【環(huán)球時報特約記者 袁宏】28日��,國家計算機(jī)病毒應(yīng)急處理中心和360公司分別發(fā)布專題研究報告���,同日披露美國國家安全局(NSA)下屬的又一款網(wǎng)絡(luò)攻擊武器“酸狐貍”漏洞攻擊武器平臺(以下簡稱“酸狐貍”平臺)���。相關(guān)專家對《環(huán)球時報》記者表示,“酸狐貍”平臺是NSA下屬計算機(jī)網(wǎng)絡(luò)入侵行動隊(CNE)的主戰(zhàn)裝備���,攻擊范圍覆蓋全球�,重點攻擊目標(biāo)指向中國和俄羅斯����,美國的做法不能不讓人懷疑其正在積極為發(fā)動更大規(guī)模的網(wǎng)絡(luò)戰(zhàn)做準(zhǔn)備�。
針對中俄,“酸狐貍”平臺設(shè)置專用服務(wù)器
近期���,中國多家科研機(jī)構(gòu)先后發(fā)現(xiàn)“驗證器”木馬程序的活動痕跡�。360公司28日發(fā)布的報告表明,根據(jù)可考究的NSA機(jī)密文檔顯示:“驗證器”是一種小型植入木馬����,可以遠(yuǎn)程部署,也可以手動部署在任何Windows系統(tǒng)上��。同時����,其具有7×24小時在線運(yùn)行能力,使NSA的系統(tǒng)操控者和數(shù)據(jù)竊密者可以上傳下載文件��、遠(yuǎn)程運(yùn)行程序��、獲取系統(tǒng)信息�����、偽造ID��,并能夠在特定情況下緊急自毀��。在這一武器助力下�,NSA能對攻擊目標(biāo)開展系統(tǒng)環(huán)境信息的收集,同時也為植入更復(fù)雜的木馬程序提供條件�����。
該木馬程序據(jù)信是“酸狐貍”平臺默認(rèn)使用的標(biāo)配程序。這種情況表明�,前文提到的中國科研單位曾經(jīng)遭受過NSA“酸狐貍”平臺的網(wǎng)絡(luò)攻擊。
據(jù)介紹�,“酸狐貍”平臺是NSA下屬的特定入侵行動辦公室(TAO)對他國開展網(wǎng)絡(luò)間諜行動的重要陣地,現(xiàn)已成為CNE的主力裝備�。該武器平臺主要用于突破位于受害目標(biāo)辦公內(nèi)網(wǎng)的主機(jī)系統(tǒng),并植入各類木馬�、后門等程序以實現(xiàn)持久化控制?����!八岷偂逼脚_采用分布式架構(gòu)���,由多臺服務(wù)器組成���,按任務(wù)類型分類,包括垃圾釣魚郵件��、中間人攻擊�、后滲透維持等���。
CNE下設(shè)一名或多名“酸狐貍”項目教官�����,這些教官可以領(lǐng)導(dǎo)一個或多個“酸狐貍”行動組�,行動組中包括多名隊員,分別承擔(dān)直接支援特定的網(wǎng)絡(luò)入侵行動�����、維護(hù)“酸狐貍”服務(wù)器等職責(zé)�。TAO在全球范圍內(nèi)部署“酸狐貍”平臺服務(wù)器,服務(wù)器按目標(biāo)所處區(qū)域進(jìn)行分布式部署�����,包括中東����、亞洲、歐洲地區(qū)等�,其中編號前綴為XS的服務(wù)器是統(tǒng)籌多項任務(wù)的主服務(wù)器。值得注意的是�����,編號為XS11的服務(wù)器被明確分配給英國情報機(jī)構(gòu)“英國政府通信總部”(GCHQ)開展中間人網(wǎng)絡(luò)攻擊行動。此外�����,TAO針對中國和俄羅斯目標(biāo)設(shè)置了專用的“酸狐貍”平臺服務(wù)器——編號為FOX00-64的系列服務(wù)器被用于支援CNE的漏洞攻擊行動�,其中編號為FOX00-6401的服務(wù)器專門針對中國目標(biāo),F(xiàn)OX00-6402的服務(wù)器專門針對俄羅斯目標(biāo)�。
國家計算機(jī)病毒應(yīng)急處理中心相關(guān)專家對《環(huán)球時報》記者表示,“酸狐貍”平臺在進(jìn)行漏洞利用前�,會對目標(biāo)主機(jī)的軟硬件環(huán)境進(jìn)行探測。報告中披露的“酸狐貍”平臺規(guī)則配置文件表明�����,該平臺明確將在我國和俄羅斯的計算機(jī)殺毒軟件作為“技術(shù)對抗”目標(biāo)���。而且美國在國際互聯(lián)網(wǎng)上專門部署了針對中國和俄羅斯的網(wǎng)絡(luò)間諜活動服務(wù)器���,用于植入惡意程序并竊取情報。
上百個中國重要信息系統(tǒng)中發(fā)現(xiàn)“驗證器”木馬痕跡
在成功提取國內(nèi)某科研機(jī)構(gòu)重要信息系統(tǒng)中的“驗證器”木馬程序樣本的基礎(chǔ)上�����,360公司第一時間在國內(nèi)開展掃描檢測�����。結(jié)果發(fā)現(xiàn)該木馬程序的不同版本曾在中國上百個重要信息系統(tǒng)中運(yùn)行�����,其植入時間遠(yuǎn)遠(yuǎn)早于“酸狐貍”平臺及其組件被曝光的時間���,這說明NSA對至少上百個中國重要信息系統(tǒng)實施網(wǎng)絡(luò)攻擊�。
時至今日��,多個“驗證器”木馬程序仍在一些信息系統(tǒng)中運(yùn)行�����,向NSA總部傳送情報�。360公司認(rèn)為:“在本地網(wǎng)絡(luò)服務(wù)器或上網(wǎng)終端中發(fā)現(xiàn)‘驗證器’樣本,表明這些設(shè)備已遭受NSA網(wǎng)絡(luò)攻擊���,系統(tǒng)中重要信息已被NSA竊取���,且目標(biāo)系統(tǒng)內(nèi)網(wǎng)中的其他節(jié)點均可能被NSA滲透遠(yuǎn)控?����!?/p>
此外,根據(jù)“酸狐貍平臺”服務(wù)器上的過濾器規(guī)則片段�����,可以判斷該服務(wù)器主要針對中國的主機(jī)目標(biāo)進(jìn)行攻擊�����,過濾器中重點針對目標(biāo)環(huán)境中的卡巴斯基殺毒軟件���、瑞星殺毒軟件���、江民殺毒軟件等中國地區(qū)流行的殺毒軟件進(jìn)程進(jìn)行了匹配并進(jìn)行可植入條件判斷。360公司認(rèn)為����,不僅在中國,其他國家的重要信息基礎(chǔ)設(shè)施中也正在運(yùn)行大批的“驗證器”木馬程序�,且數(shù)量遠(yuǎn)超中國。
國家計算機(jī)病毒應(yīng)急處理中心28日發(fā)布的報告顯示��,更可怕的是,NSA利用這些武器平臺與其他“五眼聯(lián)盟”國家情報機(jī)構(gòu)合作����,建立覆蓋全球的網(wǎng)絡(luò)情報搜集體系���,在全球范圍布設(shè)大量隱蔽的情報搜集服務(wù)器和掩護(hù)跳板服務(wù)器����,圍繞該情報搜集體系建立了一整套情報工作機(jī)制�,常態(tài)化維持著人類歷史上規(guī)模最為龐大的間諜網(wǎng)絡(luò),而且仍在持續(xù)擴(kuò)張����,成為全人類的共同威脅。
上文提到的專家認(rèn)為����,盡管鐵證如山,但美國今后還會繼續(xù)開展網(wǎng)絡(luò)間諜活動和網(wǎng)絡(luò)戰(zhàn)����。6月22日,美國會眾議院撥款委員會通過2023財年7616億美元的國防支出法案���,其中包括美國防部112億美元的網(wǎng)絡(luò)空間活動預(yù)算����,較上一財年增長8%,并將其網(wǎng)絡(luò)戰(zhàn)部隊從137支增加到142支�����。美軍還在全面推進(jìn)JADC2“陸���、海���、空、天�、網(wǎng)”全域指揮作戰(zhàn)能力提升計劃,旨在全域空間中都具備壓倒性軍事優(yōu)勢����。美國近期還連續(xù)出臺一系列法案,增加網(wǎng)絡(luò)安全預(yù)算規(guī)模等���。美國的做法不能不讓人懷疑其正在積極為發(fā)動更大規(guī)模的網(wǎng)絡(luò)戰(zhàn)做準(zhǔn)備�。
