《美国情报机构网络攻击的历史回顾》报告发布

“斯诺登事件”迄今已近十年，伴随着“棱镜门”的曝光，国家级网络攻击行为逐渐浮出水面。早在此前，已有多方信息显示，美相关机构利用其技术和先发优势针对他国开展网络攻击行为。为系统呈现美情报机构开展全球网络攻击活动的情况，中国网络安全产业联盟（CCIA）精心编制，并于今日发布了《美国情报机构网络攻击的历史回顾——基于全球网络安全界披露信息分析》（以下简称《报告》）。

《报告》立足网络安全专业视角，坚持科学、客观、中立原则，基于全球数十家网络安全企业、研究机构及专家学者的近千份研究文献，充分整合各方分析过程及研究成果，力求通过业界和学界的分析实证，努力呈现美相关机构对他国进行网络攻击的情况，揭示网络霸权对全球网络空间秩序构成的重大破坏及严重威胁。

《报告》按照时间和事件脉络，共分为13篇，主要包括美国情报机构网络攻击他国关键基础设施，进行无差别网络窃密与监控，植入后门污染标准及供应链源头，开发网络攻击武器并造成泄露，所售商用攻击平台失控而成为黑客利器，干扰和打压正常的国际技术交流与合作，打造符合美国利益的标准及秩序，阻碍全球信息技术发展，制造网络空间的分裂与对抗等。

各篇概要如下：

第一篇 网络战的开启——对“震网”事件的分析

2010年美国情报机构使用“震网”病毒（Stuxnet）攻击伊朗核设施，打开了网络战的“潘多拉魔盒”。在信息技术发展历史上，出现过大量网络病毒和攻击事件，但“震网”事件是首个得到充分技术实证、对现实世界中的关键工业基础设施造成了与传统物理毁伤等效的网络攻击行动。全球网络安全厂商与专家的接力分析，对这次攻击行动进行了十分充分的画像，逐步将幕后黑手锁定美国情报机构。

2010年6月，白俄罗斯网络安全公司VirusBlokAda技术人员在伊朗客户电脑中发现了一种新的蠕虫病毒，根据代码中出现的特征字“stux”将其命名为“Stuxnet”；

2010年9月，美国网络安全厂商赛门铁克披露“震网”病毒的基本情况、传播方法、攻击目标，及病毒演化过程；

俄罗斯网络安全厂商卡巴斯基针对“震网”病毒先后发表数十篇报告，从功能行为、攻击目标、漏洞利用、规避对抗、命令和控制服务器等多方面进行全面分析，尤其讨论了“震网”病毒所利用的LNK漏洞和具有签名的驱动程序，并指出如此复杂的攻击只能在“国家支持下”才可进行；

中国网络安全厂商安天陆续发布3篇报告，分析“震网”病毒的攻击过程、传播方式、攻击意图、文件衍生关系和利用的多个零日漏洞、更新方式及USB摆渡传播条件的技术机理，总结其攻击特点和对工业控制系统现场设备的影响过程，并推测可能的攻击场景，搭建环境模拟其对工控系统的攻击过程；

2013年11月，德国IT安全专家拉尔夫·朗纳（Ralph Langner）先后发表两篇文章，将“震网”事件称为“网络战的教科书范例”，基于对“震网”病毒两个版本及攻击事件的跟踪研究，概括性地勾画了“网络战产生物理性战果”的具体实现方法和作战流程。

第二篇 “震网”之后的连锁反应——对“毒曲”“火焰”“高斯”的跟进分析

全球网络安全厂商逐步证实更加复杂的“毒曲”（Duqu）“火焰”（Flame）以及“高斯”(Gauss)等病毒与“震网”同源，与其同期甚至更早前就已经开始传播。

2011年10月，匈牙利安全团队CrySyS发现了一个与“震网”非常类似的病毒样本，称之为Duqu （“毒曲”），在与“震网”进行对比后，研究人员确定二者极具相似性；

2011年10月，赛门铁克发布报告，详细分析了“毒曲”病毒的全球感染情况、安装过程及加载逻辑;

卡巴斯基从2011年10月起，陆续发布了关于“毒曲”病毒的十篇分析报告，认为“毒曲”是一个多功能框架，具有高度可定制性和通用性。2015年6月，卡巴斯基捕获到了“毒曲”病毒对其进行的攻击，分析认为攻击者意图监控并窃取其源代码，只有国家支持的团队才有能力做到；

2012年5月，安天发布报告分析“毒曲”病毒的模块结构、编译器架构、关键功能，指出“毒曲”与“震网”在结构和功能上具有一定的相似性，并根据编码心理学，判断二者具有同源性；

2012年4月，伊朗石油部和伊朗国家石油公司遭到“火焰”病毒攻击。卡巴斯基分析认为“火焰”是当时攻击机制最复杂、威胁程度最高的计算机病毒之一，结构复杂度是“震网”病毒的20倍，幕后团队很可能由政府机构操纵；

2012年5月，安天发布报告，分析了“火焰”病毒的运行逻辑、传播机理和主要模块功能，认为“火焰”是一个比“震网”具有更多模块的复杂组件化木马，其漏洞攻击模块中包含曾被“震网”病毒使用过的USB攻击模块，佐证了二者的同源关系；

2012年8月，卡巴斯基发现“高斯”病毒，称有足够证据表明“高斯”与“火焰”“震网”密切相关，由与“震网”“毒曲”“火焰”相关的组织创建；

2019年9月，安天经过持续跟踪研究发布报告“震网事件的九年再复盘与思考”，分析了“震网”各个版本的特点、产生原因、作用机理、相关高级恶意代码工程框架，以及“震网”“毒曲”“火焰”“高斯”“方程式组织”所使用恶意代码间的关联。

第三篇 超级机器的全貌——斯诺登事件跟进分析

2013年6月5日，英国《卫报》率先报道美国中央情报局（CIA）情报职员斯诺登爆料的NSA代号为“棱镜”（PRISM）秘密项目，曝光了包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头配合美国政府秘密监听通话记录、电子邮件、视频和照片等信息，甚至入侵包括德国、韩国在内的多个国家的网络设备。随着斯诺登泄露文件的逐步公开，全球网络安全厂商对于美国情报机构网络空间行动的相关工程体系、装备体系有了更多可以分析的文献资料，美国网络空间超级机器的全貌逐步显现。

2013年7月，安天发布分析文章，指出斯诺登事件暴露的重点内容主要包括：一是“棱镜”项目作为NSA网络情报系统的一个组成部分，主要利用美国互联网企业所提供的接口进行数据检索、查询和收集工作；二是谷歌、微软、苹果、脸谱等美国大型互联网企业大多与此计划有关联；三是NSA下属的特定入侵行动办公室（TAO）对中国进行了长达15年的攻击，相关行动得到了思科的帮助；

2017年12月安天发布系列文章，深度解析斯诺登泄露文件中的“星风”计划等，指出美国开展了以“棱镜”为代表的大量网络情报窃听项目和计划，形成覆盖全球的网络情报获取能力，并在此基础上，建立了以“湍流”（TURBULENCE）为代表的进攻性能力支撑体系，通过被动信号情报获取、主动信号情报获取、任务逻辑控制、情报扩散与聚合、定向定位等相关能力模块，实现完整的网络空间情报循环，再结合“监护”（TUTELAGE）、“量子”（QUANTUM）等网络空间攻防能力模块，进一步实现情报驱动的网络空间积极防御和进攻行动；

2022年3月，中国网络安全厂商360发布报告，披露NSA长达十余年对全球发起的无差别攻击，尤其对“量子”攻击系统、“酸狐狸”（FOXACID）零日漏洞攻击平台、“验证器”（VALIDATOR）和“联合耙”（UNITEDRAKE）后门进行分析，分析表明全球受害单位感染量或达百万级。

第四篇 后门的传言—对美国污染加密通讯标准的揭露

全球网络安全业界和学术界通过不懈努力，证实了美国通过植入后门操纵国际信息安全标准的行径。其做法动摇了整个互联网的技术信任基础，对全球国际关系生态环境造成极为恶劣的影响。

2007年，微软密码学家从技术角度进行分析，说明美NIST在2006年通过SP 800-90A推荐的双椭圆曲线（Dual EC）确定性随机位发生器（DRBG）算法存在可植入后门的可能性；

2013年斯诺登泄露文档不仅证实了此前的后门猜测，还曝光了NSA对密码体系的长期、系统性的操控，利用加密标准漏洞对全球的监控；

2015年，美国“连线”杂志披露了NSA对VPN通信攻击的加密漏洞Logjam；

2020年，美国、德国和瑞士媒体联合披露CIA通过操纵密码机生产厂商Crypto AG，长期窃取全球多个国家政企用户加密通讯内容。

第五篇 固件木马的实证——“方程式组织”正式浮出水面

固件是写入硬件的软件，其比操作系统更底层，甚至先于操作系统加载。如果把病毒写入固件中，就更隐蔽和难以发现。全球网络安全产业界和学术界逐步证实了美国利用硬盘固件完成“持久化”的攻击活动。

2014年1月，专注研究BIOS安全的网络安全专家达尔马万·萨利亨（Darmawan Salihun）撰文，分析曝光NSA的BIOS后门DEITYBOUNCE、GODSURGE等，并将这些恶意软件称为“上帝模式”；

2015年2月至3月期间，卡巴斯基发布系列报告，揭露名为“方程式组织”（Equation Group）的APT组织，称其已活跃了近20年，是“震网”和“火焰”病毒的幕后操纵者，在攻击复杂性和攻击技巧方面超越了历史上所有的网络攻击组织。

2016年，卡巴斯基根据RC算法的常量值，验证了黑客组织“影子经纪人”泄露的NSA数据属于“方程式组织”，指出“方程式组织”在高价值目标中针对硬盘固件实现攻击持久化的植入；

2015年3月和4月，安天先后发布两篇报告，分析“方程式组织”主要攻击平台的组成结构、关联关系、回传信息、指令分支、C2地址、插件功能，并解析了关键插件“硬盘重编程”模块的攻击技术原理，以及多个组件的本地配置和网络通讯加密算法和密钥；

2022年2月，中国网络安全厂商奇安信发布报告称，通过“影子经纪人”与斯诺登泄露的数据验证了Bvp47是属于NSA“方程式组织”的顶级后门，并还原了Dewdrops、“饮茶”（Suctionchar_Agent）嗅探木马与Bvp47后门程序等其他组件配合实施联合攻击的场景。

第六篇 覆盖全平台的网络攻击——“方程式组织”Solaris和Linux样本的曝光

网络安全研究人员发现，超级攻击组织力图将其载荷能力扩展到一切可以达成入侵和持久化的场景。在这些场景中，各种服务器操作系统，如Linux、Solaris、FreeBSD等，更是其高度关注的目标。基于这样的研判，对于“方程式组织”这一超级APT攻击组织，网络安全厂商展开了细致深入的跟踪研究。

2015年2月，卡巴斯基提出“方程式组织”可能具有多平台攻击能力，有实例证明，“方程式组织”恶意软件DOUBLEFANTASY存在Mac OS X版本；

2016年11月，安天发布报告，分析了“方程式组织”针对多种架构和系统的攻击样本，全球首家通过真实样本曝光该组织针对Solaris（SPARC架构）、Linux系统攻击能力；

2017年1月，安天基于“影子经纪人”泄露的“方程式组织”样本分析，绘制“方程式组织”作业模块积木图，揭示了美国通过精细化模块实现前后场控制、按需投递恶意代码的作业方式。

第七篇 泄露的军火——美国网络武器管理失控成为网络犯罪的工具

2017年5月12日，WannaCry勒索软件利用NSA网络武器中的“永恒之蓝”（Eternalblue）漏洞，制造了一场遍及全球的巨大网络灾难。超级大国无节制地发展网络军备，但又不严格保管，严重危害全球网络安全。

微软曾在2017年3月份发布了“永恒之蓝”漏洞的补丁，而“影子经纪人”在2017年4月公布的“方程式组织”使用的网络武器中包含了该漏洞的利用程序，黑客正是运用了这一网络武器，针对所有未及时打补丁的Windows系统电脑实施了此次全球性大规模攻击；

中国国家互联网应急中心（CNCERT）确认WannaCry勒索软件在传播时基于445端口并利用SMB服务漏洞（MS17-010），总体可以判断是由于此前“影子经纪人”披露漏洞攻击工具而导致的黑产攻击威胁；

卡巴斯基分析认为网络攻击所用的黑客工具“永恒之蓝”是由 “影子经纪人”此前在网上披露，来自NSA的网络武器库；

安天对该勒索软件利用的SMB漏洞MS17-010进行分析，将其定性为“军火级攻击装备的非受控使用”，并随后发布了“关于系统化应对NSA网络军火装备的操作手册”；

360检测到该勒索软件传播后迅速发布警报，呼吁民众及时安装系统补丁和安全软件，并在获取到样本后，推出了系列解决方案。

美国网络武器库中的其他“军火”一旦泄露可能会被针对性地使用，其衍生的危害可能不低于“永恒之蓝”，它们的存在和泄露更加令人担忧。

第八篇 军备的扩散——美国渗透测试平台成为黑客普遍利用的工具

美国未对其销售的自动化攻击平台进行有效约束管控，导致渗透攻击测试平台Cobalt Strike等成为黑客普遍利用的工具，不仅给全球网络空间埋下了安全隐患，而且对他国安全造成了无法预估的潜在影响。

2015年5月，安天发现在一例针对中国政府机构的准APT攻击事件中，攻击者依托Cobalt Strike平台生成的、使用信标（Beacon）模式进行通信的Shellcode，实现对目标主机远程控制。在2015年中国互联网安全大会（ISC 2015）上，安天对Regin、Cobalt Strike等主要商业化网络武器进行了系统梳理，分析指出，Cobalt Strike创始人拉菲尔·穆奇在美军现役和预备役网络部队的服役和研发背景，清晰地反映了美军事网络技术和能力的外溢及破坏性；

美国安全公司Proofpoint调查结果显示，2020年威胁行为体对Cobalt Strike的运用较上一年增加了161%，2019年至2021年，滥用Cobalt Strike的攻击中有15%与已知的黑客组织有关；

美国网络安全公司Sentinelone分析显示，Egregor勒索软件的主要分发方式是Cobalt Strike；

奇安信监测发现，威胁组织“Blue Mockingbird”利用Telerik UI漏洞（CVE-2019-18935）攻陷服务器，进而安装Cobalt Strike信标并劫持系统资源挖掘门罗币。

第九篇 “拱形”计划的曝光——应对美国对网络安全厂商的监控

2015年6月22日，斯诺登披露了美国、英国有关情报机构实施的“拱形”计划（CamberDADA）。该计划主要利用美国入侵全球运营商的流量获取能力，对卡巴斯基等反病毒厂商和用户间通讯进行监控，以获取新的病毒样本及其他信息。该计划后续目标包括欧洲和亚洲16个国家的23家全球重点网络安全厂商，其中包括中国网络安全厂商安天。

分析认为，“拱形”计划的目的：一是捕获全球用户向反病毒厂商上报的样本，二是为TAO提供可重用样本资源，三是监测反病毒厂商的处理能力及是否放行某些恶意代码样本。

美国“拦截者”刊文称，“拱形”计划显示自2008年开始NSA就针对卡巴斯基和其他反病毒厂商的软件展开了系统性的间谍活动；

美国“连线”刊文称，“拱形”计划描绘了一个系统性的软件“逆向工程”活动，通过监控网络安全厂商发现软件漏洞，以便帮助情报机构绕过这些软件；

美国“福布斯”刊文称，“拱形”计划监控名单是美国情报机构对“五眼联盟”国家以外的、有能力发现和遏制其网络活动的安全厂商“黑名单”；

中国新华社刊文称，被列入监控范围的反病毒企业纷纷对此表示不安，同时均称对其安全产品有信心，没有发现产品受到削弱；

安天发布声明称，泄密文档披露的主要是相关情报机构在公网信道监听获取用户上报给厂商的邮件，并非是对安全厂商自身的网络系统和产品进行的攻击。此份监控“目标名单”的出台，将使本已出现裂痕与猜忌的全球安全产业更趋割裂。

第十篇 破窗效应——对“影子经纪人”和维基解密泄露数据进行迭代分析

“影子经纪人”和维基解密泄露数据进一步揭示了美国NSA和CIA两大情报机构网络军火库的真实面目。“影子经纪人”分批曝光了NSA针对网络安全设备的攻击装备、针对全球服务器攻击列表清单、入侵SWIFT机构资料、FuzzBunch（FB）漏洞攻击平台和DanderSpritz（DSZ）远控平台等网络武器装备，并称这些攻击装备与“方程式组织”有关。NSA针对的目标包括俄罗斯、日本、西班牙、德国、意大利等在内的超过45个国家的287个目标，持续时间长达十几年。“维基解密”曝光了8761份据称是CIA网络攻击活动的秘密文件，其中包含7818个网页和943份附件。泄露的文件包含庞大攻击装备库的文档信息，其平台面覆盖非常广泛，不仅包括Windows、Linux、iOS、Android等常见的操作系统，也包括智能电视、车载智能系统、路由器等网络节点单元和智能设备。

全球网络安全学术界和产业界在震惊之余，纷纷开始对泄露的资料进行整理和分析。针对“影子经纪人”曝光的材料，梳理出了NSA网络作业体系中以FB、Operation Center（OC）和DSZ为代表的三大核心模块；而维基解密曝光的“七号军火库”（Vault 7）包含的CIA网络作业15个工具(集)和5个框架，也得到较为全面的整理。

2017年12月至2018年11月，安天发布“美国网络空间攻击与主动防御能力解析”系列报告，从情报循环、进攻性能力支撑、攻击装备和积极防御等多角度对美国网络空间攻防能力进行了系统化梳理；

2018年10月，卡巴斯基对DSZ中的DarkPulsar后门进行了深度分析，其持久性和潜伏能力的研究结果表明，背后的开发者非常专业，针对的是具有长期监视和控制价值的目标；

2021年12月，以色列安全厂商Checkpoint分析DSZ中的Double Feature组件后得出结论，DSZ（以及FB和OC）都是“方程式组织”庞大的工具集；

2020年3月，360披露了CIA攻击组织（APT-C-39）对中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等关键领域长达十一年的网络渗透攻击；2022年3月，360发布关于NSA攻击组织APT-C-40的分析报告称，该组织早在2010年就开始了针对中国系列行业龙头公司的攻击；

2022年3月，中国国家计算机病毒应急处理中心（CVERC）正式公开发布了对NSA使用“NOPEN”木马的分析报告。2022年9月曝光的针对中国西北工业大学攻击中，NSA使用了多达41种网络武器，其中就有“影子经纪人”泄露过的NOPEN。

第十一篇 首次完整的溯源——复盘“方程式组织”攻击中东技术设施的完整过程

2017年4月14日，“影子经纪人”曝光的美国网络攻击相关数据中包含一个名为SWIFT的文件夹，其中包含一起2012年7月至2013年9月期间，针对中东地区最大的SWIFT服务提供商EastNets发起的攻击行动。该行动成功窃取了EastNets在比利时、约旦、埃及和阿联酋的上千个雇员账户、主机信息、登录凭证及管理员账号。

2019年6月，安天基于“影子经纪人”泄露资料与历史捕获分析成果进行关联分析，完整复盘了“方程式组织”攻击中东最大SWIFT金融服务提供商EastNets事件，还原美国攻击跳板、作业路径、装备运用、战术过程、场景环境和作业后果，总结了美国此次作业使用的攻击装备信息，指出美国拥有覆盖全平台全系统的攻击能力和大量的零日漏洞储备。

第十二篇 国际论坛上的斗争——揭露美国对网络空间安全的操控

美国利用其在网络空间的话语权，干扰和打压正常国际交流，阻挠信息的传播和共享，而全球网络安全厂商和学术人员在各种国际会议和论坛上持续努力，揭露美国网络行为、意图和活动。

2015年，德国《明镜周刊》披露了NSA通过侵入（并利用）第三方网络基础设施，获取情报或实施网络攻击的“第四方情报收集”手法和项目。卡巴斯基公司研究人员在2017年的Virus Bulletin年度会议上分析了这一攻击手法的隐蔽性和高度复杂性；

2016年，美国哥伦比亚大学国际与公共事务学院的高级研究人员杰森·希利（Jason Healey）撰文，深入分析了美国漏洞公平裁决程序（VEP）自2008到2016年的发展历程，并对当前（2016年）美国可能囤积的零日漏洞军火数量进行了谨慎的估算；

中国复旦大学沈逸教授在2013年“新时代网络威胁之路”研讨会对美国国家监控行为进行历史梳理；

安天在2015年“中俄网络空间发展与安全论坛”上，对美“方程式组织”的特点、能力及对中国重点基础工业企业攻击情况进行了分析。

第十三篇 限制和打压——美国泛化安全概念制裁他国网络安全厂商

近年来，美国为了维护其政治霸权、经济利益以及军事技术和能力优势，泛化“国家安全”概念，制裁具备技术竞争力的他国知名网络安全企业，不顾破坏国际秩序和市场规则，不惜损害包括美国在内的全球消费者利益。其主要做法包括：

禁用卡巴斯基的软件产品。2017年9月13日，美国国土安全部以卡巴斯基可能威胁美国联邦信息系统安全为由，要求所有联邦机构90天内卸载所使用的卡巴斯基软件产品；

运用实体清单制约中国企业发展。2020年5月22日，网络安全企业——奇虎360被美国商务部列入“实体清单”；

对曝光美国网络攻击行为的他国安全企业施压。2016年12月22日，美国NetScout公司发文称中国网络安全公司安天是“中国反APT”代言人；2022年2月17日，美国国会“美中经济与安全审查委员会”（USCC）听证会特别点名安天和奇虎360，因其公开发表了对NSA和CIA网络空间行动的分析。

对中国网安企业另册排名并据此打压。自2019年起，Cybersecurity Ventures的“网络安全500强”名单被“网络安全公司热门150强名单”所取代，上榜的均为欧美厂商。2020年9月，Cybersecurity Ventures发布中国最热门、最具创新性的“中国网络安全公司”名单，包括安天、奇虎360、奇安信、山石网科、安恒、深信服、微步在线等20家企业，而2022年USCC听证会专家正是依据此份名单，建议美商务部、财政部将其中企业列入实体名单、制裁名单。

文章来源： 央视网