近期,包括奇安信和360在內的中國公司接連曝光美國對中國等國發動無差別網絡攻擊的完整證據鏈條。中國外交部本月也就相關報告回應指出,美國對中國進行了大規模、長時間、系統性的網絡攻擊,嚴重危害中國關鍵基礎設施安全,海量個人數據安全以及商業和技術秘密,嚴重影響了中美在網絡空間的互信。
3月23日,觀察者網再次從360公司獲取一份報告。該報告針對美國網絡攻擊手法之一的QUANTUM(量子)攻擊系統,進行應用場景和攻擊實施過程的技術分析,并結合真實案例,再度印證美國國家安全局(NSA)針對全球互聯網用戶實施大規模無差別網絡攻擊的詳細情況。
具體來看,這份報告總結出美國政府發動網絡攻擊的四個特征:
首先,美國網絡武器攻擊已完全實現工程化、自動化。NSA組織的QUANTUM(量子)系統可能僅是冰山一角,美國或掌握著更多更高度工程化的網絡攻擊平臺,其自動化的“思考”速度和質量,極大提高了美國自主作戰系統實現制勝目標的優勢,也為全球網絡安全帶來無窮隱憂。
第二,為實施并制勝網絡戰,美國政府充分利用一切先進技術和網絡資源。為了掌握網絡戰主導權,美國將諸如QUANTUM(量子)攻擊系統等大量頂級技術手段、高端人才、情報力量納入作戰序列,由此可見,美國對發展網絡作戰力量的重視程度,并不計成本地投入資源、增加籌碼。
第三,美國的網絡攻擊屬于無差別攻擊,目標是全球范圍,甚至包括美國盟友。報告分析顯示,美國針對各類電子郵箱、社交網絡、搜索引擎、視頻網站等幾乎所有互聯網用戶發起無差別的網絡攻擊,美國的網絡戰略打擊是全球性的、無節制的,在美國網絡攻擊的鐮刀之下,沒有哪一國能獨善其身。
第四,美國的網絡戰戰略,或不僅限于網絡竊密。報告指出,美國已完成其網絡戰戰略目標第一步——網絡竊密,像斯諾登還有維基百科爆料的“棱鏡”計劃都屬于這一范疇,但不排除美國的下一步目標野心將更大。一旦通過在對手的電腦網絡中安插硬件或軟件后門,實現關鍵目標遠程操控,包括軍事系統、國家公共安全領域的服務器、民航公路鐵路交通系統的主機、銀行金融系統的服務器等,如果美國更大的戰略目標實現,其對手將毫無談判余地。
以下是報告原文:
閱讀摘要:
“APT”(高級持續性攻擊)是一種針對性、隱蔽性、持續性極強的網絡攻擊行為。現已發現的絕大多數APT組織都具有國家或政府背景,相關攻擊行為通常由某個與特定國家政府關聯的實體機構具體實施。APT攻擊的主要目標不是普通個體,而是特定的組織機構,包括政府、大學、醫療、企業、科研甚至重要信息基礎設施運維單位等不同類型的重要機構。360云端安全大腦持續跟蹤世界現存諸多APT組織及其活動情況,率先發現并公開披露來自美國的世界頂尖APT組織對中國境內目標所發起的持續性攻擊行動,并將該組織命名為“APT-C-40”。
在對APT-C-40攻擊活動的長期跟蹤研究過程中,我們發現了遍布全球(包括美國多個盟友的各行各業的大量受害用戶,并實地從中國境內部分受害者的上網設備中提取了該組織多種復雜而先進的網絡攻擊武器程序樣本,經過審慎而深入的技術分析,我們發現該組織所使用的網絡武器與NSA的專屬網絡攻擊武器完全吻合,且針對中國境內機構的黑客攻擊行為發生在斯諾登和“影子經紀人”曝光事件之前。根據技術分析結果和已有數字證據,我們完全有理由相信,發起上述黑客攻擊的組織隸屬于美國政府,美國國防部下屬的國家安全局(NSA)直接實施了相關黑客攻擊行為。
APT-C-40組織介紹
根據維基百科記錄,美國國家安全局(NSA)設有一個名為接入技術行動處(TAO Tailored Access Operations)的絕密行動部門,該部門早在1998年就開始在網上活躍,主要職責是為美國情治機構提供針對美國本土和其他國家高級目標的通訊監控、情報獲取,甚至遠程破壞(摧毀)行動。
2013年,安全專家Jacob Appelbaum曝光了一份長達50頁的NSA機密文檔《NSA ANT catalog》,該文檔描述了一系列名目繁雜的高端網絡黑客攻擊技術和項目。據該文檔內容顯示,相關的網絡黑客攻擊技術和項目創建于2008年前后,它們可以認為是為美國國家安全局下屬接入技術行動處(TAO)專門定制研發的先進網絡攻擊武器。
2016至2017年間,“影子經紀人”(The Shadow Broker)公開揭露了屬于NSA的大量網絡攻擊武器和機密辦公文檔。美國“The Intercept”網站結合愛德華 · 斯 諾 登(Edward Snowden,前CIA技術分析員和美國國家安全局NSA承包商雇員)揭露的美國國家安全局(NSA)內幕情報,發布了重磅分析文章《THE NSA LEAK IS REAL, SNOWDEN DOCUMENTS CONFIRM》,確認了斯諾登曝光的網絡攻擊武器確屬美國國家安全局(NSA)。
2013年至2017年間,中立網絡權威人士、中立新聞媒體和堅定捍衛公民隱私權利的中立機構相繼發布解讀分析報告,確認網絡上披露的所謂“NSA網絡武器和機密文檔”全部屬于NSA。
從2008年開始,360云端安全大腦整合海量安全大數據,獨立捕獲了大量異常復雜的網絡黑客攻擊程序樣本,經過長期分析跟蹤并從多個受害單位實地取證,結合關聯全球各國發布的威脅情報,以及對斯諾登事件、“影子經紀人”曝光事件的綜合研究,確認這些黑客攻擊程序樣本屬于美國國家安全局(NSA),進而證實NSA長期對我國開展了極為隱蔽的無差別黑客攻擊行動,最終將實施攻擊行動的這些帶有NSA背景的黑客組織單獨編號為APT-C-40。
據相關證據推測,泄露的一系列NSA網絡武器被他國特別是“五眼聯盟”國家黑客廣泛利用,造成了全球性的網絡安全災難。如“永恒之藍”被“WannaCry”蠕蟲病毒利用,在2017年攻擊了中國和全球多個國家地區,給各國信息網絡造成了嚴重危害。而APT-C-40組織則針對我國各行業龍頭企業,政府、大學、醫療機構、科研機構,甚至關乎國計民生的重要信息基礎設施運維單位等機構實施了長達十余年時間的秘密黑客攻擊活動,竊取了海量重要數據,造成的潛在威脅難以評估。本報告將對美國國家安全局的相關黑客攻擊活動進行分析披露。
Quantum攻擊技術簡介(量子)
被公開揭露的NSA高端網絡黑客攻擊武器名目繁雜數量眾多,難以通過一份技術分析報告完整呈現。本報告屬于360系列報告的第一篇,將聚焦APT-C-40組織針對中國境內目標的黑客攻擊中所使用的最具代表性的Quantum(量子)攻擊系統。Quantum( 量子)攻擊是 美國 國家安 全 局(NSA)針對國家 級 互聯網專門設計的一種先進的網絡流量劫持攻擊技術,主要針對國家級網絡通信進行中間劫持,以實施漏洞利用、通信操控、情報竊取等一系列復雜網絡攻擊。據NSA官方機密文檔《Quantum Insert Diagrams》內容顯示,Quantum(量子)攻擊可以劫持全世界任意地區任意網上用戶的正常網頁瀏覽流量,進行0day(零日)漏洞利用攻擊并遠程植入后門程序。
Quantum(量子)系統的應用場景分析
Quantum(量子)攻擊系統均以英文單詞QUANTUM開頭命名,網上揭露的NSA機密文檔中,詳細描述了各QUANTUM系統模塊的具體代號、主要功能、應用場景、項目狀態和相關網絡黑客攻擊武器啟用時間等。
Quantum(量子)攻擊系統有三種網絡攻擊應用場景,攻擊平臺投使用的時間最早可追溯至2005年。此三種應用場景,都以單詞縮寫進行命名,縮寫分別為CNE(網絡情報竊取)、CNA(網絡攻擊破壞)和CND(網絡攻擊防御)。
1.Computer Network Exploitation(網絡情報竊取)CNE(網絡情報竊取)黑客攻擊活動應用場景涉及6個Quantum(量子)系統模塊,主要功能是通過先進技術手段遠程秘密劫持世界各地互聯網正常流量,隨意操縱控制網絡流量,通過注入惡意代碼等方式對任意聯網終端實施漏洞攻擊,持續進行破壞性網絡攻擊和網絡情報竊取等活動。有證據顯示,遭到美國國家安全局NSA竊取的數據包括(但不限于):網絡配置文件、賬號和密碼、辦公和私人文檔、數據庫、網上好友信息、網絡通訊信息、電子郵件、攝像頭實時數據、麥克風實時數據等。
2.Computer Network Attack(網絡攻擊破壞)CNA(網絡攻擊破壞)黑客攻擊活動應用場景,涉及2個Quantum(量子)系統模塊,主要功能是進行網絡攻擊破壞。與常規的黑客攻擊破壞活動不同,NSA的黑客攻擊粒度更為精細化,可針對正常網絡流量中的任意網絡通訊和文件傳輸進行操控、分析和破壞,特定情況下可以遠程關閉或破壞遭攻擊目標的關鍵信息基礎設施和水、電、氣等民生設施。
3.Computer Network Defense(網絡攻擊防御)CND(網絡攻擊防御)黑客攻擊防 御應 用場景涉及1個Quantum(量子)系統模塊,主要目的是從受美國國家安全局NSA劫持的網絡流量中阻斷或發現惡意荷載的下載,并對其進行安全分析。使NSA能夠從被攻擊目標或自身網絡中提取非美國國家安全局(NSA)攻擊源的惡意程序樣本,執行失陷情報分析和網絡攻擊防御類任務。
Quantum(量子)系統的九大模塊分析
360云端安全大腦對Quantum(量子)系統進行了長期的跟蹤研究,現已發現美國國家安全局(NSA)Quantum(量子)系統的九種先進網絡攻擊能力模塊:
1.QUANTUMINSERT(量子注入)
該模塊具備向正常網絡流量中注入惡意流量的攻擊能力。這是360云端安全大腦迄今發現的數量最多的Quantum(量子)攻擊方式。該模塊主要用于美國國家安全局(NSA)劫持世界各地互聯網用戶的正常網頁瀏覽流量,將用戶希望訪問的正常合法網站劫持到NSA的FoxAcid(酸狐貍)仿冒網站服務器上,通過FoxAcid(酸狐貍)發送各類瀏覽器0day(零日)漏洞,并完成對互聯網用戶的定點或批量攻擊,遠程控制用戶網絡端,向用戶上網終端植入各種美國國家安全局(NSA)的復雜后門程序進行情報竊取。
2.QUANTUMBOT(量子傀儡)
NSA也會針對網絡空間中的黑客組織進行網絡攻擊,奪取黑客組織的網絡資源,為自身的后續黑客攻擊活動提供技術支持。該模塊提供一種遠程操控網絡空間中任意僵尸網絡的攻擊能力,通過劫持僵尸網絡命令控制的網絡流量,直接接管相關僵尸網絡資源,再操控這些僵尸網絡發起破壞性的攻擊活動,隱藏NSA的黑客攻擊痕跡。
3.QUANTUMBISCUIT(量子餅干)
該模塊用于增強Quantum(量子)注入攻擊,針對攻擊目標建立Quantum(量子)注入攻擊的代理跳板,目的是防止NSA的黑客攻擊行為被溯源發現,該模塊也常用于NSA針對特定目標的網絡環境實施Quantum(量子)攻擊,定制部署攻擊跳板。
4.QUANTUMDNS(量子DNS)
該模塊具有對網絡流量DNS的劫持攻擊能力。通過該模塊,NSA可以劫持互聯網所有網站域名的DNS解析,重定向網站流量,同時還可以配合FOXACID(酸狐貍)平臺實施漏洞攻擊。
5.QUANTUMHAND(量子掌握)
該模塊提供了針對臉書(Facebook)等重要美國境內網站的流量劫持能力,針對瀏覽相關網站的網絡流量進行漏洞攻擊,植入美國國家安全局(NSA)的復雜后門程序。這種攻擊能力令人發指,美國國家安全局(NSA)會針對世界各國訪問臉書、推特、油管、亞馬遜等美國網站的幾乎所有互聯網用戶發起無差別的網絡攻擊。
6.QUANTUMPHANTOM(量子幻影)
為防止美國國家安全局(NSA)向其它國家實施的網絡攻擊被追蹤溯源,該模塊提供了一種利用網絡鏈路中間節點劫持技術實現攻擊源隱藏的先進網絡攻擊能力。例如:NSA使用一個假冒IP地址作為命令控制,劫持與這個假冒IP通信的網絡路由節點鏈路,在網絡鏈路的中途節點進行被動監聽和流量操控,隱藏NSA真實的后門命令控制地址。
7.QUANTUMSKY(量子天空)
該模塊提供了一種網絡通信阻斷能力,通過RST復位報文中斷特定的網絡連接,主要用于NSA劫持和阻止特定目標訪問特定網站的流量。
8.QUANTUMCOPPER(量子警察)
該模塊針對網絡通信流量中的文件提供了篡改能力,使NSA的攻擊可以針對網絡流量中的文件上傳和下載進行劫持,實施中斷破壞或后門植入感染等網絡攻擊。
9.QUANTUMSMACKDOWN(量子下載)
該模塊提供了惡意網絡流量的分析能力,可以阻斷和抽取下載網絡流量中的惡意荷載及惡意樣本等,主要用于NSA對攻擊目標非美國攻擊源的失陷情報收集,也可以防御和分析自身網絡環境中的惡意流量。
Quantum(量子)攻擊的實施過程分析
美國國家安全局(NSA)為了監控全球互聯網目標,制定了眾多的作戰計劃,相關計劃涉及的具體任務會通過Quantum(量子)系統平臺實施,從分析中可推測,在實施過程中所采集的大量數據都在用戶毫不知情的情況下獲得,滲透技術使得美國本土公民和世界其他國家網民的個人隱私得不到應有的保護,公民隱私權遭到不同程度的侵犯。
當美國國家安全局或聯邦政府其它部門下達的黑客攻擊任務提交到Quantum(量子)系統后,攻擊實施人員首先會針對攻擊目標的網絡通信流量進行監聽,對被攻擊目標訪問的特定網站進行定向網絡劫持,然后通過各類0day(零日)漏洞向目標上網終端中植入VALIDATOR(驗證器)等以環境探查為目的后門程序,完成初始情報收集。隨后,安裝更多先進的后門程序,進行一系列精密復雜的網絡滲透攻擊,最終完成情報收集任務。目標上網終端中存儲的靜態文件、上網流量及通訊內容,全都在美國國家安全局的竊密之列。
QUANTUM(量子)攻擊的完整實施過程分為以下三個階段,現已完全實現了工程化、自動化:
第一階段
QUANTUM(量子)攻擊實施者會首先對被攻擊目標進行網絡定位,整個定位過程是通過NSA持有的一整套“QUANTUM Capabilities”(量子能力),網絡黑客攻擊工具完成,這些工作具有對全球互聯網巨頭網絡流量的遠程劫持操控能力。據NSA機密文檔顯示,“QUANTUM Capabilities”(量子能力)的定位操作除了針對特定IP,更重要的是能夠針對電子郵箱、社交網絡、搜索引擎、視頻網站等全球網民使用最多的互聯網服務及不同的網站賬號進行遠程定位,快速找出攻擊目標,所處的網絡及上網地點。
第二階段
目標定位完成后,QUANTUM量子攻擊操作會進入被NSA稱之為“QUANTUM SIGDEV”(量子監控)的階段,該階段的主要任務是全面監控攻擊目標的互聯網賬號等相關網絡通信內容和其它網絡活動。如下圖美國國家安全局(NSA)機密文檔所示,美國國家安全局(NSA)的Quantum(量子)攻擊系統后臺顯示了如何監控Yahoo(雅虎)、Facebook(臉書)和Hotmail等美國互聯網產品網絡注冊用戶的部分細節,表明美國國家安全局實際上正在對全球各地使用美國互聯網產品的用戶實施無差別監控。
第三階段
QUANTUM(量子)攻擊操作進入被NSA稱為“QUANTUMNATION”(量子國界)的階段,“NATION”代號具有一定的網絡空間邊界和國家邊界的含義。360云端安全大腦目前發現的美國國家安全局(NSA)對外實施的大部分網絡黑客攻擊是針對其他國家用戶的漏洞攻擊,攻擊過程中,NSA會向目標用戶上網終端植入以VALIDATOR(驗證器)為代表的NSA后門程序,長期潛伏在目標用戶上網終端中,再通過這些后門程序發 起更多復雜的網絡攻擊滲透。如下圖NSA機密文檔所示,Quantum(量子)攻擊系統正在對目標用戶訪問的Facebook(臉書)網站實施CNE(網絡情報收集)攻擊任務,NSA的Quantum(量子)攻擊系統后臺顯示了受害目標用戶訪問Facebook(臉書)時,NSA實施漏洞攻擊的確切時間,同時還標記了受害者網絡瀏覽器類型等隱私信息。
我們完整的還原了APT-C-40組織對中國境內特定機構發起的黑客攻擊和數據竊密事件。
Quantum(量子)注入攻擊的完整實例分析
通過以上章節分析可知,Quantum(量子)攻擊系統是一個異常復雜和精密的先進網絡攻擊平臺。360大數據視野中發現了大量APT-C-40組織實施的QUANTUMINSERT(量子注入)類型的攻擊痕跡,這些攻擊實例中包含了用FoxAcid(酸狐貍)網站仿冒服務器實施漏洞利用攻擊,向受害者植入以VALIDATOR(驗證器)、UNITEDRAKE(聯合耙)等為代表的NSA專屬后門程序,大量竊取受害者個人隱私和上網數據等內容。
FoxAcid(酸狐貍)攻擊武器在執行漏洞攻擊任務時,需要有QUANTUMINSERT(量子注入)和QUANTUMBISCUIT(量子餅干)兩個Quantum(量子)系統模塊支持,劫持并向FoxAcid(酸狐貍)提供最基礎網絡流量,FoxAcid(酸狐貍)攻擊武器利用各種主流瀏覽器和Flash等應用程序的0day漏洞對目標對象實施攻擊,再向其上網終端中植入初始后門程序。
從QUANTUMINSERT(量子注 入)的原理分析看,NSA利用網絡響應速度差來實現Quantum(量子)注入攻擊,劫持全球互聯網上任意終端設備的正常網頁瀏覽量。NSA把FoxAcid(酸狐貍)服務器部署在互聯網骨干網中,可使網絡攻擊受害者在真實網站服務器響應之前接收到NSA量子攻擊劫持后的假冒服務器響應,迫使受害者重定向訪問NSA的FoxAcid仿冒網站或網頁資源。
Quantum(量子)注入攻擊在安全業界又被歸類定義為MotS(Man on the Side)旁路型中間人攻擊,我們觀察到的完整Quantum(量子)注入攻擊過程如下圖所示:
在完整的攻擊實例中,Quantum(量子)注入攻擊偽造的HTTP重定向報文會先于正常響應報文到達用戶上網終端。
攻擊過程中,由美國國家安全局(NSA)偽造的數據包和正常的網絡數據包會帶有相同的序列號(Sequence),對受害者上網終端形成欺騙。
在真實的Quantum(量子)系統注入攻擊實例中,我們發現量子注入攻擊的實施方式異常復雜,呈現出分布式跳板節點的特征。面對這種定向、瞬時、分布式攻擊情況,安全人員難以準確定位網絡鏈路中的哪一跳節點具體實施了量子注入攻擊,也極難捕獲完整的量子注入攻擊過程。但即使在如此艱難和復雜的攻防場景下,360云端安全大腦仍依靠獨一無二的安全大數據能力,捕獲了大量美國國安全局(NSA)的Quantum(量子)注入攻擊的專用后門程序武器樣本。
從被公開揭露的NSA機密文檔《QUANTUM Shooter SBZ Notes》內容可以印證:
1. NSA需要在網絡傳輸線 路上建立被動監聽節點,持 續不斷竊取信道中的網絡信號數據,并實現高速解碼和條件匹配,這一項目被NSA稱為TURMOIL(混亂,與量子攻擊系統配套的后門監聽系統),該系統需要具備極高性能,以確保對竊取到的網絡數據包解碼匹配時間盡可能短。
2.一個具體場景是,當NSA網絡攻擊受害者利用訪問Facebook(臉書)等美國網站,相關訪問流量數據包會被TURMOIL系統定時監聽并解析匹配,一旦匹配到NSA想要入侵的攻擊目標,Quantum(量子)攻擊平臺就會通過TURBINE(渦輪,量子攻擊系統配套的后門植入工具)向感染SBZ(StraitBizarre,一種可以實施量子注入攻擊的跳板后門)的網絡設備發送命令,控制SBZ向受害者上網終端發送偽造的量子注入數據包,相關數據包通常是進行HTTP重定向,迫使受害者訪問FoxAcid服務器。
3.SBZ節點又被歸類為QUANTUM Shooter(量子射手)節點,由于NSA要保證SBZ發送的數據包先于正常服務器響應數據包到達受害者,相關節點必須離受害者足夠“近”(網絡延遲足夠低)。同時,為了保證攻擊成功率,相關節點也會出現分布式攻擊情況。由于這種攻擊手法常常用于對特定受害者發動定向攻擊,使QUANTUM Shooter(量子射手)節點的攻擊行為同時具備了定向性、瞬時性和分布式特點,導致極難被追蹤分析。
小結
美國國家安全局(NSA)的全球化無差別黑客入侵行徑,離不開龐大而復雜的網絡武器平臺支持。本報告針對QUANTUM(量子)攻擊系統的應用場景和攻擊實施過程進行的技術分析,結合360云端安全大腦視野發現的真實案例,全面印證了美國國家安全局(NSA)針對全球互聯網用戶實施大規模無差別網絡攻擊的詳細情況,也引發了我們的進一步思考:
1.美國NSA網絡武器攻擊已完全實現了工程化、自動化。網絡戰時代到來,網絡武器的自動化、智能化優勢成為超越信息優勢的“進階優勢”,而NSA組織的QUANTUM(量子)系統可能僅是冰山一角,美國或掌握著更多更高度工程化的網絡攻擊平臺,其自動化的“思考”速度和質量,極大提高了美國自主作戰系統實現制勝目標的優勢,也為全球網絡安全帶來無窮隱憂。
2.為實施并制勝網絡戰,美國政府充分利用一切先進技術和網絡資源。美國有著全球最先進的互聯網技術,這是盡人皆知的,但為了掌握網絡戰主導權,美國將諸如QUANTUM(量子)攻擊系統等大量頂級技術手段、高端人才、情報力量納入作戰序列,由此可見,美國對發展網絡作戰力量的重視程度,并不計成本地投入資源、增加籌碼。
3.美國的網絡攻擊屬于無差別攻擊,目標是全球范圍,甚至包括美國盟友。由上述分析可見,美國針對各類電子郵箱、社交網絡、搜索引擎、視頻網站等幾乎所有互聯網用戶發起無差別的網絡攻擊,美國的網絡戰略打擊是全球性的、無節制的,在美國網絡攻擊的鐮刀之下,沒有哪一國能獨善其身。
4.美國的網絡戰戰略,或不僅限于網絡竊密。通過公開的資料已知,美國已經完成了其網絡戰戰略目標第一步——網絡竊密,像斯諾登還有維基百科爆料的“棱鏡”計劃都屬于這一范疇,但不排除美國的下一步目標野心將更大。一旦通過在對手的電腦網絡中安插硬件或軟件后門,實現關鍵目標遠程操控,包括軍事系統、國家公共安全領域的服務器、民航公路鐵路交通系統的主機、銀行金融系統的服務器等,如果美國更大的戰略目標實現,其對手將毫無談判余地。
本文系觀察者網獨家稿件,未經授權,不得轉載。
關鍵詞:
