發布時間:2023-04-11 14:36:07
成都青白江區廢金屬(shǔ)回收電話18980010174,成都91污污污(fàn)廢舊物資回收有限公司長期回收空調、變壓器、配電櫃、電腦、廢鐵、廢銅、電子電器、電線電纜、廢舊金屬、廢舊等物資(zī),聯係電話:13981937861,18980010174。
“斯諾登事(shì)件”迄今已近(jìn)十年,伴隨著“棱鏡門”的曝光,國家級網絡攻擊行為逐漸浮出水麵。早在此前,已有多方信息顯示,美相關機(jī)構利用其技術和先發優勢針對他國開展網絡攻擊行為。為係統呈現美情報機構開展全球網絡攻擊活動的情況,中國網絡安全產(chǎn)業聯盟(CCIA)精心編製,並於今日發布了《美國情報機構網絡攻擊的(de)曆史回顧——基於全球網絡安全界披(pī)露信息(xī)分析》(以下簡稱《報告》)。
《報告》立足網絡安全專業(yè)視角,堅持科學、客觀、中(zhōng)立原則,基於全球數十家網絡安全企業、研究(jiū)機構及(jí)專(zhuān)家學(xué)者的近千份(fèn)研究文獻,充分整合(hé)各方(fāng)分析過程及研(yán)究成果,力求(qiú)通過業界和學界的分析實證,努力呈現美相關(guān)機構對他國進行(háng)網絡攻(gōng)擊的(de)情況(kuàng),揭示網絡(luò)霸權對全(quán)球網絡空間秩序構成的(de)重大破壞及(jí)嚴重威脅。
《報告》按照時間(jiān)和事件脈(mò)絡,共分(fèn)為13篇,主要包(bāo)括美國(guó)情報機構網絡攻擊他國關鍵基礎設施,進行無(wú)差別(bié)網絡竊密與監控(kòng),植入(rù)後門汙(wū)染標準及供應鏈源頭,開發網絡攻擊武器並造成泄露,所售商用攻擊平(píng)台失控而成為(wéi)黑客利器,幹(gàn)擾和打(dǎ)壓正常的國際技術交流與(yǔ)合作,打造符合美國利(lì)益的標準及秩序,阻礙全球信息技術發展,製造網絡空間的分裂與對抗等。
各篇概要如下:
第一篇 網絡戰的開啟——對“震網”事件(jiàn)的分析
2010年美國情報機構使(shǐ)用“震網”病毒(Stuxnet)攻擊伊朗核設施,打開了網絡戰的(de)“潘多拉魔盒”。在信息技術發展曆史上,出現過大量網絡病毒和攻擊事件,但“震(zhèn)網”事件是首個得到充分技術實證、對現實世界中的關鍵工業基礎設施造成了(le)與(yǔ)傳統物理毀傷等效的網(wǎng)絡攻擊行(háng)動。全球網絡安全廠商與專家(jiā)的接(jiē)力分析,對這次(cì)攻擊行動進行(háng)了十分充分的畫像,逐步將幕後(hòu)黑(hēi)手鎖定美國情報機構。
2010年6月(yuè),白俄羅斯網絡安全公司VirusBlokAda技術人員在伊朗客(kè)戶電腦中發現(xiàn)了一種新的蠕蟲病毒,根(gēn)據代碼(mǎ)中出現的特征字“stux”將其命名為“Stuxnet”;
2010年9月,美(měi)國網絡安全廠(chǎng)商賽門鐵克披露“震網(wǎng)”病毒的基本情況、傳播方法、攻擊目標(biāo),及病毒演化過程;
俄羅斯網絡安全廠商卡巴斯基針對“震網”病毒先後發表數十篇(piān)報告,從功能行為、攻擊目標、漏洞利用、規避對抗、命(mìng)令和(hé)控製(zhì)服務器等(děng)多方麵進行全麵分析,尤其討論了“震(zhèn)網”病毒所利用的(de)LNK漏洞和具有簽名的驅動程序,並指出如此複雜的攻擊隻能在“國家支持下”才可進行;
中國網絡安(ān)全廠商(shāng)安天陸續發布3篇報告,分析“震網”病毒的(de)攻擊過程、傳播方式、攻擊意圖、文件衍生關係和利用的多個零日漏洞、更新方式及USB擺渡傳播條件(jiàn)的技術(shù)機理(lǐ),總結其攻擊特點和對工業控製(zhì)係統(tǒng)現(xiàn)場(chǎng)設備(bèi)的影響過程,並推(tuī)測可能的攻擊(jī)場景,搭建環(huán)境模擬其對工控係統的攻擊過程;
2013年11月,德國IT安(ān)全專家拉爾夫·朗納(Ralph Langner)先後(hòu)發表兩篇文章,將“震網”事(shì)件稱為“網絡戰的教科書範例”,基於對“震網(wǎng)”病毒兩個版(bǎn)本及(jí)攻擊事件的跟蹤研究,概括性地勾畫了“網絡戰產生物理性戰果”的具體實(shí)現方法和作戰流程。
第二篇 “震網”之後的連(lián)鎖反應——對“毒曲(qǔ)”“火焰”“高斯”的跟進分析
全球網絡(luò)安全廠商逐步證實更加複雜(zá)的“毒曲”(Duqu)“火焰”(Flame)以及“高斯”(Gauss)等病毒與“震網(wǎng)”同源,與其同期(qī)甚至更早前就已經開始傳播。
2011年10月,匈牙利安全團隊(duì)CrySyS發現了一個與“震網”非常(cháng)類似的病毒樣本,稱之為Duqu (“毒曲”),在與“震(zhèn)網”進行對比後,研究人員確定二者極具相似性;
2011年10月,賽門鐵克(kè)發布報告,詳細分析了“毒曲”病毒的全球感(gǎn)染情況、安裝過程(chéng)及加載邏輯(jí);
卡巴斯基從2011年10月(yuè)起,陸續發布(bù)了關於“毒(dú)曲”病毒的十(shí)篇分析報告,認為“毒曲”是一個多功能框架,具有高度可定製性(xìng)和通用性。2015年6月,卡(kǎ)巴斯基(jī)捕(bǔ)獲到了“毒(dú)曲”病(bìng)毒對其進行的(de)攻擊,分析認為攻擊者意圖監控並竊取其源代碼(mǎ),隻有國家支持(chí)的團隊才有能力做到;
2012年5月,安天發布報告分(fèn)析“毒曲”病毒的模塊結構、編譯器(qì)架構、關鍵(jiàn)功能,指出“毒曲”與“震網”在結構和功能上具有一定(dìng)的相似性,並根據編碼心理學,判斷二者具有同源性;
2012年4月,伊朗石油部和伊朗國家石油公司遭到“火焰”病毒攻(gōng)擊。卡巴斯(sī)基分(fèn)析認為“火焰”是當時攻擊(jī)機製最複雜、威脅程度最高(gāo)的計算機病毒之一,結構複雜度是“震網”病毒的20倍,幕後團隊很可能由政府機(jī)構操縱;
2012年5月,安天發布報告,分析了“火焰”病毒的運行邏輯、傳播機理和主要模塊功能,認為“火焰”是一個比“震網”具有更多模塊的複(fù)雜組件化木馬,其漏洞攻(gōng)擊模塊中包含曾被“震網”病毒使用過的USB攻擊模塊(kuài),佐證了二者的同源關係;
2012年8月,卡巴斯基發現“高斯”病毒,稱有足夠證據表(biǎo)明“高斯”與“火焰”“震網”密切相關(guān),由與“震網”“毒曲(qǔ)”“火焰”相關的組織(zhī)創(chuàng)建;
2019年9月(yuè),安天經過持續跟(gēn)蹤研究發布報告“震網事件的九年再複盤與思考”,分析(xī)了“震網”各個版本的特點、產生原因、作用機理、相關高級惡意代碼工程框架,以及“震網”“毒曲”“火焰”“高斯”“方程式組織(zhī)”所使用惡意代碼間的關聯。
第三(sān)篇 超級機(jī)器的全(quán)貌——斯諾登事件(jiàn)跟進分析
2013年6月5日,英國(guó)《衛報》率先報(bào)道(dào)美國中央情報局(CIA)情報職(zhí)員斯諾登(dēng)爆料的NSA代號為“棱鏡”(PRISM)秘密項目,曝光了包括微軟、雅虎、穀歌、蘋果等在內的9家國際網絡巨頭配合美國政府秘密監聽通話記錄(lù)、電子郵件、視頻(pín)和照片等信息,甚(shèn)至入侵包括德(dé)國、韓國在內的(de)多個國家的網(wǎng)絡設備。隨著斯諾登泄露文(wén)件的逐步公開,全(quán)球網絡(luò)安全廠商對(duì)於美國情報機構網絡空間行動的相關工程(chéng)體係、裝備體係有了更多可以(yǐ)分析的(de)文獻資料,美國網絡空間超級機器的全貌逐步顯現。
2013年7月,安天發布分析文章,指出斯諾登事件(jiàn)暴露的重點內容主要包括:一是“棱鏡”項目作為NSA網絡情報係(xì)統的一個組成部分,主要利用(yòng)美國互(hù)聯網(wǎng)企業所提供的接口進行數據檢索、查詢和收集(jí)工作;二是穀歌、微軟、蘋(píng)果、臉譜等(děng)美國大型(xíng)互聯網企業大多與此計劃有(yǒu)關聯;三是NSA下屬的特定入侵行動辦公室(TAO)對中國進行了(le)長達(dá)15年的攻擊,相關(guān)行動得到了(le)思科的幫助;
2017年12月(yuè)安天發(fā)布係列文章,深度解析斯諾登(dēng)泄露文(wén)件中的“星風(fēng)”計劃等,指出美國(guó)開展了以“棱鏡”為代表的大量網絡情(qíng)報竊聽項目和計劃,形成覆蓋全球(qiú)的網絡情報獲取能力,並在此基礎上,建立了(le)以“湍流”(TURBULENCE)為代表(biǎo)的進攻(gōng)性能力支撐體係,通過被動信號情報獲取、主動信號情報獲取、任務邏(luó)輯控製、情報擴散與聚合、定(dìng)向定(dìng)位等相(xiàng)關(guān)能力模塊,實(shí)現完整的網絡空間情報循(xún)環(huán),再結合“監護”(TUTELAGE)、“量子”(QUANTUM)等(děng)網絡空間攻防能力模塊,進(jìn)一步實(shí)現情報驅動的網絡空間積極防禦和進攻行動;
2022年3月,中國網絡安(ān)全廠商360發布報告,披露NSA長達十餘年對全球發起(qǐ)的無差別攻擊,尤其對“量子”攻擊係統、“酸狐狸”(FOXACID)零(líng)日漏洞攻擊平台、“驗證器”(VALIDATOR)和(hé)“聯合耙”(UNITEDRAKE)後門進行分析,分析表明全球受(shòu)害單位感染量或達百萬級。
第四篇 後門的傳言—對美國汙(wū)染加密通訊標準的揭露
全球網絡安全業界和學術界(jiè)通過不懈努(nǔ)力,證實了美國通過植入後門操縱國際信息安全標準的行徑。其做法動搖了整個互聯網的技術信任基礎,對全球國際關係生態(tài)環境造成極為惡劣的影響。
2007年,微軟密(mì)碼學家從技術(shù)角度進行分析,說明美NIST在(zài)2006年通過(guò)SP 800-90A推薦的雙橢圓曲線(Dual EC)確定性隨機位發生器(DRBG)算(suàn)法存在可植入後門的可能性;
2013年斯諾登泄露文檔不(bú)僅證實了此(cǐ)前(qián)的後(hòu)門猜測,還曝光了(le)NSA對(duì)密碼體係的長期、係統性的操控,利(lì)用加密(mì)標準漏洞對全球的監控;
2015年,美國“連線”雜誌披露了NSA對VPN通信攻擊的加密漏(lòu)洞Logjam;
2020年,美(měi)國、德國和(hé)瑞士(shì)媒體聯合披露CIA通過操縱密碼機(jī)生產(chǎn)廠商(shāng)Crypto AG,長期竊(qiè)取全(quán)球多個國家政企用戶加密(mì)通訊內(nèi)容(róng)。
第五篇 固件木馬的實證——“方程式組織”正式浮出水麵
固件是寫入(rù)硬件(jiàn)的軟件,其比操作係(xì)統更底(dǐ)層,甚至先(xiān)於操作係統加載。如(rú)果把(bǎ)病毒寫入固件中,就更隱(yǐn)蔽和難以發(fā)現。全球網絡安全產業界和學術界逐步證實了美國利用硬盤固件完成“持久化”的攻擊活動。
2014年1月,專注研究Bioses安全的網絡安全專家達爾馬萬·薩利亨(Darmawan Salihun)撰文,分析曝光(guāng)NSA的Bioses後門DEITYBOUNCE、GODSURGE等,並將這些惡意軟件稱為“上帝模式”;
2015年2月至3月期間,卡巴(bā)斯基發布係列報告(gào),揭露名為“方程式組織”(Equation Group)的APT組織,稱其已活躍了近20年,是“震網”和“火焰”病毒的幕後操縱者,在攻(gōng)擊複雜性和攻擊技巧方麵超越了曆史上(shàng)所有的網絡攻(gōng)擊組織。
2016年,卡巴斯(sī)基根(gēn)據RC算法的常量值,驗證了黑客組織“影子經紀人”泄露的NSA數據屬於“方程式組織”,指(zhǐ)出“方程式組織(zhī)”在高價值目標中針(zhēn)對硬盤固件實現攻擊持久化的植入;
2015年3月(yuè)和(hé)4月,安天(tiān)先後發布兩篇報告,分析“方程式組織”主要攻擊平台(tái)的組成結構、關聯(lián)關係、回傳信息、指令分支、C2地址、插件功能,並(bìng)解析(xī)了關鍵插件“硬盤重編程”模塊的攻擊技術原理,以及多個組件的本地配置和網絡通訊加密算法(fǎ)和密鑰;
2022年2月,中國網絡安(ān)全廠商奇安信發布報告稱,通過“影子經紀人”與斯諾(nuò)登泄露(lù)的數據驗證了Bvp47是屬(shǔ)於NSA“方程式組織”的頂(dǐng)級(jí)後(hòu)門,並還原了Dewdrops、“飲茶”(Suctionchar_Agent)嗅探(tàn)木馬與Bvp47後門程序等其他組件配合實施聯合攻擊的場景。
第六(liù)篇 覆蓋全平台的網絡攻擊——“方(fāng)程式組織”Solaris和Linux樣本的曝光(guāng)
網絡安全(quán)研究人(rén)員發現,超級攻擊組織(zhī)力圖將其載荷能力擴展到一切可以達成入侵和(hé)持久化的(de)場景。在這些場景中,各種服務器操作係統,如Linux、Solaris、FreeBSD等,更是其高度關注的目標。基於這樣的研判,對於“方程式組織”這一超級APT攻擊組織,網絡安全廠商展開了細致深入的跟蹤研(yán)究。
2015年2月,卡巴斯基提(tí)出“方程式組織”可能具有多平台攻(gōng)擊能力,有實例證明,“方程(chéng)式組織”惡意(yì)軟件DOUBLEFANTASY存在Mac OS X版本(běn);
2016年11月,安天發(fā)布報告,分析了“方程式組織”針對(duì)多種架構和係統(tǒng)的攻擊(jī)樣本,全球首家通過真實樣本曝光該組織針對Solaris(SPARC架構)、Linux係統攻擊能(néng)力;
2017年1月,安天基於“影子經紀人”泄露的“方程式組織”樣本(běn)分析,繪製“方(fāng)程式組織”作業模(mó)塊積木圖,揭(jiē)示了美國通過精細化模塊實現前後場控製、按需投遞惡意代碼的作業方式。
第七篇 泄(xiè)露的軍火——美國網絡武器(qì)管理失控成為網絡犯罪的(de)工具
2017年(nián)5月12日,WannaCry勒索軟件利用NSA網絡武器(qì)中的“永恒(héng)之藍”(Eternalblue)漏洞,製造了一(yī)場遍及全球的巨大網絡災難(nán)。超(chāo)級大國(guó)無節製地發展網(wǎng)絡軍備,但又不嚴格(gé)保管,嚴重危害全球網絡安全。
微(wēi)軟(ruǎn)曾在2017年3月份發布了“永恒(héng)之藍”漏洞的補丁,而“影子經紀人”在2017年4月公布的(de)“方程(chéng)式組織(zhī)”使用的網(wǎng)絡武器中包含了該漏洞的利(lì)用程(chéng)序,黑客正是運用了這一網絡武器,針(zhēn)對所(suǒ)有未及時打補丁的Windows係統電腦實施了此次全球(qiú)性大規模攻擊;
中國國(guó)家互聯網應急中心(CNCERT)確認WannaCry勒索軟件在傳播時基於445端口並利用SMB服務漏洞(MS17-010),總體可以判斷是由於此前“影子經紀人”披露漏洞攻擊工具(jù)而導致的黑產攻擊威脅;
卡巴(bā)斯基分析認為網絡(luò)攻擊(jī)所用的黑客工具“永恒(héng)之藍”是由 “影子經紀人”此前在網上披露,來自NSA的網絡(luò)武器庫;
安天對該勒索軟件利用的(de)SMB漏洞MS17-010進行分析,將其定性為“軍火級攻擊裝(zhuāng)備的非受(shòu)控使用”,並隨後發布了“關於係統化應對NSA網(wǎng)絡軍火裝備的操作手冊”;
360檢測到該勒索軟件傳播(bō)後迅速發布警報,呼(hū)籲民眾及時安裝係統(tǒng)補丁和安全軟件(jiàn),並在獲取(qǔ)到樣本後,推(tuī)出了係列解決方案。
美國網絡武器庫中的其他“軍(jun1)火”一旦泄露可能會被針對性地使用,其衍生的危害可能不低於“永恒之藍”,它們的存在和泄露更加令(lìng)人擔憂。
第八篇 軍備的(de)擴(kuò)散——美國滲透測試平台成(chéng)為黑(hēi)客普遍利用的工具
美國未對其銷(xiāo)售的自動化攻擊平台進行有效約束管控,導致(zhì)滲透攻擊測試平台Cobalt Strike等成為(wéi)黑客普遍(biàn)利用的工具,不僅給全球網絡空間埋下了安全隱患,而且對(duì)他國安全造成了無法預估的潛在影(yǐng)響。
2015年5月,安天發現(xiàn)在一例針(zhēn)對中國政府機構的準APT攻擊(jī)事件中(zhōng),攻擊(jī)者依托(tuō)Cobalt Strike平台生成的、使用信標(Beacon)模(mó)式進行通信的Shellcode,實現對目標主(zhǔ)機遠程(chéng)控製。在(zài)2015年中國互聯(lián)網安全(quán)大會(ISC 2015)上,安天對(duì)Regin、Cobalt Strike等主要商業(yè)化(huà)網絡武器進行了係統梳理,分析指出,Cobalt Strike創始人拉菲爾·穆奇在美軍現役和預備役網絡部隊的服役和研發背景,清晰地反映了美軍事網絡技術和(hé)能力的外溢及破壞性;
美國安(ān)全公司Proofpoint調查結果(guǒ)顯示,2020年威(wēi)脅行為體對Cobalt Strike的運用較上一年增(zēng)加了161%,2019年至2021年,濫用Cobalt Strike的攻擊中有15%與已(yǐ)知的黑客組織有關;
美國網絡安全公司Sentinelone分析顯(xiǎn)示,Egregor勒索軟件的主要分發方式是Cobalt Strike;
奇安信監測發現,威脅組織“Blue Mockingbird”利用Telerik UI漏洞(CVE-2019-18935)攻陷服務器,進而安裝Cobalt Strike信標並劫(jié)持係統資(zī)源(yuán)挖掘門羅幣。
第九篇 “拱形”計劃的曝光(guāng)——應對美國對網絡安全廠商(shāng)的監控
2015年6月22日,斯諾登披(pī)露了美國、英國有關情報機(jī)構實施的“拱形”計劃(CamberDADA)。該計劃主要利(lì)用美國入侵全球運營商(shāng)的流量獲取能力,對卡巴斯基等反病毒廠商和用戶間(jiān)通訊進行監控,以獲取新的病毒樣本及其他信息。該計劃後續目標(biāo)包括歐洲(zhōu)和亞(yà)洲16個國家的23家全球重點網絡安全廠商,其中包(bāo)括(kuò)中國網絡安全廠商安(ān)天。
分析認為,“拱形”計劃的目的:一是捕(bǔ)獲全球用戶向(xiàng)反病毒廠(chǎng)商上(shàng)報的樣(yàng)本,二是為TAO提供可(kě)重用樣本(běn)資源,三是監測反病毒廠商的(de)處理能(néng)力及是否(fǒu)放行某些惡意代碼樣本。
美國(guó)“攔截者”刊文稱,“拱形”計劃顯示自2008年開始(shǐ)NSA就針對卡巴斯基和其他(tā)反病毒廠商的軟件展(zhǎn)開了(le)係統性的間諜活動;
美國“連線”刊文(wén)稱,“拱形”計(jì)劃描繪了一個係統性的(de)軟件“逆向工程”活動,通過監控網(wǎng)絡安全廠商發現軟件(jiàn)漏洞(dòng),以便幫助情報機構繞過這些軟件;
美國“福布斯”刊文稱(chēng),“拱形”計劃監控(kòng)名單是美國情報機構對“五眼聯盟”國家(jiā)以外的、有能力發現和遏(è)製其網絡活(huó)動的安全廠商“黑名單”;
中國新華社刊文稱,被列入監控範圍的反病毒企業紛紛對此表(biǎo)示不安(ān),同時均稱對其安全產品有信心,沒有發現產品受到削弱;
安天發布聲明稱,泄密文檔披露的主要是相關情報機構在公網信道監(jiān)聽獲取用戶(hù)上報給廠商的郵件,並非是對安全廠商自身的網(wǎng)絡係統和產品(pǐn)進行的攻擊。此份(fèn)監控“目標名(míng)單”的出台,將使本已出(chū)現裂痕與(yǔ)猜忌的全球安全產業更趨割裂。
第(dì)十篇 破窗效應——對“影子經紀人”和維基解密泄露數據進行迭代分析
“影子經紀人”和維(wéi)基解密泄露數據進一步揭(jiē)示了美國NSA和CIA兩大(dà)情報機構網絡軍(jun1)火庫的真實麵目。“影子經紀人”分批(pī)曝光了(le)NSA針對網絡安全設備的(de)攻擊裝備、針(zhēn)對全球服務器攻擊列表(biǎo)清單(dān)、入侵SWIFT機構資料、FuzzBunch(FB)漏洞攻擊平台和DanderSpritz(DSZ)遠控平台等網絡武器裝備,並稱這(zhè)些攻擊裝備(bèi)與“方(fāng)程式組織”有關。NSA針對的目標包(bāo)括俄羅斯、日本、西班牙、德國、意(yì)大利等在內的超過45個國家的287個目(mù)標(biāo),持續時間長達十幾年。“維基(jī)解密”曝光(guāng)了(le)8761份據稱是CIA網(wǎng)絡攻擊活動的秘密(mì)文件,其中包含7818個(gè)網頁和943份附件。泄露的文件包含龐大攻擊裝備庫的文檔信息,其平台麵覆蓋非常廣泛,不僅包括(kuò)Windows、Linux、ioses、androids等常見的操作係統,也包(bāo)括智能電視、車載智能係統、路由器等網絡節點單元和智(zhì)能設備。
全球網絡安全學術界和產業界在震驚之(zhī)餘,紛紛開始對泄露的資料進行整理和分析。針對“影子經紀人”曝光(guāng)的材料,梳理出了NSA網絡作業體係中以FB、Operation Center(OC)和DSZ為代表的三大核心模塊;而維基解密曝光(guāng)的“七(qī)號軍火庫”(Vault 7)包含的CIA網絡作(zuò)業15個工具(集)和5個框架,也得到較(jiào)為全麵的(de)整理。
2017年12月至2018年11月,安天發(fā)布“美國網絡空間攻擊與主動防禦能力(lì)解析”係列報告,從情報循(xún)環、進攻性能(néng)力支撐(chēng)、攻擊裝備和積極防禦等多角度(dù)對美國網絡空間攻防能(néng)力進行了係統(tǒng)化梳理;
2018年10月,卡巴斯基對(duì)DSZ中的DarkPulsar後門進行了(le)深(shēn)度分析,其持久性和潛伏(fú)能力(lì)的研究結果(guǒ)表明,背後的開發者非常專業,針對的是具有長期監(jiān)視(shì)和控製價值的目標;
2021年12月,以色列安全廠商Checkpoint分析DSZ中的Double Feature組件後得出結論,DSZ(以及FB和OC)都是“方程式組織”龐大(dà)的工具集;
2020年3月,360披露了CIA攻擊組織(APT-C-39)對中國航空航天、科(kē)研機(jī)構、石油行業、大型互聯網公司以及政府機構等關鍵領域長達十一年的網絡滲透攻擊(jī);2022年(nián)3月,360發布關於NSA攻擊組織APT-C-40的分析報告稱,該組織(zhī)早在2010年(nián)就開始(shǐ)了針對中國係列行業龍頭公司的攻擊;
2022年3月,中國國家計算機病毒應急處理中心(CVERC)正式公開發布了對NSA使用“NOPEN”木(mù)馬的分析報告。2022年9月曝光的針對中國西北工業大學攻(gōng)擊中,NSA使用了多(duō)達41種網(wǎng)絡武器,其中就有“影子經紀人”泄露過的NOPEN。
第十一篇 首次完整的溯源——複盤“方程(chéng)式組織”攻擊中東技術設施的完整(zhěng)過程
2017年4月14日,“影子經紀人”曝光的美國網絡攻擊相關數據中包含一個名為SWIFT的文件夾(jiá),其中包含一(yī)起2012年(nián)7月至2013年9月期間,針對中(zhōng)東地區最大的SWIFT服務提供商EastNets發起的攻擊行動。該(gāi)行動成功(gōng)竊取了EastNets在比利時、約旦、埃(āi)及和阿聯酋的上千個雇員賬戶(hù)、主機信息、登錄憑(píng)證及管理員賬號(hào)。
2019年6月,安天(tiān)基於“影(yǐng)子經紀人”泄露資料與(yǔ)曆(lì)史捕獲分析成果進(jìn)行關聯分析,完整複盤了“方程式組織(zhī)”攻擊(jī)中東最大SWIFT金融服務(wù)提供商EastNets事件,還原美國攻擊跳板、作業路徑、裝備運(yùn)用、戰術過程、場景環境和作業後果,總結了美國此次作業使用的攻擊裝備信(xìn)息,指(zhǐ)出美國擁有覆蓋全平台全(quán)係統的攻擊能力和大量(liàng)的零日漏洞儲備。
第十二篇(piān) 國際論壇上的鬥爭——揭露美國對網絡空間安全的操控
美國利用其在網絡空間(jiān)的話語權,幹(gàn)擾和打壓正常國際交流,阻撓信息的(de)傳播和共享,而全(quán)球網絡安全廠商和學(xué)術(shù)人員在各種國際會議和論壇上持續努力,揭露美國網絡行為(wéi)、意圖和活動。
2015年,德國《明鏡周刊》披露了NSA通過侵入(並利用)第三方網絡基礎設施,獲取情報或實施網絡攻擊的“第四方情(qíng)報收集”手法和項目。卡巴斯基公司研究人員在2017年的Virus Bulletin年(nián)度(dù)會(huì)議上分析了這一攻擊手法的隱蔽性和(hé)高度複雜性;
2016年,美國哥倫比亞大學國際與公(gōng)共事務學(xué)院的高級研究人員傑森·希利(Jason Healey)撰文,深(shēn)入分(fèn)析了美國漏洞公平裁決程序(VEP)自2008到2016年的發展曆程,並對當前(2016年)美國(guó)可能(néng)囤積的零日漏洞軍(jun1)火數量進行了謹慎的估算;
中國複旦大學沈逸教授在2013年“新(xīn)時代(dài)網絡威脅之路”研討會對美國國家監控行為進行曆史梳理;
安天在2015年“中(zhōng)俄網絡空間發展與(yǔ)安全論壇”上,對美“方程式(shì)組織”的特點、能力及對中國重點基礎工業企業(yè)攻擊情況進行(háng)了分析。
第(dì)十三(sān)篇 限(xiàn)製(zhì)和打壓——美國泛化安全概念製裁他國網絡(luò)安全廠商
近(jìn)年來,美國為了維護(hù)其政治霸權(quán)、經濟利益以及軍事技術和能力優勢(shì),泛化“國(guó)家(jiā)安全”概念,製裁具備技術競爭力(lì)的他國知名網絡安全企業,不顧破壞國(guó)際秩序和市場規則,不惜損害包括(kuò)美(měi)國(guó)在內的(de)全球消(xiāo)費者利益。其主要做法包括:
禁用卡巴(bā)斯基的軟件產品。2017年9月13日,美國(guó)國土安全部以(yǐ)卡巴斯(sī)基可能威脅美國聯邦信息係統安全為由,要求所有聯邦機構90天內卸載所使用的卡(kǎ)巴斯基軟件產品;
運用實體清單製約中國企業發展(zhǎn)。2020年5月22日,網絡安全企業(yè)——奇虎360被美國商務(wù)部(bù)列入“實體清(qīng)單”;
對曝光美國網絡攻擊行為的(de)他國安全企業施(shī)壓。2016年12月22日,美國NetScout公司發文稱中(zhōng)國網絡安全公(gōng)司安天是“中(zhōng)國反APT”代言人;2022年2月17日,美(měi)國國會(huì)“美中經濟(jì)與安全審查(chá)委員會”(USCC)聽證會特別點名安天和奇虎360,因其公開發表了對NSA和(hé)CIA網絡空間行動的分析。
對中(zhōng)國網安企業另冊排名(míng)並據此打壓。自2019年起(qǐ),Cybersecurity Ventures的(de)“網絡安全500強”名單被“網絡安全公司(sī)熱門150強名單”所取代,上榜的均為歐美廠商。2020年9月,Cybersecurity Ventures發布中國(guó)最熱門(mén)、最具創新性的“中國(guó)網絡安(ān)全公司”名(míng)單,包括安天、奇虎360、奇安信、山石網科、安恒、深信服、微步在線等20家企業,而2022年(nián)USCC聽證會專家正(zhèng)是依據此份(fèn)名單,建議美商務部、財政部將其中企業列入實體(tǐ)名單、製裁(cái)名單。(人民日報客戶端 金歆)
QQ客(kè)服