重磅披露：中國(guó)上百個(gè)重要信息系統(tǒng)被美國(guó)植入木馬程序

28日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司分別發(fā)布專(zhuān)題研究報(bào)告，同日披露美國(guó)國(guó)家安全局（NSA）所屬的又一款網(wǎng)絡(luò)攻擊武器“酸狐貍”漏洞攻擊武器平臺(tái)（以下簡(jiǎn)稱(chēng)“酸狐貍平臺(tái)”）。相關(guān)專(zhuān)家對(duì)《環(huán)球時(shí)報(bào)》記者表示，“酸狐貍平臺(tái)”是NSA下屬計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)的主戰(zhàn)裝備，攻擊范圍覆蓋全球，重點(diǎn)攻擊目標(biāo)指向中國(guó)和俄羅斯，美國(guó)的做法不能不讓人懷疑其正在積極為發(fā)動(dòng)更大規(guī)模的網(wǎng)絡(luò)戰(zhàn)做準(zhǔn)備。

 

針對(duì)中國(guó)和俄羅斯，“酸狐貍平臺(tái)”設(shè)置專(zhuān)用服務(wù)器

 

近期，中國(guó)多家科研機(jī)構(gòu)先后發(fā)現(xiàn)了“驗(yàn)證器”木馬程序的活動(dòng)痕跡。

 

360公司28日發(fā)布的研究報(bào)告表明，根據(jù)可考究的美國(guó)NSA機(jī)密文檔顯示：“驗(yàn)證器”是一種小型植入木馬，可以遠(yuǎn)程部署，也可以手動(dòng)部署在任何Windows系統(tǒng)上，從Windows 98到Windows Server 2003都適配。同時(shí)，其具有7×24小時(shí)在線運(yùn)行能力，使美國(guó)NSA的系統(tǒng)操控者和數(shù)據(jù)竊密者可以上傳下載文件、遠(yuǎn)程運(yùn)行程序、獲取系統(tǒng)信息、偽造ID，并能夠在特定情況下緊急自毀。在這一武器助力下，美國(guó)NSA能對(duì)攻擊目標(biāo)開(kāi)展系統(tǒng)環(huán)境信息的收集，同時(shí)也為安裝（植入）更為復(fù)雜的木馬程序提供條件。

 

此前，360公司發(fā)現(xiàn)并公開(kāi)披露了美國(guó)NSA利用一系列網(wǎng)絡(luò)武器對(duì)包含中國(guó)在內(nèi)的世界各國(guó)的政府機(jī)構(gòu)、重要組織和信息基礎(chǔ)設(shè)施目標(biāo)發(fā)起持續(xù)性攻擊行動(dòng)。在整個(gè)攻擊過(guò)程中，美國(guó)NSA會(huì)通過(guò)植入以“驗(yàn)證器”為代表的后門(mén)程序，并長(zhǎng)期潛伏在目標(biāo)用戶(hù)的上網(wǎng)終端中，再通過(guò)這些后門(mén)程序發(fā)起更多復(fù)雜的網(wǎng)絡(luò)攻擊滲透。

 

而該木馬程序據(jù)信是“酸狐貍”漏洞攻擊武器平臺(tái)默認(rèn)使用的標(biāo)配程序。這種情況表明，前文提到的中國(guó)科研單位曾經(jīng)遭受過(guò)美國(guó)NSA“酸狐貍”漏洞攻擊武器平臺(tái)的網(wǎng)絡(luò)攻擊。

 

根據(jù)介紹，“酸狐貍平臺(tái)”是NSA特定入侵行動(dòng)辦公室（TAO）對(duì)他國(guó)開(kāi)展網(wǎng)絡(luò)間諜行動(dòng)的重要陣地基礎(chǔ)設(shè)施，現(xiàn)已成為計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)（CNE）的主力裝備。該武器平臺(tái)主要被用于突破位于受害目標(biāo)辦公內(nèi)網(wǎng)的主機(jī)系統(tǒng)，并向其植入各類(lèi)木馬、后門(mén)等以實(shí)現(xiàn)持久化控制。酸狐貍平臺(tái)采用分布式架構(gòu)，由多臺(tái)服務(wù)器組成，按照任務(wù)類(lèi)型進(jìn)行分類(lèi)，包括：垃圾釣魚(yú)郵件、中間人攻擊、后滲透維持等。

 

CNE下設(shè)一名或多名“酸狐貍”項(xiàng)目教官，這些教官可以領(lǐng)導(dǎo)一個(gè)或多個(gè)“酸狐貍”行動(dòng)組，行動(dòng)組中包括多名隊(duì)員，分別承擔(dān)直接支援特定的網(wǎng)絡(luò)入侵行動(dòng)、維護(hù)酸狐貍服務(wù)器等職責(zé)。TAO在全球范圍內(nèi)部署酸狐貍平臺(tái)服務(wù)器，服務(wù)器按照目標(biāo)所處區(qū)域進(jìn)行分布式部署，包括中東地區(qū)、亞洲地區(qū)、歐洲地區(qū)等，其中編號(hào)前綴為XS的服務(wù)器是統(tǒng)籌多項(xiàng)任務(wù)的主服務(wù)器。

 

值得注意的是，編號(hào)為XS11的服務(wù)器被明確分配給英國(guó)情報(bào)機(jī)構(gòu)“英國(guó)政府通信總部”（GCHQ）開(kāi)展中間人網(wǎng)絡(luò)攻擊行動(dòng)。此外，TAO針對(duì)中國(guó)和俄羅斯目標(biāo)設(shè)置了專(zhuān)用的“酸狐貍平臺(tái)”服務(wù)器，編號(hào)為FOX00-64的系列服務(wù)器被用于支援計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)的漏洞攻擊行動(dòng)，其中編號(hào)為FOX00-6401的服務(wù)器專(zhuān)門(mén)針對(duì)中國(guó)目標(biāo)，F(xiàn)OX00-6402的服務(wù)器專(zhuān)門(mén)針對(duì)俄羅斯目標(biāo)。

 

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心相關(guān)專(zhuān)家對(duì)《環(huán)球時(shí)報(bào)》記者表示，“酸狐貍平臺(tái)”在進(jìn)行漏洞利用前，會(huì)對(duì)目標(biāo)主機(jī)的軟硬件環(huán)境進(jìn)行探測(cè)。報(bào)告中披露的“酸狐貍平臺(tái)”規(guī)則配置文件表明，該武器平臺(tái)明確將在我國(guó)和俄羅斯的計(jì)算機(jī)殺毒軟件作為“技術(shù)對(duì)抗”目標(biāo)。而且美國(guó)在國(guó)際互聯(lián)網(wǎng)上專(zhuān)門(mén)部署了針對(duì)中國(guó)和俄羅斯的網(wǎng)絡(luò)間諜活動(dòng)服務(wù)器，用于植入惡意程序并竊取情報(bào)。

 

美國(guó)為了維持其網(wǎng)絡(luò)霸權(quán)，不惜“監(jiān)控全人類(lèi)”，這一點(diǎn)在美國(guó)各屆政府都沒(méi)有改變過(guò)。就在今年6月1日，美國(guó)國(guó)家安全局局長(zhǎng)兼網(wǎng)絡(luò)司令部司令中曾根證實(shí)，在俄烏沖突中，美國(guó)對(duì)俄羅斯發(fā)起了一系列進(jìn)攻性網(wǎng)絡(luò)行動(dòng)以支援烏克蘭。

 

這位專(zhuān)家也表示，美國(guó)在變本加厲對(duì)全球目標(biāo)實(shí)施攻擊竊密的同時(shí)，還不遺余力地“賊喊捉賊”，糾集其所謂盟友國(guó)家，大肆宣揚(yáng)“中國(guó)網(wǎng)絡(luò)威脅論”，詆毀污蔑我國(guó)網(wǎng)絡(luò)安全政策和“一帶一路”等真正互利共贏的國(guó)際經(jīng)濟(jì)文化交流合作計(jì)劃，打壓中國(guó)在境外合法經(jīng)營(yíng)的企業(yè)和新聞媒體，甚至煽動(dòng)民間對(duì)立情緒，鼓動(dòng)所謂民間“道德”黑客向他國(guó)目標(biāo)發(fā)動(dòng)網(wǎng)絡(luò)攻擊。

 

 

“酸狐貍平臺(tái)”服務(wù)器上的過(guò)濾器規(guī)則片段，過(guò)濾器中重點(diǎn)針對(duì)目標(biāo)環(huán)境中的卡巴斯基殺毒軟件、瑞星殺毒軟件、江民殺毒軟件等中國(guó)地區(qū)流行的殺毒軟件。

 

上百個(gè)中國(guó)重要信息系統(tǒng)中發(fā)現(xiàn)“驗(yàn)證器”木馬痕跡

 

在成功提取國(guó)內(nèi)某科研機(jī)構(gòu)重要信息系統(tǒng)中的“驗(yàn)證器”木馬程序樣本的基礎(chǔ)上，360公司第一時(shí)間在國(guó)內(nèi)開(kāi)展掃描檢測(cè)。結(jié)果發(fā)現(xiàn)該木馬程序的不同版本曾在中國(guó)上百個(gè)重要信息系統(tǒng)中運(yùn)行，其植入時(shí)間遠(yuǎn)遠(yuǎn)早于“酸狐貍平臺(tái)”及其組件被公開(kāi)曝光時(shí)間，說(shuō)明NSA對(duì)至少上百個(gè)中國(guó)國(guó)內(nèi)的重要信息系統(tǒng)實(shí)施網(wǎng)絡(luò)攻擊。時(shí)至今日，多個(gè)“驗(yàn)證器”木馬程序仍在一些信息系統(tǒng)中運(yùn)行，向NSA總部傳送情報(bào)。360公司認(rèn)為，“在本地網(wǎng)絡(luò)服務(wù)器或上網(wǎng)終端中發(fā)現(xiàn)‘驗(yàn)證器’樣本，表明這些設(shè)備已經(jīng)遭受NSA的網(wǎng)絡(luò)攻擊，系統(tǒng)中的重要信息已被NSA竊取，并且目標(biāo)系統(tǒng)內(nèi)網(wǎng)中的其它節(jié)點(diǎn)均可能被NSA滲透遠(yuǎn)控。”

 

此外，根據(jù)“酸狐貍平臺(tái)”服務(wù)器上的過(guò)濾器規(guī)則片段，可以判斷該服務(wù)器主要針對(duì)中國(guó)的主機(jī)目標(biāo)進(jìn)行攻擊，過(guò)濾器中重點(diǎn)針對(duì)目標(biāo)環(huán)境中的卡巴斯基殺毒軟件、瑞星殺毒軟件、江民殺毒軟件等中國(guó)地區(qū)流行的殺毒軟件進(jìn)程進(jìn)行了匹配并進(jìn)行了可植入條件判斷。

 

360公司認(rèn)為，不僅在中國(guó)，其他國(guó)家的重要信息基礎(chǔ)設(shè)施中，也正在運(yùn)行大批的“驗(yàn)證器”木馬程序，并且數(shù)量遠(yuǎn)超中國(guó)。

 

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心28日發(fā)布的報(bào)告顯示，更為可怕的是，NSA利用這些武器平臺(tái)與其他“五眼聯(lián)盟”國(guó)家情報(bào)機(jī)構(gòu)合作，建立了一個(gè)覆蓋全球的網(wǎng)絡(luò)情報(bào)搜集體系，在全球范圍布設(shè)了大量隱蔽的情報(bào)搜集服務(wù)器和掩護(hù)跳板服務(wù)器，圍繞該情報(bào)搜集體系建立了一整套情報(bào)工作機(jī)制，常態(tài)化維持著人類(lèi)歷史上規(guī)模最為龐大的間諜網(wǎng)絡(luò)，而且仍在持續(xù)擴(kuò)張，成為全人類(lèi)的共同威脅。

 

上文中的專(zhuān)家也認(rèn)為，盡管鐵證如山，但美國(guó)今后還會(huì)繼續(xù)開(kāi)展網(wǎng)絡(luò)間諜活動(dòng)和網(wǎng)絡(luò)戰(zhàn)。今年6月22日，美國(guó)會(huì)眾議院撥款委員會(huì)通過(guò)了美國(guó)2023財(cái)年7610億美元的國(guó)防支出法案，其中包括美國(guó)防部112億美元的網(wǎng)絡(luò)空間活動(dòng)預(yù)算，較上一財(cái)年增長(zhǎng)8%，并將其網(wǎng)絡(luò)戰(zhàn)部隊(duì)從137支增加到142支。美軍還在全面推進(jìn)JADC2“陸、海、空、天、網(wǎng)”全域指揮作戰(zhàn)能力提升計(jì)劃，其目標(biāo)就是在全域空間中都具備壓倒性軍事優(yōu)勢(shì)。

 

美國(guó)近期還連續(xù)出臺(tái)一系列法案，增加網(wǎng)絡(luò)安全預(yù)算規(guī)模，加強(qiáng)自身關(guān)鍵信息基礎(chǔ)設(shè)施安全防御水平，舉辦各類(lèi)國(guó)內(nèi)和國(guó)際網(wǎng)絡(luò)戰(zhàn)演習(xí)，政府、軍隊(duì)和民間聯(lián)合開(kāi)展網(wǎng)絡(luò)安全人才培養(yǎng)，鼓勵(lì)開(kāi)展網(wǎng)絡(luò)安全研究，限制敏感網(wǎng)絡(luò)安全技術(shù)輸出等。美國(guó)的做法不能不讓人懷疑其正在積極為發(fā)動(dòng)更大規(guī)模的網(wǎng)絡(luò)戰(zhàn)做準(zhǔn)備。

 

 

FA服務(wù)器分布及任務(wù)用途分類(lèi)，其中FOX00-6401的服務(wù)器專(zhuān)門(mén)針對(duì)中國(guó)，F(xiàn)OX00-6402號(hào)服務(wù)器針對(duì)俄羅斯

 

環(huán)球時(shí)報(bào)-環(huán)球網(wǎng)報(bào)道 特約記者 袁宏