“黑客帝国”调查报告——美国中央情报局(CIA)(之一)
美国中央情报局(Central Intelligence Agency,简称CIA),一个比美国国家安全局(NSA)更为世人熟知的名字,它是美国联邦政府主要情报机构之一,总部在美国弗吉尼亚州兰利,下设情报处(DI)、秘密行动处(NCS) 、科技处(DS&T)、支援处(DS)四个部门。其主体业务范围涉及:收集外国政府、公司和公民情报信息;综合分析处理其他美国情报机构收集的情报信息;向美国高层决策者提供国家安全情报和安全风险评估意见;根据美国总统要求组织实施和指导监督跨境秘密活动等。
长期以来,美国中央情报局(CIA)在世界各地秘密实施“和平演变”和“”,持续进行间谍窃密活动。
进入二十一世纪以来,互联网的加快速度进行发展给美国中央情报局(CIA)的渗透颠覆和捣乱破坏活动提供了新的机遇,全球各地使用美国互联网设备和软件产品的机构和个人成为美国中央情报局(CIA)的傀儡“特工”,帮助该机构迅速成为网络谍报战中的耀眼“明星”。
本系列报告从360公司和国家计算机病毒应急处理中心参与调查的大量真实案例入手,揭秘其网络攻击武器的主要细节,披露部分发生在中国和其他几个国家的网络安全典型案事件的具体过程,全面深入分析美国中央情报局(CIA)的网络攻击窃密和相关现实危害活动,以及其对美国成为“黑客帝国”所做的贡献,为遍布全球的网络攻击受害者提供参考和建议。
从20世纪80年代国际社会主义阵营遭受冲击、90年代初苏东剧变(“天鹅绒革命”)到2003年格鲁吉亚“玫瑰革命”,从2004年乌克兰“橙色革命”到2005年吉尔吉斯“郁金香革命”,从2011年西亚北非国家“阿拉伯之春”到2014年乌克兰“二次”、中国台湾“太阳花革命”等,都被国际机构和世界各地学者认定为由美国情治机构主导的“”典型案例。其他一些国家中还发生过未遂的“”事件,如2005年3月白俄罗斯“雪花革命”、2005年6月阿塞拜疆“橙色风暴”、2005年黎巴嫩“雪松革命”、2007年缅甸“藏红花革命”、2009年伊朗“绿色革命”等等。如果从冷战时期算起,带有“和平演变”和“”色彩的政权更替事件更是不胜枚举。据统计,数十年来,美国中央情报局(CIA)至少推翻或试图推翻50个他国合法政府(而中央情报局只承认其中的7起),在相关国家引发动乱。
综合分析上述事件中的各类技术,信息通信和现场指挥成为影响事件成败的决定性因素。美国的这些技术在国际上处于领头羊,特别是20世纪80年代美国将互联网推向国际并得到世界各国的普遍接受,给美国情治部门对外发动“”提供了前所未有的技术可能性。
此言不虚,多起“”事件中都有西方大国借助互联网推波助澜的影子。西亚北非多国“阿拉伯之春”事件发生后,美国个别大型互联网跨国企业积极介入,向冲突各方投入大量人力、物力、财力,拉拢支持反对派,向与美国利益不符的他国合法政府公开发难,协助发布扩散虚假信息,推动民众抗议活动不断激化。
一是提供加密网络通信服务。为帮助中东地区部分国家的抗议者保持联络畅通,同时避免被跟踪和抓捕,美国公司(据称具有美国军方背景)研发出一种可以接入国际互联网又无法追踪的TOR技术(“洋葱头”路由技术,The Onion Router)。相关服务器对流经它们的所有信息进行加密,从而帮助特定用户实现匿名上网。该项目由美国企业推出后,立即向伊朗、突尼斯、埃及等国的人员免费提供,确保那些“想动摇本国政府统治的异见青年”在参与活动时,能躲避当地合法政府的审查和监视。
二是提供断网通联服务。为确保突尼斯、埃及等国的人员在断网情况下仍能与外界保持联系,美国谷歌、推特公司迅速推出一款名为“Speak2Tweet”的专用服务,它允许用户免费拨号并上传语音留言,这些留言被自动转换成推文后再上传至因特网,推特等平台公开发布,完成了对事件现场的实时报道。
三是提供基于互联网和无线通信的集会活动现场指挥工具。美国兰德公司花费数年研发出一款被称为“蜂拥”的非传统政权更迭技术,用于帮助利用互联网联接的大量年轻人加入“打一枪换一个地方”的流动性抗议活动,极大的提升了活动现场指挥效率。
四是美国公司研发了一款名为“暴动”的软件,支持100%独立的无线宽带网络、提供可变Wi-Fi网络,不依赖任何传统物理接入方式,无须电话、电缆或卫星连接,能轻易躲过任何形式的政府监测。借助上述功能强大的网络技术和通信技术方法,美国中央情报局(CIA)在全球各地策划组织实施了大量的“”事件。
五是美国国务院将研发“反审查”信息系统作为重要任务,并为该项目注资超过3000万美元。
2017年3月7日,维基解密网站披露了8716份据称是来自美国中央情报局(CIA)网络情报中心的秘密文件,内容涉及美国中央情报局(CIA)黑客团队的攻击手法、攻击行动项目代号、攻击工具技术规范和要求等,维基解密将相关文件称为“Vault7”(穹顶7),引发全世界的高度关注。
2020年,360公司独立发现了一个从未被外界曝光的APT组织,专门针对中国及其友好国家实施网络攻击窃密活动,受害者遍布全球各地,我们将其单独编号为APT-C-39。有证据说明,该组织使用与被曝“Vault7”(穹顶7)资料相关联的网络武器工具(包括Athena、Fluxwire,Grasshopper、AfterMidnight、HIVE、ChimayRed等),针对中国和其他几个国家受害目标实施网络攻击,攻击活动最早可以追溯到2011年,相关攻击一直延续至今。被攻击目标涉及各国重要信息基础设施、航空航天、科研机构、石油石化、大型网络公司以及政府机构等诸多方面。
在规模庞大的全球性网络攻击行动中,美国中央情报局(CIA)大量使用“零日”(0day)漏洞,这中间还包括一大批至今未被公开披露的后门和漏洞(部分功能已得到验证),在世界各地建立“僵尸”网络和攻击跳板网络,针对网络服务器、网络终端、交换机和路由器,以及数量众多的工业控制设备分阶段实施攻击入侵行动。在现已发现的专门针对中国境内目标实施的网络攻击行动中,我们成功提取了多个“Vault7”(穹顶7)网络攻击武器样本,多个东南亚国家和欧洲的合作伙伴也提取到了几乎完全相同的样本,主要包括:
一款支持Windows、Unix、Linux、MacOS等9种主流操作系统和6种不同网络架构的复杂后门攻击行动管理平台,可将众多“肉鸡”节点组成完全自主运行的网状网络,支持自我修复、循环攻击和多路径路由。
一款针对微软Windows操作系统的轻量级后门程序,由美国中央情报局(CIA)与美国Siege Technologies公司(2016年被Nehemiah Security收购)合作开发,能够最终靠远程安装、供应链攻击、中间人劫持攻击和物理接触安装等方式植入,以微软Windows服务方式驻留。所有攻击功能模块均以插件形式在内存中解密执行。
一款针对微软Windows操作系统的高级可配置后门程序,可生成多种文件格式形式的(EXE,DLL,SYS,PIC)恶意荷载,支持多种执行方式,配以不同插件模块后,可隐蔽驻留并执行间谍功能。
一款以微软Windows操作系统DLL服务形式运行的轻量级后门,它通过HTTPS协议动态传输、加载“Gremlins”模块,全程以加密方式执行恶意荷载。
一款针对MikroTik等品牌路由器的漏洞利用工具套件,配合漏洞利用可植入“TinyShell”等轻量级网络设备后门程序。
“蜂巢”网络攻击平台由美国中央情报局(CIA)下属部门和美国著名军工企业诺斯罗普·格鲁曼(NOC)旗下公司联合研发,它为美国中央情报局(CIA)网络攻击团队提供一种结构较为复杂的持续性攻击窃密手段。它管理利用全世界内数量庞大的失陷资产,组成多层动态跳板和秘密数据传输通道,7×24小时向美国中央情报局(CIA)上传用户账户、密码和隐私数据(。
美国中央情报局(CIA)在通过上述“Vault7”(穹顶7)网络武器实施攻击窃密过程中,还衍生和使用了大量“Vault7” (穹顶7)资料之外的攻击样本,现已提取的样本中包括伪装的钓鱼软件安装包、键盘记录组件、系统信息收集组件、USB文件窃取模块和不同的开源黑客工具等。
在针对中国境内多起典型网络攻击事件的调查过程中,360公司从受害单位信息网络中捕获并成功提取了一大批与网曝美国中央情报局(CIA)“Vault7”(穹顶7)资料紧密关联的木马程序、功能插件和攻击平台样本。深入分析发现,相关程序样本大都遵循了“Vault7”(穹顶7)资料中的Network Operations Division In-memory Code Execution Specification,Network Operations Division Cryptographic Requirements和Network Operations Division Persisted DLL Specification等美国中央情报局(CIA)恶意软件开发标准和技术规范。这些标准和规范分别对应网络攻击窃密活动中恶意代码的加载执行、数据加密和持久化行为,相关网络武器进行了极其严格的规范化、流程化和专业化的软件工程管理。据悉,目前只有美国中央情报局(CIA)严格遵守这些标准和规范开发网络攻击武器。
据“Vault7”( 穹顶7)资料显示,上述网络攻击武器归属于美国中央情报局(CIA)的EDG(工程开发组),由其下属的AED(应用工程部)和EDB(嵌入式设备分部)等多个分部独立或联合研发。这些网络武器大都诞生于一个名为“的美国中央情报局(CIA)最高机密内部网络中。“devlan.net”是美国中央情报局(CIA)工程开发部(EDG)建立的庞大的网络武器开发测试基础设施。另据“devlan.net”的开发日志多个方面数据显示,仅“HIVE”(蜂巢)一个项目就至少投入EDG两百名工程师参与研发。
进一步技术分析发现,美国中央情报局(CIA)的后门程序和攻击组件大都以无实体文件的内存驻留执行的方式运行,这使得对相关样本的发现和取证难度极大。即使这样,联合技术团队还是成功找到了解决取证难题的有效方法。为后续描述和分析问题方便,我们暂且将美国中央情报局(CIA)的攻击武器分为9个类别:
3.1 框架平台类。我们得知并捕获了Fluxwire(磁通线)、Grasshopper(蚱蜢)、Athena(雅典娜)的攻击样本和攻击活动,经过实地检测,这些样本的功能、攻击特征和网络行为均可与“Vault7”(穹顶7)资料中的描叙一一印证。
3.2 攻击模块投递类。美国中央情报局(CIA)使用了大量功能简单的小型恶意代码下载器,用于加载执行更多的恶意代码及模块,相关样本无特别的恶意功能及特征,但在与框架平台等攻击武器配合时却可展现出强大的窃密功能,极难将其归因溯源。
3.3 远程控制类。现已提取多款远程控制插件,大都属于框架平台类攻击武器衍生出的攻击模块组件,二者之间相互配合。
3.4 横向移动类。提取到的大量恶意程序样本中,包含多款通过系统管理员凭据使用Windows远程服务安装植入的后门程序。除此之外,美国中央情报局(CIA)还劫持多种安全产品内网的升级程序,通过内网升级服务器的升级功能下发安装后门程序,实施内网中的横向移动攻击。
3.5 信息收集窃取类。联合技术团队偶然提取到美国中央情报局(CIA)使用的一款信息窃取工具,它属于网曝美国国家安全局(NSA)机密文档ANT catalog48种先进网络武器中的一个,是美国国家安全局(NSA)的专用信息窃取工具。这种情况说明美国中央情报局(CIA)和美国国家安全局(NSA)会联合攻击同一个受害目标,或相互共享网络攻击武器,或提供有关技术或人力支持。这为对APT-C-39攻击者身份的归因溯源补充了新的重要证据。
3.6 漏洞利用类。调查中发现,至少从2015年开始,美国中央情报局(CIA)就在世界各地建立了庞大的网络攻击跳板资源,利用“零日”(0day)漏洞对全世界IOT(物联网)设备和网络服务器无差别攻击,并将其中的大量失陷设备转换为跳板“肉鸡”,或隐藏自身攻击行为,或将网络攻击嫁祸给其他几个国家。例如,美国中央情报局(CIA)使用代号为“ChimayRed”(智美红帽)的漏洞攻击套件定向攻击多个型号的MikroTik品牌路由器,这中间还包括中国境内大量用这种路由器的网络设备。攻击过程中,美国中央情报局(CIA)首先会恶意修改路由器启动脚本,使路由器重启后仍执行后门程序;然后,美国中央情报局(CIA)再修改路由器的CGI程序堵住被美国中央情报局(CIA)自身利用的漏洞,防止其他攻击者再次入侵造成权限丢失;最终,美国中央情报局(CIA)会向路由器植入“蜂巢”(HIVE)或“TinyShell”等只有美国中央情报局(CIA)能够正常的使用的专属后门程序。
3.7 伪装正常软件类。美国中央情报局(CIA)针对攻击目标的网络环境,将后门程序定制伪装为目标使用的用户量较少的冷门软件安装包,针对目标实施精准的社会工程学攻击。
3.8 安全软件攻防类。美国中央情报局(CIA)掌握了专门用于攻击商业杀毒软件的攻击工具,能够最终靠这些专用工具远程关闭和杀死指定杀毒软件的进程,使相关杀毒软件对美国中央情报局(CIA)的攻击行为或攻击武器失效。
3.9 第三方开源工具类。美国中央情报局(CIA)也会常常使用现成的开源黑客工具进行攻击活动。美国中央情报局(CIA)网路攻击行动的初始攻击一般会针对受害者的网络设备或服务器实施,也会进行社会工程学攻击。在获得目标权限之后,其会促进探索目标机构的网络拓扑结构,在内网中向其它联网设备做横向移动,以窃取更多敏感信息和数据。被美国中央情报局(CIA)控制的目标计算机,会被进行24小时的实时监控,受害者的所有键盘击键都会被记录,剪切板复制粘贴信息会被窃取,USB设备(主要以移动硬盘、U盘等)的插入状态也会被实时监控,一旦有USB设备接入,受害者USB设备内的私有文件都会被自动窃取。条件允许时,用户终端上的摄像头、麦克风和GPS定位设备都会被远程控制和访问。
美国操纵的网络霸权发端于互联网空间,笼罩世界,波及全球,而作为美国三大情报搜集机构之一,美国中央情报局(CIA)针对全球发起的网络攻击行为早已呈现出自动化、体系化和智能化的特征。仅仅在维基解密网站中泄露出来的8716份文件中,就包含了美国情治部门诸多重要黑客工具和网络攻击武器,表明美国已经打造了全球最大的网络武器库。通过实证分析,我们得知其网络武器使用了极其严格的间谍技术规范,各种攻击手法前后呼应、环环相扣,现已覆盖全球几乎所有互联网和物联网资产,可以随时随地控制别国网络,盗取别国重要、敏感数据,而这无疑需要大量的财力、技术和人力资源支撑,美国式的网络霸权可见一斑,“黑客帝国”实至名归。
本系列报告尝试披露美国中央情报局(CIA)长期针对中国境内网络目标进行攻击窃密的各类活动,初步探索这些网络攻击和数据窃密活动。
针对美国中央情报局(CIA)对我国发起的高度体系化、智能化、隐蔽化的网络攻击,境内政府机构、科研院校、工业公司和商业机构如何快速“看见”并第一时间进行“处置”特别的重要。为有效应对迫在眉睫的网络和现实威胁,我们在采用自主可控国产化设备的同时,应尽快组织并且开展APT攻击的自检自查工作,并逐步建立起长效的防御体系,实现全面系统化防治,抵御高级威胁攻击。(央视新闻客户端)
面向未来,在新时代新征程上为党和人民再立新功,他们有什么新打算?本期,我们邀请6位“国家工程师奖”获奖代表畅谈感受、共线
习指出,工程师是推动工程科技造福人类、创造未来的重要力量,是国家战略人才力量的重要组成部分。
借助房前屋后的空地,甘蔗寨借助电商的东风发展起了庭院经济,不少农户通过电子商务平台销售实现了增收致富。近年来,保山市持续通过党建引领推动乡村电商发展,570余名党员骨干、村干部带头示范直播助农,117个村(社区)党组织为293名乡村电商从业人员提供了近6100平方米场地支持。
北京谱仪III(BESIII)实验国际合作组今天宣布,在最近采集的数据中发现了一个新的共振结构,暂时将其命名为Zc(3900)。”据了解,传统的夸克模型认为,介子由一个夸克和一个反夸克组成,重子由三个夸克或三个反夸克组成,介子和重子统称为强子。
来到深圳世界之窗,只需在APP上选择无人机配送,很快便能享用新鲜奶茶。如今,人们对小型无人机、垂直起降飞行器等不再陌生,低空经济成为网络热词。激发市场力量,提供政策保障,加强技术支撑,推动产业高水平质量的发展,低空经济定能书写激动人心的新篇章。
图为我国首艘自主航行300TEU集装箱船“智飞”号。”随着设备的一直在优化更新,输送给智能驾驶系统的数据质量慢慢的升高,“智飞”号的“大脑”也慢慢的变聪明。研发团队发现,由于海洋环境的特殊性,无论是采用航路沿岸4G/5G通信还是卫星通信,任何单一方式都没办法避免信号丢失。
为贯彻落实党中央、国务院对生物多样性保护工作的决策部署,生态环境部日前发布《中国生物多样性保护战略与行动计划(2023—2030年)》(以下简称《行动计划》)。《行动计划》是我国作为《生物多样性公约》第十五次缔约方大会(COP15)主席国,持续推动“昆明-蒙特利尔全球生物多样性框架”落实的切实行动。
与恶劣天气“赛跑”,农民兄弟不再措手不及、手忙脚乱,如今,只需几秒,十余万平方米大棚的开开关关就能“一键到位”;农事繁忙,也不一定非要起早贪黑、风吹日晒,因为,足不出户,灌溉、施肥也能安排得井井有条……
“番茄,/这地上的星辰,/这随处可见的,/丰产的星辰,/向我们展示了/它的回环缠绕/它的流径,/它无与伦比的旺盛,/它的富足,/没有果核,/没有硬壳,/更没有鳞片或尖刺,/向我们献出了/它色彩热烈的/馈赠/以及它百分百的新鲜。比起南欧国家,番茄作为食物在北欧国家和英美的接受则相对较晚,一些国家直到18世纪才将番茄作为蔬菜栽培。
日前,上海辰山植物园科考团队正式对外发布了一个新物种——短芒复叶耳蕨。这是在位于江西省贵溪市境内的阳际峰国家级自然保护区内发现的新物种,该物种的发现对生物多样性研究具备极其重大价值。
2024年美国拉斯维加斯消费电子展(CES)1月12日落幕。业内人士认为,AI应用场景革新了消费电子终端人机交互的体验,加速各类终端电子化、智能化进程,将对消费电子产业链产生巨大影响。
北斗系统提供的六大星基服务包括:星基增强服务、精密单点定位服务、区域短报文通信服务、全球短报文通信服务、导航定位授时服务以及国际搜救服务。内蒙古巴彦淖尔市临河区狼山农场种植户利用北斗导航播种机种小麦。
1月17日,天舟七号货运飞船在文昌航天发射场成功发射。作为航天发射的“生命线”,安全可靠的“测控通信网”再次上线,能像追踪物流信息一样对发射进行全程掌控。除了精密的技术护航,发射背后,还有一张由无线电波编织成的监测网,时刻对空间电波环境态势和异常事件进行预报预警。
科技领军企业在整合全世界创新资源、会聚高层次创新人才、引领产业创新和营造创新生态等方面也发挥了及其重要的作用。有效落实创新优惠政策应享尽享,引导科技领军企业加大研发投入。会聚培养优秀创新人才,为科技领军企业高水平质量的发展注入原动力。
部署开展智能网联汽车“车路云一体化”应用试点工作,将建成一批架构相同、标准统一、业务互通、安全可靠的城市级应用试点项目。
产业兴,则乡村兴。产业振兴是乡村振兴的基础,也是农民增收的关键。随着乡村振兴战略的实施,乡村产业对农业农村现代化的基础支撑作用更加凸显。
2023年,我国造船完工量、新接订单量和手持订单量以载重吨计分别占全球总量的50.2%、66.6%和55.0%,以修正总吨计分别占47.6%、60.2%和47.6%,三大指标国际市场占有率均保持世界第一。
据悉,王双明院士团队长期致力于推动富油煤资源研究,坚持主张要“降煤、稳油、增气”。此后,该团队又建成了世界第一个富油煤地下原位热解采油示范工程,并成功地将富油煤中蕴藏的煤焦油开采出来,最大限度实现了富油煤资源的“取氢留碳”。
英国剑桥大学和美国辉瑞公司合作开发了一个平台,将自动化实验和AI(AI)相结合,以预测化学物质如何相互反应,从而加速新药的设计过程。
根据1月11日发表于《通讯-生物学》的一项研究,科学家在5名古人类身上发现了一些已知最早的性染色体综合征病例。通过对古代DNA进行测序,研究人员之前发现了两名染色体数量不标准的古代人,这中间还包括一名患有唐氏综合征的婴儿。