五大證據揭露CIA網攻中國11年

本報記者 趙覺珵 劉彩玉 馬俊 本報特約記者 武彥

國防部發言人吳謙在2月28日的記者會上剛表示“在網路安全問題上，美方是國際公認的竊密慣犯”。中國網路安全公司360公司3月3日就爆出猛料：“多方面證據證實美國對中國關鍵領域的網路攻擊已經持續了11年”。這是中國機構首次詳細披露相關證據，該結論到底如何得出？美國此舉對中國危害多大？《環球時報》記者就此採訪了多名業內專家。

涉美神秘組織長期對華發動網路攻擊

360公司於3月3日宣佈，透過該公司旗下“360安全大腦”的調查分析，發現美國中央情報局（CIA）的國家級駭客組織“APT-C-39（由360公司命名）”對中國進行了長達11年的網路攻擊和滲透。

美國媒體此前曾披露，作為CIA諸多重要駭客工具和網路武器主要設計研發骨幹之一的約書亞·亞當·舒爾特，曾在2017年向維基解密提供了關鍵的“複製情報”，向全球披露8716份來自CIA網路情報中心的檔案，涵蓋CIA駭客部隊的攻擊手法、目標、工具的技術規範和要求，這一系列機密檔案被稱為“Vault7（穹窿7）”專案。這次事件被列為“CIA歷史上最大一次機密國防情報洩露事件”。

360安全大腦透過對洩露的“穹窿7”網路武器資料的研究，並對其深入分析和溯源，於全球首次發現與其關聯的一系列針對我國航空航天、科研機構、石油行業、大型網際網路公司以及政府機構等長達11年的定向攻擊活動。這些攻擊活動最早可以追溯到2008年（從2008年9月一直持續到2019年6月左右），並主要集中在北京、廣東、浙江等省份。上述這些定向攻擊活動都歸結於一個鮮少被外界曝光的涉美APT（高階可持續攻擊）組織——APT-C-39。

一名360公司網路安全專家3日接受《環球時報》記者採訪時表示，已被公開的“穹窿7”專案資訊顯示，幾乎所有的主流計算機、移動裝置、智慧裝置、物聯網裝置等，CIA都配備了針對性的網路攻擊武器。例如Fluxwire系列後門是“穹窿7”專案中數十種網路武器之一。“通俗地說，它是一個計算機後門程式，但與我們一般遇到的木馬、後門程式不同的是，它是一個大型、複雜的國家級網路攻擊平臺，可以攻擊控制Windows、Linux、MacOS等所有主流作業系統及軟硬體裝置。它的目的是要穩定且隱蔽地控制各類電子裝置，伺機而動發起網路攻擊，竊取我國相關單位的機密情報。”該專家透露，360安全大腦披露的這些攻擊活動還涉及“穹窿7”專案的其他大量網路武器，它們可在不同攻擊階段相互配合。

近年來，不斷有資訊曝光以CIA為主的美國政府機構正透過各種方式進行駭客活動或大規模的監控。10年前針對伊朗核設施的“震網”病毒攻擊，去年委內瑞拉大面積停電以及針對俄羅斯和伊朗基礎設施的網路攻擊，背後均有美國網軍的身影。

根據維基解密2017年披露的資訊，CIA的網路武器“能將任何裝置變成監視裝置”，包括電腦、智慧手機、遊戲機、路由器和智慧電視。今年2月，美國《華盛頓郵報》稱，CIA從20世紀50年代就佈局收購併完全控制瑞士加密裝置廠商Crypto AG，在長達70年的歷史中，該公司售往全球100多個國家的加密裝置都被CIA植入後門程式，使得這期間CIA可以解密這些國家的相關加密通訊和情報。▲

“穹窿7”成為關鍵證據

360公司網路安全專家表示，在美國聯邦法庭針對約書亞的起訴書中，美國檢方公訴人證實了“穹窿7”的存在以及它與CIA的關係。這成為證明CIA是伸向中國“幕後黑手”的關鍵證據。

第一，APT-C-39組織大量使用Fluxwire、Grasshopper等網路武器對中國目標實施網路攻擊。透過對比相關樣本程式碼、行為指紋等資訊，可以確定該組織使用的即為“穹窿7” 專案中描述的CIA專屬網路武器。

該專家解釋說，樣本程式碼、行為指紋等證據資訊和刑偵中的指紋、筆跡等概念類似，它是溯源網路犯罪和網路攻擊的重要手段之一。“我們透過對比國內受害單位網路中的攻擊樣本和CIA專屬的網路武器，發現其中大量的專有技術細節吻合甚至完全相同。據美國官方訊息，這些網路武器是CIA的研發團隊耗費數年、耗資數百萬美元，在層層把守和防護下秘密研發的，只有經過嚴格審查和管理的CIA相關人員才可以使用它們。”

第二，APT-C-39組織大部分樣本的技術細節與“穹窿7”文件中描述的技術細節一致，如控制命令、編譯pdb路徑、加密方案等。專家表示，這些是規範化的攻擊組織常會出現的規律性特徵，也是分類它們的方法之一。所以，由此也確定該組織是隸屬於CIA主導的國家級駭客組織。

第三，在“穹窿7”被維基解密公開曝光前，APT-C-39組織就已經針對中國目標使用相關網路武器。360公司披露的資訊顯示，早在2010年初，APT-C-39組織對我國境內的網路攻擊活動中，已使用“穹窿7”網路武器中的Fluxwire系列後門。此後APT-C-39組織還在不斷升級最新網路武器，對我國境內目標頻繁發起網路攻擊。

第四，APT-C-39組織使用的部分攻擊武器同美國國家安全域性（NSA）存在關聯，維基解密披露的檔案顯示NSA會協助CIA開發網路武器。這也從側面證實了APT-C-39組織同美國情報機構的關聯。

第五，APT-C-39組織的武器研發時間規律定位在美國時區。安全專家介紹說，惡意軟體的編譯時間是對其進行規律研究、統計的一個常用方法，透過對惡意程式編譯時間的研究，可以探知其作者的工作與作息規律，從而獲知其大概所在的時區位置。APT-C-39組織編譯活動時間接近美國東部時區的作息規律，也與CIA相符（CIA位於美國弗吉尼亞州，使用美國東部時間）。▲

面對國家級網路攻擊應如何應付

CIA透過APT-C-39組織對中國關鍵領域的長期網路攻擊和滲透，可能獲得了哪些重要資訊？接受採訪的360公司安全專家告訴《環球時報》記者，這次披露的攻擊活動主要針對航空領域、政府單位、科研機構等。例如在針對我國航空航天與科研機構的攻擊中，APT-C-39組織主要圍繞這些機構的系統開發人員進行定向打擊。這些開發人員從事的內容包括航空資訊科技有關服務，如航班控制系統服務、貨運資訊服務、結算分銷服務、乘客資訊服務等。

遭到網路攻擊的航空資訊科技服務不僅針對國內航空航天領域，同時還覆蓋上百家海外及地區的商營航空公司。該專家表示，對於CIA來說，為獲取類似的情報而進行長期、精心佈局和大量投入是很常見的操作。在過去長達11年的滲透攻擊中，或許早已掌握到中國乃至國際航空的精密資訊，甚至不排除CIA已能追蹤定位全球的航班實時動態、飛機飛行軌跡、乘客資訊、貿易貨運等相關情報。今年1月初，伊朗“聖城旅”指揮官蘇萊曼尼被美國精確“獵殺”，其中掌握到蘇萊曼尼航班和行程的精確資訊是暗殺成功的最關鍵核心，而這些資訊正是以CIA為代表的美國情報機構透過包括網路攻擊在內的種種手段獲取的。

該專家警告稱，CIA針對中國進行了長達11年的網路攻擊和滲透，“透過我們發現的相關受害目標群推測，CIA已經攻破了這些目標，或已經掌握了我國國內和國際航空的大量機密資訊”。

中國警察法學研究會反恐與網路安全治理專委會常務副主任秦安3日接受《環球時報》記者採訪時評論稱，這是中國機構首次詳細披露美方對中國發起網路攻擊的相關證據，美國駭客可能已經從中國網路資訊系統中竊取大量敏感資料，中國政府應對CIA和有關駭客進行司法起訴。秦安表示，美國一直鼓吹它是網路攻擊的受害者，但事實證明它一直是網路攻擊慣犯。美國對中國進行長時間的網路攻擊，是霸權思維在網路空間的延續，企圖透過其慣用的霸權行為來控制網路空間，這應該遭到世界的一致鄙視。

據瞭解，360安全大腦近年已發現40多起以國家級駭客為背景的APT攻擊，這些駭客潛伏、滲透在網際網路中竊取情報，涉及能源、通訊、金融、交通、製造、教育、醫療等關鍵基礎設施和政府部門、科研機構。專家警告說，在當前的網路安全形勢中，國家級力量已經入場，各行業的關鍵基礎設施已經成為他國國家級駭客的重點攻擊物件。要應對這樣的網路攻擊，需要業界共同打造和構建一個國家級網路攻防體系，提高國家網路安全防禦能力。▲