來源：國家計算機病毒應(yīng)急處理中心

https://www.cverc.org.cn/head/zhaiyao/news20230504-CIA1.htm

美國中央情報局（Central Intelligence Agency，簡稱CIA），一個比美國國家安全局（NSA）更為世人熟知的名字，它是美國聯(lián)邦政府主要情報機構(gòu)之一，總部位于美國弗吉尼亞州蘭利，下設(shè)情報處（DI）、秘密行動處（NCS） 、科技處（DS&T）、支援處（DS）四個部門。其主要業(yè)務(wù)范圍涉及：收集外國政府、公司和公民情報信息；綜合分析處理其他美國情報機構(gòu)收集的情報信息；向美國高層決策者提供國家安全情報和安全風險評估意見；根據(jù)美國總統(tǒng)要求組織實施和指導監(jiān)督跨境秘密活動等。

長期以來，美國中央情報局（CIA）在世界各地秘密實施“和平演變”和“顏色革命”，持續(xù)進行間諜竊密活動。

進入二十一世紀以來，互聯(lián)網(wǎng)的快速發(fā)展給美國中央情報局（CIA）的滲透顛覆和搗亂破壞活動提供了新的機遇，全球各地使用美國互聯(lián)網(wǎng)設(shè)備和軟件產(chǎn)品的機構(gòu)和個人成為美國中央情報局（CIA）的傀儡“特工”，幫助該機構(gòu)迅速成為網(wǎng)絡(luò)諜報戰(zhàn)中的耀眼“明星”。

本系列報告從國家計算機病毒應(yīng)急處理中心和360公司參與調(diào)查的大量真實案例入手，揭秘其網(wǎng)絡(luò)攻擊武器的主要細節(jié)，披露部分發(fā)生在中國和其他國家的網(wǎng)絡(luò)安全典型案事件的具體過程，全面深入分析美國中央情報局（CIA）的網(wǎng)絡(luò)攻擊竊密和相關(guān)現(xiàn)實危害活動，以及其對美國成為“黑客帝國”所做的貢獻，為遍布全球的網(wǎng)絡(luò)攻擊受害者提供參考和建議。

1．概述

從20世紀80年代國際社會主義陣營遭受沖擊、90年代初蘇東劇變（“天鵝絨革命”）到2003年格魯吉亞“玫瑰革命”，從2004年烏克蘭“橙色革命”到2005年吉爾吉斯“郁金香革命”，從2011年西亞北非國家“阿拉伯之春”到2014年烏克蘭“二次顏色革命”、中國臺灣“太陽花革命”等，都被國際機構(gòu)和世界各地學者認定為由美國情治機構(gòu)主導的“顏色革命”典型案例。其他一些國家中還發(fā)生過未遂的“顏色革命”事件，如2005年3月白俄羅斯“雪花革命”、2005年6月阿塞拜疆“橙色風暴”、2005年黎巴嫩“雪松革命”、2007年緬甸“藏紅花革命”、2009年伊朗“綠色革命”等等。如果從冷戰(zhàn)時期算起，帶有“和平演變”和“顏色革命”色彩的政權(quán)更替事件更是不勝枚舉。據(jù)統(tǒng)計，數(shù)十年來，美國中央情報局（CIA）至少推翻或試圖推翻超過50個他國合法政府（而中央情報局只承認其中的7起），在相關(guān)國家引發(fā)動亂。

綜合分析上述事件中的各類技術(shù)，信息通信和現(xiàn)場指揮成為影響事件成敗的決定性因素。美國的這些技術(shù)在國際上處于領(lǐng)先地位，特別是20世紀80年代美國將互聯(lián)網(wǎng)推向國際并得到世界各國的普遍接受，給美國情治部門對外發(fā)動“顏色革命”提供了前所未有的技術(shù)可能性。

美國前國務(wù)卿奧爾布賴特曾揚言：“有了互聯(lián)網(wǎng)我們對中國就有了辦法?！?/p>

此言不虛，多起“顏色革命”事件中都有西方大國借助互聯(lián)網(wǎng)推波助瀾的影子。西亞北非多國“阿拉伯之春”事件發(fā)生后，美國個別大型互聯(lián)網(wǎng)跨國企業(yè)積極介入，向沖突各方投入大量人力、物力、財力，拉攏支持反對派，向與美國利益不符的他國合法政府公開發(fā)難，協(xié)助發(fā)布擴散虛假信息，推動民眾抗議活動不斷激化。

一是提供加密網(wǎng)絡(luò)通信服務(wù)。為幫助中東地區(qū)部分國家的抗議者保持聯(lián)絡(luò)暢通，同時避免被跟蹤和抓捕，美國公司（據(jù)稱具有美國軍方背景）研發(fā)出一種可以接入國際互聯(lián)網(wǎng)又無法追蹤的TOR技術(shù)（“洋蔥頭”路由技術(shù)，The Onion Router）。相關(guān)服務(wù)器對流經(jīng)它們的所有信息進行加密，從而幫助特定用戶實現(xiàn)匿名上網(wǎng)。該項目由美國企業(yè)推出后，立即向伊朗、突尼斯、埃及等國的反政府人員免費提供，確保那些“想動搖本國政府統(tǒng)治的異見青年”在參與活動時，能躲避當?shù)睾戏ㄕ膶彶楹捅O(jiān)視。

二是提供斷網(wǎng)通聯(lián)服務(wù)。為確保突尼斯、埃及等國的反政府人員在斷網(wǎng)情況下仍能與外界保持聯(lián)系，美國《谷歌》《推特》公司迅速推出一款名為“Speak2Tweet”的專用服務(wù)，它允許用戶免費撥號并上傳語音留言，這些留言被自動轉(zhuǎn)換成推文后再上傳至因特網(wǎng)，《推特》等平臺公開發(fā)布，完成了對事件現(xiàn)場的實時報道。

三是提供基于互聯(lián)網(wǎng)和無線通訊的集會游行活動現(xiàn)場指揮工具。美國蘭德公司花費數(shù)年研發(fā)出一款被稱為“蜂擁”的非傳統(tǒng)政權(quán)更迭技術(shù)，用于幫助通過互聯(lián)網(wǎng)聯(lián)接的大量年輕人加入“打一槍換一個地方”的流動性抗議活動，大大提升了活動現(xiàn)場指揮效率。

四是美國公司研發(fā)了一款名為“暴動”的軟件，支持100%獨立的無線寬帶網(wǎng)絡(luò)、提供可變WiFi網(wǎng)絡(luò)，不依賴任何傳統(tǒng)物理接入方式，無須電話、電纜或衛(wèi)星連接，能輕易躲過任何形式的政府監(jiān)測。借助上述功能強大的網(wǎng)絡(luò)技術(shù)和通訊技術(shù)手段，美國中央情報局（CIA）在全球各地策劃組織實施了大量的“顏色革命”事件。

五是美國國務(wù)院將研發(fā)“反審查”信息系統(tǒng)作為重要任務(wù)，并為該項目注資超過3000萬美元。

2017年3月7日，《維基解密》網(wǎng)站披露了8716份據(jù)稱是來自美國中央情報局（CIA）網(wǎng)絡(luò)情報中心的秘密文件，內(nèi)容涉及美國中央情報局（CIA）黑客團隊的攻擊手法、攻擊行動項目代號、攻擊工具技術(shù)規(guī)范和要求等，《維基解密》將相關(guān)文件稱為“Vault7”（穹頂7），引發(fā)全球范圍的高度關(guān)注。

2020年，360公司獨立發(fā)現(xiàn)了一個從未被外界曝光的APT組織，專門針對中國及其友好國家實施網(wǎng)絡(luò)攻擊竊密活動，受害者遍布全球各地，我們將其單獨編號為APT-C-39。有證據(jù)表明，該組織使用與被曝“Vault7”（穹頂7）資料相關(guān)聯(lián)的網(wǎng)絡(luò)武器工具（包括Athena、Fluxwire，Grasshopper、AfterMidnight、HIVE、ChimayRed等），針對中國和其他國家受害目標實施網(wǎng)絡(luò)攻擊，攻擊活動最早可以追溯到2011年，相關(guān)攻擊一直延續(xù)至今。被攻擊目標涉及各國重要信息基礎(chǔ)設(shè)施、航空航天、科研機構(gòu)、石油石化、大型互聯(lián)網(wǎng)公司以及政府機構(gòu)等諸多方面。

在規(guī)模龐大的全球性網(wǎng)絡(luò)攻擊行動中，美國中央情報局（CIA）大量使用“零日”（0day）漏洞，其中包括一大批至今未被公開披露的后門和漏洞（部分功能已得到驗證），在世界各地建立“僵尸”網(wǎng)絡(luò)和攻擊跳板網(wǎng)絡(luò)，針對網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)終端、交換機和路由器，以及數(shù)量眾多的工業(yè)控制設(shè)備分階段實施攻擊入侵行動。在現(xiàn)已發(fā)現(xiàn)的專門針對中國境內(nèi)目標實施的網(wǎng)絡(luò)攻擊行動中，我們成功提取了多個“Vault7”（穹頂7）網(wǎng)絡(luò)攻擊武器樣本，多個東南亞國家和歐洲的合作伙伴也提取到了幾乎完全相同的樣本，主要包括：

2.1 Fluxwire（磁通線）后門程序平臺

一款支持Windows、Unix、Linux、MacOS等9種主流操作系統(tǒng)，和6種不同網(wǎng)絡(luò)架構(gòu)的復雜后門攻擊行動管理平臺，可將眾多“肉雞”節(jié)點組成完全自主運行的網(wǎng)狀網(wǎng)絡(luò)，支持自我修復、循環(huán)攻擊和多路徑路由。

2.2 Athena（雅典娜）程序

一款針對微軟Windows操作系統(tǒng)的輕量級后門程序，由美國中央情報局（CIA）與美國Siege Technologies公司（2016年被Nehemiah Security收購）合作開發(fā)，可以通過遠程安裝、供應(yīng)鏈攻擊、中間人劫持攻擊和物理接觸安裝等方式植入，以微軟Windows服務(wù)方式駐留。所有攻擊功能模塊均以插件形式在內(nèi)存中解密執(zhí)行。

2.3 Grasshopper（蚱蜢）后門程序

一款針對微軟Windows操作系統(tǒng)的高級可配置后門程序，可生成多種文件格式形式的（EXE，DLL，SYS，PIC）惡意荷載，支持多種執(zhí)行方式，配以不同插件模塊后，可隱蔽駐留并執(zhí)行間諜功能。

2.4 AfterMidnight（午夜之后）后門程序

一款以微軟Windows操作系統(tǒng)DLL服務(wù)形式運行的輕量級后門，它通過HTTPS協(xié)議動態(tài)傳輸、加載“Gremlins”模塊，全程以加密方式執(zhí)行惡意荷載。

2.5 ChimayRed（智美紅帽）漏洞利用工具

一款針對MikroTik等品牌路由器的漏洞利用工具套件，配合漏洞利用可植入“TinyShell”等輕量級網(wǎng)絡(luò)設(shè)備后門程序。

2.6 HIVE（蜂巢）網(wǎng)絡(luò)攻擊平臺

“蜂巢”網(wǎng)絡(luò)攻擊平臺由美國中央情報局（CIA）下屬部門和美國著名軍工企業(yè)諾斯羅普·格魯曼（NOC）旗下公司聯(lián)合研發(fā)，它為美國中央情報局（CIA）網(wǎng)絡(luò)攻擊團隊提供一種結(jié)構(gòu)復雜的持續(xù)性攻擊竊密手段。它管理利用全球范圍內(nèi)數(shù)量龐大的失陷資產(chǎn)，組成多層動態(tài)跳板和秘密數(shù)據(jù)傳輸通道，7×24小時向美國中央情報局（CIA）上傳用戶賬戶、密碼和隱私數(shù)據(jù)（https://www.cverc.org.cn/head/zhaiyao/news20220419-hive.htm）。

2.7 其他衍生工具

美國中央情報局（CIA）在通過上述“Vault7”（穹頂7）網(wǎng)絡(luò)武器實施攻擊竊密過程中，還衍生和使用了大量“Vault7” （穹頂7）資料之外的攻擊樣本，現(xiàn)已提取的樣本中包括偽裝的釣魚軟件安裝包、鍵盤記錄組件、系統(tǒng)信息收集組件、USB文件竊取模塊和不同的開源黑客工具等。

3. 美國中央情報局（CIA）網(wǎng)絡(luò)攻擊武器樣本功能分析

在針對中國境內(nèi)多起典型網(wǎng)絡(luò)攻擊事件的調(diào)查過程中，360公司從受害單位信息網(wǎng)絡(luò)中捕獲并成功提取了一大批與網(wǎng)曝美國中央情報局（CIA）“Vault7”（穹頂7）資料緊密關(guān)聯(lián)的木馬程序、功能插件和攻擊平臺樣本。深入分析發(fā)現(xiàn)，相關(guān)程序樣本大都遵循了“Vault7”（穹頂7）資料中的《Network Operations Division In-memory Code Execution Specification》、《Network Operations Division Cryptographic Requirements》和《Network Operations Division Persisted DLL Specification》等美國中央情報局（CIA）惡意軟件開發(fā)標準和技術(shù)規(guī)范。這些標準和規(guī)范分別對應(yīng)網(wǎng)絡(luò)攻擊竊密活動中惡意代碼的加載執(zhí)行、數(shù)據(jù)加密和持久化行為，相關(guān)網(wǎng)絡(luò)武器進行了極其嚴格的規(guī)范化、流程化和專業(yè)化的軟件工程管理。據(jù)悉，目前只有美國中央情報局（CIA）嚴格遵守這些標準和規(guī)范開發(fā)網(wǎng)絡(luò)攻擊武器。

據(jù)“Vault7”（ 穹頂7）資料顯示，上述網(wǎng)絡(luò)攻擊武器歸屬于美國中央情報局（CIA）的EDG（工程開發(fā)組），由其下屬的AED（應(yīng)用工程部）和EDB（嵌入式設(shè)備分部）等多個分部獨立或聯(lián)合研發(fā)。這些網(wǎng)絡(luò)武器大都誕生于一個名為“devlan.net”的美國中央情報局（CIA）最高機密內(nèi)部網(wǎng)絡(luò)中?！癲evlan.net”是美國中央情報局（CIA）工程開發(fā)部（EDG）建立的龐大的網(wǎng)絡(luò)武器開發(fā)測試基礎(chǔ)設(shè)施。另據(jù)“devlan.net”的開發(fā)日志數(shù)據(jù)顯示，僅“HIVE”（蜂巢）一個項目就至少投入EDG兩百余名工程師參與研發(fā)。

進一步技術(shù)分析發(fā)現(xiàn)，美國中央情報局（CIA）的后門程序和攻擊組件大都以無實體文件的內(nèi)存駐留執(zhí)行的方式運行，這使得對相關(guān)樣本的發(fā)現(xiàn)和取證難度極大。即使這樣，聯(lián)合技術(shù)團隊還是成功找到了解決取證難題的有效方法。為后續(xù)描述和分析問題方便，我們暫且將美國中央情報局（CIA）的攻擊武器分為9個類別：

3.1 框架平臺類。我們發(fā)現(xiàn)并捕獲了Fluxwire（磁通線）、Grasshopper（蚱蜢）、Athena（雅典娜）的攻擊樣本和攻擊活動，經(jīng)過實地檢測，這些樣本的功能、攻擊特征和網(wǎng)絡(luò)行為均可與“Vault7”（穹頂7）資料中的描敘一一印證。

3.2 攻擊模塊投遞類。美國中央情報局（CIA）使用了大量功能簡單的小型惡意代碼下載器，用于加載執(zhí)行更多的惡意代碼及模塊，相關(guān)樣本無特別的惡意功能及特征，但在與框架平臺等攻擊武器配合時卻可展現(xiàn)出強大的竊密功能，極難將其歸因溯源。

3.3 遠程控制類。現(xiàn)已提取多款遠程控制插件，大都屬于框架平臺類攻擊武器衍生出的攻擊模塊組件，二者之間相互配合。

3.4 橫向移動類。提取到的大量惡意程序樣本中，包含多款通過系統(tǒng)管理員憑據(jù)使用Windows遠程服務(wù)安裝植入的后門程序。除此之外，美國中央情報局（CIA）還劫持多種安全產(chǎn)品內(nèi)網(wǎng)的升級程序，通過內(nèi)網(wǎng)升級服務(wù)器的升級功能下發(fā)安裝后門程序，實施內(nèi)網(wǎng)中的橫向移動攻擊。

3.5 信息收集竊取類。聯(lián)合技術(shù)團隊偶然提取到美國中央情報局（CIA）使用的一款信息竊取工具，它屬于網(wǎng)曝美國國家安全局（NSA）機密文檔《ANT catalog》48種先進網(wǎng)絡(luò)武器中的一個，是美國國家安全局（NSA）的專用信息竊取工具。這種情況說明美國中央情報局（CIA）和美國國家安全局（NSA）會聯(lián)合攻擊同一個受害目標，或相互共享網(wǎng)絡(luò)攻擊武器，或提供相關(guān)技術(shù)或人力支持。這為對APT-C-39攻擊者身份的歸因溯源補充了新的重要證據(jù)。

3.6 漏洞利用類。調(diào)查中發(fā)現(xiàn)，至少從2015年開始，美國中央情報局（CIA）就在世界各地建立了龐大的網(wǎng)絡(luò)攻擊跳板資源，利用“零日”（0day）漏洞對全球范圍IOT（物聯(lián)網(wǎng)）設(shè)備和網(wǎng)絡(luò)服務(wù)器無差別攻擊，并將其中的大量失陷設(shè)備轉(zhuǎn)換為跳板“肉雞”，或隱藏自身攻擊行為，或?qū)⒕W(wǎng)絡(luò)攻擊嫁禍給其他國家。例如，美國中央情報局（CIA）使用代號為“ChimayRed”（智美紅帽）的漏洞攻擊套件定向攻擊多個型號的MikroTik品牌路由器，其中包括中國境內(nèi)大量使用這種路由器的網(wǎng)絡(luò)設(shè)備。攻擊過程中，美國中央情報局（CIA）首先會惡意修改路由器啟動腳本，使路由器重啟后仍執(zhí)行后門程序；然后，美國中央情報局（CIA）再修改路由器的CGI程序堵住被美國中央情報局（CIA）自身利用的漏洞，防止其他攻擊者再次入侵造成權(quán)限丟失；最終，美國中央情報局（CIA）會向路由器植入“蜂巢”（HIVE）或“TinyShell”等只有美國中央情報局（CIA）可以使用的專屬后門程序。

3.7 偽裝正常軟件類。美國中央情報局（CIA）針對攻擊目標的網(wǎng)絡(luò)環(huán)境，將后門程序定制偽裝為目標使用的用戶量較少的冷門軟件安裝包，針對目標實施精準的社會工程學攻擊。

3.8 安全軟件攻防類。美國中央情報局（CIA）掌握了專門用于攻擊商業(yè)殺毒軟件的攻擊工具，可以通過這些專用工具遠程關(guān)閉和殺死指定殺毒軟件的進程，使相關(guān)殺毒軟件對美國中央情報局（CIA）的攻擊行為或攻擊武器失效。

3.9 第三方開源工具類。美國中央情報局（CIA）也會經(jīng)常使用現(xiàn)成的開源黑客工具進行攻擊活動。美國中央情報局（CIA）網(wǎng)路攻擊行動的初始攻擊一般會針對受害者的網(wǎng)絡(luò)設(shè)備或服務(wù)器實施，也會進行社會工程學攻擊。在獲得目標權(quán)限之后，其會進一步探索目標機構(gòu)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，在內(nèi)網(wǎng)中向其它聯(lián)網(wǎng)設(shè)備進行橫向移動，以竊取更多敏感信息和數(shù)據(jù)。被美國中央情報局（CIA）控制的目標計算機，會被進行24小時的實時監(jiān)控，受害者的所有鍵盤擊鍵都會被記錄，剪切板復制粘貼信息會被竊取，USB設(shè)備（主要以移動硬盤、U盤等）的插入狀態(tài)也會被實時監(jiān)控，一旦有USB設(shè)備接入，受害者USB設(shè)備內(nèi)的私有文件都會被自動竊取。條件允許時，用戶終端上的攝像頭、麥克風和GPS定位設(shè)備都會被遠程控制和訪問。

4. 小結(jié)

美國操縱的網(wǎng)絡(luò)霸權(quán)發(fā)端于網(wǎng)絡(luò)空間，籠罩世界，波及全球，而作為美國三大情報搜集機構(gòu)之一，美國中央情報局（CIA）針對全球發(fā)起的網(wǎng)絡(luò)攻擊行為早已呈現(xiàn)出自動化、體系化和智能化的特征。僅僅在《維基解密》網(wǎng)站中泄露出來的8716份文件中，就包含了美國情治部門諸多重要黑客工具和網(wǎng)絡(luò)攻擊武器，表明美國已經(jīng)打造了全球最大的網(wǎng)絡(luò)武器庫。通過實證分析，我們發(fā)現(xiàn)其網(wǎng)絡(luò)武器使用了極其嚴格的間諜技術(shù)規(guī)范，各種攻擊手法前后呼應(yīng)、環(huán)環(huán)相扣，現(xiàn)已覆蓋全球幾乎所有互聯(lián)網(wǎng)和物聯(lián)網(wǎng)資產(chǎn)，可以隨時隨地控制別國網(wǎng)絡(luò)，盜取別國重要、敏感數(shù)據(jù)，而這無疑需要大量的財力、技術(shù)和人力資源支撐，美國式的網(wǎng)絡(luò)霸權(quán)可見一斑，“黑客帝國”實至名歸。

本系列報告嘗試披露美國中央情報局（CIA）長期針對中國境內(nèi)網(wǎng)絡(luò)目標進行攻擊竊密的各類活動，初步探索這些網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密活動。

針對美國中央情報局（CIA）對我國發(fā)起的高度體系化、智能化、隱蔽化的網(wǎng)絡(luò)攻擊，境內(nèi)政府機構(gòu)、科研院校、工業(yè)企業(yè)和商業(yè)機構(gòu)如何快速“看見”并第一時間進行“處置”尤為重要。為有效應(yīng)對迫在眉睫的網(wǎng)絡(luò)和現(xiàn)實威脅，我們在采用自主可控國產(chǎn)化設(shè)備的同時，應(yīng)盡快組織開展APT攻擊的自檢自查工作，并逐步建立起長效的防御體系，實現(xiàn)全面系統(tǒng)化防治，抵御高級威脅攻擊。

https://www.cverc.org.cn/head/zhaiyao/CIACH.pdf