《美國情報機構網絡攻擊的歷史回顧》報告發佈

　　“斯諾登事件”迄今已近十年，伴隨著“棱鏡門”的曝光，國傢級網絡攻擊行為逐漸浮出水面。早在此前，已有多方信息顯示，美相關機構利用其技術和先發優勢針對他國開展網絡攻擊行為。為系統呈現美情報機構開展全球網絡攻擊活動的情況，中國網絡安全產業聯盟（CCIA）精心編制，並於今日發佈瞭《美國情報機構網絡攻擊的歷史回顧——基於全球網絡安全界披露信息分析》（以下簡稱《報告》）。

　　《報告》立足網絡安全專業視角，堅持科學、客觀、中立原則，基於全球數十傢網絡安全企業、研究機構及專傢學者的近千份研究文獻，充分整合各方分析過程及研究成果，力求通過業界和學界的分析實證，努力呈現美相關機構對他國進行網絡攻擊的情況，揭示網絡霸權對全球網絡空間秩序構成的重大破壞及嚴重威脅。

　　《報告》按照時間和事件脈絡，共分為13篇，主要包括美國情報機構網絡攻擊他國關鍵基礎設施，進行無差別網絡竊密與監控，植入後門污染標準及供應鏈源頭，開發網絡攻擊武器並造成泄露，所售商用攻擊平臺失控而成為黑客利器，幹擾和打壓正常的國際技術交流與合作，打造符合美國利益的標準及秩序，阻礙全球信息技術發展，制造網絡空間的分裂與對抗等。

　　各篇概要如下：

　　第一篇 網絡戰的開啟——對“震網”事件的分析

　　2010年美國情報機構使用“震網”病毒（Stuxnet）攻擊伊朗核設施，打開瞭網絡戰的“潘多拉魔盒”。在信息技術發展歷史上，出現過大量網絡病毒和攻擊事件，但“震網”事件是首個得到充分技術實證、對現實世界中的關鍵工業基礎設施造成瞭與傳統物理毀傷等效的網絡攻擊行動。全球網絡安全廠商與專傢的接力分析，對這次攻擊行動進行瞭十分充分的畫像，逐步將幕後黑手鎖定美國情報機構。

　　2010年6月，白俄羅斯網絡安全公司VirusBlokAda技術人員在伊朗客戶電腦中發現瞭一種新的蠕蟲病毒，根據代碼中出現的特征字“stux”將其命名為“Stuxnet”；

　　2010年9月，美國網絡安全廠商賽門鐵克披露“震網”病毒的基本情況、傳播方法、攻擊目標，及病毒演化過程；

　　俄羅斯網絡安全廠商卡巴斯基針對“震網”病毒先後發表數十篇報告，從功能行為、攻擊目標、漏洞利用、規避對抗、命令和控制服務器等多方面進行全面分析，尤其討論瞭“震網”病毒所利用的LNK漏洞和具有簽名的驅動程序，並指出如此復雜的攻擊隻能在“國傢支持下”才可進行；

　　中國網絡安全廠商安天陸續發佈3篇報告，分析“震網”病毒的攻擊過程、傳播方式、攻擊意圖、文件衍生關系和利用的多個零日漏洞、更新方式及USB擺渡傳播條件的技術機理，總結其攻擊特點和對工業控制系統現場設備的影響過程，並推測可能的攻擊場景，搭建環境模擬其對工控系統的攻擊過程；

　　2013年11月，德國IT安全專傢拉爾夫·朗納（Ralph Langner）先後發表兩篇文章，將“震網”事件稱為“網絡戰的教科書范例”，基於對“震網”病毒兩個版本及攻擊事件的跟蹤研究，概括性地勾畫瞭“網絡戰產生物理性戰果”的具體實現方法和作戰流程。

　　第二篇 “震網”之後的連鎖反應——對“毒曲”“火焰”“高斯”的跟進分析

　　全球網絡安全廠商逐步證實更加復雜的“毒曲”（Duqu）“火焰”（Flame）以及“高斯”(Gauss)等病毒與“震網”同源，與其同期甚至更早前就已經開始傳播。

　　2011年10月，匈牙利安全團隊CrySyS發現瞭一個與“震網”非常類似的病毒樣本，稱之為Duqu （“毒曲”），在與“震網”進行對比後，研究人員確定二者極具相似性；

　　2011年10月，賽門鐵克發佈報告，詳細分析瞭“毒曲”病毒的全球感染情況、安裝過程及加載邏輯;

　　卡巴斯基從2011年10月起，陸續發佈瞭關於“毒曲”病毒的十篇分析報告，認為“毒曲”是一個多功能框架，具有高度可定制性和通用性。2015年6月，卡巴斯基捕獲到瞭“毒曲”病毒對其進行的攻擊，分析認為攻擊者意圖監控並竊取其源代碼，隻有國傢支持的團隊才有能力做到；

　　2012年5月，安天發佈報告分析“毒曲”病毒的模塊結構、編譯器架構、關鍵功能，指出“毒曲”與“震網”在結構和功能上具有一定的相似性，並根據編碼心理學，判斷二者具有同源性；

　　2012年4月，伊朗石油部和伊朗國傢石油公司遭到“火焰”病毒攻擊。卡巴斯基分析認為“火焰”是當時攻擊機制最復雜、威脅程度最高的計算機病毒之一，結構復雜度是“震網”病毒的20倍，幕後團隊很可能由政府機構操縱；

　　2012年5月，安天發佈報告，分析瞭“火焰”病毒的運行邏輯、傳播機理和主要模塊功能，認為“火焰”是一個比“震網”具有更多模塊的復雜組件化木馬，其漏洞攻擊模塊中包含曾被“震網”病毒使用過的USB攻擊模塊，佐證瞭二者的同源關系；

　　2012年8月，卡巴斯基發現“高斯”病毒，稱有足夠證據表明“高斯”與“火焰”“震網”密切相關，由與“震網”“毒曲”“火焰”相關的組織創建；

　　2019年9月，安天經過持續跟蹤研究發佈報告“震網事件的九年再復盤與思考”，分析瞭“震網”各個版本的特點、產生原因、作用機理、相關高級惡意代碼工程框架，以及“震網”“毒曲”“火焰”“高斯”“方程式組織”所使用惡意代碼間的關聯。

　　第三篇 超級機器的全貌——斯諾登事件跟進分析

　　2013年6月5日，英國《衛報》率先報道美國中央情報局（CIA）情報職員斯諾登爆料的NSA代號為“棱鏡”（PRISM）秘密項目，曝光瞭包括微軟、雅虎、谷歌、蘋果等在內的9傢國際網絡巨頭配合美國政府秘密監聽通話記錄、電子郵件、視頻和照片等信息，甚至入侵包括德國、韓國在內的多個國傢的網絡設備。隨著斯諾登泄露文件的逐步公開，全球網絡安全廠商對於美國情報機構網絡空間行動的相關工程體系、裝備體系有瞭更多可以分析的文獻資料，美國網絡空間超級機器的全貌逐步顯現。

　　2013年7月，安天發佈分析文章，指出斯諾登事件暴露的重點內容主要包括：一是“棱鏡”項目作為NSA網絡情報系統的一個組成部分，主要利用美國互聯網企業所提供的接口進行數據檢索、查詢和收集工作；二是谷歌、微軟、蘋果、臉譜等美國大型互聯網企業大多與此計劃有關聯；三是NSA下屬的特定入侵行動辦公室（TAO）對中國進行瞭長達15年的攻擊，相關行動得到瞭思科的幫助；

　　2017年12月安天發佈系列文章，深度解析斯諾登泄露文件中的“星風”計劃等，指出美國開展瞭以“棱鏡”為代表的大量網絡情報竊聽項目和計劃，形成覆蓋全球的網絡情報獲取能力，並在此基礎上，建立瞭以“湍流”（TURBULENCE）為代表的進攻性能力支撐體系，通過被動信號情報獲取、主動信號情報獲取、任務邏輯控制、情報擴散與聚合、定向定位等相關能力模塊，實現完整的網絡空間情報循環，再結合“監護”（TUTELAGE）、“量子”（QUANTUM）等網絡空間攻防能力模塊，進一步實現情報驅動的網絡空間積極防禦和進攻行動；

　　2022年3月，中國網絡安全廠商360發佈報告，披露NSA長達十餘年對全球發起的無差別攻擊，尤其對“量子”攻擊系統、“酸狐貍”（FOXACID）零日漏洞攻擊平臺、“驗證器”（VALIDATOR）和“聯合耙”（UNITEDRAKE）後門進行分析，分析表明全球受害單位感染量或達百萬級。

　　第四篇 後門的傳言—對美國污染加密通訊標準的揭露

　　全球網絡安全業界和學術界通過不懈努力，證實瞭美國通過植入後門操縱國際信息安全標準的行徑。其做法動搖瞭整個互聯網的技術信任基礎，對全球國際關系生態環境造成極為惡劣的影響。

　　2007年，微軟密碼學傢從技術角度進行分析，說明美NIST在2006年通過SP 800-90A推薦的雙橢圓曲線（Dual EC）確定性隨機位發生器（DRBG）算法存在可植入後門的可能性；

　　2013年斯諾登泄露文檔不僅證實瞭此前的後門猜測，還曝光瞭NSA對密碼體系的長期、系統性的操控，利用加密標準漏洞對全球的監控；

　　2015年，美國“連線”雜志披露瞭NSA對VPN通信攻擊的加密漏洞Logjam；

　　2020年，美國、德國和瑞士媒體聯合披露CIA通過操縱密碼機生產廠商Crypto AG，長期竊取全球多個國傢政企用戶加密通訊內容。

　　第五篇 固件木馬的實證——“方程式組織”正式浮出水面

　　固件是寫入硬件的軟件，其比操作系統更底層，甚至先於操作系統加載。如果把病毒寫入固件中，就更隱蔽和難以發現。全球網絡安全產業界和學術界逐步證實瞭美國利用硬盤固件完成“持久化”的攻擊活動。

　　2014年1月，專註研究BIOS安全的網絡安全專傢達爾馬萬·薩利亨（Darmawan Salihun）撰文，分析曝光NSA的BIOS後門DEITYBOUNCE、GODSURGE等，並將這些惡意軟件稱為“上帝模式”；

　　2015年2月至3月期間，卡巴斯基發佈系列報告，揭露名為“方程式組織”（Equation Group）的APT組織，稱其已活躍瞭近20年，是“震網”和“火焰”病毒的幕後操縱者，在攻擊復雜性和攻擊技巧方面超越瞭歷史上所有的網絡攻擊組織。

　　2016年，卡巴斯基根據RC算法的常量值，驗證瞭黑客組織“影子經紀人”泄露的NSA數據屬於“方程式組織”，指出“方程式組織”在高價值目標中針對硬盤固件實現攻擊持久化的植入；

　　2015年3月和4月，安天先後發佈兩篇報告，分析“方程式組織”主要攻擊平臺的組成結構、關聯關系、回傳信息、指令分支、C2地址、插件功能，並解析瞭關鍵插件“硬盤重編程”模塊的攻擊技術原理，以及多個組件的本地配置和網絡通訊加密算法和密鑰；

　　2022年2月，中國網絡安全廠商奇安信發佈報告稱，通過“影子經紀人”與斯諾登泄露的數據驗證瞭Bvp47是屬於NSA“方程式組織”的頂級後門，並還原瞭Dewdrops、“飲茶”（Suctionchar_Agent）嗅探木馬與Bvp47後門程序等其他組件配合實施聯合攻擊的場景。

　　第六篇 覆蓋全平臺的網絡攻擊——“方程式組織”Solaris和Linux樣本的曝光

　　網絡安全研究人員發現，超級攻擊組織力圖將其載荷能力擴展到一切可以達成入侵和持久化的場景。在這些場景中，各種服務器操作系統，如Linux、Solaris、FreeBSD等，更是其高度關註的目標。基於這樣的研判，對於“方程式組織”這一超級APT攻擊組織，網絡安全廠商展開瞭細致深入的跟蹤研究。

　　2015年2月，卡巴斯基提出“方程式組織”可能具有多平臺攻擊能力，有實例證明，“方程式組織”惡意軟件DOUBLEFANTASY存在Mac OS X版本；

　　2016年11月，安天發佈報告，分析瞭“方程式組織”針對多種架構和系統的攻擊樣本，全球首傢通過真實樣本曝光該組織針對Solaris（SPARC架構）、Linux系統攻擊能力；

　　2017年1月，安天基於“影子經紀人”泄露的“方程式組織”樣本分析，繪制“方程式組織”作業模塊積木圖，揭示瞭美國通過精細化模塊實現前後場控制、按需投遞惡意代碼的作業方式。

　　第七篇 泄露的軍火——美國網絡武器管理失控成為網絡犯罪的工具

　　2017年5月12日，WannaCry勒索軟件利用NSA網絡武器中的“永恒之藍”（Eternalblue）漏洞，制造瞭一場遍及全球的巨大網絡災難。超級大國無節制地發展網絡軍備，但又不嚴格保管，嚴重危害全球網絡安全。

　　微軟曾在2017年3月份發佈瞭“永恒之藍”漏洞的補丁，而“影子經紀人”在2017年4月公佈的“方程式組織”使用的網絡武器中包含瞭該漏洞的利用程序，黑客正是運用瞭這一網絡武器，針對所有未及時打補丁的Windows系統電腦實施瞭此次全球性大規模攻擊；

　　中國國傢互聯網應急中心（CNCERT）確認WannaCry勒索軟件在傳播時基於445端口並利用SMB服務漏洞（MS17-010），總體可以判斷是由於此前“影子經紀人”披露漏洞攻擊工具而導致的黑產攻擊威脅；

　　卡巴斯基分析認為網絡攻擊所用的黑客工具“永恒之藍”是由 “影子經紀人”此前在網上披露，來自NSA的網絡武器庫；

　　安天對該勒索軟件利用的SMB漏洞MS17-010進行分析，將其定性為“軍火級攻擊裝備的非受控使用”，並隨後發佈瞭“關於系統化應對NSA網絡軍火裝備的操作手冊”；

　　360檢測到該勒索軟件傳播後迅速發佈警報，呼籲民眾及時安裝系統補丁和安全軟件，並在獲取到樣本後，推出瞭系列解決方案。

　　美國網絡武器庫中的其他“軍火”一旦泄露可能會被針對性地使用，其衍生的危害可能不低於“永恒之藍”，它們的存在和泄露更加令人擔憂。

　　第八篇 軍備的擴散——美國滲透測試平臺成為黑客普遍利用的工具

　　美國未對其銷售的自動化攻擊平臺進行有效約束管控，導致滲透攻擊測試平臺Cobalt Strike等成為黑客普遍利用的工具，不僅給全球網絡空間埋下瞭安全隱患，而且對他國安全造成瞭無法預估的潛在影響。

　　2015年5月，安天發現在一例針對中國政府機構的準APT攻擊事件中，攻擊者依托Cobalt Strike平臺生成的、使用信標（Beacon）模式進行通信的Shellcode，實現對目標主機遠程控制。在2015年中國互聯網安全大會（ISC 2015）上，安天對Regin、Cobalt Strike等主要商業化網絡武器進行瞭系統梳理，分析指出，Cobalt Strike創始人拉菲爾·穆奇在美軍現役和預備役網絡部隊的服役和研發背景，清晰地反映瞭美軍事網絡技術和能力的外溢及破壞性；

　　美國安全公司Proofpoint調查結果顯示，2020年威脅行為體對Cobalt Strike的運用較上一年增加瞭161%，2019年至2021年，濫用Cobalt Strike的攻擊中有15%與已知的黑客組織有關；

　　美國網絡安全公司Sentinelone分析顯示，Egregor勒索軟件的主要分發方式是Cobalt Strike；

　　奇安信監測發現，威脅組織“Blue Mockingbird”利用Telerik UI漏洞（CVE-2019-18935）攻陷服務器，進而安裝Cobalt Strike信標並劫持系統資源挖掘門羅幣。

　　第九篇 “拱形”計劃的曝光——應對美國對網絡安全廠商的監控

　　2015年6月22日，斯諾登披露瞭美國、英國有關情報機構實施的“拱形”計劃（CamberDADA）。該計劃主要利用美國入侵全球運營商的流量獲取能力，對卡巴斯基等反病毒廠商和用戶間通訊進行監控，以獲取新的病毒樣本及其他信息。該計劃後續目標包括歐洲和亞洲16個國傢的23傢全球重點網絡安全廠商，其中包括中國網絡安全廠商安天。

　　分析認為，“拱形”計劃的目的：一是捕獲全球用戶向反病毒廠商上報的樣本，二是為TAO提供可重用樣本資源，三是監測反病毒廠商的處理能力及是否放行某些惡意代碼樣本。

　　美國“攔截者”刊文稱，“拱形”計劃顯示自2008年開始NSA就針對卡巴斯基和其他反病毒廠商的軟件展開瞭系統性的間諜活動；

　　美國“連線”刊文稱，“拱形”計劃描繪瞭一個系統性的軟件“逆向工程”活動，通過監控網絡安全廠商發現軟件漏洞，以便幫助情報機構繞過這些軟件；

　　美國“福佈斯”刊文稱，“拱形”計劃監控名單是美國情報機構對“五眼聯盟”國傢以外的、有能力發現和遏制其網絡活動的安全廠商“黑名單”；

　　中國新華社刊文稱，被列入監控范圍的反病毒企業紛紛對此表示不安，同時均稱對其安全產品有信心，沒有發現產品受到削弱；

　　安天發佈聲明稱，泄密文檔披露的主要是相關情報機構在公網信道監聽獲取用戶上報給廠商的郵件，並非是對安全廠商自身的網絡系統和產品進行的攻擊。此份監控“目標名單”的出臺，將使本已出現裂痕與猜忌的全球安全產業更趨割裂。

　　第十篇 破窗效應——對“影子經紀人”和維基解密泄露數據進行迭代分析

　　“影子經紀人”和維基解密泄露數據進一步揭示瞭美國NSA和CIA兩大情報機構網絡軍火庫的真實面目。“影子經紀人”分批曝光瞭NSA針對網絡安全設備的攻擊裝備、針對全球服務器攻擊列表清單、入侵SWIFT機構資料、FuzzBunch（FB）漏洞攻擊平臺和DanderSpritz（DSZ）遠控平臺等網絡武器裝備，並稱這些攻擊裝備與“方程式組織”有關。NSA針對的目標包括俄羅斯、日本、西班牙、德國、意大利等在內的超過45個國傢的287個目標，持續時間長達十幾年。“維基解密”曝光瞭8761份據稱是CIA網絡攻擊活動的秘密文件，其中包含7818個網頁和943份附件。泄露的文件包含龐大攻擊裝備庫的文檔信息，其平臺面覆蓋非常廣泛，不僅包括Windows、Linux、iOS、Android等常見的操作系統，也包括智能電視、車載智能系統、路由器等網絡節點單元和智能設備。

　　全球網絡安全學術界和產業界在震驚之餘，紛紛開始對泄露的資料進行整理和分析。針對“影子經紀人”曝光的材料，梳理出瞭NSA網絡作業體系中以FB、Operation Center（OC）和DSZ為代表的三大核心模塊；而維基解密曝光的“七號軍火庫”（Vault 7）包含的CIA網絡作業15個工具(集)和5個框架，也得到較為全面的整理。

　　2017年12月至2018年11月，安天發佈“美國網絡空間攻擊與主動防禦能力解析”系列報告，從情報循環、進攻性能力支撐、攻擊裝備和積極防禦等多角度對美國網絡空間攻防能力進行瞭系統化梳理；

　　2018年10月，卡巴斯基對DSZ中的DarkPulsar後門進行瞭深度分析，其持久性和潛伏能力的研究結果表明，背後的開發者非常專業，針對的是具有長期監視和控制價值的目標；

　　2021年12月，以色列安全廠商Checkpoint分析DSZ中的Double Feature組件後得出結論，DSZ（以及FB和OC）都是“方程式組織”龐大的工具集；

　　2020年3月，360披露瞭CIA攻擊組織（APT-C-39）對中國航空航天、科研機構、石油行業、大型互聯網公司以及政府機構等關鍵領域長達十一年的網絡滲透攻擊；2022年3月，360發佈關於NSA攻擊組織APT-C-40的分析報告稱，該組織早在2010年就開始瞭針對中國系列行業龍頭公司的攻擊；

　　2022年3月，中國國傢計算機病毒應急處理中心（CVERC）正式公開發佈瞭對NSA使用“NOPEN”木馬的分析報告。2022年9月曝光的針對中國西北工業大學攻擊中，NSA使用瞭多達41種網絡武器，其中就有“影子經紀人”泄露過的NOPEN。

　　第十一篇 首次完整的溯源——復盤“方程式組織”攻擊中東技術設施的完整過程

　　2017年4月14日，“影子經紀人”曝光的美國網絡攻擊相關數據中包含一個名為SWIFT的文件夾，其中包含一起2012年7月至2013年9月期間，針對中東地區最大的SWIFT服務提供商EastNets發起的攻擊行動。該行動成功竊取瞭EastNets在比利時、約旦、埃及和阿聯酋的上千個雇員賬戶、主機信息、登錄憑證及管理員賬號。

　　2019年6月，安天基於“影子經紀人”泄露資料與歷史捕獲分析成果進行關聯分析，完整復盤瞭“方程式組織”攻擊中東最大SWIFT金融服務提供商EastNets事件，還原美國攻擊跳板、作業路徑、裝備運用、戰術過程、場景環境和作業後果，總結瞭美國此次作業使用的攻擊裝備信息，指出美國擁有覆蓋全平臺全系統的攻擊能力和大量的零日漏洞儲備。

　　第十二篇 國際論壇上的鬥爭——揭露美國對網絡空間安全的操控

　　美國利用其在網絡空間的話語權，幹擾和打壓正常國際交流，阻撓信息的傳播和共享，而全球網絡安全廠商和學術人員在各種國際會議和論壇上持續努力，揭露美國網絡行為、意圖和活動。

　　2015年，德國《明鏡周刊》披露瞭NSA通過侵入（並利用）第三方網絡基礎設施，獲取情報或實施網絡攻擊的“第四方情報收集”手法和項目。卡巴斯基公司研究人員在2017年的Virus Bulletin年度會議上分析瞭這一攻擊手法的隱蔽性和高度復雜性；

　　2016年，美國哥倫比亞大學國際與公共事務學院的高級研究人員傑森·希利（Jason Healey）撰文，深入分析瞭美國漏洞公平裁決程序（VEP）自2008到2016年的發展歷程，並對當前（2016年）美國可能囤積的零日漏洞軍火數量進行瞭謹慎的估算；

　　中國復旦大學沈逸教授在2013年“新時代網絡威脅之路”研討會對美國國傢監控行為進行歷史梳理；

　　安天在2015年“中俄網絡空間發展與安全論壇”上，對美“方程式組織”的特點、能力及對中國重點基礎工業企業攻擊情況進行瞭分析。

　　第十三篇 限制和打壓——美國泛化安全概念制裁他國網絡安全廠商

　　近年來，美國為瞭維護其政治霸權、經濟利益以及軍事技術和能力優勢，泛化“國傢安全”概念，制裁具備技術競爭力的他國知名網絡安全企業，不顧破壞國際秩序和市場規則，不惜損害包括美國在內的全球消費者利益。其主要做法包括：

　　禁用卡巴斯基的軟件產品。2017年9月13日，美國國土安全部以卡巴斯基可能威脅美國聯邦信息系統安全為由，要求所有聯邦機構90天內卸載所使用的卡巴斯基軟件產品；

　　運用實體清單制約中國企業發展。2020年5月22日，網絡安全企業——奇虎360被美國商務部列入“實體清單”；

　　對曝光美國網絡攻擊行為的他國安全企業施壓。2016年12月22日，美國NetScout公司發文稱中國網絡安全公司安天是“中國反APT”代言人；2022年2月17日，美國國會“美中經濟與安全審查委員會”（USCC）聽證會特別點名安天和奇虎360，因其公開發表瞭對NSA和CIA網絡空間行動的分析。

　　對中國網安企業另冊排名並據此打壓。自2019年起，Cybersecurity Ventures的“網絡安全500強”名單被“網絡安全公司熱門150強名單”所取代，上榜的均為歐美廠商。2020年9月，Cybersecurity Ventures發佈中國最熱門、最具創新性的“中國網絡安全公司”名單，包括安天、奇虎360、奇安信、山石網科、安恒、深信服、微步在線等20傢企業，而2022年USCC聽證會專傢正是依據此份名單，建議美商務部、財政部將其中企業列入實體名單、制裁名單。