让伊朗找到了问题根源:病毒通过修改控制软件代码,向用于分离浓缩铀的离心机发出错误指令。这意味着,伊朗核工厂遭受了网络攻击,时间长达 4 年。

“震网病毒”的本质就是 APT 攻击。APT 的全称是“高级持续性威胁”,它比普通网络攻击的级别要高,可以等同于高级间谍,有两个比较明显的特征:

1、资源投入大,要不惜一切代价拿下目标;

2、攻击具有针对性。

从成本和目标来看,APT 可以说是国家级对抗的一种体现形式。

3 月 3 日,360 安全大脑捕获了一场针对我国长达十一年的网络攻击渗透,成功将攻击方锁定为美国中央情报局 (CIA) 的攻击组织 (APT-C-39) 。据资料显示,在这期间,我国遭到定向攻击的行业涉及航空航天、科研、石油等领域,甚至包括众多大型互联网公司和政府机构。

早在 2008 年,这些定向攻击活动就已经出现,主要集中在北京、广东等省份,而这些定向攻击活动都来源于一个涉美 APT 组织,360 将这个组织单独编号为 APT-C-39,但由于缺少实质性证据,迟迟无法将它与美国中情局 CIA 划上联系。

奇闻异事:偷窥中国11年的黑客组织终于露出了马脚


这场持久的网络攻防解谜战,Vault 7 成为重要突破口。

神秘的民间组织

提到 Vault 7,就不得不提到一个组织:维基解密(Wikileaks)。

这是一个专门为了揭露政府、企业的腐败行为,于 2006 年成立的网站。在大多数人的认知里,一个反主流的民间组织,基本就是在作死的边缘试探,太冒头,立刻就会被悄悄干掉,但维基解密不仅多次揭露美国的不堪行径,而且至今仍然活跃。

奇闻异事:偷窥中国11年的黑客组织终于露出了马脚


2010 年,维基解密公开了大量美国政府有关阿富汗战争、伊拉克战争的秘密文件,曝出美军虐囚、射杀平民等骇人听闻的事件,这让美国的外交形象遭受重创。2016 年,维基解密公布了美国总统候选人希拉里·克林顿的一系列私人邮件,引爆“邮件门”。2017 年,维基解密用代号“Vault 7”公开了数千份文件,曝光了美国中情局实施黑客攻击的全部能力,这其中,包含了核心武器文件 —— Vault 7。

奇闻异事:偷窥中国11年的黑客组织终于露出了马脚


“Vault 7”发布的第一份档案“Year Zero” (起始年) 中,包含了大量 0day、恶意软件、病毒、木马等文档的高度机密资料,证实了 CIA 秘密黑客项目的规模和监控行为,全球大量智能设备都处于长期监控状态。

一份名为《哭泣天使》(Weeping Angel)的文件,证明了 CIA 曾和英国军情五处达成合作,开发出了一个叫做“哭泣天使”的黑客软件,软件能够侵入智能电视,当用户关闭电视后,电视会不声不响的启动“假关闭”模式,变身成一个窃听器,并将收集到的信息秘密发送给 CIA。同样,在智能手机领域,CIA 开发出数量不详的 iPhone 漏洞,并掌握了超过 20 种针对安卓系统的木马程序,能够大面积窃取用户信息。此外,各种电脑操作系统、路由器等也都在 CIA 的掌控之中。

“Vault 7”的曝光,离不开一个人。

坚定的反叛者

约书亚·亚当·舒尔特 (Joshua Adam Schulte) 是 CIA 的前雇员,也是 CIA 关键网络武器的核心研发人员之一。

奇闻异事:偷窥中国11年的黑客组织终于露出了马脚


出生于 1988 年的舒尔特,曾以实习生的身份,在美国国家安全局 (NSA) 短暂工作,后来加入 CIA,担任秘密行动处 (NCS) 的科技情报主管,在负责研发和制作相关网络武器的过程中,舒尔特直接参与研发了 CIA 的关键网络武器:Vault 7。

2016 年,舒尔特利用最高管理员权限,将“Vault 7”拷贝后交给了维基解密,不久后,维基解密将资料公开在网站上,2018 年,美国司法部以机密信息泄露为由,对舒尔特进行了逮捕和起诉。

在今年年初的联邦法庭公开听证会上,检方认为舒尔特的行为,是“中央情报局历史上最大的一次机密国防情报泄露事件”,这给美国国家安全带来了毁灭性的打击,不仅让 CIA 特工身份遭到暴露,使美国的情报收集工作陷入停顿,而且还让盟友们动摇了将敏感信息托付给美国的信心。

同时,美国联邦检察官提到,舒尔特“准备不惜一切代价”背叛 CIA。

锁定“幕后真凶”

回到这次事件上来,360 将 Vault 7 作为核心关联点,并以舒尔特的行为进行侧面印证,在综合了多种资料和客观情况后,360 安全大脑最终判定:APT-C-39 组织对中国长达 11 年的定向攻击,是由 CIA 为主导的国家级黑客组织发起。结论之外,360 还给出了具体关联证据:

证据一:APT-C-39组织使用了大量CIA “Vault 7”项目中的专属网络武器;

证据二:APT-C-39组织大部分样本的技术细节与“Vault 7”文档中描述的技术细节一致;

证据三:早在“Vault 7”网络武器被维基解密公开曝光前,APT-C-39组织就已经针对中国目标使用了相关网络武器;

证据四:APT-C-39组织使用的部分攻击武器同NSA存在关联;

证据五:APT-C-39组织的武器研发时间规律定位在美国时区。

时间长河中,有人因历史而警醒,有人依旧我行我素。

2018 年底,也就是 “Vault 7” 曝光在维基解密上的一年后,维基百科又公布了一批文件,文件被命名为“美国大使馆采购清单”,显示美国驻多国大使馆都曾采购过间谍设备,而且都是通过美国政府的官方采购渠道。比如美国驻萨尔瓦多大使馆,需要采购 94 件战术间谍设备,包括能安装在汽车里的夜视摄像头,能伪装在日常用品(钢笔、打火机、衬衫纽扣、眼镜等)中的微型摄像头等设备;美国驻乌克兰大使馆的采购需求,包括录音机和隐蔽无线电设备等。

奇闻异事:偷窥中国11年的黑客组织终于露出了马脚


美国在“黑客帝国”的路上,从未停止脚步,无声无息的网络战就是当下的最佳选择,“双标”在手,天下都有。

一位英国经济记者说过:“美国的优势和大国之尊,既不表现在天然资源的丰富,也不表现在经济规模的强大,甚至也不表现在政治影响的广泛,美国强权最为隐秘,而且最具杀伤力的表现,在于文化上的扩张和渗透能力。”

于是,一向崇尚自由主义的美国,给了全世界被监听的自由。

奇闻异事:偷窥中国11年的黑客组织终于露出了马脚


奇闻异事:偷窥中国11年的黑客组织终于露出了马脚



分享到:


相關文章: