来源:环球时报-环球网
[环球时报-环球网报道记者范凌志曹思齐]环球时报记者近日从360公司独家获悉,自2008年以来,360云安全大脑整合海量安全大数据,自主捕获大量先进复杂的攻击程序,通过长期分析跟踪,从现场多个受害单位获取证据,结合全球相关威胁信息以及对斯诺登事件和“影子经纪人”黑客组织的持续跟踪,为一系列行业确认了这些头目。
《环球时报》记者了解到,NSA除了对电力、水利、交通、能源等关键基础设施造成严重威胁外,还将通信行业作为重点打击对象,长期“窥视”和收集通信行业存储的大量个人信息和关键行业数据,造成公民身份、财产、家庭住址等隐私数据被恶意收集、非法滥用和跨境流出甚至大量网民被全面召回的严重威胁。在NSA的监控下,全球数亿公民的隐私和敏感信息无处可藏,如同“裸奔”。
中国是美国国安局组织的重点目标之一,受感染单位可能达到百万级别
美国国家安全局隶属于美国国防部,专门从事电子通信侦察。其主要任务是收集各国信息,揭露潜伏间谍的通信活动,为美国政府提供各种经过处理的情报信息。长期以来,为了达到美国政府情报收集的目的,NSA在全球范围内发动大规模网络攻击,中国是NSA的重点目标之一。
2013年,美国中央情报局前雇员、国家安全局(NSA)外包技术员爱德华·斯诺登(edward snowden)向世界曝光了美国政府收集用户数据信息的丑闻,泄露了大量NSA组织的网络战机密文件,是美国历史上最严重的泄密事件,轰动世界。经过这次事件,“网络战”和“国家网络威胁”的概念在世界范围内都是公认的。
随后在2016年和2017年,黑客组织“影子经纪人”(Shadow Broker)公布了NSA应用的网络武器样本,NSA组织的大规模高风险网络战武器和配套部件逐一曝光。360公司相关人士告诉《环球时报》记者,360公司是国内第一家有意识跟踪高级别网络威胁的安全公司,并率先提出APT(高级可持续威胁攻击)的概念。在此期间,360团队凭借海量安全大数据的情报视野,看到各行各业纷纷陷入NSA网络武器的攻击,积极推出各种配套防护工具,包括永恒之蓝武器库防御方案和漏洞补丁,全力抵御NSA武器库的攻击。
《环球时报》记者了解到,长期以来,为达到美国政府情报收集的目的,NSA在全球范围内发动大规模网络攻击,中国是NSA的重点目标之一。NSA对中国境内目标的攻击,如政府、金融、科研院所、运营商、教育、军工、航空空航天、医疗等行业成为主要目标,占比很大。
美国国家安全局(NSA)制定了许多监控全球目标的行动计划。360安全专家告诉《环球时报》记者,通过对NSA专属验证器后门配置字段的统计分析,推测NSA对中国的潜在攻击量非常巨大。“光是Validator的感染量,最保守的估计应该在几万的量级,几十万甚至几百万都有可能。”
与此同时,《环球时报》记者获悉,根据NSA机密文件中描述的FOXCID服务器的代号可以发现,它对英国、德国、法国、韩国、波兰、日本、伊朗等全球47个国家和地区发动了攻击,403个目标受到影响,潜伏时间长达十年以上。
详情:美国国安局的网络攻击手段有哪些?
《环球时报》记者获悉,360安全团队将NSA及其下属机构单独编号为APT-C-40,与一系列行业领军企业共建APT高级威胁研究实验室,发现美国国家安全局针对一系列行业龙头企业长达十余年。通过对取证数据的分析,发现这些攻击实际上始于2010年。结合网络情报的分析判断,这次攻击活动与NSA的一次网络战计划的实施时间相衔接。攻击活动涉及企业众多关键网管服务器和终端,攻击手段多样、隐秘、有害。具体方法如下:
(1)量子攻击系统
量子(QUANTUM)攻击系统是NSA开发的一系列网络攻击和利用平台的总称。它下面有几个子项目,都是以Quantum命名的。它是NSA最强大的互联网攻击工具,也是NSA进行网络情报战最重要的能力体系之一。最早的项目创建于2004年。
从文件中不难看出,在NSA的三个主要网络战方向(CNE、CNA、CND),QUANTUM都有相关项目。量子计划的本质是基于NSA在全球网络通信和互联网体系中的核心地位,通过先进的技术手段对网络信号进行监控、拦截和自动利用的一系列数据分析和利用能力。
(2)FOXACID 0Day漏洞攻击平台
量子(QUANTUM)攻击经常使用代号为FOXACID的系统。FOXACID是NSA为0-0Day漏洞攻击设计的强大平台,它可以自动化漏洞攻击的主要步骤,甚至涉及网络攻击经验不多的操作人员,成为强大的“大规模入侵工具”。根据NSA机密文件,FOXACID服务器曾利用各种浏览器0Day漏洞,如Flash、IE、Firefox浏览器漏洞,向计算机目标植入木马。
根据现有资料,FOXACID在2007年之前就已经投入使用,直到2013年仍有使用痕迹,所以估计至少还会使用8年。NSA依靠与美国电信公司的秘密合作,将FOXACID服务器放在互联网的主干中,保证了FOXACID服务器的响应速度比实际网站服务器更快。利用这种速度差异,量子注入攻击可以在反应过来之前模仿实际网站,迫使目标机器的浏览器访问FoxAcid服务器。
(3)验证器的后门
Validator(验证器)是FoxAcid项目中使用的主要后门程序之一,一般用于NSA的初始入侵。通过植入更复杂的特洛伊木马程序,如UnitedRake,每个植入的计算机系统都将被分配一个唯一的身份验证ID。
根据NSA机密文件的描述,Validator主要与FOXACID攻击配合使用,基于基本C/S架构,为敏感目标接触提供后门。Validator可以通过远程和直接联系的方式部署,并提供7x24在线功能。Validator是一个非常简单的后门程序,它提供了队列操作模式。只能支持上传下载文件、执行程序、获取系统信息、改ID、自毁等简单功能。
(4)联合后门系统
UNITEDRAKE是NSA开发的高级后门系统。根据安全专家对泄露的相关文档的分析,UNITEDRAKE的整体架构大致分为五个子系统,分别是服务器、系统管理界面、数据库、模块插件集和客户端,它们之间的关系如下:
服务器:服务器为CC server,主要功能是接受客户端的连接请求,管理客户端与其他子系统的通信。该系统的目的是尽可能减少操作请求的数量。在文档中,它被描述为监听端口,即监听端口。
系统管理界面:系统管理界面是一套图形化的用户界面,操作员可以通过它直接查看客户端的状态,向客户端发出命令,管理插件,调整客户端的配置。它在文档中被描述为UR GUI。
插件模块集:这部分是整个UNITEDRAKE系统的技术核心,插件功能使得整个系统具有很强的扩展性和适应性;一个插件模块由一个或多个客户端插件、一个或多个服务器插件和一个或多个系统管理接口组件组成,它们相互配合形成一个完整的功能插件模块;并且根据不同的动作,插件模块可以根据任务需求灵活选择组合和安装。
数据库:UNITEDRAKE系统使用SQL数据库来存储和管理信息:系统配置信息、客户端配置信息、各种状态信息和收集的数据。
客户端:客户端程序,即被分发和植入的木马程序;它可以在无形中植入目标机器,并为进一步的攻击提供支持。客户端的设计重点是提高不可见性。
[/s2/]全球数亿公民的隐私和敏感信息无处可藏,如同“裸奔”[S2/]
《环球时报》记者获悉,综合(APT-C-40组织),即NSA的非法入侵,可能对我国乃至其他国家的国防安全、关键基础设施安全、金融安全、社会安全、生产安全和公民个人信息造成严重危害。
安全专家告诉《环球时报》记者,面对这些非法网络攻击,首先要警惕国家APT组织对国家安全的危害。战争的形式并不局限于互相对抗。网络空早已成为大国角逐的又一重要战场。“回望2020年,360揭露中情局(APT-C-39)在网络攻击中渗透中国长达11年的案例记忆犹新。再次面对网络强国咄咄逼人的战略攻势、APT网络攻击和以国力为背景的全球网络战。
"网络战和国家APT组织在许多方面危害国家安全."这位专家告诉记者,入侵组织不仅对国家政府和关键部门进行持续监控和间谍活动,还威胁一个国家的政治、经济、社会、国防和军事。APT一旦攻击整个国家社会系统,可能导致交通、银行、导航空和水电系统瘫痪,对国家的政治稳定和经济命脉造成不可估量的危害。
30安全专家表示,另外要警惕国家APT组织对关键基础设施的危害。“关键基础设施正逐渐成为网络战的第一目标,国家之间的网络对抗和针对关键基础设施的网络战越来越频繁,网络攻击不再仅仅是窃取情报,还包括攻击电力、水利、电信、交通、能源等关键基础设施,从而攻击公共数据、公共通信网络、公共交通网络等。
“同时,国家APT组织对个人信息安全的危害也不容小觑。”《环球时报》根据360云安全大脑的长期监测数据发现,NSA将通信行业作为重点攻击目标,“偷窥”并收集大量长期存储在通信行业的个人信息和关键行业数据,导致公民身份、财产、家庭住址等大量网民隐私数据,甚至total recall面临恶意收集、非法滥用和跨境流出的严重威胁。“在NSA组织的监管下,全球数亿公民的隐私和敏感信息无处藏身,犹如‘裸奔’,而幕后政府和政客只关注政治私利,完全无视公民的人身权利,公民人权成为政治博弈中的筹码,他们的侵略行为严重侵犯了我国和全球公民的合法利益。”30安全专家说。
专家提醒,根据公开的网络情报,美国国家安全局(NSA)的全球入侵离不开其下属部门和附属机构为其提供数据和攻击武器支持。文中提到的后门程序,如UnitedRake、量子攻击系统、假冒服务器Foxacid等,都是具有代表性的攻击套件组合。“我们将进一步分析和判断更多关于美国NSA武器库的情报数据和案例分析。”
