? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

01概述：覆蓋智能終端的A2PT樣本拼圖

在過去二十多年的時(shí)間里，全球關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、安全廠商、研究者所面臨的重大考驗(yàn)是，如何應(yīng)對以NSA等情報(bào)機(jī)構(gòu)所發(fā)動的網(wǎng)絡(luò)攻擊活動，基于這種攻擊活動應(yīng)用了難以想象的技術(shù)與資源，安天CERT將這種攻擊活動稱之為A2PT（高級的高級持續(xù)性威脅）攻擊，并發(fā)現(xiàn)其中多起攻擊都來自于NSA下屬的方程式組織。如何把A2PT攻擊活動中的攻擊樣本與過程揭示出來，成為了一場比馬拉松更艱苦的分析接力賽，這場接力至少已經(jīng)完成了三次交接棒，第一階段從2010年的“震網(wǎng)”事件觸發(fā)，圍繞“震網(wǎng)”-“火焰”-“毒曲”-“高斯”系列樣本的攻擊活動、樣本同源性與關(guān)聯(lián)展開，直到2013年的斯諾登事件出現(xiàn)，才發(fā)現(xiàn)這些只是冰山一角；第二階段是從方程式組織（隸屬于NSA）被曝光開始，圍繞其硬盤固件攻擊能力、載荷、通信加密機(jī)制特點(diǎn)、“原子化”作業(yè)模式等展開，并逐漸證明“震網(wǎng)”等攻擊與方程式組織密切相關(guān)；第三階段則是圍繞“影子經(jīng)紀(jì)人”所泄露的方程式組織的漏洞和攻擊載荷，全球業(yè)界展開更深入的拼接分析和復(fù)盤。中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟在4月11日所發(fā)布的報(bào)告《美國情報(bào)機(jī)構(gòu)網(wǎng)絡(luò)攻擊的歷史回顧——基于全球網(wǎng)絡(luò)安全界披露信息分析》[1]基本完整復(fù)現(xiàn)了這場漫長而艱難的斗爭。

這場分析接力中兩項(xiàng)比較重要的工作：一項(xiàng)是揭示從“震網(wǎng)”到方程式的復(fù)雜線索關(guān)聯(lián)，這些信息可以參見卡巴斯基和安天相關(guān)的惡意代碼家族的同源性分析報(bào)告[2][3]，也可以在《震網(wǎng)事件的九年再復(fù)盤與思考》[4]看到相關(guān)的惡意代碼工程的關(guān)聯(lián)圖譜。另一項(xiàng)則是去驗(yàn)證一個(gè)邏輯上存在著必然性，但又需要大量工作來佐證的判斷——即方程式組織的作業(yè)能力和惡意代碼樣本儲備是覆蓋全操作系統(tǒng)平臺的。毫無疑問，國際安全廠商卡巴斯基為此做出了最大的貢獻(xiàn)，安天CERT也有部分獨(dú)創(chuàng)的工作，例如Linux、Solaris樣本的最早曝光是來自安天的報(bào)告。安天CERT在2016年的報(bào)告《從方程式到“方程組”——EQUATION攻擊組織高級惡意代碼的全平臺能力解析》[5]中，匯聚了安天和卡巴斯基等的成果，統(tǒng)計(jì)了Windows、Linux、Solaris、FreeBSD和Mac OS平臺的樣本情況。但彼時(shí)方程式組織針對iOS 、Android等移動平臺的樣本還沒有正式浮出水面，盡管在2013年斯諾登事件中所曝光的NSA ANT系列攻擊裝備中DROPOUTJEEP、TOTEGHOSTLY等代號給出了一些線索，但由于iOS平臺取證的難度，和其攻擊作業(yè)的高度定向性，業(yè)內(nèi)一直沒有樣本級別的發(fā)現(xiàn)和實(shí)證——但這并不意味著，它們會永遠(yuǎn)沉寂于水面之下，持續(xù)的努力讓我們能夠在后續(xù)找到線索并進(jìn)行了分析積累。

2023年6月1日，卡巴斯基[6]發(fā)布了《三角行動：iOS設(shè)備被以前未知的惡意軟件攻擊》，這讓我們決定對我們原有分析成果進(jìn)行補(bǔ)充分析，并正式發(fā)布。由于卡巴斯基尚未公開有關(guān)事件樣本信息和分析結(jié)果，我們尚無法判定我們分析的這些歷史樣本是否是“三角行動”攻擊樣本的早期版本。但我們明確的判斷是：我們所分析的樣本，和卡巴斯基所曝光的攻擊同樣來自方程式組織。但與卡巴斯基所發(fā)現(xiàn)的樣本是依托iMessage的漏洞投放不同的是，本報(bào)告的相關(guān)攻擊樣本來自方程式組織基于“量子”（QUANTUM）系統(tǒng)在網(wǎng)絡(luò)側(cè)針對上網(wǎng)終端瀏覽器漏洞利用投放。

02樣本分析

相關(guān)樣本并不是常規(guī)的iOS APP應(yīng)用安裝包，而是針對iOS底層的木馬，木馬分為執(zhí)行載荷與后門程序，執(zhí)行載荷是最初投放到系統(tǒng)的，它負(fù)責(zé)釋放后門程序和持久化。

2.1 執(zhí)行載荷

表 2?1 木馬主體程序

木馬主體程序在投遞過程中偽裝的文件名是regquerystr.exe，但并非是一個(gè)PE格式文件，實(shí)際文件格式是ARM架構(gòu)的Mach-O 可執(zhí)行程序，利用漏洞或通過沙盒逃逸完成后門程序的釋放和執(zhí)行，其首先檢測內(nèi)核版本和用戶權(quán)限。

然后木馬程序進(jìn)行后門程序的釋放，將其釋放到/tmp/mvld，并執(zhí)行/bin/launchctl的load命令完成后門服務(wù)的運(yùn)行。

木馬主體采用了兩種不同的加密算法來加密其明文字符串信息。

算法1：

算法2：

其使用的加密方法比較簡單，配置數(shù)據(jù)只運(yùn)用了異或和乘法運(yùn)算，其使用的密鑰有0x47[7]和0x1D，網(wǎng)絡(luò)通訊部分則使用了標(biāo)準(zhǔn)的HTTPS加密協(xié)議。這種簡單的加密與方程式組織在PC平臺樣本嚴(yán)格使用高強(qiáng)度加密算法并不一致，關(guān)于PC樣本加密算法和密鑰可以參見安天分析報(bào)告《方程式（EQUATION）部分組件中的加密技巧分析》[8]，但相對來看，可能是彼時(shí)的手機(jī)環(huán)境算力相對較低，同時(shí)沒有較為成熟的安全對抗機(jī)制，因此攻擊者并未使用強(qiáng)加密。

表 2?2 Regquerystr木馬解密出的配置信息

2.2?后門程序

在投放載荷執(zhí)行后，會釋放一個(gè)后門程序mvld。該木馬是Regquerystr釋放的子程序，主要用于收集設(shè)備信息，以及與遠(yuǎn)程服務(wù)器通信，程序運(yùn)行后會生成日志文件/private/var/tmp/.swapfile.tmp，并刪除自身文件(/tmp/mvld)，經(jīng)分析，可將該木馬合并入方程式組織的DoubleFantasy[9]攻擊木馬武器譜系。表2?2 后門程序信息

mvld后門程序路徑如下：

mvld后門程序會訪問遠(yuǎn)程控制服務(wù)器發(fā)送http請求，當(dāng)C2域名無法訪問時(shí)直接訪問硬編碼IP：圖 2?8 向遠(yuǎn)程服務(wù)器發(fā)送請求

mvld后門程序配置了代理設(shè)置，采用neno客戶端http協(xié)議。

mvld后門程序通過getuid、getpwuid獲取設(shè)備帳號的用戶名、密碼、用戶組等信息。

mvld后門程序同時(shí)也會讀取/etc/passwd文件，獲取登錄用戶信息。

修改環(huán)境變量DYLD_INSERT_LIBRARIES：

該樣本有13個(gè)指令代碼，功能與安天歷史曝光過的方程式Windows和Solaris木馬DoubleFantasy系列指令十分相似。

樣本各個(gè)指令功能簡要描述如下：

表2?3 指令代碼及對應(yīng)功能

樣本獲取配置環(huán)境等信息后進(jìn)行回傳：

獲取信息格式說明：

表 2?4 獲取環(huán)境和配置信息格式說明

mvld木馬內(nèi)部解密出信息FAID，其中ace02468bdf13579[10]與之前曝光的NSA作業(yè)所需強(qiáng)制性的唯一標(biāo)識代碼一致，該標(biāo)識也存在于“影子經(jīng)紀(jì)人”泄露的方程式武器庫中SecondDate武器中，種種信息都指向：該木馬來自美方情報(bào)機(jī)構(gòu)NSA下屬的方程式組織。表 2?5 mvld解密出的配置信息

?

03同源分析

我們將該iOS木馬與方程式組織的DoubleFantasy木馬裝備序列進(jìn)行對比分析，可以得出如下結(jié)果：在功能、行為、算法、信息收集和指令控制集合上幾乎相同；木馬使用方程式組織加密算法中最常使用的數(shù)值0x47[7]、收集終端信息格式與DoubleFantasy一致，控制指令代碼結(jié)構(gòu)與DoubleFantasy基本一致。

3.1 配置數(shù)據(jù)解密算法、密鑰對比

本報(bào)告樣本與其他方程式組織樣本在加密算法、密鑰上完全一致：

3.2?信息收集格式對比

對比發(fā)現(xiàn)本報(bào)告樣本與其他方程式樣本在信息收集的數(shù)據(jù)格式基本一致：

3.3?控制指令代碼對比

本報(bào)告樣本與其他方程式樣本在控制指令格式上基本一致：

?

04攻擊投放分析

通常認(rèn)為iOS平臺的安全強(qiáng)度比Android平臺更高。但iOS平臺本身依然有很多可攻擊入口。針對iOS平臺曾出現(xiàn)過的攻擊方式包括，基于App Store投毒、基于iMessage和FaceTime的漏洞、基于Wi-Fi在流量側(cè)的攻擊等?？ò退够l(fā)布的報(bào)告，聲明其所捕獲的攻擊入口為iMessage服務(wù)。iMessage漏洞確實(shí)是一個(gè)常用的攻擊入口，加之其本身帶有電信碼號的指向性，適合發(fā)起指向明確目標(biāo)的攻擊。但同時(shí)我們也要指出的是，關(guān)閉iMessage和Facetime等服務(wù)，依然不能有效對抗方程式組織的攻擊，這是因?yàn)椋?strong>方程式組織所擁有專屬的“上帝視角”攻擊模式，是依托入侵和劫持各國運(yùn)營商網(wǎng)絡(luò)設(shè)備、和其他的信道介入能力構(gòu)建流量劫持體系，在擬攻擊目標(biāo)人員上網(wǎng)過程中，基于“量子”（QUANTUM）系統(tǒng)插入攻擊流量，利用瀏覽器等上網(wǎng)軟件的漏洞，實(shí)現(xiàn)將惡意代碼投放到設(shè)備當(dāng)中運(yùn)行。

“量子”（QUANTUM）系統(tǒng)項(xiàng)目于2013年首次被斯諾登曝光，由美國國家安全局（NSA）發(fā)起，并與英國政府通信總部（GCHQ）和瑞典國防無線局（FRA）聯(lián)合執(zhí)行，用于開發(fā)和運(yùn)營承載實(shí)施網(wǎng)絡(luò)攻擊的工程體系和入侵工具集，以實(shí)現(xiàn)對網(wǎng)絡(luò)空間中網(wǎng)絡(luò)狀態(tài)的干預(yù)和控制，由NSA下屬的特別行動入侵行動辦公室（TAO）開發(fā)并負(fù)責(zé)使用。而我們所說的方程式組織則是網(wǎng)絡(luò)安全產(chǎn)業(yè)界基于分析工作中發(fā)現(xiàn)的裝備特點(diǎn)對TAO所賦予的“別名”。“量子”（QUANTUM）系統(tǒng)的運(yùn)行支點(diǎn)，是對網(wǎng)絡(luò)通訊基礎(chǔ)設(shè)施的關(guān)鍵路由和網(wǎng)關(guān)等設(shè)備的入侵和劫持，從而具備獲取分析和劫持攻擊目標(biāo)上網(wǎng)過程的能力。其首先基于上網(wǎng)設(shè)備的相關(guān)IP、碼號、鏈路、身份賬號或其他標(biāo)識依托X-KeyScope系統(tǒng)進(jìn)行識別，看是是否復(fù)合攻擊目標(biāo)定義，以及是否是已經(jīng)攻擊成功設(shè)備，如果是尚未實(shí)施攻擊過攻擊的待攻擊目標(biāo)，則進(jìn)一步判斷是否存在可用漏洞，然后選用相應(yīng)的工具執(zhí)行秘密入侵。我們以假定目標(biāo)登錄雅虎賬戶為例，攻擊過程如下：1、目標(biāo)登錄Yahoo郵箱或網(wǎng)站；2、特殊行動源（SSO: Special Source Operations）站點(diǎn)發(fā)現(xiàn)“量子”（QUANTUM）系統(tǒng)指定的雅虎分揀器篩選的數(shù)據(jù)包，會將其重定向到FOXACID服務(wù)器；3、該服務(wù)器將FOXACID URL注入到選定的數(shù)據(jù)包并將其發(fā)回至目標(biāo)計(jì)算機(jī)；4、雅虎服務(wù)器接收到請求郵件內(nèi)容的數(shù)據(jù)包；5、FOXACID數(shù)據(jù)包先于雅虎數(shù)據(jù)包回到終端；6、目標(biāo)機(jī)器加載雅虎頁面，但在后臺同時(shí)加載FOXACID URL，將目標(biāo)重定向到FOXACID刺探服務(wù)器；7、如果目標(biāo)瀏覽器可用，且PSP（Personnel Security Program）未能檢測，則FOXACID將第一階段植入程序部署到目標(biāo)；8、“驗(yàn)證器”后門（美方稱之為Validator，安全廠商命名為DoubleFantasy的木馬）成功安裝。

在針對iOS平臺的攻擊中，“量子”系統(tǒng)通過多個(gè)Safari瀏覽器的遠(yuǎn)程代碼執(zhí)行漏洞組合利用投放攻擊樣本。其中最早的攻擊行為在2013年或更早的時(shí)間就出現(xiàn)。其早期運(yùn)用的漏洞可能包括CVE-2014-1349、CVE-2014-4466等，漏洞利用代碼則由“狐酸”FOXACID漏洞平臺生成，“量子”系統(tǒng)所構(gòu)造的流量可以實(shí)現(xiàn)先于正常網(wǎng)站返回流量抵達(dá)目標(biāo)終端，觸發(fā)漏洞執(zhí)行該木馬程序。在利用本報(bào)告樣本的攻擊過程中，攻擊載荷在量子系統(tǒng)在插入的網(wǎng)絡(luò)流量中偽裝成GIF頭部，命名為regquerystr.exe。

需要高度警惕的是，“量子”系統(tǒng)的攻擊是上帝視角的，具體表現(xiàn)為：

1. 其攻擊流量是由被入侵或控制的網(wǎng)絡(luò)路由設(shè)備發(fā)出，其甚至可能先于被訪問的網(wǎng)站感知到被攻擊方的網(wǎng)絡(luò)訪問。

2. 其攻擊對象是訪問網(wǎng)站和網(wǎng)絡(luò)資源的瀏覽器，或其他互聯(lián)網(wǎng)客戶端，因此其更難防御，也無法用傳統(tǒng)收斂開放端口和暴露面的思路來防范。

3. 其插入的攻擊流量并不是和真實(shí)網(wǎng)站交互過程，且是加密的，因此即使數(shù)據(jù)包遭到了還原和留存，發(fā)現(xiàn)了其構(gòu)造的域名，也不具備傳統(tǒng)IP/域名意義的溯源價(jià)值。

4. 在攻擊得手后，其相關(guān)角色和設(shè)備被標(biāo)定為攻擊有效，后續(xù)不會再進(jìn)行投放的動作，而攻擊失手后，則可能不再繼續(xù)攻擊，或未來不會采用同一漏洞進(jìn)行攻擊。因此極難復(fù)現(xiàn)和驗(yàn)證。

5. “量子”的能力并不僅可以部署于骨干網(wǎng)被A2PT組織滲透或控制的網(wǎng)絡(luò)設(shè)備之中，也可以在入侵作業(yè)中，植入到政企機(jī)構(gòu)網(wǎng)關(guān)和邊界設(shè)備上，包括相關(guān)漏洞利用工具可以部署到類似企業(yè)WEBMail 服務(wù)器中，使之有別于一般的持久化，而采取反復(fù)打入+內(nèi)存木馬的方式，更好地對抗一般性的威脅獵殺。

“量子”的作業(yè)能力一方面來自于方程式組織對全球關(guān)鍵網(wǎng)絡(luò)通訊設(shè)備的攻擊控制程度，另一方面則來自其掌控的大量未公開漏洞資源和漏洞利用工具儲備。

?

05A2PT組織的漏洞儲備、來源及資源運(yùn)營和作業(yè)分析

5.1?整體漏洞運(yùn)營機(jī)制

無論是攻擊中東SWIFT對信息基礎(chǔ)設(shè)施長驅(qū)直入[11]，還是“量子”之手實(shí)現(xiàn)上帝視角的攻擊，方程式等A2PT作業(yè)組織都依賴極為豐富的漏洞儲備[12][13]。

美方對零日漏洞（0day）的管理和儲備有一套自身的管理機(jī)制。2017年美國白宮發(fā)布《漏洞公平裁決政策和程序》[14]，為漏洞公平裁決程序(Vulnerabilities Equities Process，VEP)制定了更多的規(guī)則和透明度要求，包括目的、背景、范圍、參與主體、裁決過程和相關(guān)附件等內(nèi)容，這個(gè)政策的主導(dǎo)機(jī)構(gòu)就是NSA。VEP是美國政府在處理安全漏洞問題時(shí)所引入的一項(xiàng)裁決機(jī)制，當(dāng)發(fā)現(xiàn)漏洞時(shí)，是選擇將發(fā)現(xiàn)的漏洞向有關(guān)科技公司披露，告知其產(chǎn)品或服務(wù)中存在的網(wǎng)絡(luò)安全漏洞以便開發(fā)者及時(shí)進(jìn)行修復(fù)，還是選擇將漏洞信息進(jìn)行保留，以便今后用于網(wǎng)絡(luò)入侵、情報(bào)搜集、軍事活動或執(zhí)法活動等目的。

為了實(shí)現(xiàn)對高價(jià)值零日漏洞（0day）的壟斷利用，NSA還開發(fā)了一套NOBUS運(yùn)營體系，NOBUS是Nobody But Us的遞歸縮寫，即“沒有人可以（使用這些漏洞）除了我們”——這是NSA用來描述其認(rèn)為只有其自身才能擁有和利用的安全漏洞的術(shù)語。他們在該系統(tǒng)中評估對手能夠利用系統(tǒng)中已知漏洞的可能性，如果他們確定該漏洞只能由NSA出于計(jì)算資源、預(yù)算或技能組合等原因利用，就會將其標(biāo)記為NOBUS，并且不會推動修補(bǔ)漏洞，而是讓該漏洞繼續(xù)存在以便針對當(dāng)前或未來的目標(biāo)進(jìn)行利用[15]。NSA曾對外表示，它披露了發(fā)現(xiàn)的91%的漏洞，這就意味著剩下的9%的漏洞被NSA“私藏”了。而被NSA“私藏”的儲備漏洞，才是讓網(wǎng)絡(luò)世界變得更加脆弱的獨(dú)家命門。

當(dāng)然更為嚴(yán)重的問題是，美方情報(bào)機(jī)構(gòu)操縱預(yù)置漏洞和削弱產(chǎn)品安全性的行為，其中最為典型的是對加密算法標(biāo)準(zhǔn)的污染，如NIST 2006年正式發(fā)布的特別出版物SP 800-90（2012年后改稱為SP 800-90A）《使用確定性隨機(jī)位發(fā)生器的隨機(jī)數(shù)產(chǎn)生算法推薦》中，推薦的4種“確定性隨機(jī)位發(fā)生器”（DRBG）算法之一雙橢圓曲線算法Dual_EC_DRBG其實(shí)存在后門[16]。以及瑞士Crypto AG公司出品的加密機(jī)被美方控制，削弱其銷往超過120個(gè)國家的通訊加密設(shè)備的密碼強(qiáng)度，通過攔截并解碼加密程序以竊取各國政府及企業(yè)用戶的加密通訊內(nèi)容[17]。

5.2?兩類重點(diǎn)漏洞儲備

安天CERT認(rèn)為方程式組織至少重點(diǎn)進(jìn)行了兩類漏洞和利用工具庫的建設(shè)：一類是用于攻擊開放端口和服務(wù)的，我們稱之為漏洞集合（S），即Service，服務(wù)端；一類是用于攻擊瀏覽器和互聯(lián)網(wǎng)客戶端的，我們暫稱之為漏洞集合（C），即Client，客戶端。這兩個(gè)集合都用于實(shí)現(xiàn)對端點(diǎn)目標(biāo)的突防，后續(xù)還可以與相關(guān)的提權(quán)、持久化等工具配合使用。但兩個(gè)集合的運(yùn)用方式有所差異。集合（S）被用于依托跳板，基于主動向特定端口或服務(wù)發(fā)送數(shù)據(jù)包的方式，攻擊互聯(lián)網(wǎng)開放目標(biāo)，實(shí)現(xiàn)打入，或者在取得橋頭堡后在網(wǎng)絡(luò)縱深目標(biāo)體系中橫向移動。集合（S）中的漏洞儲備相當(dāng)豐富，以至于僅震網(wǎng)攻擊中，就使用了超過5個(gè)0day，在方程式組織攻擊中東最大SWIFT機(jī)構(gòu)EastNets中，所使用的多個(gè)漏洞也屬于此類。在2017年4月14日的Shadow Brokers（影子經(jīng)紀(jì)人）事件中，這個(gè)漏洞集合被徹底曝光。其中包括：Eternalblue（永恒之藍(lán)）、Easybee（易之蜂針）、Easypi（易之遠(yuǎn)控）、Eclipsedwing（日食之翼）、Educatedscholar（文雅學(xué)者）、Emeraldthread（翡翠纖維）、Emphasismine（地域之雷）、Englishmansdentist（恐怖牙醫(yī)）、Erraticgopher（古怪地鼠）、Eskimoroll ??? （愛斯基摩卷）、Esteemaudit（尊重審查）、Eternalromance（永恒浪漫）、Eternalsynergy（永恒協(xié)作）、Ewokfrenzy（星際流氓）、Explodingcan（爆炸之罐）、Zippybeer（奪命之酒）。?值得一提的是，相關(guān)漏洞和利用工具的泄露及其后被黑產(chǎn)集團(tuán)所利用，最終導(dǎo)致了2017年5月12日的全球大規(guī)模的?“WannaCry”（中文名稱魔窟）勒索軟件感染事件，給全球網(wǎng)絡(luò)用戶帶來的空前的災(zāi)難影響。相關(guān)攻擊者僅使用“永恒之藍(lán)”（Eternalblue）一個(gè)漏洞就對全球網(wǎng)絡(luò)安全造成了如此巨大的危害[18]。我們在《安天關(guān)于系統(tǒng)化應(yīng)對NSA網(wǎng)絡(luò)軍火裝備的操作手冊》[19]報(bào)告中對這批漏洞和所攻擊的服務(wù)進(jìn)行了圖譜化梳理（圖5-1）。可以肯定的是，在這次泄漏事件后，相關(guān)組織會放棄這批效力大打折扣、且可能暴露行蹤的漏洞利用，啟用儲備漏洞利用并加快漏洞挖掘采集儲備的節(jié)奏。

但長期以來，對于漏洞庫（C），卻一直了解甚少?；凇傲孔印毕到y(tǒng)的運(yùn)行機(jī)理，其必然存在的一個(gè)重點(diǎn)針對IE、Edge、Chrome、Firefox等瀏覽器（含主要插件）的0day漏洞集合。我們有理由相信，由于漏洞庫（S）的工具，更多要在手工作業(yè)中使用，導(dǎo)致其可以被更多人員接觸到，也間接導(dǎo)致類似被“影子經(jīng)紀(jì)人”泄露事件的發(fā)生。但由于漏洞庫（C）更多的是配置到“量子”系統(tǒng)使用，因此其相對管控更為嚴(yán)格。這就使相關(guān)漏洞一直沒有完整的浮出水面。但從另外一個(gè)層面，我們在對ANT工具集合和Vault7的分析中可以得出如下結(jié)論，A2PT組織的作業(yè)風(fēng)格是，惡意代碼覆蓋全體系結(jié)構(gòu)和操作系統(tǒng)平臺、漏洞儲備覆蓋全系統(tǒng)和主流應(yīng)用場景、中繼運(yùn)載工具覆蓋全接口?；诼┒磶欤–）配套量子系統(tǒng)的使用特點(diǎn)，我們完全可以有效猜測漏洞庫（C）的覆蓋能力。我們選取了一個(gè)非常具備場景清單價(jià)值的參照系。在NSA有間接參與和關(guān)聯(lián)的相關(guān)活動中，類似Pwn2Own這樣的安全大賽所提出的場景目標(biāo)，高度匹配“量子”系統(tǒng)的需求。從2007-2013年的Pwn2Own的著名黑客成功攻擊案例中，我們可以看到，對主流瀏覽器實(shí)現(xiàn)全覆蓋是Pwn2Own的重點(diǎn)。這些場景較好地覆蓋了“量子”所需要的漏洞需求頻譜。因此我們就需要進(jìn)一步細(xì)化分析A2PT組織的供給能力體系和資源運(yùn)營。

圖 5?2 2007-2013年的PWN2OWN的部分破解成功攻擊案例[20]

我們可以PWN2OWN的破解場景作為一個(gè)參照系，來繪制“量子”系統(tǒng)的攻擊能力頻譜圖，這個(gè)頻譜完全覆蓋全球所有主要終端和智能手機(jī)終端設(shè)備和瀏覽器。

由于沒有參照系作為分析支撐，我們在“量子”可攻擊場景圖譜上并未標(biāo)注中國的基礎(chǔ)信息產(chǎn)品和手機(jī)環(huán)境。但從我們歷史分析成果中所呈現(xiàn)的相關(guān)攻擊組織追求攻擊能力覆蓋全場景的一貫“調(diào)性”，其必然針對中國的基礎(chǔ)信息產(chǎn)品和智能手機(jī)等環(huán)境持續(xù)進(jìn)行全面的漏洞挖掘研究，進(jìn)行攻擊能力儲備積累，隨時(shí)準(zhǔn)備運(yùn)用。前火眼公司首席戰(zhàn)略官Richard Bejtlich的觀點(diǎn)是[21]，修復(fù)漏洞提升安全性，還是藏匿漏洞用于網(wǎng)絡(luò)入侵，對美國政府來說是一個(gè)“糾結(jié)”，“當(dāng)外國目標(biāo)運(yùn)行其自己本土的軟件時(shí)，這種糾結(jié)就不存在了”?？梢韵胂螅匠淌降華2PT攻擊組織既擁有深入了解美國出品軟硬件產(chǎn)品脆弱性的非對稱優(yōu)勢；同時(shí)在挖掘、分析、利用其他國家的信息產(chǎn)品與服務(wù)的脆弱性方面，也會更有恃無恐。

所以我們需要進(jìn)一步梳理分析其攻擊資源的來源。

5.3?A2PT的0day漏洞和惡意代碼工具的來源

安天CERT嘗試根據(jù)公開信息梳理方程式等A2PT攻擊組織在除自身挖掘發(fā)現(xiàn)和預(yù)置外，可能用于直接和間接獲取漏洞的資源來源。

5.3.1 基于基礎(chǔ)IT廠商安全生態(tài)獲取漏洞

信息化產(chǎn)品與服務(wù)的漏洞的發(fā)現(xiàn)、上報(bào)、修復(fù)和披露機(jī)制，是整個(gè)信息社會安全運(yùn)營的重要基礎(chǔ)環(huán)節(jié)，相關(guān)信息共享和聯(lián)動響應(yīng)機(jī)制也是全球產(chǎn)業(yè)鏈分工的基本信任基礎(chǔ)。在全球化的歷史演進(jìn)中，相應(yīng)的國際協(xié)同機(jī)制也已經(jīng)形成。全球安全研究者對IT產(chǎn)品和開源代碼進(jìn)行分析研究，將這些漏洞上報(bào)給廠商和漏洞共享平臺，以推動產(chǎn)品改進(jìn)，大型IT廠商，自身也組建規(guī)模龐大的安全隊(duì)伍，持續(xù)改善自身的安全性。當(dāng)然這也就意味著，基礎(chǔ)信息化軟硬件產(chǎn)品、大規(guī)模互聯(lián)網(wǎng)服務(wù)產(chǎn)品在這個(gè)機(jī)制中起到更舉足輕重的作用。一旦這個(gè)機(jī)制被擁有IT產(chǎn)品壟斷和支配力的霸權(quán)國家所把持，使相關(guān)機(jī)制單邊化，就必然導(dǎo)致一種空前的不平衡和不平等。也更加重了全球用戶對部分嚴(yán)重漏洞源自研發(fā)的失誤還是合作預(yù)置的懷疑：2013 年 12月，原“洋蔥路由器”( Tor) 項(xiàng)目核心程序員雅各·阿貝爾鮑姆( Jacob Appelbaum)在第 30 屆通信大會上展示了一組泄露的 PPT 文檔，其中包含 NSA 針對各種網(wǎng)絡(luò)產(chǎn)品的可利用漏洞開發(fā)的程序與木馬。產(chǎn)品覆蓋服務(wù)器、路由器、防火墻和手機(jī)設(shè)備，囊括了DELL、HP、Sun、CISCO等知名品牌[22]。阿貝爾姆表示，他懷疑NSA與其中一些企業(yè)存在合作關(guān)系，披露這此內(nèi)容的初衷是“讓相關(guān)企業(yè)在曝光的壓力下，自己澄清是 NSA的同謀還是受害者?！?016年，美國哥倫比亞大學(xué)國際與公共事務(wù)學(xué)院的高級研究人員杰森·希利 ( Jason Healey) 在《國際事務(wù)雜志》發(fā)表“美國政府與零日漏洞”一文，深入分析了美國漏洞公平裁決程序(VEP)自2008到2016年的發(fā)展歷程，并對當(dāng)前（2016年）美國可能囤積的零日漏洞軍火數(shù)量進(jìn)行了謹(jǐn)慎的估算[23]?；赩EP的裁決機(jī)制，我們很難判斷多少漏洞被打上了NOBUS的標(biāo)簽，成為A2PT用來攻擊對手的網(wǎng)絡(luò)軍火。一些已經(jīng)被公開披露的嚴(yán)重漏洞，從漏洞早期發(fā)現(xiàn)時(shí)點(diǎn)到修補(bǔ)和公開時(shí)點(diǎn)之間存在較長時(shí)間差。例如Google公司的Project Zero等安全團(tuán)隊(duì)在2017年6月發(fā)現(xiàn)Intel CPU的重大漏洞：Meltdown（熔毀，CVE-2017-5754）和Spectre漏洞（幽靈，CVE-2017-5715和CVE-2017-5753），這些漏洞對全球云基礎(chǔ)設(shè)施帶來重大威脅，但直到六個(gè)月后的2018年1月這些漏洞[24]才被公告。網(wǎng)絡(luò)安全研究者有理由猜測，這六個(gè)月成為A2PT攻擊全球云基礎(chǔ)設(shè)施的獨(dú)家作業(yè)窗口期。

5.3.2?通過參與各類公開活動搜集漏洞信息

RSA信息安全大會是全球網(wǎng)絡(luò)安全領(lǐng)域一年一度的盛會，每年上半年在舊金山舉行，來自世界各地的安全廠商代表和業(yè)界精英在大會期間聚集一堂，就全球面臨的網(wǎng)絡(luò)安全威脅和技術(shù)發(fā)展趨勢進(jìn)行廣泛的溝通與交流。美國相關(guān)情報(bào)機(jī)構(gòu)NSA、FBI等都例行“參展”，主要發(fā)展專業(yè)人員加入他們的隊(duì)伍。包括發(fā)表演講，號召“黑客”為美國服務(wù)。黑帽安全技術(shù)大會（Black Hat Conference）、DEFCON極客大會等黑客大會，也是美情報(bào)機(jī)構(gòu)重點(diǎn)關(guān)注和參與的會議。Pwn2Own是全球最著名的黑客大賽之一，由美國五角大樓網(wǎng)絡(luò)安全服務(wù)商、惠普旗下TippingPoint的ZDI（Zero Day Initiative）為主辦項(xiàng)目組，谷歌、微軟、蘋果、Adobe等互聯(lián)網(wǎng)和軟件巨頭都為比賽提供支持，通過黑客攻擊挑戰(zhàn)來完善自身產(chǎn)品。這種大會顯然也是美情報(bào)機(jī)構(gòu)搜集、儲備漏洞和攻擊技術(shù)的良機(jī)。目前并無線索來表明Pwn2Own活動與美方掌握的獨(dú)家漏洞具有直接關(guān)聯(lián)，但正如我們前文指出的， 從Pwn2Own所長期專注的科目來看，這個(gè)題目的場景設(shè)計(jì)基本完整映射了“量子”系統(tǒng)進(jìn)行流量側(cè)攻擊作業(yè)的能力需求和價(jià)值偏好。而ZDI作為惠普旗下付費(fèi)收購0day漏洞的平臺，主要以明碼標(biāo)價(jià)、現(xiàn)金獎勵的形式征集漏洞，全世界的黑客都可以把漏洞賣給ZDI。而ZDI作為美情報(bào)機(jī)構(gòu)的代理人，則可能將征集到的高價(jià)值漏洞轉(zhuǎn)賣給美情報(bào)機(jī)構(gòu)。

5.3.3?通過漏洞懸賞計(jì)劃獲取漏洞信息

2016年起，美國防部就啟動了“黑掉五角大樓”（Hack the Pentagon）漏洞懸賞計(jì)劃的試點(diǎn)。2023年1月13日，美國防部宣布將發(fā)起“黑掉五角大樓3.0”計(jì)劃，旨在發(fā)現(xiàn)維持五角大樓和相關(guān)場地運(yùn)行操作技術(shù)中的漏洞[25]。這些活動獲取漏洞的真實(shí)用途值得懷疑。2019年1月，美國總統(tǒng)特朗普簽署了一項(xiàng)法案，要求國土安全部在六個(gè)月內(nèi)制定一個(gè)測試漏洞的賞金計(jì)劃。除了政府部門自身的漏洞懸賞計(jì)劃以外，美國本土還有一些知名的漏洞懸賞公司為美軍方和情報(bào)機(jī)構(gòu)提供服務(wù)，這些公司包括HackerOne、BugCrowd和Synack等。

5.3.4?研發(fā)和采購商業(yè)惡意代碼+漏洞利用工具

基于安天CERT在《震網(wǎng)事件的九年再復(fù)盤與思考》中對方程式組織的惡意代碼工程體系的關(guān)系梳理，可以看到其相當(dāng)長的時(shí)間是基于超大規(guī)模惡意代碼工程進(jìn)行“滾動迭代”和積木式更新，安天CERT相對傾向認(rèn)為NSA在核心行動中惡意代碼體系是長期自研，或者由關(guān)系極為密切的承包商來長期承載。

美情報(bào)機(jī)構(gòu)購買商用網(wǎng)絡(luò)軍火的歷史已經(jīng)被曝光。2021年7月19日，英國廣播公司（BBC）報(bào)道，以色列軟件監(jiān)控公司NSO向一些國家售賣了一款名為“飛馬”的手機(jī)間諜軟件，用以監(jiān)控各類重點(diǎn)人員甚至他國的相關(guān)政要。“飛馬”軟件可以輕而易舉地入侵蘋果和安卓系統(tǒng)，并輕松截取手機(jī)里的各類信息、圖片、視頻、電郵內(nèi)容、通話記錄，甚至可以秘密開啟麥克風(fēng)進(jìn)行實(shí)時(shí)錄音[26]。2022年，《紐約時(shí)報(bào)》的一項(xiàng)調(diào)查就揭露FBI曾購買過“飛馬”軟件，此后FBI局長克里斯托弗·雷也承認(rèn)FBI確實(shí)購買了“飛馬”軟件[27]。據(jù)《紐約時(shí)報(bào)》2022年7月份報(bào)道，在獲得美國情報(bào)部門默許下，美國軍事承包商 L3 Harris的高管團(tuán)隊(duì)曾多次訪問以色列，試圖收購“飛馬”軟件的生產(chǎn)商N(yùn)SO集團(tuán)[28]。總部位于意大利的軟件開發(fā)商Hacking Team是一家向多國機(jī)構(gòu)出售間諜軟件工具的公司。美國FBI也是它的客戶，據(jù)Wired報(bào)道，從2011年起，美國聯(lián)邦調(diào)查局曾先后共支付了77萬美元購買Hacking Team公司的“伽利略”遠(yuǎn)程控制系統(tǒng)[29]。必須指出的是：無論是“飛馬”，還是“伽利略”，都可以與“量子”系統(tǒng)的投放機(jī)制配合，作為突破得手后，實(shí)現(xiàn)持續(xù)作業(yè)。

5.4?A2PT組織資源運(yùn)營與作業(yè)關(guān)系分析

美方情報(bào)機(jī)構(gòu)通過公開安全活動、代理人模式、漏洞懸賞合作以及與網(wǎng)絡(luò)軍火商采購的模式在全球搜集、采購0day漏洞，并通過與網(wǎng)空防務(wù)承包商、電信基礎(chǔ)設(shè)施公司和互聯(lián)網(wǎng)公司構(gòu)建網(wǎng)空項(xiàng)目、武器、基礎(chǔ)設(shè)施和大數(shù)據(jù)支撐，依托在全球部署的項(xiàng)目和作業(yè)平臺，利用植入、運(yùn)載和中繼裝備，通過漏洞投放各類高級惡意代碼，針對全球IT目標(biāo)發(fā)起大量攻擊行動，其組織運(yùn)營和作業(yè)關(guān)系圖譜推測如下：

?

06小結(jié)：迎接智能終端設(shè)備面臨的A2PT攻擊挑戰(zhàn)

由于iOS環(huán)境特點(diǎn)，我們針對方程式組織針對iOS攻擊的相關(guān)分析工作的展開，比我們之前分析方程式組織針對Windows、Linux、Solaris系統(tǒng)的攻擊和硬盤持久化行為更加艱難?；谇拔奶岬降姆治龉ぷ鳎合嚓P(guān)針對iOS移動設(shè)備木馬樣本系方程式組織所使用的網(wǎng)絡(luò)攻擊武器，與我們與Windows、Linux、Solaris所披露曝光的系列樣本同屬DoubleFantasy攻擊裝備譜系。該木馬可以通過“量子”系統(tǒng)，基于iOS平臺Safari瀏覽器0day漏洞進(jìn)行遠(yuǎn)程植入和執(zhí)行，并采用加密方法實(shí)現(xiàn)明文信息的隱藏，同時(shí)在運(yùn)行之后刪除自身達(dá)到內(nèi)存作業(yè)，而無文件落地以對抗取證的目的。這些分析工作讓方程式組織的攻擊武器對操作系統(tǒng)平臺覆蓋能力的證據(jù)拼圖得以進(jìn)一步完善，對《從方程式到方程組》報(bào)告中所編制的圖表進(jìn)行更新。表 6?1 方程式攻擊組織多平臺操作系統(tǒng)載荷的曝光過程

我們在本篇報(bào)告所分析的相關(guān)樣本及其必然存在的后續(xù)版本，不僅可以基于iMessage漏洞投放，更可通過“量子”系統(tǒng)，基于手機(jī)訪問互聯(lián)網(wǎng)的過程來實(shí)現(xiàn)更隱蔽的投放。我們對“量子”系統(tǒng)可攻擊目標(biāo)基于一個(gè)參照系進(jìn)行了枚舉，進(jìn)行了可攻擊目標(biāo)圖譜的繪制。本次相關(guān)事件和樣本聚焦于iOS平臺，但這并不代表其他平臺和場景就是安全的?！傲孔印蓖斗朋w系、面向?yàn)g覽器和網(wǎng)絡(luò)客戶端的漏洞庫，A2PT組織的這個(gè)能力體系，具備在幾乎所有PC和移動設(shè)備訪問網(wǎng)絡(luò)過程中打擊投放的能力。其將全球手機(jī)用戶和網(wǎng)民都置于“量子”高懸的達(dá)摩克里斯之劍下。在實(shí)際作業(yè)中，A2PT組織可以針對高價(jià)值目標(biāo)精確打點(diǎn)，而防御方找到受害者卻猶如大海撈針，處于極為困難被動的境地。但這些都更說明，手機(jī)和智能終端的安全性需要進(jìn)一步提升。手機(jī)等智能終端設(shè)備相對于傳統(tǒng)PC節(jié)點(diǎn)來說具有更強(qiáng)的個(gè)人關(guān)聯(lián)性，其設(shè)備上的數(shù)據(jù)資產(chǎn)與人本身、及其社交范圍、行動軌跡、行為偏好等存在高度的關(guān)聯(lián)性，例如定位數(shù)據(jù)、手機(jī)通訊錄、文檔文件、短信通話、照片。通過對設(shè)備上的數(shù)據(jù)資產(chǎn)的收集和分析，能夠?qū)δ繕?biāo)人員的工作生活、人員畫像以及周邊環(huán)境進(jìn)行定向精確的畫像分析。近幾年來，手機(jī)等智能終端設(shè)備不僅為人們提供了日常生活的信息化和智能化便利，也被國內(nèi)大量政企機(jī)構(gòu)、工業(yè)部門等引入作為移動辦公環(huán)境（包括生產(chǎn)運(yùn)營系統(tǒng)的遠(yuǎn)程管理）。特別是在廣泛使用的雙因子認(rèn)證和零信任體系中，手機(jī)+SIM卡已經(jīng)成為核心的令牌設(shè)備。一旦手機(jī)失陷，攻擊者不僅能收集到與目標(biāo)人員相關(guān)的更高價(jià)值的數(shù)據(jù)資產(chǎn)，更成為入侵政企機(jī)構(gòu)內(nèi)網(wǎng)的突破口和跳板。手機(jī)等智能終端設(shè)備具有遠(yuǎn)超傳統(tǒng)PC節(jié)點(diǎn)的廣泛感知能力，其帶有多種傳感器（包括帶有GPS傳感器用于獲取高精度定位，加速度傳感器、重力傳感器、陀螺儀和旋轉(zhuǎn)矢量傳感器）可被用于獲取當(dāng)前設(shè)備的高精度即時(shí)動態(tài)。除了高精度傳感器外，還有攝像頭、麥克風(fēng)這種輸入輸出的硬件采集裝置，甚至是基于WiFi、藍(lán)牙模塊進(jìn)行周邊環(huán)境和設(shè)備的掃描和收集。這種特性使A2PT組織入侵智能手機(jī)后可以取得比PC或服務(wù)器更豐富的關(guān)聯(lián)收獲。

手機(jī)等智能終端設(shè)備有更多的暴露面和可攻擊面，包括終端技術(shù)棧層面的攻擊面，涉及硬件、固件、系統(tǒng)和應(yīng)用，通信層面的攻擊面，涉及WiFi、藍(lán)牙、蜂窩網(wǎng)絡(luò)、GPS等，供應(yīng)鏈層面的攻擊面以及系統(tǒng)和互聯(lián)網(wǎng)生態(tài)下的攻擊面。從設(shè)備使用和定位來看，手機(jī)等智能終端設(shè)備作為消費(fèi)級的產(chǎn)品，其會基于產(chǎn)品體驗(yàn)來權(quán)衡安全性的設(shè)計(jì)，并且用戶會通過手機(jī)設(shè)備從不同的渠道下載應(yīng)用、瀏覽網(wǎng)站等，但從手機(jī)終端防御機(jī)制和體系來看，手機(jī)設(shè)備的安全性防御體系主要依賴于供應(yīng)商和制造商引入的系統(tǒng)安全管控和緩解機(jī)制和應(yīng)用的威脅檢測防御，一旦突破某些單點(diǎn)安全策略，攻擊和防御就不再對等。再者，由于移動互聯(lián)網(wǎng)環(huán)境下，國際互聯(lián)網(wǎng)廠商過量的信息攫取，經(jīng)過“棱鏡”等特權(quán)接口，也成為超高能力網(wǎng)空威脅行為體能準(zhǔn)確定位攻擊目標(biāo)的來源。

在手機(jī)系統(tǒng)中，蘋果安全機(jī)制設(shè)計(jì)長期是被稱道的，其安全體系和封閉式應(yīng)用生態(tài)等降低了系統(tǒng)和設(shè)備被一般性攻擊的可能性和安全風(fēng)險(xiǎn)，但在卡巴斯基曝光的事件中，蘋果手機(jī)反而成為一個(gè)難以有效進(jìn)行環(huán)境分析和取證的“黑箱”。

也許比被APT攻擊更危險(xiǎn)的，是霸權(quán)主義和單邊主義對世界的撕裂。

安天始終致力于為手機(jī)和智能終端、云和其他各種計(jì)算環(huán)境提供基礎(chǔ)安全能力，這些能力包括了移動惡意代碼檢測、Wi-Fi接入安全、支付安全、掃碼安全等。我們也一直努力支持手機(jī)和智能操作系統(tǒng)廠商研發(fā)改善安全設(shè)計(jì)，通過削減攻擊面，增強(qiáng)安全緩解和管控策略，例如引入權(quán)限模型，應(yīng)用生態(tài)管控，建立響應(yīng)體系。我們尊重且敬畏自己的工作，但我們必須指出，手機(jī)是一種海量的消費(fèi)級產(chǎn)品，其更多是面向便利性而設(shè)計(jì)，面向普通使用者，而非IT管理運(yùn)營人員使用。手機(jī)廠商出廠的原生安全機(jī)制，是構(gòu)建一個(gè)良性的基本面，支撐較好的運(yùn)營和治理基礎(chǔ)。但通用的安全機(jī)制，無論多么強(qiáng)勁，都很難對抗使用0day漏洞和專用樣本的APT攻擊，更不是簡單靠安全意識和習(xí)慣就能解決的。而即使在消費(fèi)級智能設(shè)備和系統(tǒng)上，寄希望于通過數(shù)據(jù)和運(yùn)行環(huán)境隔離，設(shè)備入網(wǎng)管理和訪問控制，容器級的應(yīng)用管控等策略，很難完全對抗使用0day漏洞和先進(jìn)樣本的APT攻擊。對有高安全需求場景的移動終端，需要以基于成熟的商業(yè)產(chǎn)品為基礎(chǔ)，基于更專門的投入和保障體系，達(dá)成更強(qiáng)的安全防御能力。

與此同時(shí)，只有體系化和全生命周期的防御、溯源和獵殺機(jī)制，才能對抗體系化和全時(shí)間窗口的攻擊，這個(gè)戰(zhàn)場既在桌面終端、移動手機(jī)終端之上，也在網(wǎng)絡(luò)設(shè)備和邊界設(shè)備（包括安全設(shè)備）之上，更在內(nèi)網(wǎng)和云計(jì)算等縱深資產(chǎn)之中。

讓威脅檢測、主動防御等更多安全能力基因化、底層化，從供應(yīng)鏈層面構(gòu)建原生融合的安全能力，實(shí)現(xiàn)“關(guān)口前移，防患于未然”，是我們的始終專注的工作，這些工作將持續(xù)塑造一個(gè)有利于防御攻擊的供應(yīng)鏈安全基本面；發(fā)現(xiàn)分析溯源曝光高級威脅，是我們始終奮戰(zhàn)的戰(zhàn)場，這些工作不僅持續(xù)檢驗(yàn)和改善我們的核心安全能力，有助于公眾了解網(wǎng)絡(luò)空間的風(fēng)險(xiǎn)，有助于關(guān)鍵信息基礎(chǔ)設(shè)施和政企機(jī)構(gòu)以更真實(shí)客觀的敵情想定改善網(wǎng)絡(luò)安全能力。我們將繼續(xù)為此付出努力。

參考資料：

[1] 美國情報(bào)機(jī)構(gòu)網(wǎng)絡(luò)攻擊的歷史回顧——基于全球網(wǎng)絡(luò)安全界披露信息分析

http://www.china-cia.org.cn/home/WorkDetail?id=643368b50200340e00ff4fc7

[2] 探索Duqu木馬身世之謎

https://antiy.cn/research/notice&report/research_report/261.html

[3] Equation: The Death Star of Malware Galaxy

http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/

[4]?震網(wǎng)事件的九年再復(fù)盤與思考

https://www.antiy.com/response/20190930.html

[5]?從“方程式”到“方程組”EQUATION攻擊組織高級惡意代碼的全平臺能力解析

https://www.antiy.com/response/EQUATIONS/EQUATIONS.html

[6] Operation Triangulation: iOS devices targeted with previously unknown malware

https://securelist.com/operation-triangulation/109842/

[7] Bvp47?美國NSA方程式的頂級后門

https://mp.weixin.qq.com/s/WTlRPzUv3npV8xd9KRJoQw

[8]?方程式（EQUATION）部分組件中的加密技巧分析

https://www.antiy.com/response/Equation_part_of_the_component_analysis_of_cryptographic_techniques.html

[9]?修改硬盤固件的木馬-探索方程式（EQUATION）組織的攻擊組件

https://www.antiy.com/response/EQUATION_ANTIY_REPORT.html

[10]?美國國家安全局（NSA）“狐酸”漏洞攻擊武器平臺技術(shù)分析報(bào)告

https://www.cverc.org.cn/head/zhaiyao/news20220629-FoxAcid.htm

[11]?“方程式組織”攻擊SWIFT服務(wù)提供商EastNets事件復(fù)盤分析報(bào)告

https://www.antiy.com/response/20190601.html

[12]? The nsa hacks other countries by buying millions of dollars worth of computer vulnerabilities

http://www.washingtonpost.com/blogs/the-switch/wp/2013/08/31/the-nsa-hacks-other-countries-by-buying-millions-of-dollars-worth-of-computer-vulnerabilities/

[13] 10 Things You Need To Know About 'Wikileaks CIA Leak'

https://thehackernews.com/2017/03/wikileaks-cia-vault7-leak.html

[14] 美國NSA主導(dǎo)的VEP-《漏洞公平裁決政策和程序》的是是非非

https://www.ics-cert.org.cn/portal/page/122/e999bf92e06f42b89800faf420b45b14.html

[15] 維基百科：NOBUS

https://en.wikipedia.org/wiki/NOBUS

[16] Aris. Dual_EC_DRBG Backdoor: a Proof of Concept

https://blog.0xbadc0de.be/archives/155

[17] The intelligence coup of the century’For decades, the CIA read the encrypted communications of allies and adversaries.

https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage/

[18]?安天針對勒索蠕蟲“魔窟”（WannaCry）的深度分析報(bào)告

https://www.antiy.com/response/wannacry.html

[19]?《關(guān)于系統(tǒng)化應(yīng)對NSA網(wǎng)絡(luò)軍火裝備的操作手冊》

https://www.antiy.com/response/Antiy_Wannacry_NSA.html

[20] Pwn2Own list of notable hacks is incomplete

https://en.wikipedia.org/wiki/Pwn2Own

[21] Five Reasons I Want China Running Its Own Software

https://taosecurity.blogspot.com/2017/03/five-reasons-i-want-china-running-its.html

[22] NSA Surveillance Has No Boundaries, Expert Says

https://threatpost.com/nsa-surveillance-has-no-boundaries-expert-says/103355/

[23] The U.S. Government and Zero-Day Vulnerabilities.

https://jia.sipa.columia.edu/sites/default/files/attachments/Healey%20VEPpdf

[24] 6 months later, Spectre still haunts.

https://securityboulevard.com/2018/07/6-months-later-spectre-still-haunts/

[25] Hack the Pentagon 3.0 Bug Bounty Program to Focus on Facility Control Systems

https://www.securityweek.com/hack-pentagon-30-bug-bounty-program-focus-facility-control-systems/

[26] REGULATING THE ZERO-DAY VULNERABILITY TRADE:A PRELIMINARY ANALYSIS

https://fsi-live.s3.us-west-1.amazonaws.com/s3fs-public/fidler-second-review-changes-made.pdf

[27] Pegasus: Spyware sold to governments 'targets activists'

https://www.bbc.co.uk/news/technology-57881364

[28] FBI acknowledges it tested NSO Group’s spyware

https://www.washingtonpost.com/technology/2022/02/02/pegasus-fbi-nso-test/

[29] L3 Harris in talks to buy Israeli spyware firm NSO

https://www.reuters.com/markets/deals/l3harris-talks-buy-israeli-spyware-firm-nso-reports-2022-06-15/

[30] The FBI Spent $775K on Hacking Team's Spy Tools Since 2011

https://www.wired.com/2015/07/fbi-spent-775k-hacking-teams-spy-tools-since-2011/

[31] Shadow Brokers reveals list of Servers Hacked by the NSA

http://thehackernews.com/2016/10/nsa-shadow-brokers-hacking.html

[32] A Fanny Equation: "I am your father, Stuxnet"

http://securelist.com/blog/research/68787/a-fanny-equation-i-am-your-father-stuxnet/

[33] Equation Group: from Houston with love

http://securelist.com/blog/research/68877/equation-group-from-houston-with-love/

[34] Equation_group_questions_and_answershttps://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

?