趙立堅提到的APT-C-39組織啥來頭?中情局網絡攻擊手段揭秘

(原標題:趙立堅提到的APT-C-39組織啥來頭?中情局網絡攻擊手段大揭秘)

在19日的外交部例行記者會上,發言人趙立堅提到了一個美國中情局下屬的APT-C-39網絡攻擊組織。這個組織可以說是地球上最邪惡的黑客組織,曾在長達11年的時間中對中國實施網絡攻擊。這個組織到底有什麼底細?美國的網絡間諜無孔不入,不僅瞄準對手,也瞄準盟友,甚至還有可能瞄準了你我的手機。美國的網絡間諜到底有多沒底線?

APT-C-39網絡攻擊組織來自何方?

APT是英文“高級長期威脅”的縮寫,APT技術綜合運用全部可用的黑客手段,不僅限於網絡攻擊,還結合了線下間諜滲透行爲,是公認危害性最大的黑客攻擊行爲。中國是APT攻擊行爲的主要受害國。APT-C-39由網絡安全公司奇虎360在2020年3月發佈的一份報告首次編碼命名。其中的C表示受攻擊對象是中國,39意味着這一組織是該公司發現的第39個針對中國的APT黑客團體。報告指出,針對中國的APT攻擊主要集中在北京、珠三角和長三角等經濟發達地區。

以中國航空航天科研領域的受害情況爲例,APT-C-39對相關核心機構的系統開發人員長期進行“定向打擊”。例如,以國際會議爲掩護,向科研人員發送帶有木馬的郵件,或者贈送帶有網絡攻擊武器U盤,一段時間以後,科研人員周圍的電子設備就形成一張黑客網絡,長年不斷竊取情報

分析顯示,APT-C-39發起攻擊行爲的技術特徵具有高度規律性,這顯示其背後有嚴密的組織背景,極有可能是國家級黑客組織作案。此外,APT-C-39發起的攻擊都以美國東部時間爲基軸進行統籌,因此定位其“主腦”位於該時區。值得注意的是,中情局總部所在的弗吉尼亞州就使用美國東部時間。

中情局針對中國的黑客武器—“穹窿7”

關聯情報分析還得出結論,攻擊所使用的網絡武器與由“維基解密”公佈的“穹窿7”(Vault7)相吻合。“維基解密”2017年公佈了8176份拷貝自美國中情局網絡情報中心文件,其中包含有被中情局視爲“核心武器”的“穹窿7”的資料。這些資料由時任美國中情局秘密行動處(NCS)科技情報主管約書亞·亞當·舒爾特(Joshua Adam Schulte)提供給“維基解密”網站。他直接參與研發了針對中國攻擊的網絡武器“穹窿7”(Vault7)。至此,APT-C-39與美國中情局直接相關的證據鏈已經相當完整。此外還有證據顯示,APT-C-39使用的某些攻擊武器由美國國家安全局開發,顯示其背後有更高層級的協調。

“穹窿7”是中情局針對中國打造的黑客武器項目,包含多種間諜軟件,被稱爲全球最大規模的網絡間諜武器兵工廠。“穹窿7”可以將任何電子設備變成監聽監視工具,包括電腦智能手機遊戲機、路由器和智能電視,甚至還包括汽車、卡車和飛機。

還有報道指出,APT-C-39也被美國“分享”給北約盟友,這也就解釋了,爲什麼5月發佈的《2020年我國互聯網網絡安全態勢綜述》報告顯示,北約的三個成員國美國、荷蘭和德國是控制中國電腦數量位列前三的國家。

北約盟友也是美國網絡竊密對象

值得注意的是,雖然北約這次也跟隨美國政府炒作所謂中國黑客議題,但北約盟友也是美國網絡竊密的重點對象。其中最大的受害方就是在美國眼中不怎麼“聽話”、經常強調“歐洲戰略自主”的德國。德國《圖片報》2013年報道,當時德國聯邦情報局發現,美國對德國政要的“全面監聽”已經“長達數年”。報道指出,美國在冷戰中結束後,很擔心盟友背叛自己,把原本用於監聽蘇聯和東歐國家的“梯隊”項目對準盟友。但當時默克爾矢口否認,對媒體表示自己沒有被監聽。

但美國針對默克爾的監聽從未中斷。2016年,“維基解密”公佈文件證實默克爾確實位列美國的重點監聽名單。今年5月30日,丹麥廣播公司曝光丹麥國防情報局的“鄧哈默行動”報告。該報告證實,美國情報機構通過丹麥的通信電纜對法國、德國、瑞典和挪威等國政要實施長期監聽,其中就包括默克爾。報道還指出了監聽的途徑:丹麥地處北歐的交通要道,多條通信光纜在此登陸,因此丹麥是歐洲的數據信息樞紐。上世紀,丹麥電網公司開展智慧電網建設,也邀請美國公司參與,美國的間諜設備通過丹麥電網無孔不入地滲透到電纜通信機房中。此外,歷史上,美國間諜曾用特殊潛水器在海底光纜上安裝信息攔截裝置的方式竊取蘇聯情報。

通過這些攔截裝置,美國可以獲取從電話語音到網頁瀏覽記錄,以及金融、政府和軍事數據。以去年美軍暗殺伊朗高級將領蘇萊曼尼爲例,美軍使用名爲RT-RG的情報分析系統處理了與蘇萊曼尼有關的光纖、電磁波以及網絡信息,構建了“全視全知”的情報監聽網絡,在數秒鐘之內就能判定最佳暗殺時機,作出無人機升空的決定。

美國情報機構控制商業公司

美國情報機構還直接控制歐洲的著名商業公司。去年2月,德國電視2臺曝光“瑞士加密機”事件,中情局從上世紀50年代佈局收購瑞士的加密設備製造商克里普陀(Crypto AG),並在這家著名企業的產品中植入中情局專用“後門”程序,中情局可以在“任何時間”解密這些國家的核心機密。德國電視2臺認爲,全球除了中國及蘇聯之外的幾乎所有國家都使用了這家公司的產品,這也解釋了上世紀的一些間諜懸案,涉及伊朗、利比亞和埃及等國。

值得指出的是,伊朗是美國網絡攻擊的重點對象,而歐洲企業再次成爲了美國情報部門的白手套。“震網”病毒是世界上目前已知的最具破壞性的超級網絡武器,它曾感染了伊朗全國超過60%的電腦,但值得注意的是,在普通電腦中,“震網”病毒並不會發作,因爲它攻擊的是重要的基礎設施使用的工業控制系統,具體來說是德國西門子公司的SCADA數據採集和監控系統。

西門子公司故障排除部門工程師埃裡克·拜爾斯(Eric Byres)在研究了“震網”病毒後指出,它可以接管西門子設備的控制權,造成“自毀”,然後再植入虛假代碼掩蓋故障,並向中控系統發送“運作正常”的信號,等到破壞被發現時早就爲時已晚。2008年,伊朗鈾濃縮設施出現不明損壞,直到2年後,纔有網絡安全公司報告了“震網”病毒的存在,但伊朗納坦茲鈾濃縮設施的超過1000臺離心機已經徹底報廢,直接導致布什爾核電站推遲發電。今年4月,納坦茲的鈾離心機再次遭到破壞。

更值得警惕的是,在智能手機時代,APP也成爲美國情報部門的重點“關注”對象。“棱鏡門”曝光文件顯示,美國政府長期從該國的互聯網巨頭獲取用戶隱私數據,推特、臉書、微軟、YouTube、Skype、谷歌地圖,甚至一些熱門的遊戲也成爲美國情報機關的“數據金礦”。2014年,德國媒體就曝光,當時的熱門遊戲“憤怒的小鳥”就被美國和英國情報部門用作蒐集“大數據”的工具。

網絡安全專家指出,這些數據看似“無用”,實際上經過RT-RG的情報分析系統的處理,人人都“無處遁形”。而近日曝光的以色列NSO公司開發的“飛馬”手機間諜軟件進一步放大了用戶的網絡安全風險。“飛馬”可以在用戶毫無知覺的情況下打開攝像頭、麥克風和GPS,並獲取手機裡的任何信息。目前整理出來的“飛馬”受害者名單超過5萬人,全部都是皇室成員、政要、記者或者重要事件的當事人。法國《世界報》曝光,該國總統馬克龍就在這個名單中,中國駐印度的外交官也在其中。《紐約時報》記者證實,美國總統的高級顧問安妮塔·鄧恩長期接受“飛馬”的開發商以色列NSO公司的“諮詢費”,這證實白宮與“飛馬”之間有不可告人的“千絲萬縷聯繫”。