“国际安全智库”微信公号3月3日发布文章,披露了美国中央情报局CIA攻击组织(APT-C-39)对中国关键领域长达十一年的网络渗透攻击情况。
全文如下:
记载历史时刻,全球首家实锤!涉美CIA攻击组织对我国发起网络攻击。
全球首家实锤
360安全大脑捕获了美国中央情报局CIA攻击组织(APT-C-39)对我国进行的长达十一年的网络攻击渗透。在此期间,我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。
不但如此,360安全大脑通过关联相关情报,还定位到负责从事研发和制作相关网络武器的CIA前雇员:约书亚·亚当·舒尔特(Joshua Adam Schulte)。在该组织攻击我国目标期间,他在CIA的秘密行动处(NCS)担任科技情报主管职位,直接参与研发了针对我国攻击的网络武器:Vault7(穹窿7)。这部分相关线索,更进一步地将360安全大脑发现的这一APT组织的攻击来源,锁定为美国中央情报局。
美国中央情报局(Central Intelligence Agency,简称CIA),一个可以比美国国家安全局(NSA)更为世人熟知的名字,它是美国联邦政府主要情报搜集机构之一,下设情报处(DI)、秘密行动处 (NCS) 、科技处(DS&T)、支援处(DS)四大部门,总部位于美国弗吉尼亚州的兰利。
其主要业务包括:
收集外国政府、公司和个人的信息;
分析其他美国情报机构收集的信息以及情报;
提供国家安全情报评估给美国高级决策者;
在美国总统要求下执行或监督秘密活动等。
CIA核心网络武器“Vault7”成重要突破口
360安全大脑全球首家捕获涉美攻击组织APT-C-39
时间追溯到2017年,维基解密接受了来自约书亚的“拷贝情报”,向全球披露了8716份来自美国中央情报局CIA网络情报中心的文件,其中包含涉密文件156份,涵盖了CIA黑客部队的攻击手法、目标、工具的技术规范和要求。而这次的公布中,其中包含了核心武器文件——“Vault7(穹窿7)”。
360安全大脑通过对泄漏的“Vault7(穹窿7)”网络武器资料的研究,并对其深入分析和溯源,于全球首次发现与其关联的一系列针对我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等长达十一年的定向攻击活动。
而这些攻击活动最早可以追溯到2008年(从2008年9月一直持续到2019年6月左右),并主要集中在北京、广东、浙江等省份。
而上述这些定向攻击活动都归结于一个鲜少被外界曝光的涉美APT组织——APT-C-39(360安全大脑将其单独编号)。
约书亚·亚当·舒尔特(Joshua Adam Schulte,以下简称约书亚),1988年9月出生于美国德克萨斯州拉伯克,现年31岁,毕业于德萨斯大学斯汀分校,曾作为实习生在美国国家安全局(NSA)工作过一段时间,于2010年加入美国中央情报局CIA,在其秘密行动处(NCS)担任科技情报主管。
从表中可以看出,从2010年开始,APT-C-39组织就一直在不断升级最新的网络武器,对我国境内目标频繁发起网络攻击。
证据四:
APT-C-39组织使用的部分攻击武器同NSA存在关联
WISTFULTOLL是2014年 NSA泄露文档中的一款攻击插件。
在2011年针对我国某大型互联网公司的一次攻击中,APT-C-39组织使用了WISTFULTOOL插件对目标进行攻击。
与此同时,在维基解密泄露的CIA机密文档中,证实了NSA会协助CIA研发网络武器,这也从侧面证实了APT-C-39组织同美国情报机构的关联。
证据五:
APT-C-39组织的武器研发时间规律定位在美国时区
根据该组织的攻击样本编译时间统计,样本的开发编译时间符合北美洲的作息时间。
恶意软件的编译时间是对其进行规律研究、统计的一个常用方法,通过恶意程序的编译时间的研究,我们可以探知其作者的工作与作息规律,从而获知其大概所在的时区位置。
下表就是APT-C-39组织的编译活动时间表(时间我们以东8时区为基准),可以看出该组织活动接近于美国东部时区的作息时间,符合CIA的定位。(位于美国弗吉尼亚州,使用美国东部时间。)