撰稿 | 贾贾
360在刷新大众认知方面总是有自己的一套。
Vault7(穹窿7)系列文档被维基解密披露已有将近三年。这三年间,针对其中网络武器的讨论和分析从未间断过,但大部分的讨论,都是建立在这些武器已成为“过去式”的基础上。
原因似乎很简单:人手一份的秘密便不能成为秘密,美国中央情报局(Central Intelligence Agency,简称CIA)不会蠢到将一切原封不动地摆回货架上——面对目前赛博空间中的隔空博弈,谁敢看不起谁?
但互联网是有记忆的。以为新瓶装旧酒就能瞒天过海的CIA,自然没有料到那些如同“封口泥塑的质地不同”般陈旧微小的细节仍会被360安全大脑所捕获。
针对我国多个机要单位长达十一年的隐秘攻击,终于在“网络空间雷达”的协助之下被公布于众。
”
CIA与APT-C-39
说到CIA,大部分人心目中浮现的,可能还只是个模糊的形象——有很多特工,像《碟中谍》里那般神出鬼没,或是“水门事件”、“棱镜门”的主导者等等。
美剧《国土安全》中的CIA特工
确实,这个已经有七十余年历史的美国国家情报机构最重要的职责,就是公开或秘密地收集和分析关于国外政府、公司、恐怖组织、个人、政治、文化、科技等方面的情报。美国政府明面上称其行动为“收集”,事实上却时常罔顾国际法与国际关系基本准则,肆意对他国政军企业和个人实施大规模、有组织的窃密、监控与攻击。
美方对此总是避而不谈,很大的一个原因是他们笃信自己没有留下足以被定罪的证据。的确,CIA长于隐秘行动,绝大部分证据早在被发现前就已经湮灭,这次由360安全大脑寻得的“APT-C-39”APT组织,也没有在自己的脑门上明晃晃地写上“我爸是CIA”。
那么,360安全大脑是从哪些蛛丝马迹中找到确凿证据,从而把CIA与该组织钉死在耻辱柱上的呢?
时间倒回2017年3月,维基解密仍旧正常运作着,它做出了一项惊天动地的决定:面向全球大众,公布了从前任CIA科技情报主管约书亚·亚当·舒尔特(Joshua Adam Schulte)手中获得的8716份文件,涵盖CIA黑客部队的攻击手法、目标、工具的技术规范和要求,而其中最核心的关键武器文件,名为“Vault7(穹窿7)”。
不过,“Vault7”固然是头一次在大众视野中被公开,其中不乏被称为“第三代震网病毒”的“残忍的袋鼠(Brutal Kangaroo)”这样有份量的机密文件,但如何才能一锤定音地证明,“Vault7”确确实实来源于CIA?
“残忍的袋鼠(Brutal Kangaroo)”的攻击路径
不知是巧合还是天意,2020年2月4日,在联邦法庭的公开听证会上,检方公诉人认定,约书亚作为CIA网络武器的核心研发人员和拥有其内部武器库最高管理员权限的负责人,将网络武器交由维基解密公开,要为“中央情报局历史上最大的一次机密国防情报泄露事件”负责。
至此,我们可以认定,“Vault7”网络武器,的确属于CIA的国防情报网。简单推导即可得知:如果在维基解密公开的2017年3月前,各国各组织曾有遭受过“Vault7”网络武器攻击的痕迹,那么这些攻击就等同于CIA的直接攻击,即由美国主导发起的攻击。
而360安全大脑通过海量安全大数据及在情报专家上的优势,对此前泄漏的“Vault7”资料的深入分析和溯源,在全球范围内首次发现了与其关联的
一系列针对我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等长达十一年的定向攻击活动。这些来源于涉美APT组织——APT-C-39的定向攻击活动最早可以追溯到2008年9月(持续到2019年6月)。
APT-C-39的定向攻击活动主要集中在北京、广东、浙江等省份
APT-C-39组织使用了大量CIA"Vault7"项目中的专属网络武器——是证据其一;
APT-C-39组织大部分样本的技术细节“Vault7”文档中描叙的技术细节一致——是证据其二;
早在2010年初,APT-C-39组织对我国境内的网路攻击活动中,就使用了“Vault7”中的Fluxwire系列后门——是证据其三。
APT-C-39组织历年对我国境内目标攻击使用的版本、
攻击时间和其本身捕获的样本数量
除此之外,360安全大脑还找到了2011年APT-C-39组织攻击武器里含有美国国家安全局(National Security Agency)文档中的WISTFULTOOL插件,以及APT-C-39组织的武器研发时间规律定位在美国时区这两个侧面证据。
以上五点证据集合,我们完全有理由相信:APT-C-39组织隶属于CIA,是由美国情报机构参与发起的攻击行为。
如果APT-C-39组织的攻击行为没有被360安全大脑发现,最有可能会发生什么事?
单单只看航空航天与科研机构这一项,就会发现受到攻击的大多是系统开发人员,他们从事的,是航空信息技术有关服务——国内国际航空的精密信息、全球航班实时动态、飞机飞行轨迹、乘客信息、贸易货运等相关情报很有可能被CIA尽数掌握定位。
卡西姆·苏莱曼尼
对于核心人物的政治威胁或军事打压便在所难免。今年1月,伊朗一代“军神”卡西姆·苏莱曼尼于自己的座驾中殒命,关键信息的来源,就是由以CIA为代表的美国情报机构通过网络攻击等手段获取的。
3月4日举行的中国外交部例行记者会上,发言人赵立坚对此事件表示:
事实证明,美国才是全球最大的网络攻击者,是名副其实的“黑客帝国”。美方却贼喊追贼,时时处处把自己装扮成网络攻击的受害者,充分暴露美方在网络安全问题上的虚伪性和双重标准。中国一直是美方网络窃密和攻击的严重受害者。360公司有关的报告是又一有力的例证。
老周的“未来视”
刚刚结束的RSAC 2020创新沙盒总决赛后,周鸿祎发出了这样的感慨:“某种角度来说,我看这些公司,也在关注他们究竟解决什么问题。我们评价一家公司,评价一个产品,从原来那种合规认证的角度走向能力认可,它到底是什么样的能力,能够把问题解决到什么程度。”
2018年5月17日,“360安全大脑”正式发布,旨在打造全球分布式智能安全系统,综合利用人工智能、大数据、云计算、IoT智能感知、区块链等新技术,保护国家、国防、关键基础设施、社会、城市及个人的网络安全。
老周不是圣人,做不到感化众生,但他能践行自己的承诺,尽自己所能,将依托于多年积累下来的“大数据能力”的360安全大脑打造成中国的国之重器,建设成为国家级的“雷达反导”体系。毕竟“网络攻击看见是1,其他都是0”。
在“大国之间的赛博空间角力”这件事上,周鸿祎可谓是磨破了嘴皮子。他不厌其烦,一遍又一遍地在各种大会、论坛上说明“大安全”的战略图景,力图向众人证明拥有从“感知”、“推理”、“决策”,到“学习”、“预测”这一闭环的“安全大脑”,是未来提升国防实力的重要举措。
当时很多人是不信的:只要买些杀软盒子就能解决的事情,何必弄得如此大张旗鼓,自找麻烦?但只要立足世界格局,就能看见前车有伊朗震网之鉴,后则有俄罗斯、乌克兰电网瘫痪。这些APT组织的攻击能被盒子防住吗?防不住,因为盒子是死的,APT攻击是活的。
从2014年开始,360安全大脑通过整合海量安全大数据,实现了APT威胁情报的快速关联溯源,独家发现并追踪了40余个APT组织及黑客团伙,独立发现了多起境外APT组织使用“在野”0day漏洞针对我国境内目标发起的APT攻击,大大拓宽了国内关于APT攻击的研究视野和研究深度,填补了国内APT研究的空白。
若是先前还能掩耳盗铃,把头埋在沙子里装鸵鸟认为这些有组织的APT攻击离我们身边很远,这次由CIA主导的长达十一年的APT攻击无疑是彻底击碎了那些人对安逸局势的幻想。
去年召开的第六届世界互联网大会上,360发布的0day漏洞雷达系统——360全视之眼,也正是借助了360安全大脑大数据和强大的智能决策响应能力,才会拥有每天感知异常行为超过5亿次的惊人能力,最终能做到及时有效捕获0day/Nday漏洞攻击,防范网络攻击于未然。
在笔者看来,360安全大脑的妙处,就是在于将原本水油分离的“大数据”和“人”完美地融合在了一起——在面对APT攻击时,许多人只想着怎么去建起一道牢不可破的墙来抵御攻击,却不容易转换思路,从攻击者本身的活动轨迹下手。
而老周说过:“网络安全本质上是人与人的对抗。”这句话在这次的事件中也可得到印证:CIA本应天衣无缝的一系列攻击,都因前任科技情报主管的披露而变得有迹可循;而360安全大脑的大数据和知识库,也正是由“东半球最强的白帽子军团”一手打造而成。
这正是:败也在人,成也在人。
閱讀更多 安在信息安全新媒體 的文章
