“黑客帝國”調(diào)查報告-美國中央情報局（CIA）（之一）

“黑客帝國”調(diào)查報告——美國中央情報局(CIA)(之一)第1頁共11頁美國中央情報局(CentralIntelligenceAgency，簡稱CIA)，一個比美國國家安全局(NSA)更為世人熟知的名字，它是美國聯(lián)邦政府主要情報機構(gòu)之一，總部位于美國弗吉尼亞州蘭利，下設(shè)情報處(DI)、秘密行動處(NCS)、科技處(DS&T)、支援處(DS)四個部門。其主要業(yè)務(wù)范圍涉及：收集外國政府、公司和公民情報信息；綜合分析處理其他美國情報機構(gòu)收集的情報信息；向美國高層決策者提供國家安全情報和安全風險評估意見；根據(jù)美國總統(tǒng)要求組織實施和指導(dǎo)監(jiān)督跨境秘密活動等。長期以來，美國中央情報局(CIA)在世界各地秘密實施“和平演變”和“顏色革命”，持續(xù)進行間諜竊密活動。進入二十一世紀以來，互聯(lián)網(wǎng)的快速發(fā)展給美國中央情報局(CIA)的滲透顛覆和搗亂破壞活動提供了新的機遇，全球各地使用美國互聯(lián)網(wǎng)設(shè)備和軟件產(chǎn)品的機構(gòu)和個人成為美國中央情報局(CIA)的傀儡“特工”，幫助該機構(gòu)迅速成為網(wǎng)絡(luò)諜報戰(zhàn)中的耀眼“明星”。本系列報告從國家計算機病毒應(yīng)急處理中心和360公司參與調(diào)查的大量真實案例入手，揭秘其網(wǎng)絡(luò)攻擊武器的主要細節(jié)，披露部分發(fā)生在中國和其他國家的網(wǎng)絡(luò)安全典型案事件的具體過程，全面深入分析美國中央情報局(CIA)的網(wǎng)絡(luò)攻擊竊密和相關(guān)現(xiàn)實危害活動，以及其對美國成為“黑客帝國”所做的貢獻，為遍布全球的網(wǎng)絡(luò)攻擊受害者提供參考和建議。第2頁共11頁從20世紀80年代國際社會主義陣營遭受沖擊、90年代初蘇東劇變(“天鵝絨革命”)到2003年格魯吉亞“玫瑰革命”，從2004年烏克蘭“橙色革命”到2005年吉爾吉斯“郁金香革命”，從2011年西亞北非國家“阿拉伯之春”到2014年烏克蘭“二次顏色革命”、中國臺灣“太陽花革命”等，都被國際機構(gòu)和世界各地學者認定為由美國情治機構(gòu)主導(dǎo)的“顏色革命”典型案例。其他一些國家中還發(fā)生過未遂的“顏色革命”事件，如2005年3月白俄羅斯“雪花革07年緬甸“藏紅花革命”、2009年伊朗“綠色革命”等等。如果從冷戰(zhàn)時期算起，帶有“和平演變”和“顏色革命”色彩的政權(quán)更替事件更是不勝枚舉。據(jù)統(tǒng)計，數(shù)十年來，美國中央情報局(CIA)至少推翻或試圖推翻超過50個他國合法政府(而中央情報局只承認其中的7起)，在相關(guān)國家引發(fā)動亂。綜合分析上述事件中的各類技術(shù)，信息通信和現(xiàn)場指揮成為影響事件成敗的決定性因素。美國的這些技術(shù)在國際上處于領(lǐng)先地位，特別是20世紀80年代美國將互聯(lián)網(wǎng)推向國際并得到世界各國的普遍接受，給美國情治部門對外發(fā)動“顏色革命”提供了前所未有的技術(shù)可能性。第3頁共11頁美國前國務(wù)卿奧爾布賴特曾揚言：“有了互聯(lián)網(wǎng)我們對中國就有了辦法。”此言不虛，多起“顏色革命”事件中都有西方大國借助互聯(lián)網(wǎng)推波助瀾的影子。西亞北非多國“阿拉伯之春”事件發(fā)生后，美國個別大型互聯(lián)網(wǎng)跨國企業(yè)積極介入，向沖突各方投入大量人力、物力、財力，拉攏支持反對派，向與美國利益不符的他國合法政府公開發(fā)難，協(xié)助發(fā)布擴散虛假信息，推動民眾抗議活動不斷激化。一是提供加密網(wǎng)絡(luò)通信服務(wù)。為幫助中東地區(qū)部分國家的抗議者保持聯(lián)絡(luò)暢通，同時避免被跟蹤和抓捕，美國公司(據(jù)稱具有美國軍方背景)研發(fā)出一種可以接入國際互聯(lián)網(wǎng)又無法追蹤的TOR技術(shù)(“洋蔥頭”路由技術(shù)，TheOnionRouter)。相關(guān)服務(wù)器對流經(jīng)它們的所有信息進行加密，從而幫助特定用戶實現(xiàn)匿名上網(wǎng)。該項目由美國企業(yè)推出后，立即向伊朗、突尼斯、埃及等國的反政府人員免費提供，確保那些“想動搖本國政府統(tǒng)治的異見青年”在參與活動時，能躲避當?shù)睾戏ㄕ膶彶楹捅O(jiān)視。二是提供斷網(wǎng)通聯(lián)服務(wù)。為確保突尼斯、埃及等國的反政府人員在斷網(wǎng)情況下仍能與外界保持聯(lián)系，美國《谷歌》《推特》公司迅速推出一款名為“Speak2Tweet”的專用服務(wù)，它允許用戶免費撥號并上傳語音留言，這些留言被自動轉(zhuǎn)換成推文后再上傳至因特網(wǎng)，《推特》等平臺公開發(fā)布，完成了對事件現(xiàn)場的實時報道。三是提供基于互聯(lián)網(wǎng)和無線通訊的集會游行活動現(xiàn)場指揮工具。美國蘭德公司花費數(shù)年研發(fā)出一款被稱為“蜂擁”的非傳統(tǒng)政權(quán)更迭技術(shù)，用于幫助通過互聯(lián)網(wǎng)聯(lián)接的大量年輕人加入“打一槍換一個地方”的流動性抗議活動，大大提升了活動現(xiàn)場指揮效率。四是美國公司研發(fā)了一款名為“暴動”的軟件，支持100%獨立的無線寬帶網(wǎng)絡(luò)、提供可變WiFi網(wǎng)絡(luò)，不依賴任何傳統(tǒng)物理接入方式，無須電話、電纜或第4頁共11頁衛(wèi)星連接，能輕易躲過任何形式的政府監(jiān)測。借助上述功能強大的網(wǎng)絡(luò)技術(shù)和通訊技術(shù)手段，美國中央情報局(CIA)在全球各地策劃組織實施了大量的“顏色革命”事件。五是美國國務(wù)院將研發(fā)“反審查”信息系統(tǒng)作為重要任務(wù)，并為該項目注資超過3000萬美元。2.美國中央情報局(CIA)的網(wǎng)絡(luò)攻擊武器系列2017年3月7日，《維基解密》網(wǎng)站披露了8716份據(jù)稱是來自美國中央情報局(CIA)網(wǎng)絡(luò)情報中心的秘密文件，內(nèi)容涉及美國中央情報局(CIA)黑客團隊的攻擊手法、攻擊行動項目代號、攻擊工具技術(shù)規(guī)范和要求等，《維基解密》將相關(guān)文件稱為“Vault7”(穹頂7)，引發(fā)全球范圍的高度關(guān)注。2020年，360公司獨立發(fā)現(xiàn)了一個從未被外界曝光的APT組織，專門針對中國及其友好國家實施網(wǎng)絡(luò)攻擊竊密活動，受害者遍布全球各地，我們將其單獨編號為APT-C-39。有證據(jù)表明，該組織使用與被曝“Vault7”(穹頂7)資料相關(guān)聯(lián)的網(wǎng)絡(luò)武器工具(包括Athena、Fluxwire，Grasshopper、AfterMidnight、HIVE、ChimayRed等)，針對中國和其他國家受害目標實施網(wǎng)絡(luò)攻擊，攻擊活動最早可以追溯到2011年，相關(guān)攻擊一直延續(xù)至今。被攻擊目標涉及各國重要信息基礎(chǔ)設(shè)施、航空航天、科研機構(gòu)、石油石化、大型互聯(lián)網(wǎng)公司以及政府機構(gòu)等諸多方面。在規(guī)模龐大的全球性網(wǎng)絡(luò)攻擊行動中，美國中央情報局(CIA)大量使用“零日”(0day)漏洞，其中包括一大批至今未被公開披露的后門和漏洞(部分功能已得到驗證)，在世界各地建立“僵尸”網(wǎng)絡(luò)和攻擊跳板網(wǎng)絡(luò)，針對網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)終端、交換機和路由器，以及數(shù)量眾多的工業(yè)控制設(shè)備分階段實施攻擊入侵行動。在現(xiàn)已發(fā)現(xiàn)的專門針對中國境內(nèi)目標實施的網(wǎng)絡(luò)攻擊行動中，我們成第5頁共11頁功提取了多個“Vault7”(穹頂7)網(wǎng)絡(luò)攻擊武器樣本，多個東南亞國家和歐洲的合作伙伴也提取到了幾乎完全相同的樣本，主要包括：2.1Fluxwire(磁通線)后門程序平臺一款支持Windows、Unix、Linux、MacOS等9種主流操作系統(tǒng)，和6種不同網(wǎng)絡(luò)架構(gòu)的復(fù)雜后門攻擊行動管理平臺，可將眾多“肉雞”節(jié)點組成完全自主運行的網(wǎng)狀網(wǎng)絡(luò)，支持自我修復(fù)、循環(huán)攻擊和多路徑路由。2.2Athena(雅典娜)程序一款針對微軟Windows操作系統(tǒng)的輕量級后門程序，由美國中央情報局(CIA)與美國SiegeTechnologies公司(2016年被NehemiahSecurity收購)合作開發(fā)，可以通過遠程安裝、供應(yīng)鏈攻擊、中間人劫持攻擊和物理接觸安裝等方式植入，以微軟Windows服務(wù)方式駐留。所有攻擊功能模塊均以插件形式在內(nèi)存中解密執(zhí)行。2.3Grasshopper(蚱蜢)后門程序一款針對微軟Windows操作系統(tǒng)的高級可配置后門程序，可生成多種文件插件模塊后，可隱蔽駐留并執(zhí)行間諜功能。2.4AfterMidnight(午夜之后)后門程序一款以微軟Windows操作系統(tǒng)DLL服務(wù)形式運行的輕量級后門，它通過HTTPS協(xié)議動態(tài)傳輸、加載“Gremlins”模塊，全程以加密方式執(zhí)行惡意荷載。2.5ChimayRed(智美紅帽)漏洞利用工具一款針對MikroTik等品牌路由器的漏洞利用工具套件，配合漏洞利用可植入“TinyShell”等輕量級網(wǎng)絡(luò)設(shè)備后門程序。2.6HIVE(蜂巢)網(wǎng)絡(luò)攻擊平臺第6頁共11頁“蜂巢”網(wǎng)絡(luò)攻擊平臺由美國中央情報局(CIA)下屬部門和美國著名軍工企業(yè)諾斯羅普·格魯曼(NOC)旗下公司聯(lián)合研發(fā)，它為美國中央情報局(CIA)網(wǎng)絡(luò)攻擊團隊提供一種結(jié)構(gòu)復(fù)雜的持續(xù)性攻擊竊密手段。它管理利用全球范圍內(nèi)數(shù)量龐大的失陷資產(chǎn)，組成多層動態(tài)跳板和秘密數(shù)據(jù)傳輸通道，7×24小時向美國中央情報局(CIA)上傳用戶賬戶、密碼和隱私數(shù)據(jù)(/head/zhaiyao/news20220419-hive.htm)。2.7其他衍生工具美國中央情報局(CIA)在通過上述“Vault7”(穹頂7)網(wǎng)絡(luò)武器實施攻擊竊密過程中，還衍生和使用了大量“Vault7”(穹頂7)資料之外的攻擊樣本，現(xiàn)已提取的樣本中包括偽裝的釣魚軟件安裝包、鍵盤記錄組件、系統(tǒng)信息收集組件、USB文件竊取模塊和不同的開源黑客工具等。3.美國中央情報局(CIA)網(wǎng)絡(luò)攻擊武器樣本功能分析在針對中國境內(nèi)多起典型網(wǎng)絡(luò)攻擊事件的調(diào)查過程中，360公司從受害單位信息網(wǎng)絡(luò)中捕獲并成功提取了一大批與網(wǎng)曝美國中央情報局(CIA)“Vault7” (穹頂7)資料緊密關(guān)聯(lián)的木馬程序、功能插件和攻擊平臺樣本。深入分析發(fā)現(xiàn)，相關(guān)程序樣本大都遵循了“Vault7”(穹頂7)資料中的《NetworkOperationsDivisionIn-memoryCodeExecutionSpecification》、《NetworkOperationsDivisionCryptographicRequirements》和《NetworkOperationsDivisionPersistedDLLSpecification》等美國中央情報局(CIA)惡意軟件開發(fā)標準和技術(shù)規(guī)范。這些標準和規(guī)范分別對應(yīng)網(wǎng)絡(luò)攻擊竊密活動中惡意代碼的加載執(zhí)行、數(shù)據(jù)加密和持久化行為，相關(guān)網(wǎng)絡(luò)武器進行了極其嚴格的規(guī)范化、流程化和專業(yè)化的軟件工程管理。據(jù)悉，目前只有美國中央情報局(CIA)嚴格遵守這些標準和規(guī)范開發(fā)網(wǎng)絡(luò)攻擊武器。第7頁共11頁據(jù)“Vault7”(穹頂7)資料顯示，上述網(wǎng)絡(luò)攻擊武器歸屬于美國中央情報局(CIA)的EDG(工程開發(fā)組)，由其下屬的AED(應(yīng)用工程部)和EDB (嵌入式設(shè)備分部)等多個分部獨立或聯(lián)合研發(fā)。這些網(wǎng)絡(luò)武器大都誕生于一個名為“”的美國中央情報局(CIA)最高機密內(nèi)部網(wǎng)絡(luò)中。“”是美國中央情報局(CIA)工程開發(fā)部(EDG)建立的龐大的網(wǎng)絡(luò)武器開發(fā)測試基礎(chǔ)設(shè)施。另據(jù)“”的開發(fā)日志數(shù)據(jù)顯示，僅“HIVE”(蜂巢)一個項目就至少投入EDG兩百余名工程師參與研發(fā)。進一步技術(shù)分析發(fā)現(xiàn)，美國中央情報局(CIA)的后門程序和攻擊組件大都以無實體文件的內(nèi)存駐留執(zhí)行的方式運行，這使得對相關(guān)樣本的發(fā)現(xiàn)和取證難度極大。即使這樣，聯(lián)合技術(shù)團隊還是成功找到了解決取證難題的有效方法。為后續(xù)描述和分析問題方便，我們暫且將美國中央情報局(CIA)的攻擊武器分為9個類別：第8頁共11頁3.1框架平臺類。我們發(fā)現(xiàn)并捕獲了Fluxwire(磁通線)、Grasshopper (蚱蜢)、Athena(雅典娜)的攻擊樣本和攻擊活動，經(jīng)過實地檢測，這些樣本的功能、攻擊特征和網(wǎng)絡(luò)行為均可與“Vault7”(穹頂7)資料中的描敘一一印證。3.2攻擊模塊投遞類。美國中央情報局(CIA)使用了大量功能簡單的小型惡意代碼下載器，用于加載執(zhí)行更多的惡意代碼及模塊，相關(guān)樣本無特別的惡意功能及特征，但在與框架平臺等攻擊武器配合時卻可展現(xiàn)出強大的竊密功能，極難將其歸因溯源。3.3遠程控制類?，F(xiàn)已提取多款遠程控制插件，大都屬于框架平臺類攻擊武器衍生出的攻擊模塊組件，二者之間相互配合。3.4橫向移動類。提取到的大量惡意程序樣本中，包含多款通過系統(tǒng)管理員憑據(jù)使用Windows遠程服務(wù)安裝植入的后門程序。除此之外，美國中央情報局 (CIA)還劫持多種安全產(chǎn)品內(nèi)網(wǎng)的升級程序，通過內(nèi)網(wǎng)升級服務(wù)器的升級功能下發(fā)安裝后門程序，實施內(nèi)網(wǎng)中的橫向移動攻擊。3.5信息收集竊取類。聯(lián)合技術(shù)團隊偶然提取到美國中央情報局(CIA)使用的一款信息竊取工具，它屬于網(wǎng)曝美國國家安全局(NSA)機密文檔《ANT第9頁共11頁catalog》48種先進網(wǎng)絡(luò)武器中的一個，是美國國家安全局(NSA)的專用信息竊取工具。這種情況說明美國中央情報局(CIA)和美國國家安全局(NSA)會聯(lián)合攻擊同一個受害目標，或相互共享網(wǎng)絡(luò)攻擊武器，或提供相關(guān)技術(shù)或人力支持。這為對APT-C-39攻擊者身份的歸因溯源補充了新的重要證據(jù)。3.6漏洞利用類。調(diào)查中發(fā)現(xiàn)，至少從2015年開始，美國中央情報局(CIA)就在世界各地建立了龐大的網(wǎng)絡(luò)攻擊跳板資源，利用“零日”(0day)漏洞對全球范圍IOT(物聯(lián)網(wǎng))設(shè)備和網(wǎng)絡(luò)服務(wù)器無差別攻擊，并將其中的大量失陷設(shè)備轉(zhuǎn)換為跳板“肉雞”，或隱藏自身攻擊行為，或?qū)⒕W(wǎng)絡(luò)攻擊嫁禍給其他國家。例如，美國中央情報局(CIA)使用代號為“ChimayRed”(智美紅帽)的漏洞攻擊套件定向攻擊多個型號的MikroTik品牌路由器，其中包括中國境內(nèi)大量使用這種路由器的網(wǎng)絡(luò)設(shè)備。攻擊過程中，美國中央情報局(CIA)首先會惡意修改路由器啟動腳本，使路由器重啟后仍執(zhí)行后門程序；然后，美國中央情報局(CIA)再修改路由器的CGI程序堵住被美國中央情報局(CIA)自身利用的漏洞，防止其他攻擊者再次入侵造成權(quán)限丟失；最終，美國中央情報局(CIA)會向路由器植入“蜂巢”(HIVE)或“TinyShell”等只有美國中央情報局(CIA)可以使用的專屬后門程序。3.7偽裝正常軟件類。美國中央情報局(CIA)針對攻擊目標的網(wǎng)絡(luò)環(huán)境，將后門程序定制偽裝為目標使用的用戶量較少的冷門軟件安裝包，針對目標實施精準的社會工程學攻擊。3.8安全軟件攻防類。美國中央情報局(CIA)掌握了專門用于攻擊商業(yè)殺毒軟件的攻擊工具，可以通過這些專用工具遠程關(guān)閉和殺死指定殺毒軟件的進程，使相關(guān)殺毒軟件對美國中央情報局(CIA)的攻擊行為或攻擊武器失效。3.9第三方開源工具類。美國中央情報局(CIA)也會經(jīng)常使用現(xiàn)成的開源黑客工具進行攻擊活動。美國中央情報局(CIA)網(wǎng)路攻擊行動的初始攻擊一般第10頁共11頁會針對受害者的網(wǎng)絡(luò)設(shè)備或服務(wù)器實施，也會進行社會工程學攻擊。在獲得目標權(quán)限之后，其會進一步探索目標機構(gòu)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，在內(nèi)網(wǎng)中向其它聯(lián)網(wǎng)設(shè)備進行橫向移動，以竊取更多敏感信息和數(shù)據(jù)。被美國中央情報局(CIA)控制的目標計算機，會被進行24