「黑客帝國」調查報告——美國中央情報局(CIA)(之一)
國際即時
2023.05.04 11:14:27
字號:
國家計算機病毒應急處理中心網站5月4日發布《「黑客帝國」調查報告——美國中央情報局(CIA)(之一)》,揭示美國中央情報局長期以來,在世界各地秘密實施「和平演變」和「顏色革命」,持續進行間諜竊密活動,美國本身就是「黑客帝國」。以下為報告詳細內容:
美國中央情報局(Central Intelligence Agency,簡稱CIA),一個比美國國家安全局(NSA)更為世人熟知的名字,它是美國聯邦政府主要情報機構之一,總部位於美國弗吉尼亞州蘭利,下設情報處(DI)、秘密行動處(NCS) 、科技處(DS&T)、支援處(DS)四個部門。其主要業務範圍涉及:收集外國政府、公司和公民情報信息;綜合分析處理其他美國情報機構收集的情報信息;向美國高層決策者提供國家安全情報和安全風險評估意見;根據美國總統要求組織實施和指導監督跨境秘密活動等。
長期以來,美國中央情報局(CIA)在世界各地秘密實施「和平演變」和「顏色革命」,持續進行間諜竊密活動。
進入二十一世紀以來,互聯網的快速發展給美國中央情報局(CIA)的滲透顛覆和搗亂破壞活動提供了新的機遇,全球各地使用美國互聯網設備和軟件產品的機構和個人成為美國中央情報局(CIA)的傀儡「特工」,幫助該機構迅速成為網絡諜報戰中的耀眼「明星」。
本系列報告從國家計算機病毒應急處理中心和360公司參與調查的大量真實案例入手,揭秘其網絡攻擊武器的主要細節,披露部分發生在中國和其他國家的網絡安全典型案事件的具體過程,全面深入分析美國中央情報局(CIA)的網絡攻擊竊密和相關現實危害活動,以及其對美國成為「黑客帝國」所做的貢獻,為遍布全球的網絡攻擊受害者提供參考和建議。
1.概述
從20世紀80年代國際社會主義陣營遭受衝擊、90年代初蘇東劇變(「天鵝絨革命」)到2003年格魯吉亞「玫瑰革命」,從2004年烏克蘭「橙色革命」到2005年吉爾吉斯「鬱金香革命」,從2011年西亞北非國家「阿拉伯之春」到2014年烏克蘭「二次顏色革命」、中國台灣「太陽花革命」等,都被國際機構和世界各地學者認定為由美國情治機構主導的「顏色革命」典型案例。其他一些國家中還發生過未遂的「顏色革命」事件,如2005年3月白俄羅斯「雪花革命」、2005年6月阿塞拜疆「橙色風暴」、2005年黎巴嫩「雪松革命」、2007年緬甸「藏紅花革命」、2009年伊朗「綠色革命」等等。如果從冷戰時期算起,帶有「和平演變」和「顏色革命」色彩的政權更替事件更是不勝枚舉。據統計,數十年來,美國中央情報局(CIA)至少推翻或試圖推翻超過50個他國合法政府(而中央情報局只承認其中的7起),在相關國家引發動亂。
綜合分析上述事件中的各類技術,信息通信和現場指揮成為影響事件成敗的決定性因素。美國的這些技術在國際上處於領先地位,特別是20世紀80年代美國將互聯網推向國際並得到世界各國的普遍接受,給美國情治部門對外發動「顏色革命」提供了前所未有的技術可能性。
美國前國務卿奧爾布賴特曾揚言:「有了互聯網我們對中國就有了辦法。」
此言不虛,多起「顏色革命」事件中都有西方大國藉助互聯網推波助瀾的影子。西亞北非多國「阿拉伯之春」事件發生後,美國個別大型互聯網跨國企業積極介入,向衝突各方投入大量人力、物力、財力,拉攏支持反對派,向與美國利益不符的他國合法政府公開發難,協助發布擴散虛假信息,推動民眾抗議活動不斷激化。
一是提供加密網絡通信服務。為幫助中東地區部分國家的抗議者保持聯絡暢通,同時避免被跟蹤和抓捕,美國公司(據稱具有美國軍方背景)研發出一種可以接入國際互聯網又無法追蹤的TOR技術(「洋蔥頭」路由技術,The Onion Router)。相關服務器對流經它們的所有信息進行加密,從而幫助特定用戶實現匿名上網。該項目由美國企業推出後,立即向伊朗、突尼斯、埃及等國的反政府人員免費提供,確保那些「想動搖本國政府統治的異見青年」在參與活動時,能躲避當地合法政府的審查和監視。
二是提供斷網通聯服務。為確保突尼斯、埃及等國的反政府人員在斷網情況下仍能與外界保持聯繫,美國《谷歌》《推特》公司迅速推出一款名為「Speak2Tweet」的專用服務,它允許用戶免費撥號並上傳語音留言,這些留言被自動轉換成推文後再上傳至互聯網,《推特》等平台公開發布,完成了對事件現場的實時報道。
三是提供基於互聯網和無綫通訊的集會遊行活動現場指揮工具。美國蘭德公司花費數年研發出一款被稱為「蜂擁」的非傳統政權更迭技術,用於幫助通過互聯網聯接的大量年輕人加入「打一槍換一個地方」的流動性抗議活動,大大提升了活動現場指揮效率。
四是美國公司研發了一款名為「暴動」的軟件,支持100%獨立的無綫寬帶網絡、提供可變WiFi網絡,不依賴任何傳統物理接入方式,無須電話、電纜或衛星連接,能輕易躲過任何形式的政府監測。藉助上述功能強大的網絡技術和通訊技術手段,美國中央情報局(CIA)在全球各地策劃組織實施了大量的「顏色革命」事件。
五是美國國務院將研發「反審查」信息系統作為重要任務,並為該項目註資超過3000萬美元。
2.美國中央情報局(CIA)的網絡攻擊武器系列
2017年3月7日,《維基解密》網站披露了8716份據稱是來自美國中央情報局(CIA)網絡情報中心的秘密文件,內容涉及美國中央情報局(CIA)黑客團隊的攻擊手法、攻擊行動項目代號、攻擊工具技術規範和要求等,《維基解密》將相關文件稱為「Vault7」(穹頂7),引發全球範圍的高度關注。
2020年,360公司獨立發現了一個從未被外界曝光的APT組織,專門針對中國及其友好國家實施網絡攻擊竊密活動,受害者遍布全球各地,我們將其單獨編號為APT-C-39。有證據表明,該組織使用與被曝「Vault7」(穹頂7)資料相關聯的網絡武器工具(包括Athena、Fluxwire,Grasshopper、AfterMidnight、HIVE、ChimayRed等),針對中國和其他國家受害目標實施網絡攻擊,攻擊活動最早可以追溯到2011年,相關攻擊一直延續至今。被攻擊目標涉及各國重要信息基礎設施、航空航天、科研機構、石油石化、大型互聯網公司以及政府機構等諸多方面。
在規模龐大的全球性網絡攻擊行動中,美國中央情報局(CIA)大量使用「零日」(0day)漏洞,其中包括一大批至今未被公開披露的後門和漏洞(部分功能已得到驗證),在世界各地建立「殭屍」網絡和攻擊跳板網絡,針對網絡服務器、網絡終端、交換機和路由器,以及數量眾多的工業控制設備分階段實施攻擊入侵行動。在現已發現的專門針對中國境內目標實施的網絡攻擊行動中,我們成功提取了多個「Vault7」(穹頂7)網絡攻擊武器樣本,多個東南亞國家和歐洲的合作夥伴也提取到了幾乎完全相同的樣本,主要包括:
2.1 Fluxwire(磁通線)後門程序平台
一款支持Windows、Unix、Linux、MacOS等9種主流操作系統,和6種不同網絡架構的複雜後門攻擊行動管理平台,可將眾多「肉雞」節點組成完全自主運行的網狀網絡,支持自我修復、循環攻擊和多路徑路由。
2.2 Athena(雅典娜)程序
一款針對微軟Windows操作系統的輕量級後門程序,由美國中央情報局(CIA)與美國Siege Technologies公司(2016年被Nehemiah Security收購)合作開發,可以通過遠程安裝、供應鏈攻擊、中間人劫持攻擊和物理接觸安裝等方式植入,以微軟Windows服務方式駐留。所有攻擊功能模塊均以插件形式在內存中解密執行。
2.3 Grasshopper(蚱蜢)後門程序
一款針對微軟Windows操作系統的高級可配置後門程序,可生成多種文件格式形式的(EXE,DLL,SYS,PIC)惡意荷載,支持多種執行方式,配以不同插件模塊後,可隱蔽駐留並執行間諜功能。
2.4 AfterMidnight(午夜之後)後門程序
一款以微軟Windows操作系統DLL服務形式運行的輕量級後門,它通過HTTPS協議動態傳輸、加載「Gremlins」模塊,全程以加密方式執行惡意荷載。
2.5 ChimayRed(智美紅帽)漏洞利用工具
一款針對MikroTik等品牌路由器的漏洞利用工具套件,配合漏洞利用可植入「TinyShell」等輕量級網絡設備後門程序。
2.6 HIVE(蜂巢)網絡攻擊平台
「蜂巢」網絡攻擊平台由美國中央情報局(CIA)下屬部門和美國著名軍工企業諾斯羅普·格魯曼(NOC)旗下公司聯合研發,它為美國中央情報局(CIA)網絡攻擊團隊提供一種結構複雜的持續性攻擊竊密手段。它管理利用全球範圍內數量龐大的失陷資產,組成多層動態跳板和秘密數據傳輸通道,7×24小時向美國中央情報局(CIA)上傳用戶賬戶、密碼和隱私數據(https://www.cverc.org.cn/head/zhaiyao/news20220419-hive.htm)。
2.7 其他衍生工具
美國中央情報局(CIA)在通過上述「Vault7」(穹頂7)網絡武器實施攻擊竊密過程中,還衍生和使用了大量「Vault7」 (穹頂7)資料之外的攻擊樣本,現已提取的樣本中包括偽裝的釣魚軟件安裝包、鍵盤記錄組件、系統信息收集組件、USB文件竊取模塊和不同的開源黑客工具等。
3.美國中央情報局(CIA)網絡攻擊武器樣本功能分析
在針對中國境內多起典型網絡攻擊事件的調查過程中,360公司從受害單位信息網絡中捕獲並成功提取了一大批與網曝美國中央情報局(CIA)「Vault7」(穹頂7)資料緊密關聯的木馬程序、功能插件和攻擊平台樣本。深入分析發現,相關程序樣本大都遵循了「Vault7」(穹頂7)資料中的《Network Operations Division In-memory Code Execution Specification》、《Network Operations Division Cryptographic Requirements》和《Network Operations Division Persisted DLL Specification》等美國中央情報局(CIA)惡意軟件開發標準和技術規範。這些標準和規範分別對應網絡攻擊竊密活動中惡意代碼的加載執行、數據加密和持久化行為,相關網絡武器進行了極其嚴格的規範化、流程化和專業化的軟件工程管理。據悉,目前只有美國中央情報局(CIA)嚴格遵守這些標準和規範開發網絡攻擊武器。
據「Vault7」( 穹頂7)資料顯示,上述網絡攻擊武器歸屬於美國中央情報局(CIA)的EDG(工程開發組),由其下屬的AED(應用工程部)和EDB(嵌入式設備分部)等多個分部獨立或聯合研發。這些網絡武器大都誕生於一個名為「devlan.net」的美國中央情報局(CIA)最高機密內部網絡中。「devlan.net」是美國中央情報局(CIA)工程開發部(EDG)建立的龐大的網絡武器開發測試基礎設施。另據「devlan.net」的開發日誌數據顯示,僅「HIVE」(蜂巢)一個項目就至少投入EDG兩百餘名工程師參與研發。
進一步技術分析發現,美國中央情報局(CIA)的後門程序和攻擊組件大都以無實體文件的內存駐留執行的方式運行,這使得對相關樣本的發現和取證難度極大。即使這樣,聯合技術團隊還是成功找到了解決取證難題的有效方法。為後續描述和分析問題方便,我們暫且將美國中央情報局(CIA)的攻擊武器分為9個類別:
3.1 框架平台類。我們發現並捕獲了Fluxwire(磁通線)、Grasshopper(蚱蜢)、Athena(雅典娜)的攻擊樣本和攻擊活動,經過實地檢測,這些樣本的功能、攻擊特徵和網絡行為均可與「Vault7」(穹頂7)資料中的描敘一一印證。
3.2 攻擊模塊投遞類。美國中央情報局(CIA)使用了大量功能簡單的小型惡意代碼下載器,用於加載執行更多的惡意代碼及模塊,相關樣本無特別的惡意功能及特徵,但在與框架平台等攻擊武器配合時卻可展現出強大的竊密功能,極難將其歸因溯源。
3.3 遠程控制類。現已提取多款遠程控制插件,大都屬於框架平台類攻擊武器衍生出的攻擊模塊組件,二者之間相互配合。
3.4 橫向移動類。提取到的大量惡意程序樣本中,包含多款通過系統管理員憑據使用Windows遠程服務安裝植入的後門程序。除此之外,美國中央情報局(CIA)還劫持多種安全產品內網的升級程序,通過內網升級服務器的升級功能下發安裝後門程序,實施內網中的橫向移動攻擊。
3.5 信息收集竊取類。聯合技術團隊偶然提取到美國中央情報局(CIA)使用的一款信息竊取工具,它屬於網曝美國國家安全局(NSA)機密文檔《ANT catalog》48種先進網絡武器中的一個,是美國國家安全局(NSA)的專用信息竊取工具。這種情況說明美國中央情報局(CIA)和美國國家安全局(NSA)會聯合攻擊同一個受害目標,或相互共享網絡攻擊武器,或提供相關技術或人力支持。這為對APT-C-39攻擊者身份的歸因溯源補充了新的重要證據。
3.6 漏洞利用類。調查中發現,至少從2015年開始,美國中央情報局(CIA)就在世界各地建立了龐大的網絡攻擊跳板資源,利用「零日」(0day)漏洞對全球範圍IOT(物聯網)設備和網絡服務器無差別攻擊,並將其中的大量失陷設備轉換為跳板「肉雞」,或隱藏自身攻擊行為,或將網絡攻擊嫁禍給其他國家。例如,美國中央情報局(CIA)使用代號為「ChimayRed」(智美紅帽)的漏洞攻擊套件定向攻擊多個型號的MikroTik品牌路由器,其中包括中國境內大量使用這種路由器的網絡設備。攻擊過程中,美國中央情報局(CIA)首先會惡意修改路由器啟動腳本,使路由器重啟後仍執行後門程序;然後,美國中央情報局(CIA)再修改路由器的CGI程序堵住被美國中央情報局(CIA)自身利用的漏洞,防止其他攻擊者再次入侵造成權限丟失;最終,美國中央情報局(CIA)會向路由器植入「蜂巢」(HIVE)或「TinyShell」等只有美國中央情報局(CIA)可以使用的專屬後門程序。
3.7 偽裝正常軟件類。美國中央情報局(CIA)針對攻擊目標的網絡環境,將後門程序定製偽裝為目標使用的用戶量較少的冷門軟件安裝包,針對目標實施精準的社會工程學攻擊。
3.8 安全軟件攻防類。美國中央情報局(CIA)掌握了專門用於攻擊商業殺毒軟件的攻擊工具,可以通過這些專用工具遠程關閉和殺死指定殺毒軟件的進程,使相關殺毒軟件對美國中央情報局(CIA)的攻擊行為或攻擊武器失效。
3.9 第三方開源工具類。美國中央情報局(CIA)也會經常使用現成的開源黑客工具進行攻擊活動。美國中央情報局(CIA)網絡攻擊行動的初始攻擊一般會針對受害者的網絡設備或服務器實施,也會進行社會工程學攻擊。在獲得目標權限之後,其會進一步探索目標機構的網絡拓撲結構,在內網中向其它聯網設備進行橫向移動,以竊取更多敏感信息和數據。被美國中央情報局(CIA)控制的目標計算機,會被進行24小時的實時監控,受害者的所有鍵盤擊鍵都會被記錄,剪切板複製粘貼信息會被竊取,USB設備(主要以移動硬盤、U盤等)的插入狀態也會被實時監控,一旦有USB設備接入,受害者USB設備內的私有文件都會被自動竊取。條件允許時,用戶終端上的攝像頭、麥克風和GPS定位設備都會被遠程控制和訪問。
4.小結
美國操縱的網絡霸權發端於網絡空間,籠罩世界,波及全球,而作為美國三大情報搜集機構之一,美國中央情報局(CIA)針對全球發起的網絡攻擊行為早已呈現出自動化、體系化和智能化的特徵。僅僅在《維基解密》網站中洩露出來的8716份文件中,就包含了美國情治部門諸多重要黑客工具和網絡攻擊武器,表明美國已經打造了全球最大的網絡武器庫。通過實證分析,我們發現其網絡武器使用了極其嚴格的間諜技術規範,各種攻擊手法前後呼應、環環相扣,現已覆蓋全球幾乎所有互聯網和物聯網資產,可以隨時隨地控制別國網絡,盜取別國重要、敏感數據,而這無疑需要大量的財力、技術和人力資源支撐,美國式的網絡霸權可見一斑,「黑客帝國」實至名歸。
本系列報告嘗試披露美國中央情報局(CIA)長期針對中國境內網絡目標進行攻擊竊密的各類活動,初步探索這些網絡攻擊和數據竊密活動。
針對美國中央情報局(CIA)對我國發起的高度體系化、智能化、隱蔽化的網絡攻擊,境內政府機構、科研院校、工業企業和商業機構如何快速「看見」並第一時間進行「處置」尤為重要。為有效應對迫在眉睫的網絡和現實威脅,我們在採用自主可控國產化設備的同時,應盡快組織開展APT攻擊的自檢自查工作,並逐步建立起長效的防禦體系,實現全面系統化防治,抵禦高級威脅攻擊。
(來源:國家計算機病毒應急處理中心)
評論