五大證據揭露CIA網攻中國11年

本報記者 趙覺珵 劉彩 玉馬俊 本報特約記者 武彥

國防部發言人吳謙在2月28日的記者會上剛表示“在網絡安全問題上，美方是國際公認的竊密慣犯”。中國網絡安全公司360公司3月3日就爆出猛料：“多方面證據證實美國對中國關鍵領域的網絡攻擊已經持續了11年”。這是中國機構首次詳細披露相關證據，該結論到底如何得出？美國此舉對中國危害多大？《環球時報》記者就此采訪了多名業內專家。

涉美神秘組織長期對華發動網絡攻擊

360公司于3月3日宣布，通過該公司旗下“360安全大腦”的調查分析，發現美國中央情報局（CIA）的國家級黑客組織“APT-C-39（由360公司命名）”對中國進行了長達11年的網絡攻擊和滲透。

美國媒體此前曾披露，作為CIA諸多重要黑客工具和網絡武器主要設計研發骨干之一的約書亞·亞當·舒爾特，曾在2017年向維基解密提供了關鍵的“拷貝情報”，向全球披露8716份來自CIA網絡情報中心的文件，涵蓋CIA黑客部隊的攻擊手法、目標、工具的技術規范和要求，這一系列機密文件被稱為“Vault7（穹窿7）”項目。這次事件被列為“CIA歷史上最大一次機密國防情報泄露事件”。

360安全大腦通過對泄露的“穹窿7”網絡武器資料的研究，并對其深入分析和溯源，于全球首次發現與其關聯的一系列針對我國航空航天、科研機構、石油行業、大型互聯網公司以及政府機構等長達11年的定向攻擊活動。這些攻擊活動最早可以追溯到2008年（從2008年9月一直持續到2019年6月左右），并主要集中在北京、廣東、浙江等省份。上述這些定向攻擊活動都歸結于一個鮮少被外界曝光的涉美APT（高級可持續攻擊）組織——APT-C-39。

一名360公司網絡安全專家3日接受《環球時報》記者采訪時表示，已被公開的“穹窿7”項目信息顯示，幾乎所有的主流計算機、移動設備、智能設備、物聯網設備等，CIA都配備了針對性的網絡攻擊武器。例如Flux?wire系列后門是“穹窿7”項目中數十種網絡武器之一。“通俗地說，它是一個計算機后門程序，但與我們一般遇到的木馬、后門程序不同的是，它是一個大型、復雜的國家級網絡攻擊平臺，可以攻擊控制Windows、Linux、MacOS等所有主流操作系統及軟硬件設備。它的目的是要穩定且隱蔽地控制各類電子設備，伺機而動發起網絡攻擊，竊取我國相關單位的機密情報。”該專家透露，360安全大腦披露的這些攻擊活動還涉及“穹窿7”項目的其他大量網絡武器，它們可在不同攻擊階段相互配合。

近年來，不斷有信息曝光以CIA為主的美國政府機構正通過各種方式進行黑客活動或大規模的監控。10年前針對伊朗核設施的“震網”病毒攻擊，去年委內瑞拉大面積停電以及針對俄羅斯和伊朗基礎設施的網絡攻擊，背后均有美國網軍的身影。

根據維基解密2017年披露的信息，CIA的網絡武器“能將任何設備變成監視設備”，包括電腦、智能手機、游戲機、路由器和智能電視。今年2月，美國《華盛頓郵報》稱，CIA從20世紀50年代就布局收購并完全控制瑞士加密設備廠商CryptoAG，在長達70年的歷史中，該公司售往全球100多個國家的加密設備都被CIA植入后門程序，使得這期間CIA可以解密這些國家的相關加密通信和情報。▲

“穹窿7”成為關鍵證據

360公司網絡安全專家表示，在美國聯邦法庭針對約書亞的起訴書中，美國檢方公訴人證實了“穹窿7”的存在以及它與CIA的關系。這成為證明CIA是伸向中國“幕后黑手”的關鍵證據。

第一，APT-C-39組織大量使用Fluxwire、Grasshopper等網絡武器對中國目標實施網絡攻擊。通過對比相關樣本代碼、行為指紋等信息，可以確定該組織使用的即為“穹窿7”項目中描述的CIA專屬網絡武器。

該專家解釋說，樣本代碼、行為指紋等證據信息和刑偵中的指紋、筆跡等概念類似，它是溯源網絡犯罪和網絡攻擊的重要手段之一。“我們通過對比國內受害單位網絡中的攻擊樣本和CIA專屬的網絡武器，發現其中大量的專有技術細節吻合甚至完全相同。據美國官方消息，這些網絡武器是CIA的研發團隊耗費數年、耗資數百萬美元，在層層把守和防護下秘密研發的，只有經過嚴格審查和管理的CIA相關人員才可以使用它們。”

第二，APT-C-39組織大部分樣本的技術細節與“穹窿7”文檔中描述的技術細節一致，如控制命令、編譯pdb路徑、加密方案等。專家表示，這些是規范化的攻擊組織常會出現的規律性特征，也是分類它們的方法之一。所以，由此也確定該組織是隸屬于CIA主導的國家級黑客組織。

第三，在“穹窿7”被維基解密公開曝光前，APT-C-39組織就已經針對中國目標使用相關網絡武器。360公司披露的信息顯示，早在2010年初，APT-C-39組織對我國境內的網絡攻擊活動中，已使用“穹窿7”網絡武器中的Fluxwire系列后門。此后APT-C-39組織還在不斷升級最新網絡武器，對我國境內目標頻繁發起網絡攻擊。

第四，APT-C-39組織使用的部分攻擊武器同美國國家安全局（NSA）存在關聯，維基解密披露的文件顯示NSA會協助CIA開發網絡武器。這也從側面證實了APT-C-39組織同美國情報機構的關聯。

第五，APT-C-39組織的武器研發時間規律定位在美國時區。安全專家介紹說，惡意軟件的編譯時間是對其進行規律研究、統計的一個常用方法，通過對惡意程序編譯時間的研究，可以探知其作者的工作與作息規律，從而獲知其大概所在的時區位置。APT-C-39組織編譯活動時間接近美國東部時區的作息規律，也與CIA相符（CIA位于美國弗吉尼亞州，使用美國東部時間）。▲

面對國家級網絡攻擊 應如何應付

CIA通過APT-C-39組織對中國關鍵領域的長期網絡攻擊和滲透，可能獲得了哪些重要信息？接受采訪的360公司安全專家告訴《環球時報》記者，這次披露的攻擊活動主要針對航空領域、政府單位、科研機構等。例如在針對我國航空航天與科研機構的攻擊中，APT-C-39組織主要圍繞這些機構的系統開發人員進行定向打擊。這些開發人員從事的內容包括航空信息技術有關服務，如航班控制系統服務、貨運信息服務、結算分銷服務、乘客信息服務等。

遭到網絡攻擊的航空信息技術服務不僅針對國內航空航天領域，同時還覆蓋上百家海外及地區的商營航空公司。該專家表示，對于CIA來說，為獲取類似的情報而進行長期、精心布局和大量投入是很常見的操作。在過去長達11年的滲透攻擊中，或許早已掌握到中國乃至國際航空的精密信息，甚至不排除CIA已能追蹤定位全球的航班實時動態、飛機飛行軌跡、乘客信息、貿易貨運等相關情報。今年1月初，伊朗“圣城旅”指揮官蘇萊曼尼被美國精確“獵殺”，其中掌握到蘇萊曼尼航班和行程的精確信息是暗殺成功的最關鍵核心，而這些信息正是以CIA為代表的美國情報機構通過包括網絡攻擊在內的種種手段獲取的。

該專家警告稱，CIA針對中國進行了長達11年的網絡攻擊和滲透，“通過我們發現的相關受害目標群推測，CIA已經攻破了這些目標，或已經掌握了我國國內和國際航空的大量機密信息”。

中國警察法學研究會反恐與網絡安全治理專委會常務副主任秦安3日接受《環球時報》記者采訪時評論稱，這是中國機構首次詳細披露美方對中國發起網絡攻擊的相關證據，美國黑客可能已經從中國網絡信息系統中竊取大量敏感數據，中國政府應對CIA和有關黑客進行司法起訴。秦安表示，美國一直鼓吹它是網絡攻擊的受害者，但事實證明它一直是網絡攻擊慣犯。美國對中國進行長時間的網絡攻擊，是霸權思維在網絡空間的延續，企圖通過其慣用的霸權行為來控制網絡空間，這應該遭到世界的一致鄙視。

據了解，360安全大腦近年已發現40多起以國家級黑客為背景的APT攻擊，這些黑客潛伏、滲透在互聯網中竊取情報，涉及能源、通信、金融、交通、制造、教育、醫療等關鍵基礎設施和政府部門、科研機構。專家警告說，在當前的網絡安全形勢中，國家級力量已經入場，各行業的關鍵基礎設施已經成為他國國家級黑客的重點攻擊對象。要應對這樣的網絡攻擊，需要業界共同打造和構建一個國家級網絡攻防體系，提高國家網絡安全防御能力。▲