美國國家安全局“APT-C-40”無差別網(wǎng)絡(luò)攻擊詳解

近期，包括奇安信和360在內(nèi)的中國公司接連曝光美國對中國等國發(fā)動無差別網(wǎng)絡(luò)攻擊的完整證據(jù)鏈條。中國外交部本月也就相關(guān)報告回應(yīng)指出，美國對中國進(jìn)行了大規(guī)模、長時間、系統(tǒng)性的網(wǎng)絡(luò)攻擊，嚴(yán)重危害中國關(guān)鍵基礎(chǔ)設(shè)施安全，海量個人數(shù)據(jù)安全以及商業(yè)和技術(shù)秘密，嚴(yán)重影響了中美在網(wǎng)絡(luò)空間的互信。

3月23日，觀察者網(wǎng)再次從360公司獲取一份報告。該報告針對美國網(wǎng)絡(luò)攻擊手法之一的QUANTUM（量子）攻擊系統(tǒng)，進(jìn)行應(yīng)用場景和攻擊實施過程的技術(shù)分析，并結(jié)合真實案例，再度印證美國國家安全局（NSA）針對全球互聯(lián)網(wǎng)用戶實施大規(guī)模無差別網(wǎng)絡(luò)攻擊的詳細(xì)情況。

具體來看，這份報告總結(jié)出美國政府發(fā)動網(wǎng)絡(luò)攻擊的四個特征：

首先，美國網(wǎng)絡(luò)武器攻擊已完全實現(xiàn)工程化、自動化。NSA組織的QUANTUM（量子）系統(tǒng)可能僅是冰山一角，美國或掌握著更多更高度工程化的網(wǎng)絡(luò)攻擊平臺，其自動化的“思考”速度和質(zhì)量，極大提高了美國自主作戰(zhàn)系統(tǒng)實現(xiàn)制勝目標(biāo)的優(yōu)勢，也為全球網(wǎng)絡(luò)安全帶來無窮隱憂。

第二，為實施并制勝網(wǎng)絡(luò)戰(zhàn)，美國政府充分利用一切先進(jìn)技術(shù)和網(wǎng)絡(luò)資源。為了掌握網(wǎng)絡(luò)戰(zhàn)主導(dǎo)權(quán)，美國將諸如QUANTUM（量子）攻擊系統(tǒng)等大量頂級技術(shù)手段、高端人才、情報力量納入作戰(zhàn)序列，由此可見，美國對發(fā)展網(wǎng)絡(luò)作戰(zhàn)力量的重視程度，并不計成本地投入資源、增加籌碼。

第三，美國的網(wǎng)絡(luò)攻擊屬于無差別攻擊，目標(biāo)是全球范圍，甚至包括美國盟友。報告分析顯示，美國針對各類電子郵箱、社交網(wǎng)絡(luò)、搜索引擎、視頻網(wǎng)站等幾乎所有互聯(lián)網(wǎng)用戶發(fā)起無差別的網(wǎng)絡(luò)攻擊，美國的網(wǎng)絡(luò)戰(zhàn)略打擊是全球性的、無節(jié)制的，在美國網(wǎng)絡(luò)攻擊的鐮刀之下，沒有哪一國能獨(dú)善其身。

第四，美國的網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略，或不僅限于網(wǎng)絡(luò)竊密。報告指出，美國已完成其網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略目標(biāo)第一步——網(wǎng)絡(luò)竊密，像斯諾登還有維基百科爆料的“棱鏡”計劃都屬于這一范疇，但不排除美國的下一步目標(biāo)野心將更大。一旦通過在對手的電腦網(wǎng)絡(luò)中安插硬件或軟件后門，實現(xiàn)關(guān)鍵目標(biāo)遠(yuǎn)程操控，包括軍事系統(tǒng)、國家公共安全領(lǐng)域的服務(wù)器、民航公路鐵路交通系統(tǒng)的主機(jī)、銀行金融系統(tǒng)的服務(wù)器等，如果美國更大的戰(zhàn)略目標(biāo)實現(xiàn)，其對手將毫無談判余地。

以下是報告原文：

閱讀摘要：

“APT”（高級持續(xù)性攻擊）是一種針對性、隱蔽性、持續(xù)性極強(qiáng)的網(wǎng)絡(luò)攻擊行為。現(xiàn)已發(fā)現(xiàn)的絕大多數(shù)APT組織都具有國家或政府背景，相關(guān)攻擊行為通常由某個與特定國家政府關(guān)聯(lián)的實體機(jī)構(gòu)具體實施。APT攻擊的主要目標(biāo)不是普通個體，而是特定的組織機(jī)構(gòu)，包括政府、大學(xué)、醫(yī)療、企業(yè)、科研甚至重要信息基礎(chǔ)設(shè)施運(yùn)維單位等不同類型的重要機(jī)構(gòu)。360云端安全大腦持續(xù)跟蹤世界現(xiàn)存諸多APT組織及其活動情況，率先發(fā)現(xiàn)并公開披露來自美國的世界頂尖APT組織對中國境內(nèi)目標(biāo)所發(fā)起的持續(xù)性攻擊行動，并將該組織命名為“APT-C-40”。

在對APT-C-40攻擊活動的長期跟蹤研究過程中，我們發(fā)現(xiàn)了遍布全球（包括美國多個盟友的各行各業(yè)的大量受害用戶，并實地從中國境內(nèi)部分受害者的上網(wǎng)設(shè)備中提取了該組織多種復(fù)雜而先進(jìn)的網(wǎng)絡(luò)攻擊武器程序樣本，經(jīng)過審慎而深入的技術(shù)分析，我們發(fā)現(xiàn)該組織所使用的網(wǎng)絡(luò)武器與NSA的專屬網(wǎng)絡(luò)攻擊武器完全吻合，且針對中國境內(nèi)機(jī)構(gòu)的黑客攻擊行為發(fā)生在斯諾登和“影子經(jīng)紀(jì)人”曝光事件之前。根據(jù)技術(shù)分析結(jié)果和已有數(shù)字證據(jù)，我們完全有理由相信，發(fā)起上述黑客攻擊的組織隸屬于美國政府，美國國防部下屬的國家安全局（NSA）直接實施了相關(guān)黑客攻擊行為。

APT-C-40組織介紹

根據(jù)維基百科記錄，美國國家安全局(NSA)設(shè)有一個名為接入技術(shù)行動處（TAO Tailored Access Operations）的絕密行動部門，該部門早在1998年就開始在網(wǎng)上活躍，主要職責(zé)是為美國情治機(jī)構(gòu)提供針對美國本土和其他國家高級目標(biāo)的通訊監(jiān)控、情報獲取，甚至遠(yuǎn)程破壞（摧毀）行動。

2013年，安全專家Jacob Appelbaum曝光了一份長達(dá)50頁的NSA機(jī)密文檔《NSA ANT catalog》，該文檔描述了一系列名目繁雜的高端網(wǎng)絡(luò)黑客攻擊技術(shù)和項目。據(jù)該文檔內(nèi)容顯示，相關(guān)的網(wǎng)絡(luò)黑客攻擊技術(shù)和項目創(chuàng)建于2008年前后，它們可以認(rèn)為是為美國國家安全局下屬接入技術(shù)行動處（TAO）專門定制研發(fā)的先進(jìn)網(wǎng)絡(luò)攻擊武器。

2016至2017年間，“影子經(jīng)紀(jì)人”（The Shadow Broker）公開揭露了屬于NSA的大量網(wǎng)絡(luò)攻擊武器和機(jī)密辦公文檔。美國“The Intercept”網(wǎng)站結(jié)合愛德華 · 斯 諾 登（Edward Snowden，前CIA技術(shù)分析員和美國國家安全局NSA承包商雇員）揭露的美國國家安全局（NSA）內(nèi)幕情報，發(fā)布了重磅分析文章《THE NSA LEAK IS REAL, SNOWDEN DOCUMENTS CONFIRM》，確認(rèn)了斯諾登曝光的網(wǎng)絡(luò)攻擊武器確屬美國國家安全局（NSA）。

2013年至2017年間，中立網(wǎng)絡(luò)權(quán)威人士、中立新聞媒體和堅定捍衛(wèi)公民隱私權(quán)利的中立機(jī)構(gòu)相繼發(fā)布解讀分析報告，確認(rèn)網(wǎng)絡(luò)上披露的所謂“NSA網(wǎng)絡(luò)武器和機(jī)密文檔”全部屬于NSA。

從2008年開始，360云端安全大腦整合海量安全大數(shù)據(jù)，獨(dú)立捕獲了大量異常復(fù)雜的網(wǎng)絡(luò)黑客攻擊程序樣本，經(jīng)過長期分析跟蹤并從多個受害單位實地取證，結(jié)合關(guān)聯(lián)全球各國發(fā)布的威脅情報，以及對斯諾登事件、“影子經(jīng)紀(jì)人”曝光事件的綜合研究，確認(rèn)這些黑客攻擊程序樣本屬于美國國家安全局（NSA），進(jìn)而證實NSA長期對我國開展了極為隱蔽的無差別黑客攻擊行動，最終將實施攻擊行動的這些帶有NSA背景的黑客組織單獨(dú)編號為APT-C-40。

據(jù)相關(guān)證據(jù)推測，泄露的一系列NSA網(wǎng)絡(luò)武器被他國特別是“五眼聯(lián)盟”國家黑客廣泛利用，造成了全球性的網(wǎng)絡(luò)安全災(zāi)難。如“永恒之藍(lán)”被“WannaCry”蠕蟲病毒利用，在2017年攻擊了中國和全球多個國家地區(qū)，給各國信息網(wǎng)絡(luò)造成了嚴(yán)重危害。而APT-C-40組織則針對我國各行業(yè)龍頭企業(yè)，政府、大學(xué)、醫(yī)療機(jī)構(gòu)、科研機(jī)構(gòu)，甚至關(guān)乎國計民生的重要信息基礎(chǔ)設(shè)施運(yùn)維單位等機(jī)構(gòu)實施了長達(dá)十余年時間的秘密黑客攻擊活動，竊取了海量重要數(shù)據(jù)，造成的潛在威脅難以評估。本報告將對美國國家安全局的相關(guān)黑客攻擊活動進(jìn)行分析披露。

Quantum攻擊技術(shù)簡介（量子）

被公開揭露的NSA高端網(wǎng)絡(luò)黑客攻擊武器名目繁雜數(shù)量眾多，難以通過一份技術(shù)分析報告完整呈現(xiàn)。本報告屬于360系列報告的第一篇，將聚焦APT-C-40組織針對中國境內(nèi)目標(biāo)的黑客攻擊中所使用的最具代表性的Quantum（量子）攻擊系統(tǒng)。Quantum（ 量子）攻擊是 美國 國家安 全 局（NSA）針對國家 級 互聯(lián)網(wǎng)專門設(shè)計的一種先進(jìn)的網(wǎng)絡(luò)流量劫持攻擊技術(shù)，主要針對國家級網(wǎng)絡(luò)通信進(jìn)行中間劫持，以實施漏洞利用、通信操控、情報竊取等一系列復(fù)雜網(wǎng)絡(luò)攻擊。據(jù)NSA官方機(jī)密文檔《Quantum Insert Diagrams》內(nèi)容顯示，Quantum（量子）攻擊可以劫持全世界任意地區(qū)任意網(wǎng)上用戶的正常網(wǎng)頁瀏覽流量，進(jìn)行0day（零日）漏洞利用攻擊并遠(yuǎn)程植入后門程序。

Quantum（量子）系統(tǒng)的應(yīng)用場景分析

Quantum（量子）攻擊系統(tǒng)均以英文單詞QUANTUM開頭命名，網(wǎng)上揭露的NSA機(jī)密文檔中，詳細(xì)描述了各QUANTUM系統(tǒng)模塊的具體代號、主要功能、應(yīng)用場景、項目狀態(tài)和相關(guān)網(wǎng)絡(luò)黑客攻擊武器啟用時間等。

Quantum（量子）攻擊系統(tǒng)有三種網(wǎng)絡(luò)攻擊應(yīng)用場景，攻擊平臺投使用的時間最早可追溯至2005年。此三種應(yīng)用場景，都以單詞縮寫進(jìn)行命名，縮寫分別為CNE（網(wǎng)絡(luò)情報竊?。?、CNA（網(wǎng)絡(luò)攻擊破壞）和CND（網(wǎng)絡(luò)攻擊防御）。

1.Computer Network Exploitation（網(wǎng)絡(luò)情報竊?。〤NE（網(wǎng)絡(luò)情報竊取）黑客攻擊活動應(yīng)用場景涉及6個Quantum（量子）系統(tǒng)模塊，主要功能是通過先進(jìn)技術(shù)手段遠(yuǎn)程秘密劫持世界各地互聯(lián)網(wǎng)正常流量，隨意操縱控制網(wǎng)絡(luò)流量，通過注入惡意代碼等方式對任意聯(lián)網(wǎng)終端實施漏洞攻擊，持續(xù)進(jìn)行破壞性網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)情報竊取等活動。有證據(jù)顯示，遭到美國國家安全局NSA竊取的數(shù)據(jù)包括（但不限于）：網(wǎng)絡(luò)配置文件、賬號和密碼、辦公和私人文檔、數(shù)據(jù)庫、網(wǎng)上好友信息、網(wǎng)絡(luò)通訊信息、電子郵件、攝像頭實時數(shù)據(jù)、麥克風(fēng)實時數(shù)據(jù)等。

2.Computer Network Attack（網(wǎng)絡(luò)攻擊破壞）CNA（網(wǎng)絡(luò)攻擊破壞）黑客攻擊活動應(yīng)用場景，涉及2個Quantum（量子）系統(tǒng)模塊，主要功能是進(jìn)行網(wǎng)絡(luò)攻擊破壞。與常規(guī)的黑客攻擊破壞活動不同，NSA的黑客攻擊粒度更為精細(xì)化，可針對正常網(wǎng)絡(luò)流量中的任意網(wǎng)絡(luò)通訊和文件傳輸進(jìn)行操控、分析和破壞，特定情況下可以遠(yuǎn)程關(guān)閉或破壞遭攻擊目標(biāo)的關(guān)鍵信息基礎(chǔ)設(shè)施和水、電、氣等民生設(shè)施。

3.Computer Network Defense（網(wǎng)絡(luò)攻擊防御）CND（網(wǎng)絡(luò)攻擊防御）黑客攻擊防 御應(yīng) 用場景涉及1個Quantum（量子）系統(tǒng)模塊，主要目的是從受美國國家安全局NSA劫持的網(wǎng)絡(luò)流量中阻斷或發(fā)現(xiàn)惡意荷載的下載，并對其進(jìn)行安全分析。使NSA能夠從被攻擊目標(biāo)或自身網(wǎng)絡(luò)中提取非美國國家安全局（NSA）攻擊源的惡意程序樣本，執(zhí)行失陷情報分析和網(wǎng)絡(luò)攻擊防御類任務(wù)。

Quantum（量子）系統(tǒng)的九大模塊分析

360云端安全大腦對Quantum（量子）系統(tǒng)進(jìn)行了長期的跟蹤研究，現(xiàn)已發(fā)現(xiàn)美國國家安全局（NSA）Quantum（量子）系統(tǒng)的九種先進(jìn)網(wǎng)絡(luò)攻擊能力模塊：

1.QUANTUMINSERT（量子注入）

該模塊具備向正常網(wǎng)絡(luò)流量中注入惡意流量的攻擊能力。這是360云端安全大腦迄今發(fā)現(xiàn)的數(shù)量最多的Quantum（量子）攻擊方式。該模塊主要用于美國國家安全局（NSA）劫持世界各地互聯(lián)網(wǎng)用戶的正常網(wǎng)頁瀏覽流量，將用戶希望訪問的正常合法網(wǎng)站劫持到NSA的FoxAcid（酸狐貍）仿冒網(wǎng)站服務(wù)器上，通過FoxAcid（酸狐貍）發(fā)送各類瀏覽器0day（零日）漏洞，并完成對互聯(lián)網(wǎng)用戶的定點或批量攻擊，遠(yuǎn)程控制用戶網(wǎng)絡(luò)端，向用戶上網(wǎng)終端植入各種美國國家安全局（NSA）的復(fù)雜后門程序進(jìn)行情報竊取。

2.QUANTUMBOT（量子傀儡）

NSA也會針對網(wǎng)絡(luò)空間中的黑客組織進(jìn)行網(wǎng)絡(luò)攻擊，奪取黑客組織的網(wǎng)絡(luò)資源，為自身的后續(xù)黑客攻擊活動提供技術(shù)支持。該模塊提供一種遠(yuǎn)程操控網(wǎng)絡(luò)空間中任意僵尸網(wǎng)絡(luò)的攻擊能力，通過劫持僵尸網(wǎng)絡(luò)命令控制的網(wǎng)絡(luò)流量，直接接管相關(guān)僵尸網(wǎng)絡(luò)資源，再操控這些僵尸網(wǎng)絡(luò)發(fā)起破壞性的攻擊活動，隱藏NSA的黑客攻擊痕跡。

3.QUANTUMBISCUIT（量子餅干）

該模塊用于增強(qiáng)Quantum（量子）注入攻擊，針對攻擊目標(biāo)建立Quantum（量子）注入攻擊的代理跳板，目的是防止NSA的黑客攻擊行為被溯源發(fā)現(xiàn)，該模塊也常用于NSA針對特定目標(biāo)的網(wǎng)絡(luò)環(huán)境實施Quantum（量子）攻擊，定制部署攻擊跳板。

4.QUANTUMDNS（量子DNS）

該模塊具有對網(wǎng)絡(luò)流量DNS的劫持攻擊能力。通過該模塊，NSA可以劫持互聯(lián)網(wǎng)所有網(wǎng)站域名的DNS解析，重定向網(wǎng)站流量，同時還可以配合FOXACID（酸狐貍）平臺實施漏洞攻擊。

5.QUANTUMHAND（量子掌握）

該模塊提供了針對臉書（Facebook）等重要美國境內(nèi)網(wǎng)站的流量劫持能力，針對瀏覽相關(guān)網(wǎng)站的網(wǎng)絡(luò)流量進(jìn)行漏洞攻擊，植入美國國家安全局（NSA）的復(fù)雜后門程序。這種攻擊能力令人發(fā)指，美國國家安全局（NSA）會針對世界各國訪問臉書、推特、油管、亞馬遜等美國網(wǎng)站的幾乎所有互聯(lián)網(wǎng)用戶發(fā)起無差別的網(wǎng)絡(luò)攻擊。

6.QUANTUMPHANTOM（量子幻影）

為防止美國國家安全局（NSA）向其它國家實施的網(wǎng)絡(luò)攻擊被追蹤溯源，該模塊提供了一種利用網(wǎng)絡(luò)鏈路中間節(jié)點劫持技術(shù)實現(xiàn)攻擊源隱藏的先進(jìn)網(wǎng)絡(luò)攻擊能力。例如：NSA使用一個假冒IP地址作為命令控制，劫持與這個假冒IP通信的網(wǎng)絡(luò)路由節(jié)點鏈路，在網(wǎng)絡(luò)鏈路的中途節(jié)點進(jìn)行被動監(jiān)聽和流量操控，隱藏NSA真實的后門命令控制地址。

7.QUANTUMSKY（量子天空）

該模塊提供了一種網(wǎng)絡(luò)通信阻斷能力，通過RST復(fù)位報文中斷特定的網(wǎng)絡(luò)連接，主要用于NSA劫持和阻止特定目標(biāo)訪問特定網(wǎng)站的流量。

8.QUANTUMCOPPER（量子警察）

該模塊針對網(wǎng)絡(luò)通信流量中的文件提供了篡改能力，使NSA的攻擊可以針對網(wǎng)絡(luò)流量中的文件上傳和下載進(jìn)行劫持，實施中斷破壞或后門植入感染等網(wǎng)絡(luò)攻擊。

9.QUANTUMSMACKDOWN（量子下載）

該模塊提供了惡意網(wǎng)絡(luò)流量的分析能力，可以阻斷和抽取下載網(wǎng)絡(luò)流量中的惡意荷載及惡意樣本等，主要用于NSA對攻擊目標(biāo)非美國攻擊源的失陷情報收集，也可以防御和分析自身網(wǎng)絡(luò)環(huán)境中的惡意流量。

Quantum（量子）攻擊的實施過程分析

美國國家安全局（NSA）為了監(jiān)控全球互聯(lián)網(wǎng)目標(biāo)，制定了眾多的作戰(zhàn)計劃，相關(guān)計劃涉及的具體任務(wù)會通過Quantum（量子）系統(tǒng)平臺實施，從分析中可推測，在實施過程中所采集的大量數(shù)據(jù)都在用戶毫不知情的情況下獲得，滲透技術(shù)使得美國本土公民和世界其他國家網(wǎng)民的個人隱私得不到應(yīng)有的保護(hù)，公民隱私權(quán)遭到不同程度的侵犯。

當(dāng)美國國家安全局或聯(lián)邦政府其它部門下達(dá)的黑客攻擊任務(wù)提交到Quantum（量子）系統(tǒng)后，攻擊實施人員首先會針對攻擊目標(biāo)的網(wǎng)絡(luò)通信流量進(jìn)行監(jiān)聽，對被攻擊目標(biāo)訪問的特定網(wǎng)站進(jìn)行定向網(wǎng)絡(luò)劫持，然后通過各類0day（零日）漏洞向目標(biāo)上網(wǎng)終端中植入VALIDATOR（驗證器）等以環(huán)境探查為目的后門程序，完成初始情報收集。隨后，安裝更多先進(jìn)的后門程序，進(jìn)行一系列精密復(fù)雜的網(wǎng)絡(luò)滲透攻擊，最終完成情報收集任務(wù)。目標(biāo)上網(wǎng)終端中存儲的靜態(tài)文件、上網(wǎng)流量及通訊內(nèi)容，全都在美國國家安全局的竊密之列。

QUANTUM（量子）攻擊的完整實施過程分為以下三個階段，現(xiàn)已完全實現(xiàn)了工程化、自動化：

第一階段

QUANTUM（量子）攻擊實施者會首先對被攻擊目標(biāo)進(jìn)行網(wǎng)絡(luò)定位，整個定位過程是通過NSA持有的一整套“QUANTUM Capabilities”（量子能力），網(wǎng)絡(luò)黑客攻擊工具完成，這些工作具有對全球互聯(lián)網(wǎng)巨頭網(wǎng)絡(luò)流量的遠(yuǎn)程劫持操控能力。據(jù)NSA機(jī)密文檔顯示，“QUANTUM Capabilities”（量子能力）的定位操作除了針對特定IP，更重要的是能夠針對電子郵箱、社交網(wǎng)絡(luò)、搜索引擎、視頻網(wǎng)站等全球網(wǎng)民使用最多的互聯(lián)網(wǎng)服務(wù)及不同的網(wǎng)站賬號進(jìn)行遠(yuǎn)程定位，快速找出攻擊目標(biāo)，所處的網(wǎng)絡(luò)及上網(wǎng)地點。

第二階段

目標(biāo)定位完成后，QUANTUM量子攻擊操作會進(jìn)入被NSA稱之為“QUANTUM SIGDEV”（量子監(jiān)控）的階段，該階段的主要任務(wù)是全面監(jiān)控攻擊目標(biāo)的互聯(lián)網(wǎng)賬號等相關(guān)網(wǎng)絡(luò)通信內(nèi)容和其它網(wǎng)絡(luò)活動。如下圖美國國家安全局（NSA）機(jī)密文檔所示，美國國家安全局（NSA）的Quantum（量子）攻擊系統(tǒng)后臺顯示了如何監(jiān)控Yahoo（雅虎）、Facebook（臉書）和Hotmail等美國互聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)注冊用戶的部分細(xì)節(jié)，表明美國國家安全局實際上正在對全球各地使用美國互聯(lián)網(wǎng)產(chǎn)品的用戶實施無差別監(jiān)控。

第三階段

QUANTUM（量子）攻擊操作進(jìn)入被NSA稱為“QUANTUMNATION”（量子國界）的階段，“NATION”代號具有一定的網(wǎng)絡(luò)空間邊界和國家邊界的含義。360云端安全大腦目前發(fā)現(xiàn)的美國國家安全局（NSA）對外實施的大部分網(wǎng)絡(luò)黑客攻擊是針對其他國家用戶的漏洞攻擊，攻擊過程中，NSA會向目標(biāo)用戶上網(wǎng)終端植入以VALIDATOR（驗證器）為代表的NSA后門程序，長期潛伏在目標(biāo)用戶上網(wǎng)終端中，再通過這些后門程序發(fā) 起更多復(fù)雜的網(wǎng)絡(luò)攻擊滲透。如下圖NSA機(jī)密文檔所示，Quantum（量子）攻擊系統(tǒng)正在對目標(biāo)用戶訪問的Facebook（臉書）網(wǎng)站實施CNE（網(wǎng)絡(luò)情報收集）攻擊任務(wù)，NSA的Quantum（量子）攻擊系統(tǒng)后臺顯示了受害目標(biāo)用戶訪問Facebook（臉書）時，NSA實施漏洞攻擊的確切時間，同時還標(biāo)記了受害者網(wǎng)絡(luò)瀏覽器類型等隱私信息。

我們完整的還原了APT-C-40組織對中國境內(nèi)特定機(jī)構(gòu)發(fā)起的黑客攻擊和數(shù)據(jù)竊密事件。

Quantum（量子）注入攻擊的完整實例分析

通過以上章節(jié)分析可知，Quantum（量子）攻擊系統(tǒng)是一個異常復(fù)雜和精密的先進(jìn)網(wǎng)絡(luò)攻擊平臺。360大數(shù)據(jù)視野中發(fā)現(xiàn)了大量APT-C-40組織實施的QUANTUMINSERT（量子注入）類型的攻擊痕跡，這些攻擊實例中包含了用FoxAcid（酸狐貍）網(wǎng)站仿冒服務(wù)器實施漏洞利用攻擊，向受害者植入以VALIDATOR（驗證器）、UNITEDRAKE（聯(lián)合耙）等為代表的NSA專屬后門程序，大量竊取受害者個人隱私和上網(wǎng)數(shù)據(jù)等內(nèi)容。

FoxAcid（酸狐貍）攻擊武器在執(zhí)行漏洞攻擊任務(wù)時，需要有QUANTUMINSERT（量子注入）和QUANTUMBISCUIT（量子餅干）兩個Quantum（量子）系統(tǒng)模塊支持，劫持并向FoxAcid（酸狐貍）提供最基礎(chǔ)網(wǎng)絡(luò)流量，F(xiàn)oxAcid（酸狐貍）攻擊武器利用各種主流瀏覽器和Flash等應(yīng)用程序的0day漏洞對目標(biāo)對象實施攻擊，再向其上網(wǎng)終端中植入初始后門程序。

從QUANTUMINSERT（量子注 入）的原理分析看，NSA利用網(wǎng)絡(luò)響應(yīng)速度差來實現(xiàn)Quantum（量子）注入攻擊，劫持全球互聯(lián)網(wǎng)上任意終端設(shè)備的正常網(wǎng)頁瀏覽量。NSA把FoxAcid（酸狐貍）服務(wù)器部署在互聯(lián)網(wǎng)骨干網(wǎng)中，可使網(wǎng)絡(luò)攻擊受害者在真實網(wǎng)站服務(wù)器響應(yīng)之前接收到NSA量子攻擊劫持后的假冒服務(wù)器響應(yīng)，迫使受害者重定向訪問NSA的FoxAcid仿冒網(wǎng)站或網(wǎng)頁資源。

Quantum（量子）注入攻擊在安全業(yè)界又被歸類定義為MotS（Man on the Side）旁路型中間人攻擊，我們觀察到的完整Quantum（量子）注入攻擊過程如下圖所示：

在完整的攻擊實例中，Quantum（量子）注入攻擊偽造的HTTP重定向報文會先于正常響應(yīng)報文到達(dá)用戶上網(wǎng)終端。

攻擊過程中，由美國國家安全局（NSA）偽造的數(shù)據(jù)包和正常的網(wǎng)絡(luò)數(shù)據(jù)包會帶有相同的序列號（Sequence），對受害者上網(wǎng)終端形成欺騙。

在真實的Quantum（量子）系統(tǒng)注入攻擊實例中，我們發(fā)現(xiàn)量子注入攻擊的實施方式異常復(fù)雜，呈現(xiàn)出分布式跳板節(jié)點的特征。面對這種定向、瞬時、分布式攻擊情況，安全人員難以準(zhǔn)確定位網(wǎng)絡(luò)鏈路中的哪一跳節(jié)點具體實施了量子注入攻擊，也極難捕獲完整的量子注入攻擊過程。但即使在如此艱難和復(fù)雜的攻防場景下，360云端安全大腦仍依靠獨(dú)一無二的安全大數(shù)據(jù)能力，捕獲了大量美國國安全局（NSA）的Quantum（量子）注入攻擊的專用后門程序武器樣本。

從被公開揭露的NSA機(jī)密文檔《QUANTUM Shooter SBZ Notes》內(nèi)容可以印證：

1. NSA需要在網(wǎng)絡(luò)傳輸線 路上建立被動監(jiān)聽節(jié)點，持 續(xù)不斷竊取信道中的網(wǎng)絡(luò)信號數(shù)據(jù)，并實現(xiàn)高速解碼和條件匹配，這一項目被NSA稱為TURMOIL（混亂，與量子攻擊系統(tǒng)配套的后門監(jiān)聽系統(tǒng)），該系統(tǒng)需要具備極高性能，以確保對竊取到的網(wǎng)絡(luò)數(shù)據(jù)包解碼匹配時間盡可能短。

2.一個具體場景是，當(dāng)NSA網(wǎng)絡(luò)攻擊受害者利用訪問Facebook（臉書）等美國網(wǎng)站，相關(guān)訪問流量數(shù)據(jù)包會被TURMOIL系統(tǒng)定時監(jiān)聽并解析匹配，一旦匹配到NSA想要入侵的攻擊目標(biāo)，Quantum（量子）攻擊平臺就會通過TURBINE（渦輪，量子攻擊系統(tǒng)配套的后門植入工具）向感染SBZ（StraitBizarre，一種可以實施量子注入攻擊的跳板后門）的網(wǎng)絡(luò)設(shè)備發(fā)送命令，控制SBZ向受害者上網(wǎng)終端發(fā)送偽造的量子注入數(shù)據(jù)包，相關(guān)數(shù)據(jù)包通常是進(jìn)行HTTP重定向，迫使受害者訪問FoxAcid服務(wù)器。

3.SBZ節(jié)點又被歸類為QUANTUM Shooter（量子射手）節(jié)點，由于NSA要保證SBZ發(fā)送的數(shù)據(jù)包先于正常服務(wù)器響應(yīng)數(shù)據(jù)包到達(dá)受害者，相關(guān)節(jié)點必須離受害者足夠“近”（網(wǎng)絡(luò)延遲足夠低）。同時，為了保證攻擊成功率，相關(guān)節(jié)點也會出現(xiàn)分布式攻擊情況。由于這種攻擊手法常常用于對特定受害者發(fā)動定向攻擊，使QUANTUM Shooter（量子射手）節(jié)點的攻擊行為同時具備了定向性、瞬時性和分布式特點，導(dǎo)致極難被追蹤分析。

小結(jié)

美國國家安全局（NSA）的全球化無差別黑客入侵行徑，離不開龐大而復(fù)雜的網(wǎng)絡(luò)武器平臺支持。本報告針對QUANTUM（量子）攻擊系統(tǒng)的應(yīng)用場景和攻擊實施過程進(jìn)行的技術(shù)分析，結(jié)合360云端安全大腦視野發(fā)現(xiàn)的真實案例，全面印證了美國國家安全局（NSA）針對全球互聯(lián)網(wǎng)用戶實施大規(guī)模無差別網(wǎng)絡(luò)攻擊的詳細(xì)情況，也引發(fā)了我們的進(jìn)一步思考：

1.美國NSA網(wǎng)絡(luò)武器攻擊已完全實現(xiàn)了工程化、自動化。網(wǎng)絡(luò)戰(zhàn)時代到來，網(wǎng)絡(luò)武器的自動化、智能化優(yōu)勢成為超越信息優(yōu)勢的“進(jìn)階優(yōu)勢”，而NSA組織的QUANTUM（量子）系統(tǒng)可能僅是冰山一角，美國或掌握著更多更高度工程化的網(wǎng)絡(luò)攻擊平臺，其自動化的“思考”速度和質(zhì)量，極大提高了美國自主作戰(zhàn)系統(tǒng)實現(xiàn)制勝目標(biāo)的優(yōu)勢，也為全球網(wǎng)絡(luò)安全帶來無窮隱憂。

2.為實施并制勝網(wǎng)絡(luò)戰(zhàn)，美國政府充分利用一切先進(jìn)技術(shù)和網(wǎng)絡(luò)資源。美國有著全球最先進(jìn)的互聯(lián)網(wǎng)技術(shù)，這是盡人皆知的，但為了掌握網(wǎng)絡(luò)戰(zhàn)主導(dǎo)權(quán)，美國將諸如QUANTUM（量子）攻擊系統(tǒng)等大量頂級技術(shù)手段、高端人才、情報力量納入作戰(zhàn)序列，由此可見，美國對發(fā)展網(wǎng)絡(luò)作戰(zhàn)力量的重視程度，并不計成本地投入資源、增加籌碼。

3.美國的網(wǎng)絡(luò)攻擊屬于無差別攻擊，目標(biāo)是全球范圍，甚至包括美國盟友。由上述分析可見，美國針對各類電子郵箱、社交網(wǎng)絡(luò)、搜索引擎、視頻網(wǎng)站等幾乎所有互聯(lián)網(wǎng)用戶發(fā)起無差別的網(wǎng)絡(luò)攻擊，美國的網(wǎng)絡(luò)戰(zhàn)略打擊是全球性的、無節(jié)制的，在美國網(wǎng)絡(luò)攻擊的鐮刀之下，沒有哪一國能獨(dú)善其身。

4.美國的網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略，或不僅限于網(wǎng)絡(luò)竊密。通過公開的資料已知，美國已經(jīng)完成了其網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略目標(biāo)第一步——網(wǎng)絡(luò)竊密，像斯諾登還有維基百科爆料的“棱鏡”計劃都屬于這一范疇，但不排除美國的下一步目標(biāo)野心將更大。一旦通過在對手的電腦網(wǎng)絡(luò)中安插硬件或軟件后門，實現(xiàn)關(guān)鍵目標(biāo)遠(yuǎn)程操控，包括軍事系統(tǒng)、國家公共安全領(lǐng)域的服務(wù)器、民航公路鐵路交通系統(tǒng)的主機(jī)、銀行金融系統(tǒng)的服務(wù)器等，如果美國更大的戰(zhàn)略目標(biāo)實現(xiàn)，其對手將毫無談判余地。

本文系觀察者網(wǎng)獨(dú)家稿件，未經(jīng)授權(quán)，不得轉(zhuǎn)載。

關(guān)鍵詞：