五大证据揭露CIA已对中国进行长达11 年的网络间谍活动

五大证据揭露CIA已对中国进行长达11 年的网络间谍活动

3月2日,360核心安全技术博客发布了一篇题为《The CIA Hacking Group (APT-C-39) Conducts Cyber-Espionage Operation on China's Critical Industries for 11 Years》的文章,称与美国中央情报局(CIA)存在关联的黑客组织APT-C-39至今已针对中国进行了长达11年之久的网络间谍活动,目标涵盖包括航空工业、科研机构、石油行业、互联网公司和政府机构等在内的多个关键行业。

文章还指出,前CIA雇员约书亚·亚当·舒尔特(Joshua Adam Schulte)负责网络武器的研究、开发和制造。在APT-C-39针对中国进行网络间谍活动期间,他被CIA国家秘密行动处(NCS)聘为科学技术处(DS&T)情报官,直接参与了Vault 7项目中网络武器的开发。

五大证据揭露CIA已对中国进行长达11 年的网络间谍活动

CIA简介

CIA,英文全称“Central Intelligence Agency”,是美国联邦政府的主要情报收集机构之一,主要分为四个组成部分:

情报处(DI)国家秘密服务处(NCS)管理处(DS)科学技术处(DS&T)

其主要服务包括:

从外国政府、企业和个人收集信息;分析其他美国同级机构收集的信息和情报;向美国高级决策者提供国家安全情报评估;应美国总统的要求执行或督办秘密活动。CIA网络武器研发关键人物约书亚·亚当·舒尔特简介

约书亚·亚当·舒尔特于1988年9月出生于德克萨斯州的拉伯克市,毕业于德克萨斯大学奥斯汀分校。他曾在国家安全局(NSA)实习过一段时间,然后于2010年加入CIA,担任科学技术处情报官。

五大证据揭露CIA已对中国进行长达11 年的网络间谍活动

约书亚精通网络武器的设计和开发,且拥有情报操作方面的知识,很快就成为了CIA许多重要黑客工具的核心骨干之一。

2016年,约书亚利用他对核心机房的管理特权和预设的后门窃取了Vault 7(7818个网页,943份附件,全部材料包括数亿行代码),并向维基解密进行了披露。

2018年,约书亚因Vault 7泄露事件被美国司法部逮捕并起诉。

CIA Vault 7泄露事件成为发现APT-C-39的关键

据称,Vault 7是CIA的黑客工具库。维基解密(WikiLeaks)于2017年对其进行了曝光,而曝光的目的是想要引导公众对“网络武器的安全、创造、使用、扩散和民主控制”进行讨论。

正是通过对Vault 7的研究,奇虎360发现了一系列针对中国航空工业、科研机构、石油行业、互联网公司和政府机构的网络攻击。

这些攻击最早可追溯至2008年(从2008年9月到2019年6月),主要分布在北京,广东和浙江等省,且均被归因于同一个黑客组织,即APT-C-39。

五大证据直指APT-C-39与CIA存在关联

证据1:APT-C-39使用了大量 Vault7项目中的专属网络武器

奇虎360表示,APT-C-39 曾使用Fluxwire、Grasshopper等 CIA专属网络武器针对中国实施网络攻击。

通过对比相关的样本代码、行为指纹以及其他信息,奇虎360非常肯定该组织使用的网络武器正是Vault7项目中所描述的网络武器。

证据2:大多数APT-C-39样本的技术细节与Vault7文档中的描述一致

奇虎360分析发现,大多数APT-C-39样本的技术细节与与Vault7文档中的描述一致,如控制命令、编译pdb路径、加密方案等。

证据3:在维基解密曝光Vault 7之前,APT-C-39就已经对中国目标使用了相关网络武器

例如,2010 年初,APT-C-39 在针对中国的网络攻击活动中就使用了Vault7中的Fluxwire后门,这远远早于维基解密曝光的时间。

在对Fluxwire后门进行了深入分析后,奇虎360对相关后门版本、攻击时间和多年捕获的APT-C-39样本进行了统计分类,具体如下表:

五大证据揭露CIA已对中国进行长达11 年的网络间谍活动

证据4:APT-C-39使用的部分攻击武器与NSA存在关联

WISTFULTOLL 是2014年NSA泄露文档中的一款攻击插件。在 2011 年针对中国一家大型互联网公司的攻击中,APT-C-39就使用了 WISTFULTOOL。

另一方面,在维基解密曝光的 CIA 机密文档中,也有文档证实了 NSA 会协助 CIA 研发网络武器,这也间接证实了 APT-C-39与美国情报机构存在关联。

证据5:APT-C-39的武器研发时间规律定位在美国时区

从奇虎360捕获的恶意软件样本的编译时间来看,样本的开发编译时间符合美国北美洲的作息时间。

恶意软件的编译时间,是APT归因的一个重要突破口。通过对恶意软件编译时间的研究,我们可以归纳出其开发者的作息时间表,从而掌握其所在位置的大致时区。

下表是APT-C-39的编译活动时间表。不难看出,该组织的活动接近美国东部时区的作息时间,这与CIA所在的位置相符。(弗吉尼亚州,美国东部时间)。

五大证据揭露CIA已对中国进行长达11 年的网络间谍活动

结语

2 月 28 日,中国国防部发言人吴谦在记者会上说了这样一句话,“在网络安全问题上,美方是国际公认的窃密惯犯。”

吴谦表示,从“维基解密”到“斯诺登事件”,再到最近的“瑞士加密机事件”,美方至今没有也无法给国际社会一个交代。事实已经一再证明,美国长期以来对外国政府、企业和个人实施大规模、有组织、无差别的网络窃密与监听,是名副其实的“黑客帝国”,国际社会应对此保持高度警惕。

未经允许不得转载:其他 » 五大证据揭露CIA已对中国进行长达11 年的网络间谍活动