撰稿 | 賈賈
360在刷新大眾認知方面總是有自己的一套。
Vault7(穹窿7)系列文檔被維基解密披露已有將近三年。這三年間,針對其中網絡武器的討論和分析從未間斷過,但大部分的討論,都是建立在這些武器已成為“過去式”的基礎上。
原因似乎很簡單:人手一份的秘密便不能成為秘密,美國中央情報局(Central Intelligence Agency,簡稱CIA)不會蠢到將一切原封不動地擺回貨架上——面對目前賽博空間中的隔空博弈,誰敢看不起誰?
但互聯網是有記憶的。以為新瓶裝舊酒就能瞞天過海的CIA,自然沒有料到那些如同“封口泥塑的質地不同”般陳舊微小的細節仍會被360安全大腦所捕獲。
針對我國多個機要單位長達十一年的隱秘攻擊,終於在“網絡空間雷達”的協助之下被公佈於眾。
”
CIA與APT-C-39
說到CIA,大部分人心目中浮現的,可能還只是個模糊的形象——有很多特工,像《碟中諜》裡那般神出鬼沒,或是“水門事件”、“稜鏡門”的主導者等等。
美劇《國土安全》中的CIA特工
確實,這個已經有七十餘年曆史的美國國家情報機構最重要的職責,就是公開或秘密地收集和分析關於國外政府、公司、恐怖組織、個人、政治、文化、科技等方面的情報。美國政府明面上稱其行動為“收集”,事實上卻時常罔顧國際法與國際關係基本準則,肆意對他國政軍企業和個人實施大規模、有組織的竊密、監控與攻擊。
美方對此總是避而不談,很大的一個原因是他們篤信自己沒有留下足以被定罪的證據。的確,CIA長於隱秘行動,絕大部分證據早在被發現前就已經湮滅,這次由360安全大腦尋得的“APT-C-39”APT組織,也沒有在自己的腦門上明晃晃地寫上“我爸是CIA”。
那麼,360安全大腦是從哪些蛛絲馬跡中找到確鑿證據,從而把CIA與該組織釘死在恥辱柱上的呢?
時間倒回2017年3月,維基解密仍舊正常運作著,它做出了一項驚天動地的決定:面向全球大眾,公佈了從前任CIA科技情報主管約書亞·亞當·舒爾特(Joshua Adam Schulte)手中獲得的8716份文件,涵蓋CIA黑客部隊的攻擊手法、目標、工具的技術規範和要求,而其中最核心的關鍵武器文件,名為“Vault7(穹窿7)”。
不過,“Vault7”固然是頭一次在大眾視野中被公開,其中不乏被稱為“第三代震網病毒”的“殘忍的袋鼠(Brutal Kangaroo)”這樣有份量的機密文件,但如何才能一錘定音地證明,“Vault7”確確實實來源於CIA?
“殘忍的袋鼠(Brutal Kangaroo)”的攻擊路徑
不知是巧合還是天意,2020年2月4日,在聯邦法庭的公開聽證會上,檢方公訴人認定,約書亞作為CIA網絡武器的核心研發人員和擁有其內部武器庫最高管理員權限的負責人,將網絡武器交由維基解密公開,要為“中央情報局歷史上最大的一次機密國防情報洩露事件”負責。
至此,我們可以認定,“Vault7”網絡武器,的確屬於CIA的國防情報網。簡單推導即可得知:如果在維基解密公開的2017年3月前,各國各組織曾有遭受過“Vault7”網絡武器攻擊的痕跡,那麼這些攻擊就等同於CIA的直接攻擊,即由美國主導發起的攻擊。
而360安全大腦通過海量安全大數據及在情報專家上的優勢,對此前洩漏的“Vault7”資料的深入分析和溯源,在全球範圍內首次發現了與其關聯的
一系列針對我國航空航天、科研機構、石油行業、大型互聯網公司以及政府機構等長達十一年的定向攻擊活動。這些來源於涉美APT組織——APT-C-39的定向攻擊活動最早可以追溯到2008年9月(持續到2019年6月)。
APT-C-39的定向攻擊活動主要集中在北京、廣東、浙江等省份
APT-C-39組織使用了大量CIA"Vault7"項目中的專屬網絡武器——是證據其一;
APT-C-39組織大部分樣本的技術細節“Vault7”文檔中描敘的技術細節一致——是證據其二;
早在2010年初,APT-C-39組織對我國境內的網路攻擊活動中,就使用了“Vault7”中的Fluxwire系列後門——是證據其三。
APT-C-39組織歷年對我國境內目標攻擊使用的版本、
攻擊時間和其本身捕獲的樣本數量
除此之外,360安全大腦還找到了2011年APT-C-39組織攻擊武器裡含有美國國家安全局(National Security Agency)文檔中的WISTFULTOOL插件,以及APT-C-39組織的武器研發時間規律定位在美國時區這兩個側面證據。
以上五點證據集合,我們完全有理由相信:APT-C-39組織隸屬於CIA,是由美國情報機構參與發起的攻擊行為。
如果APT-C-39組織的攻擊行為沒有被360安全大腦發現,最有可能會發生什麼事?
單單隻看航空航天與科研機構這一項,就會發現受到攻擊的大多是系統開發人員,他們從事的,是航空信息技術有關服務——國內國際航空的精密信息、全球航班實時動態、飛機飛行軌跡、乘客信息、貿易貨運等相關情報很有可能被CIA盡數掌握定位。
卡西姆·蘇萊曼尼
對於核心人物的政治威脅或軍事打壓便在所難免。今年1月,伊朗一代“軍神”卡西姆·蘇萊曼尼於自己的座駕中殞命,關鍵信息的來源,就是由以CIA為代表的美國情報機構通過網絡攻擊等手段獲取的。
3月4日舉行的中國外交部例行記者會上,發言人趙立堅對此事件表示:
事實證明,美國才是全球最大的網絡攻擊者,是名副其實的“黑客帝國”。美方卻賊喊追賊,時時處處把自己裝扮成網絡攻擊的受害者,充分暴露美方在網絡安全問題上的虛偽性和雙重標準。中國一直是美方網絡竊密和攻擊的嚴重受害者。360公司有關的報告是又一有力的例證。
老周的“未來視”
剛剛結束的RSAC 2020創新沙盒總決賽後,周鴻禕發出了這樣的感慨:“某種角度來說,我看這些公司,也在關注他們究竟解決什麼問題。我們評價一家公司,評價一個產品,從原來那種合規認證的角度走向能力認可,它到底是什麼樣的能力,能夠把問題解決到什麼程度。”
2018年5月17日,“360安全大腦”正式發佈,旨在打造全球分佈式智能安全系統,綜合利用人工智能、大數據、雲計算、IoT智能感知、區塊鏈等新技術,保護國家、國防、關鍵基礎設施、社會、城市及個人的網絡安全。
老周不是聖人,做不到感化眾生,但他能踐行自己的承諾,儘自己所能,將依託於多年積累下來的“大數據能力”的360安全大腦打造成中國的國之重器,建設成為國家級的“雷達反導”體系。畢竟“網絡攻擊看見是1,其他都是0”。
在“大國之間的賽博空間角力”這件事上,周鴻禕可謂是磨破了嘴皮子。他不厭其煩,一遍又一遍地在各種大會、論壇上說明“大安全”的戰略圖景,力圖向眾人證明擁有從“感知”、“推理”、“決策”,到“學習”、“預測”這一閉環的“安全大腦”,是未來提升國防實力的重要舉措。
當時很多人是不信的:只要買些殺軟盒子就能解決的事情,何必弄得如此大張旗鼓,自找麻煩?但只要立足世界格局,就能看見前車有伊朗震網之鑑,後則有俄羅斯、烏克蘭電網癱瘓。這些APT組織的攻擊能被盒子防住嗎?防不住,因為盒子是死的,APT攻擊是活的。
從2014年開始,360安全大腦通過整合海量安全大數據,實現了APT威脅情報的快速關聯溯源,獨家發現並追蹤了40餘個APT組織及黑客團伙,獨立發現了多起境外APT組織使用“在野”0day漏洞針對我國境內目標發起的APT攻擊,大大拓寬了國內關於APT攻擊的研究視野和研究深度,填補了國內APT研究的空白。
若是先前還能掩耳盜鈴,把頭埋在沙子裡裝鴕鳥認為這些有組織的APT攻擊離我們身邊很遠,這次由CIA主導的長達十一年的APT攻擊無疑是徹底擊碎了那些人對安逸局勢的幻想。
去年召開的第六屆世界互聯網大會上,360發佈的0day漏洞雷達系統——360全視之眼,也正是藉助了360安全大腦大數據和強大的智能決策響應能力,才會擁有每天感知異常行為超過5億次的驚人能力,最終能做到及時有效捕獲0day/Nday漏洞攻擊,防範網絡攻擊於未然。
在筆者看來,360安全大腦的妙處,就是在於將原本水油分離的“大數據”和“人”完美地融合在了一起——在面對APT攻擊時,許多人只想著怎麼去建起一道牢不可破的牆來抵禦攻擊,卻不容易轉換思路,從攻擊者本身的活動軌跡下手。
而老周說過:“網絡安全本質上是人與人的對抗。”這句話在這次的事件中也可得到印證:CIA本應天衣無縫的一系列攻擊,都因前任科技情報主管的披露而變得有跡可循;而360安全大腦的大數據和知識庫,也正是由“東半球最強的白帽子軍團”一手打造而成。
這正是:敗也在人,成也在人。
閱讀更多 安在信息安全新媒體 的文章
