“APT”(高级持续攻击)是一种有针对性、隐蔽性、高度持续性的网络攻击。 目前发现的绝大多数APT组织都有国家或政府背景,相关攻击通常是由与特定国家政府有关联的实体实施的。
APT攻击的主要目标不是普通个人,而是特定组织,包括政府、大学、医疗、企业、科研等不同类型的重要机构甚至重要的信息基础设施运维单位。
360云安全大脑持续追踪全球多个现有APT组织及其活动,率先发现并公开披露来自美国的全球顶级APT组织针对中国目标发起的持续攻击,并点名该组织“APT-C”-40”。
在对APT-C-40攻击活动的长期跟踪和研究过程中,我们发现了大量来自全球各行各业的受害用户(包括美国的多个盟友),并从互联网设备中提取了数据中国的一些受害者。 获得了该组织多种复杂、先进的网络攻击武器方案样本。
经过缜密深入的技术分析,我们发现该组织使用的网络武器与美国国家安全局专有的网络攻击武器完全一致,且针对中国机构的黑客攻击发生在斯诺登和“影子经纪人”泄密之前。
基于技术分析结果和现有数字证据,我们完全有理由相信,发起上述黑客攻击的组织隶属于美国政府,以及美国国防部下属的国家安全局(NSA)直接进行了相关的黑客攻击。
01
APT-C-40组织介绍
根据维基百科[1]记载,美国国家安全局(NSA)有一个绝密的运营部门,称为接入技术运营部门(TAO,Tailored Access Operations)。 这个部门早在1998年就开始在网上活跃,主要职责是为美国情报机构提供针对美国和其他国家高层目标的通信监控、情报获取,甚至远程破坏(破坏)行动。
2013年,安全专家雅各布·阿佩尔鲍姆(Jacob Appelbaum)曝光了一份长达50页的NSA机密文件“NSA ANT目录”[2],其中描述了一系列复杂的网络黑客技术和项目。 根据文件内容,相关网络黑客攻击技术和项目创建于2008年左右,可以认为是专门为美国国家安全局下属接入技术行动办公室(TAO)开发的先进网络攻击武器。
参考[2]文档
引自 NSA ANT 目录文档第 22 页
2016年至2017年间,“影子经纪人”公开披露了大量属于NSA的网络攻击武器和机密办公文件。 美国网站“TheIntercept”结合爱德华·斯诺登(前CIA技术分析师、NSA承包商雇员)透露的美国国家安全局(NSA)内幕信息,发表重磅分析文章《THE NSALEAK IS REAL,SNOWDEN documentS /confirm/i》[3]证实斯诺登曝光的网络攻击武器确实属于美国国家安全局(NSA)。
2013年至2017年,中立的互联网主管部门、中立的新闻媒体、坚决捍卫公民隐私权的中立机构相继发布解读分析报告,确认网络上披露的所有所谓“NSA网络武器和机密文件”均属于美国国家安全局。
自2008年以来,360云安全大脑整合海量安全大数据,独立捕获了大量极其复杂的网络黑客攻击程序样本。 经过对多个受害单位的长期分析跟踪和现场取证,结合世界各国发布的威胁情报,以及对斯诺登事件和“影子经纪人”曝光事件的综合研究,确认这些黑客攻击程序样本属于美国国家安全局(NSA),进一步证实NSA长期对我国进行极其隐蔽、无差别的黑客攻击。 这些最终将实施攻击的具有 NSA 背景的黑客组织被单独编号为 APT-C-40。
根据相关证据,推测美国国家安全局一系列泄露的网络武器被其他国家特别是“五眼联盟”国家的黑客广泛使用,造成全球网络安全灾难。 例如,2017年“WannaCry”蠕虫利用“永恒之蓝”攻击中国及全球多个国家和地区,对各国信息网络造成严重危害。 APT-C-40组织针对我国各行业龙头企业、政府、高校、医疗机构、科研机构,甚至与网络安全相关的重要信息基础设施运维单位进行秘密黑客攻击已持续十余年。国计民生。 活动中,大量重要数据被盗,造成的潜在威胁难以评估。 本报告将对美国国家安全局的相关黑客活动进行分析和披露。
02
量子攻击技术简介
NSA已公开披露的高端网络黑客武器复杂且数量众多,很难在技术分析报告中全面呈现。 本报告是360系列报告中的第一篇,将重点关注APT-C-40组织在针对中国目标的黑客攻击中使用的最具代表性的量子攻击系统。
量子攻击是美国国家安全局(NSA)专门针对国家级互联网设计的一种先进的网络流量劫持攻击技术。 主要针对国家级网络通信进行中间劫持,实施漏洞利用、通信操纵、情报窃取等。 以及一系列复杂的网络攻击。 根据美国国家安全局官方机密文件《量子插入图》[4],量子攻击可以劫持全球任何地区任何在线用户的正常网页浏览流量,进行0day(零日)漏洞利用攻击,远程植入后门。 程序。
03
Quantum系统应用场景分析
量子(Quantum)攻击系统的命名均以英文单词QUANTUM开头。 网上披露的NSA机密文件详细描述了QUANTUM系统各模块相关网络黑客攻击武器的具体代号、主要功能、应用场景、项目状态和激活时间。 。
参考[5]文档
量子(Quantum)攻击系统项目介绍
量子攻击系统具有三种网络攻击应用场景。 该攻击平台早在2005年就投入使用,这三种应用场景均以单词缩写命名。 缩写为CNE(网络情报盗窃)、CNA(网络攻击破坏)和CND(网络攻击防御)。
1.ComputerNetwork Exploitation(网络情报盗窃)
CNE(网络情报盗窃)黑客活动的应用场景涉及6个Quantum系统模块。 其主要功能是利用先进的技术手段远程秘密劫持世界各地正常的互联网流量,随意操纵和控制网络流量,并向系统中注入恶意代码。 任何连接互联网的终端都可以进行漏洞攻击,持续进行破坏性网络攻击和网络情报窃取。 有证据表明,美国国家安全局(NSA)窃取的数据包括(但不限于):网络配置文件、账号和密码、办公和私人文档、数据库、在线好友信息、网络通信信息、电子邮件、和实时摄像头数据。 、麦克风实时数据等
2.ComputerNetwork Attack(网络攻击破坏)
CNA(网络攻击和破坏)黑客攻击活动应用场景涉及2个Quantum(量子)系统模块,其主要功能是进行网络攻击和破坏。 与传统的黑客攻击和破坏活动不同,NSA的黑客攻击更加细粒度,可以控制、分析和破坏正常网络流量中的任何网络通信和文件传输。 在某些情况下,可以远程关闭或摧毁被攻击的目标。 关键信息基础设施和水、电、气等民生设施。
3.ComputerNetwork Defense(网络攻击防御)
CND(网络攻击防御)黑客攻击防御应用场景涉及到Quantum(量子)系统模块。 主要目的是阻止或检测从美国国家安全局 NSA 劫持的网络流量中下载恶意负载并保护其安全。 分析。 这使得NSA能够从被攻击目标或自身网络中提取非国家安全局(NSA)攻击源的恶意程序样本,并执行泄密情报分析和网络攻击防御任务。
04
Quantum系统九大模块解析
360云安全大脑对Quantum系统进行了长期跟踪研究,现已发现美国国家安全局(NSA)Quantum系统的九个高级网络攻击能力模块:
1. QUANTUMINSERT(量子注入):该模块具有向正常网络流量注入恶意流量的攻击能力。 这是360云安全大脑迄今为止发现的数量最多的一次量子攻击。 该模块主要被美国国家安全局(NSA)用来劫持全球互联网用户正常的网页浏览流量,将用户想要访问的正常合法网站劫持到NSA的FoxAcid(酸狐)假冒网站服务器上。 )发送各种浏览器0day(零日)漏洞,对互联网用户完成定点或批量攻击,远程控制用户网络端,将美国国家安全局(NSA)的各种复杂后门程序植入用户互联网终端。 情报盗窃。
2、QUANTUMBOT(量子傀儡):NSA还将针对网络空间的黑客组织进行网络攻击,夺取黑客组织的网络资源,并为自己后续的黑客活动提供技术支持。 该模块提供远程控制网络空间中任何僵尸网络的攻击能力。 通过劫持僵尸网络命令控制的网络流量,直接接管相关僵尸网络资源,然后操纵这些僵尸网络发起破坏性攻击,隐藏NSA黑客攻击的痕迹。
3、QUANTUMBISCUIT(量子cookie):该模块用于增强Quantum(量子)注入攻击,建立针对攻击目标的Quantum(量子)注入攻击的代理跳板。 目的是防止NSA黑客攻击被追踪和发现。 该模块也常用于在 NSA 针对特定目标网络环境实施量子攻击并定制攻击跳板。
4.QUANTUMDNS(量子DNS):该模块具有劫持网络流量DNS的能力。 通过该模块,NSA可以劫持互联网上所有网站域名的DNS解析,重定向网站流量,还可以配合FOXACID(Acid Fox)平台实施漏洞攻击。
5. QUANTUMHAND(量子掌握):根据现有技术证据,该模块提供了劫持Facebook等美国重要网站流量的能力,对浏览相关网站的网络流量进行漏洞攻击,植入美国国家的一个复杂的来自国家安全局 (NSA) 的后门程序。 这种攻击能力实在令人发指,以至于美国国家安全局(NSA)将对全球几乎所有访问Facebook、Twitter、YouTube、亚马逊等美国网站的互联网用户发起无差别的网络攻击。
6. QUANTUMPHANTOM(量子幻影):为了防止美国国家安全局(NSA)在其他国家实施的网络攻击被追踪,该模块提供了一种利用网络链路中间节点劫持技术隐藏的高级网络攻击攻击的来源。 能力。 例如:NSA使用假IP地址作为命令控制,劫持与假IP通信的网络路由节点链路,对网络链路中间的节点进行被动监控和流量控制,隐藏NSA真实的后门命令和控制地址。
7. QUANTUMSKY:该模块提供网络通信阻断能力,通过RST复位消息中断特定的网络连接。 主要用于NSA劫持,阻止特定目标的流量访问特定网站。
8. QUANTUMCOPPER(量子警察):该模块提供对网络通信流量中文件的篡改能力,允许NSA攻击劫持网络流量中的文件上传和下载,实施中断、破坏或后门感染等网络攻击。 。
9. QUANTUM SMACKDOWN:该模块提供分析恶意网络流量的能力。 它可以阻止并提取下载网络流量中的恶意负载和恶意样本。 它主要被美国国家安全局用来针对非美国攻击源。 收集、预防和分析您自己的网络环境中的恶意流量。
05
量子攻击的实施过程分析
为了监控全球互联网目标,美国国家安全局(NSA)制定了众多行动计划。 相关计划[6]中涉及的具体任务将通过Quantum(量子)系统平台来实现。 通过分析可以推断,在实施过程中,在用户不知情的情况下收集了大量的数据。 渗透技术使美国公民和世界其他国家网民的个人隐私无法得到应有的保护,公民的隐私权受到不同程度的侵犯。
当美国国家安全局或其他联邦政府部门分配的黑客攻击任务提交给Quantum系统时,攻击者首先会监听攻击目标的网络通信流量,并对攻击目标访问的特定网站进行定向网络流量。 劫持,然后利用各种0day漏洞,向目标互联网终端植入VALIDATOR等以环境探索为目的的后门程序,完成初步情报收集。 随后,安装了更先进的后门程序,进行一系列复杂的网络渗透攻击,最终完成了情报收集任务。 目标互联网终端中存储的静态文件、互联网流量和通信内容均由美国国家安全局保密。
QUANTUM攻击的完整实施过程分为以下三个阶段,目前已完全工程化和自动化:
在第一阶段,QUANTUM攻击的实施者将首先定位网络上的目标。 整个定位过程是通过NSA掌握的一套“量子能力”和网络黑客工具来完成的。 这些任务具有远程劫持和控制全球互联网巨头网络流量的能力。
根据NSA机密文件,“量子能力”的定位操作不仅可以针对特定IP,更重要的是可以针对互联网服务以及全球网民最常使用的不同互联网服务,如电子邮件、社交网络、搜索引擎、和视频网站。 可以远程定位网站账户,快速找出攻击目标、所在网络以及从何处访问互联网。
参考[7]文档
量子(Quantum)攻击系统任务操作介绍第12页
第二阶段,目标定位完成后,QUANTUM量子攻击行动将进入NSA称为“QUANTUM SIGDEV”(量子监视)的阶段。 该阶段的主要任务是全面监控攻击目标的互联网账户及其他相关网络通信内容和其他网络活动。
正如下面的美国国家安全局(NSA)机密文件所示,美国国家安全局(NSA)量子攻击系统的后端展示了如何监控雅虎、Facebook、Hotmail等美国互联网产品的网络。 注册用户的一些细节表明,美国国家安全局实际上正在对全球使用美国互联网产品的用户进行无差别的监视。
参考[7]文档
量子(Quantum)攻击系统任务操作介绍第14页
第三阶段,QUANTUM攻击行动进入NSA称为“QUANTUMNATION”的阶段。 “NATION”代号具有一定的网络空间边界和国家边界含义。
360云安全大脑发现,美国国家安全局(NSA)实施的网络黑客攻击大部分都是针对其他国家用户的漏洞攻击。 在攻击过程中,NSA 会在目标用户的互联网终端中植入一个 VALIDATOR(验证器)。 以这些程序为代表的NSA后门程序长期潜伏在目标用户的互联网终端中,然后利用这些后门程序发起更加复杂的网络攻击和渗透。
正如下面的 NSA 机密文件所示,Quantum 攻击系统正在对目标用户访问的 Facebook 网站实施 CNE(网络情报收集)攻击任务。 NSA的量子攻击系统的背景显示了受害的目标用户。 NSA 在访问 Facebook 时实施漏洞的确切时间也被标记了私人信息,例如受害者的网络浏览器类型。
参考[7]文档
量子(Quantum)攻击系统任务操作介绍第24页
我们完整还原了APT-C-40组织针对中国境内特定机构发起的黑客攻击和数据窃取事件。
06
量子注入攻击的完整示例
从以上章节的分析可以看出,Quantum攻击系统是一个极其复杂、精密的高级网络攻击平台。 360大数据视觉发现大量APT-C-40组织实施的QUANTUMINSERT类型攻击痕迹。 这些攻击例子包括利用FoxAcid(酸狐)网站伪造服务器进行漏洞利用攻击,向受害者植入漏洞。 进入以VALIDATOR、UNITEDRAKE等为代表的NSA专属后门程序,窃取大量受害者个人隐私和互联网数据。
FoxAcid攻击武器在执行漏洞攻击任务时,需要QUANTUMINSERT和QUANTUMBISCUIT这两个Quantum系统模块的支持,来劫持并向FoxAcid提供最基本的网络流量。 FoxAcid(酸狐)攻击武器利用各种主流浏览器和Flash等应用程序中的0day漏洞攻击目标对象,然后向互联网终端植入初始后门程序。
从QUANTUMINSERT的原理分析,NSA利用网络响应速度的差异实施量子注入攻击,劫持全球互联网上任何终端设备的正常网页浏览流量。 NSA在互联网骨干网络中部署FoxAcid(酸狐)服务器,使得网络攻击受害者能够在真实网站服务器响应之前收到被NSA量子攻击劫持的虚假服务器响应,迫使受害者重定向访问NSA的FoxAcid假网站。 或网络资源。
量子注入攻击在安全行业中也被归类为MotS(Man on the Side)侧通道中间人攻击。 我们观察到的完整的量子注入攻击流程如下图所示:
在一个完整的攻击示例中,量子注入攻击伪造的HTTP重定向消息将在正常响应消息之前到达用户的互联网终端。
攻击过程中,国家安全局(NSA)伪造的数据包与正常的网络数据包会具有相同的序列号(Sequence),欺骗受害者的互联网终端。
在量子系统注入攻击的真实实例中,我们发现量子注入攻击的实现方法极其复杂,并且呈现出分布式跳板节点的特征。 面对这种定向、瞬时、分布式的攻击情况0day安全:软件漏洞分析技术(第2版),安全人员很难准确定位网络链路中的哪一跳节点具体实施了量子注入攻击0day安全:软件漏洞分析技术(第2版),捕获完整的量子注入攻击过程也极其困难。 。 但即便是在如此困难复杂的攻防场景下,360云安全大脑仍然凭借其独特的安全大数据能力,依然捕获了大量用于美国国家安全局(NSA)量子注入攻击的专门后门程序武器样本。
公开披露的NSA机密文件“QUANTUMShooterSBZNotes”[8]的内容可以确认:
参考[8]文档
量子射手 SBZ 笔记
1、NSA需要在网络传输线路上建立被动监听节点,不断窃取通道中的网络信号数据,并实现高速解码和条件匹配。 这个项目被称为 TURMOIL(Chaos,NSA 的一个支持量子攻击系统的后门监控)。 系统),需要具有极高的性能,以保证被盗网络数据包的解码和匹配时间尽可能短。
2、具体场景是,当NSA网络攻击受害者访问Facebook等美国网站时,相关访问流量数据包会被TURMOIL系统定期监控并解析进行匹配。 一旦匹配到NSA想要入侵的攻击目标,量子攻击平台就会通过TURBINE(Turbo,支持量子攻击系统的后门植入工具)向感染SBZ(StraitBizarre,跳板后门)的网络设备发送命令可以实施量子注入攻击),并控制SBZ向受害者发送消息。 用户的互联网终端发送伪造的量子注入数据包。 相关数据包通常是HTTP重定向,迫使受害者访问FoxAcid服务器。
3. SBZ 节点也被归类为 QUANTUM Shooter 节点。 由于NSA希望确保SBZ发送的数据包在正常的服务器响应数据包之前到达受害者,因此相关节点必须距离受害者足够“近”(网络延迟足够低)。 同时,为了保证攻击的成功率,相关节点也会发生分布式攻击。 由于该攻击方式多用于针对特定受害者发起针对性攻击,因此QUANTUM Shooter节点的攻击行为具有定向性、瞬时性、分布式性,追踪分析难度极大。
07
概括
美国国家安全局(NSA)全球化、无差别的黑客活动离不开庞大而复杂的网络武器平台的支持。 本报告对QUANTUM(量子)攻击系统的应用场景和攻击实施过程进行技术分析,结合360云安全大脑视觉发现的真实案例,充分印证了美国国家安全局(NSA)的大针对全球互联网用户的大规模入侵。 不同网络攻击的细节也引发了我们进一步的思考:
1.美国国家安全局的网络武器攻击已经完全设计和自动化。 随着网络战争时代的到来,网络武器的自动化、智能化优势已成为超越信息优势的“先进优势”。 NSA 的 QUANTUM(量子)系统可能只是冰山一角。 美国可能拥有越来越多的高度工程化的系统。 网络攻击平台以其自动化“思考”的速度和质量,极大提升了美国自主作战系统实现制胜目标的优势,也给全球网络安全带来了无尽的隐忧。
2、为了实施并赢得网络战,美国政府充分利用一切先进技术和网络资源。 大家都知道,美国拥有世界上最先进的互联网技术,但为了主导网络战争,美国吸纳了量子攻击等大量顶尖技术手段、高端人才、情报力量系统进入其战斗序列。 由此可见,美国高度重视网络作战能力的发展,不惜成本投入资源、增加谈判筹码。
3、美国的网络攻击是无差别攻击,针对的是全世界,甚至包括美国的盟友。 从上述分析可以看出,美国对各类电子邮件、社交网络、搜索引擎、视频网站等几乎所有互联网用户发起无差别的网络攻击。 美国的网络战略打击是全球性的、不受控制的。 美国网络攻击没有一个国家能够在镰刀下独自生存。
4.美国的网络战战略可能不仅限于网络盗窃。 从公开信息得知,美国已经完成了网络战战略目标的第一步——网络盗窃。 斯诺登、维基百科揭露的“棱镜”等项目都属于此类,但不能排除美国的下一步行动。 下一步的野心将会更大。 一旦在对方计算机网络中安装硬件或软件后门,实现对重点目标的远程控制,包括军事系统、国家公安领域的服务器、民航、公路、铁路运输系统的主机、银行、金融系统的服务器等,等等,如果美国变得更大,战略目标实现的话,对手就没有谈判的余地了。
参考文献[1]定制访问操作[2]NSA Ant 产品目录[3]NSA 泄漏是真实的,斯诺登文件证实[4]量子插入图[5]量子分析的方法不止一种[6]集成的案例研究网络操作技术[7]R&T 分析师的 NSA QUANTUM 任务分配技术%28TS%29%20NSA%20Quantum%20Tasking%20Techniques%20for%20the%20R&T%20Analyst.pdf[8]QUANTUM Shooter SBZ 笔记
