《環(huán)球時報》記者近日獨家從360公司獲悉，2008年開始，360云端安全大腦整合海量安全大數(shù)據(jù)，獨立捕獲大量高級復(fù)雜的攻擊程序，通過長期的分析與跟蹤并實地從多個受害單位取證，結(jié)合關(guān)聯(lián)全球威脅情報，以及對斯諾登事件、“影子經(jīng)紀(jì)人”黑客組織的持續(xù)追蹤，確認(rèn)了這些針對系列行業(yè)龍頭企業(yè)長達(dá)十余年的攻擊屬于美國國家安全局（nsa）組織。

　　《環(huán)球時報》記者了解到，除嚴(yán)重威脅電力、水利、交通、能源等關(guān)鍵基礎(chǔ)設(shè)施外，nsa還將通信行業(yè)視為重點攻擊目標(biāo)，長期“偷窺”及收集關(guān)于通信行業(yè)存儲的大量個人信息及行業(yè)關(guān)鍵數(shù)據(jù)，導(dǎo)致大量網(wǎng)民的公民身份、財產(chǎn)、家庭住址、甚至通話錄音等隱私數(shù)據(jù)面臨著惡意采集、非法濫用、跨境流出的嚴(yán)重威脅。在nsa組織的監(jiān)視下，全球數(shù)億公民隱私和敏感信息無處藏身猶如“裸奔”。

　　我國是美國國安局組織重點攻擊目標(biāo)之一，受害單位感染量或達(dá)百萬量級

　　美國國家安全局隸屬美國國防部，專門從事電子通信偵察，主要任務(wù)是搜集各國的信息資料，揭露潛伏間諜通信聯(lián)絡(luò)活動，為美國政府提供各種加工整理的情報信息。長期以來，為達(dá)到美國政府情報收集目的，nsa組織針對全球發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊，我國就是nsa組織的重點攻擊目標(biāo)之一。

　　2013年，前美國中央情報局（cia）職員、美國國家安全局（nsa）外包技術(shù)員愛德華·斯諾登向全世界揭發(fā)美國政府收集用戶數(shù)據(jù)信息的丑聞，并泄漏了nsa組織大量網(wǎng)絡(luò)戰(zhàn)機密文檔資料，這起美國歷史上最嚴(yán)重的泄密事件轟動全球。經(jīng)此一事，“網(wǎng)絡(luò)戰(zhàn)”及“國家級網(wǎng)絡(luò)威脅”等概念為全世界所認(rèn)知。

　　之后的2016年、2017年，黑客組織“影子經(jīng)紀(jì)人”又公開了被nsa組織應(yīng)用的網(wǎng)絡(luò)武器的樣本，nsa組織大規(guī)模高危網(wǎng)絡(luò)作戰(zhàn)武器及配套組件逐一曝光。360公司相關(guān)人士對《環(huán)球時報》記者表示，360公司是國內(nèi)第一批有意識追蹤高級別網(wǎng)絡(luò)威脅的安全公司，并率先提出了apt（高級可持續(xù)威脅攻擊）概念。在此期間，360團(tuán)隊依托海量安全大數(shù)據(jù)的情報視野，看到各行各業(yè)相繼淪陷于nsa網(wǎng)絡(luò)武器攻擊之下，積極推出各種包括永恒之藍(lán)武器庫防御方案和漏洞補丁等配套防護(hù)工具，全力抵御nsa武器庫攻擊。

　　《環(huán)球時報》記者了解到，長期以來，為達(dá)到美國政府情報收集目的，nsa組織針對全球發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊，我國就是nsa組織的重點攻擊目標(biāo)之一，nsa組織對中國境內(nèi)目標(biāo)的攻擊如政府、金融、科研院所、運營商、教育、軍工、航空航天、醫(yī)療等行業(yè)，重要敏感單位及組織機構(gòu)成為主要目標(biāo)，占比重較大的是高科技領(lǐng)域。

　　美國國家安全局（nsa）為監(jiān)控全球的目標(biāo)制定了眾多的作戰(zhàn)計劃，360安全專家告訴《環(huán)球時報》記者，通過對nsa專屬的validator后門配置字段的統(tǒng)計分析，推測nsa針對中國的潛在攻擊量非常巨大，“僅validator一項的感染量最保守估計應(yīng)該在幾萬的數(shù)量級，數(shù)十萬甚至百萬都是有可能的�！�

　　同時，《環(huán)球時報》記者獲悉，根據(jù)nsa機密文檔中描述的foxcid服務(wù)器代號，可以發(fā)現(xiàn)其針對英國、德國、法國、韓國、波蘭、日本、伊朗等全球47個國家及地區(qū)發(fā)起攻擊，403個目標(biāo)受到影響，潛伏時間長達(dá)十幾年。

　　詳細(xì)揭秘：美國國安局的網(wǎng)絡(luò)攻擊手法有哪些？

　　《環(huán)球時報》記者獲悉，360安全團(tuán)隊將nsa及其關(guān)聯(lián)機構(gòu)單獨編號為apt-c-40，并與系列行業(yè)龍頭共建了apt高級威脅研究實驗室，發(fā)現(xiàn)美國國家安全局針對系列行業(yè)龍頭企業(yè)長達(dá)十余年時間的攻擊活動。通過對取證數(shù)據(jù)分析，發(fā)現(xiàn)這些攻擊實際開始于2010年，結(jié)合網(wǎng)絡(luò)情報分析研判，該攻擊活動與nsa的某網(wǎng)絡(luò)戰(zhàn)計劃實施時間前后銜接，攻擊活動涉及企業(yè)眾多關(guān)鍵的網(wǎng)絡(luò)管理服務(wù)器和終端，其攻擊手法多樣、隱秘且危害巨大，具體手法如下：

　　（1）quantum（量子）攻擊系統(tǒng)

　　quantum（量子）攻擊系統(tǒng)是nsa發(fā)展的一系列網(wǎng)絡(luò)攻擊與利用平臺的總稱，其下包含多個子項目，均以quantum開頭命名。它是nsa最強大的互聯(lián)網(wǎng)攻擊工具，也是nsa進(jìn)行網(wǎng)絡(luò)情報戰(zhàn)最重要的能力系統(tǒng)之一，最早的項目從2004年就已經(jīng)開始創(chuàng)建。

　　從文檔中不難看出，在nsa的三個主要網(wǎng)絡(luò)戰(zhàn)方向（cne、cna、cnd）中，quantum均有相關(guān)項目。nsa利用美國在全球網(wǎng)絡(luò)通訊和互聯(lián)網(wǎng)體系中所處的核心地位，利用先進(jìn)技術(shù)手段實現(xiàn)對網(wǎng)絡(luò)信號的監(jiān)聽、截獲與自動化利用，quantum項目的本質(zhì)就是在此基礎(chǔ)上實現(xiàn)的一系列數(shù)據(jù)分析與利用能力。

　�。�2）foxacid（酸狐貍）0day漏洞攻擊平臺

　　quantum（量子）攻擊經(jīng)常配套使用的是代號為foxacid（酸狐貍）的系統(tǒng)。foxacid是nsa設(shè)計的一個威力巨大的0day漏洞攻擊平臺，并且可以對漏洞攻擊的主要步驟實施自動化，甚至讓沒有什么網(wǎng)絡(luò)攻擊經(jīng)驗的運營商也參與進(jìn)來，成為一件威力巨大的“大規(guī)模入侵工具”。 根據(jù)nsa機密文檔介紹，foxacid服務(wù)器使用了各種瀏覽器0day漏洞，比如flash、ie、火狐瀏覽器漏洞，用于向計算機目標(biāo)植入木馬程序。

　　而從現(xiàn)有情報來看，foxacid在2007年之前就已經(jīng)開始投入運作，直到2013年仍有其使用的痕跡，以此估算其使用時間至少長達(dá)八年之久。nsa依靠與美國電信公司的秘密合作，把foxacid服務(wù)器放在internet骨干網(wǎng)，保證了foxacid服務(wù)器的反應(yīng)速度要快于實際網(wǎng)站服務(wù)器的反應(yīng)速度。利用這個速度差，quantum（量子）注入攻擊可以在實際網(wǎng)站反應(yīng)之前模仿這個網(wǎng)站，迫使目標(biāo)機器的瀏覽器來訪問foxacid服務(wù)器。

　�。�3）validator（驗證器）后門

　　validator（驗證器）是用于foxacid項目的主要后門程序之一，一般被用于nsa的初步入侵，通過其再植入更復(fù)雜的木馬程序，比如unitedrake（聯(lián)合耙），每個被植入的計算機系統(tǒng)都會被分配一個唯一的驗證id。

　　根據(jù)nsa機密文檔的描述，validator主要配合foxacid攻擊使用，基于基本的c/s架構(gòu)，為敏感目標(biāo)提供了可供接觸的后門。validator可以通過遠(yuǎn)程和直接接觸進(jìn)行部署，并提供了7x24小時的在線能力。validator是一種很簡單的后門程序，提供了一種隊列式的操作模式，只能支持上傳下載文件、執(zhí)行程序、獲取系統(tǒng)信息、改變id和自毀這類簡單功能。

　�。�4）unitedrake（聯(lián)合耙）后門系統(tǒng)

　　unitedrake（聯(lián)合耙），是nsa開發(fā)的一套先進(jìn)后門系統(tǒng)。360安全專家通過對泄露的相關(guān)文檔進(jìn)行分析，unitedrake的整體結(jié)構(gòu)大致分為5個子系統(tǒng)，分別是服務(wù)器、系統(tǒng)管理界面、數(shù)據(jù)庫、模塊插件集和客戶端，其關(guān)系如下所示：

　　服務(wù)器：服務(wù)器即為cc服務(wù)器，主要功能為接受客戶端的連接請求，并且管理客戶端和其他子系統(tǒng)間的通訊，設(shè)計該系統(tǒng)的目的為盡可能的減少操作請求次數(shù)。在文檔中其被描述為 listening port，即監(jiān)聽端口。

　　系統(tǒng)管理界面：系統(tǒng)管理界面為一套圖形用戶界面，操作者可以通過該界面直接查看客戶端狀態(tài)、給客戶端下發(fā)命令、管理插件和調(diào)整客戶端的配置。在文檔中其被描述為ur gui。

　　插件模塊集：該部分為整套unitedrake系統(tǒng)的技術(shù)核心，功能插件化使得整套系統(tǒng)具備極強的可擴展性和適應(yīng)性；一個插件模塊由一個或多個客戶端插件，一個或多個服務(wù)端插件以及一個或多個系統(tǒng)管理界面組件組成的，三者配合共同組成一個完整的功能插件模塊；并且針對不同的行動，插件模塊可以根據(jù)任務(wù)需求彈性化選擇組合與安裝。

　　數(shù)據(jù)庫：unitedrake系統(tǒng)使用sql數(shù)據(jù)庫來存儲和管理一下信息：系統(tǒng)配置信息、客戶端配置信息、各類狀態(tài)信息和收集到的數(shù)據(jù)。

　　客戶端：客戶端程序，即為下發(fā)植入的木馬程序；其能隱蔽的植入目標(biāo)機器中，并為進(jìn)一步的攻擊提供支持，客戶端的設(shè)計重點為提高隱蔽性。

　　全球數(shù)億公民隱私和敏感信息無處藏身猶如“裸奔”

　　《環(huán)球時報》記者獲悉，綜合（apt-c-40組織）即nsa的非法入侵行徑，其行為將可能對我國甚至其他國家的國防安全、關(guān)鍵基礎(chǔ)設(shè)施安全、金融安全、社會安全、生產(chǎn)安全以及公民個人信息造成嚴(yán)重危害。

　　360安全專家對《環(huán)球時報》記者表示，面對這些非法網(wǎng)絡(luò)攻擊，首先應(yīng)警惕國家級apt組織對國家安全的危害。戰(zhàn)爭的形式不止于兵戎相見這一種，網(wǎng)絡(luò)空間早已成為大國較量的另一重要戰(zhàn)場，“回顧2020年，360披露美國中央情報局cia（apt-c-39）對中國進(jìn)行長達(dá) 11 年的網(wǎng)絡(luò)攻擊滲透一案依然歷歷在目，面對網(wǎng)絡(luò)強國咄咄逼人的戰(zhàn)略攻勢，以國家力量為背景的apt網(wǎng)絡(luò)攻擊及全球化網(wǎng)絡(luò)戰(zhàn)爭再一次敲響我們頭上警鐘�！�

　　“網(wǎng)絡(luò)戰(zhàn)及國家級apt組織對國家安全的危害是多方面的�！边@位專家告訴記者，入侵組織不僅對國家政府及要害部門進(jìn)行持續(xù)監(jiān)視與間諜活動，甚至對于一國政治、經(jīng)濟(jì)、社會、國防軍事等方面的威脅不斷加深。一旦apt組織對整個國家社會系統(tǒng)進(jìn)行攻擊，將可能導(dǎo)致交通、銀行、航空、水電系統(tǒng)癱瘓，并對國家政治穩(wěn)定、經(jīng)濟(jì)命脈造成不可估量的傷害。

　　360安全專家表示，此外，還應(yīng)警惕國家級apt組織對關(guān)鍵基礎(chǔ)設(shè)施的危害，“關(guān)鍵基礎(chǔ)設(shè)施逐漸成為網(wǎng)絡(luò)戰(zhàn)首選目標(biāo)，國與國之間的網(wǎng)絡(luò)對抗，以關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)的網(wǎng)絡(luò)戰(zhàn)愈加頻繁，網(wǎng)絡(luò)攻擊不再只是為了竊取情報，更可以對電力、水利、電信、交通、能源等關(guān)鍵基礎(chǔ)設(shè)施發(fā)起攻擊，從而對公共數(shù)據(jù)、公共通信網(wǎng)絡(luò)、公共交通網(wǎng)絡(luò)、公共服務(wù)等造成災(zāi)難性后果，嚴(yán)重影響關(guān)系百姓民生的公共安全，破壞整個社會的神經(jīng)中樞。”

　　“同時，國家級apt組織對個人信息安全的危害也不可低估�！薄董h(huán)球時報》根據(jù)360云端安全大腦長期監(jiān)測數(shù)據(jù)發(fā)現(xiàn)，nsa將通信行業(yè)視為重點攻擊目標(biāo)，長期“偷窺”及收集關(guān)于通信行業(yè)存儲的大量個人信息及行業(yè)關(guān)鍵數(shù)據(jù)，導(dǎo)致大量網(wǎng)民的公民身份、財產(chǎn)、家庭住址、甚至通話錄音等隱私數(shù)據(jù)面臨著惡意采集、非法濫用、跨境流出的嚴(yán)重威脅，“在nsa組織的監(jiān)視下，全球數(shù)億公民隱私和敏感信息無處藏身猶如“裸奔”，而其幕后政府及政客只關(guān)注政治私利，全然漠視公民個人權(quán)利，公民人權(quán)淪為政治博弈的籌碼，其入侵行徑嚴(yán)重侵犯我國及全球公民的合法利益�！�360安全專家表示。

　　專家提醒，根據(jù)公開網(wǎng)絡(luò)情報，美國國家安全局（nsa）的全球化入侵行徑，離不開其下屬部門及其關(guān)聯(lián)機構(gòu)為其提供數(shù)據(jù)和攻擊武器支持，文中提及的后門程序unitedrake（聯(lián)合耙）、quantum（量子）攻擊系統(tǒng)、仿冒服務(wù)器foxacid等是代表性的攻擊套件組合。“后續(xù)關(guān)于美國nsa武器庫的更多情報數(shù)據(jù)與戰(zhàn)例分析，我們將會進(jìn)一步分析研判�！�