《美國情報機構網(wǎng)絡(luò )攻擊的歷史回顧》報告發(fā)布

“斯諾登事件”迄今已近十年，伴隨著(zhù)“棱鏡門(mén)”的曝光，國家級網(wǎng)絡(luò )攻擊行為逐漸浮出水面。早在此前，已有多方信息顯示，美相關(guān)機構利用其技術(shù)和先發(fā)優(yōu)勢針對他國開(kāi)展網(wǎng)絡(luò )攻擊行為。為系統呈現美情報機構開(kāi)展全球網(wǎng)絡(luò )攻擊活動(dòng)的情況，中國網(wǎng)絡(luò )安全產(chǎn)業(yè)聯(lián)盟（CCIA）精心編制，并于今日發(fā)布了《美國情報機構網(wǎng)絡(luò )攻擊的歷史回顧——基于全球網(wǎng)絡(luò )安全界披露信息分析》（以下簡(jiǎn)稱(chēng)《報告》）。

《報告》立足網(wǎng)絡(luò )安全專(zhuān)業(yè)視角，堅持科學(xué)、客觀(guān)、中立原則，基于全球數十家網(wǎng)絡(luò )安全企業(yè)、研究機構及專(zhuān)家學(xué)者的近千份研究文獻，充分整合各方分析過(guò)程及研究成果，力求通過(guò)業(yè)界和學(xué)界的分析實(shí)證，努力呈現美相關(guān)機構對他國進(jìn)行網(wǎng)絡(luò )攻擊的情況，揭示網(wǎng)絡(luò )霸權對全球網(wǎng)絡(luò )空間秩序構成的重大破壞及嚴重威脅。

(相關(guān)資料圖)

《報告》按照時(shí)間和事件脈絡(luò )，共分為13篇，主要包括美國情報機構網(wǎng)絡(luò )攻擊他國關(guān)鍵基礎設施，進(jìn)行無(wú)差別網(wǎng)絡(luò )竊密與監控，植入后門(mén)污染標準及供應鏈源頭，開(kāi)發(fā)網(wǎng)絡(luò )攻擊武器并造成泄露，所售商用攻擊平臺失控而成為黑客利器，干擾和打壓正常的國際技術(shù)交流與合作，打造符合美國利益的標準及秩序，阻礙全球信息技術(shù)發(fā)展，制造網(wǎng)絡(luò )空間的分裂與對抗等。

各篇概要如下：

第一篇 網(wǎng)絡(luò )戰的開(kāi)啟——對“震網(wǎng)”事件的分析

2010年美國情報機構使用“震網(wǎng)”病毒（Stuxnet）攻擊伊朗核設施，打開(kāi)了網(wǎng)絡(luò )戰的“潘多拉魔盒”。在信息技術(shù)發(fā)展歷史上，出現過(guò)大量網(wǎng)絡(luò )病毒和攻擊事件，但“震網(wǎng)”事件是首個(gè)得到充分技術(shù)實(shí)證、對現實(shí)世界中的關(guān)鍵工業(yè)基礎設施造成了與傳統物理毀傷等效的網(wǎng)絡(luò )攻擊行動(dòng)。全球網(wǎng)絡(luò )安全廠(chǎng)商與專(zhuān)家的接力分析，對這次攻擊行動(dòng)進(jìn)行了十分充分的畫(huà)像，逐步將幕后黑手鎖定美國情報機構。

2010年6月，白俄羅斯網(wǎng)絡(luò )安全公司VirusBlokAda技術(shù)人員在伊朗客戶(hù)電腦中發(fā)現了一種新的蠕蟲(chóng)病毒，根據代碼中出現的特征字“stux”將其命名為“Stuxnet”；

2010年9月，美國網(wǎng)絡(luò )安全廠(chǎng)商賽門(mén)鐵克披露“震網(wǎng)”病毒的基本情況、傳播方法、攻擊目標，及病毒演化過(guò)程；

俄羅斯網(wǎng)絡(luò )安全廠(chǎng)商卡巴斯基針對“震網(wǎng)”病毒先后發(fā)表數十篇報告，從功能行為、攻擊目標、漏洞利用、規避對抗、命令和控制服務(wù)器等多方面進(jìn)行全面分析，尤其討論了“震網(wǎng)”病毒所利用的LNK漏洞和具有簽名的驅動(dòng)程序，并指出如此復雜的攻擊只能在“國家支持下”才可進(jìn)行；

中國網(wǎng)絡(luò )安全廠(chǎng)商安天陸續發(fā)布3篇報告，分析“震網(wǎng)”病毒的攻擊過(guò)程、傳播方式、攻擊意圖、文件衍生關(guān)系和利用的多個(gè)零日漏洞、更新方式及USB擺渡傳播條件的技術(shù)機理，總結其攻擊特點(diǎn)和對工業(yè)控制系統現場(chǎng)設備的影響過(guò)程，并推測可能的攻擊場(chǎng)景，搭建環(huán)境模擬其對工控系統的攻擊過(guò)程；

2013年11月，德國IT安全專(zhuān)家拉爾夫·朗納（Ralph Langner）先后發(fā)表兩篇文章，將“震網(wǎng)”事件稱(chēng)為“網(wǎng)絡(luò )戰的教科書(shū)范例”，基于對“震網(wǎng)”病毒兩個(gè)版本及攻擊事件的跟蹤研究，概括性地勾畫(huà)了“網(wǎng)絡(luò )戰產(chǎn)生物理性戰果”的具體實(shí)現方法和作戰流程。

第二篇 “震網(wǎng)”之后的連鎖反應——對“毒曲”“火焰”“高斯”的跟進(jìn)分析

全球網(wǎng)絡(luò )安全廠(chǎng)商逐步證實(shí)更加復雜的“毒曲”（Duqu）“火焰”（Flame）以及“高斯”(Gauss)等病毒與“震網(wǎng)”同源，與其同期甚至更早前就已經(jīng)開(kāi)始傳播。

2011年10月，匈牙利安全團隊CrySyS發(fā)現了一個(gè)與“震網(wǎng)”非常類(lèi)似的病毒樣本，稱(chēng)之為Duqu （“毒曲”），在與“震網(wǎng)”進(jìn)行對比后，研究人員確定二者極具相似性；

2011年10月，賽門(mén)鐵克發(fā)布報告，詳細分析了“毒曲”病毒的全球感染情況、安裝過(guò)程及加載邏輯;

卡巴斯基從2011年10月起，陸續發(fā)布了關(guān)于“毒曲”病毒的十篇分析報告，認為“毒曲”是一個(gè)多功能框架，具有高度可定制性和通用性。2015年6月，卡巴斯基捕獲到了“毒曲”病毒對其進(jìn)行的攻擊，分析認為攻擊者意圖監控并竊取其源代碼，只有國家支持的團隊才有能力做到；

2012年5月，安天發(fā)布報告分析“毒曲”病毒的模塊結構、編譯器架構、關(guān)鍵功能，指出“毒曲”與“震網(wǎng)”在結構和功能上具有一定的相似性，并根據編碼心理學(xué)，判斷二者具有同源性；

2012年4月，伊朗石油部和伊朗國家石油公司遭到“火焰”病毒攻擊?？ò退够治稣J為“火焰”是當時(shí)攻擊機制最復雜、威脅程度最高的計算機病毒之一，結構復雜度是“震網(wǎng)”病毒的20倍，幕后團隊很可能由政府機構操縱；

2012年5月，安天發(fā)布報告，分析了“火焰”病毒的運行邏輯、傳播機理和主要模塊功能，認為“火焰”是一個(gè)比“震網(wǎng)”具有更多模塊的復雜組件化木馬，其漏洞攻擊模塊中包含曾被“震網(wǎng)”病毒使用過(guò)的USB攻擊模塊，佐證了二者的同源關(guān)系；

2012年8月，卡巴斯基發(fā)現“高斯”病毒，稱(chēng)有足夠證據表明“高斯”與“火焰”“震網(wǎng)”密切相關(guān)，由與“震網(wǎng)”“毒曲”“火焰”相關(guān)的組織創(chuàng )建；

2019年9月，安天經(jīng)過(guò)持續跟蹤研究發(fā)布報告“震網(wǎng)事件的九年再復盤(pán)與思考”，分析了“震網(wǎng)”各個(gè)版本的特點(diǎn)、產(chǎn)生原因、作用機理、相關(guān)高級惡意代碼工程框架，以及“震網(wǎng)”“毒曲”“火焰”“高斯”“方程式組織”所使用惡意代碼間的關(guān)聯(lián)。

第三篇 超級機器的全貌——斯諾登事件跟進(jìn)分析

2013年6月5日，英國《衛報》率先報道美國中央情報局（CIA）情報職員斯諾登爆料的NSA代號為“棱鏡”（PRISM）秘密項目，曝光了包括微軟、雅虎、谷歌、蘋(píng)果等在內的9家國際網(wǎng)絡(luò )巨頭配合美國政府秘密監聽(tīng)通話(huà)記錄、電子郵件、視頻和照片等信息，甚至入侵包括德國、韓國在內的多個(gè)國家的網(wǎng)絡(luò )設備。隨著(zhù)斯諾登泄露文件的逐步公開(kāi)，全球網(wǎng)絡(luò )安全廠(chǎng)商對于美國情報機構網(wǎng)絡(luò )空間行動(dòng)的相關(guān)工程體系、裝備體系有了更多可以分析的文獻資料，美國網(wǎng)絡(luò )空間超級機器的全貌逐步顯現。

2013年7月，安天發(fā)布分析文章，指出斯諾登事件暴露的重點(diǎn)內容主要包括：一是“棱鏡”項目作為NSA網(wǎng)絡(luò )情報系統的一個(gè)組成部分，主要利用美國互聯(lián)網(wǎng)企業(yè)所提供的接口進(jìn)行數據檢索、查詢(xún)和收集工作；二是谷歌、微軟、蘋(píng)果、臉譜等美國大型互聯(lián)網(wǎng)企業(yè)大多與此計劃有關(guān)聯(lián)；三是NSA下屬的特定入侵行動(dòng)辦公室（TAO）對中國進(jìn)行了長(cháng)達15年的攻擊，相關(guān)行動(dòng)得到了思科的幫助；

2017年12月安天發(fā)布系列文章，深度解析斯諾登泄露文件中的“星風(fēng)”計劃等，指出美國開(kāi)展了以“棱鏡”為代表的大量網(wǎng)絡(luò )情報竊聽(tīng)項目和計劃，形成覆蓋全球的網(wǎng)絡(luò )情報獲取能力，并在此基礎上，建立了以“湍流”（TURBULENCE）為代表的進(jìn)攻性能力支撐體系，通過(guò)被動(dòng)信號情報獲取、主動(dòng)信號情報獲取、任務(wù)邏輯控制、情報擴散與聚合、定向定位等相關(guān)能力模塊，實(shí)現完整的網(wǎng)絡(luò )空間情報循環(huán)，再結合“監護”（TUTELAGE）、“量子”（QUANTUM）等網(wǎng)絡(luò )空間攻防能力模塊，進(jìn)一步實(shí)現情報驅動(dòng)的網(wǎng)絡(luò )空間積極防御和進(jìn)攻行動(dòng)；

2022年3月，中國網(wǎng)絡(luò )安全廠(chǎng)商360發(fā)布報告，披露NSA長(cháng)達十余年對全球發(fā)起的無(wú)差別攻擊，尤其對“量子”攻擊系統、“酸狐貍”（FOXACID）零日漏洞攻擊平臺、“驗證器”（VALIDATOR）和“聯(lián)合耙”（UNITEDRAKE）后門(mén)進(jìn)行分析，分析表明全球受害單位感染量或達百萬(wàn)級。

第四篇 后門(mén)的傳言—對美國污染加密通訊標準的揭露

全球網(wǎng)絡(luò )安全業(yè)界和學(xué)術(shù)界通過(guò)不懈努力，證實(shí)了美國通過(guò)植入后門(mén)操縱國際信息安全標準的行徑。其做法動(dòng)搖了整個(gè)互聯(lián)網(wǎng)的技術(shù)信任基礎，對全球國際關(guān)系生態(tài)環(huán)境造成極為惡劣的影響。

2007年，微軟密碼學(xué)家從技術(shù)角度進(jìn)行分析，說(shuō)明美NIST在2006年通過(guò)SP 800-90A推薦的雙橢圓曲線(xiàn)（Dual EC）確定性隨機位發(fā)生器（DRBG）算法存在可植入后門(mén)的可能性；

2013年斯諾登泄露文檔不僅證實(shí)了此前的后門(mén)猜測，還曝光了NSA對密碼體系的長(cháng)期、系統性的操控，利用加密標準漏洞對全球的監控；

2015年，美國“連線(xiàn)”雜志披露了NSA對VPN通信攻擊的加密漏洞Logjam；

2020年，美國、德國和瑞士媒體聯(lián)合披露CIA通過(guò)操縱密碼機生產(chǎn)廠(chǎng)商Crypto AG，長(cháng)期竊取全球多個(gè)國家政企用戶(hù)加密通訊內容。

第五篇 固件木馬的實(shí)證——“方程式組織”正式浮出水面

固件是寫(xiě)入硬件的軟件，其比操作系統更底層，甚至先于操作系統加載。如果把病毒寫(xiě)入固件中，就更隱蔽和難以發(fā)現。全球網(wǎng)絡(luò )安全產(chǎn)業(yè)界和學(xué)術(shù)界逐步證實(shí)了美國利用硬盤(pán)固件完成“持久化”的攻擊活動(dòng)。

2014年1月，專(zhuān)注研究BIOS安全的網(wǎng)絡(luò )安全專(zhuān)家達爾馬萬(wàn)·薩利亨（Darmawan Salihun）撰文，分析曝光NSA的BIOS后門(mén)DEITYBOUNCE、GODSURGE等，并將這些惡意軟件稱(chēng)為“上帝模式”；

2015年2月至3月期間，卡巴斯基發(fā)布系列報告，揭露名為“方程式組織”（Equation Group）的APT組織，稱(chēng)其已活躍了近20年，是“震網(wǎng)”和“火焰”病毒的幕后操縱者，在攻擊復雜性和攻擊技巧方面超越了歷史上所有的網(wǎng)絡(luò )攻擊組織。

2016年，卡巴斯基根據RC算法的常量值，驗證了黑客組織“影子經(jīng)紀人”泄露的NSA數據屬于“方程式組織”，指出“方程式組織”在高價(jià)值目標中針對硬盤(pán)固件實(shí)現攻擊持久化的植入；

2015年3月和4月，安天先后發(fā)布兩篇報告，分析“方程式組織”主要攻擊平臺的組成結構、關(guān)聯(lián)關(guān)系、回傳信息、指令分支、C2地址、插件功能，并解析了關(guān)鍵插件“硬盤(pán)重編程”模塊的攻擊技術(shù)原理，以及多個(gè)組件的本地配置和網(wǎng)絡(luò )通訊加密算法和密鑰；

2022年2月，中國網(wǎng)絡(luò )安全廠(chǎng)商奇安信發(fā)布報告稱(chēng)，通過(guò)“影子經(jīng)紀人”與斯諾登泄露的數據驗證了Bvp47是屬于NSA“方程式組織”的頂級后門(mén)，并還原了Dewdrops、“飲茶”（Suctionchar_Agent）嗅探木馬與Bvp47后門(mén)程序等其他組件配合實(shí)施聯(lián)合攻擊的場(chǎng)景。

第六篇 覆蓋全平臺的網(wǎng)絡(luò )攻擊——“方程式組織”Solaris和Linux樣本的曝光

網(wǎng)絡(luò )安全研究人員發(fā)現，超級攻擊組織力圖將其載荷能力擴展到一切可以達成入侵和持久化的場(chǎng)景。在這些場(chǎng)景中，各種服務(wù)器操作系統，如Linux、Solaris、FreeBSD等，更是其高度關(guān)注的目標?；谶@樣的研判，對于“方程式組織”這一超級APT攻擊組織，網(wǎng)絡(luò )安全廠(chǎng)商展開(kāi)了細致深入的跟蹤研究。

2015年2月，卡巴斯基提出“方程式組織”可能具有多平臺攻擊能力，有實(shí)例證明，“方程式組織”惡意軟件DOUBLEFANTASY存在Mac OS X版本；

2016年11月，安天發(fā)布報告，分析了“方程式組織”針對多種架構和系統的攻擊樣本，全球首家通過(guò)真實(shí)樣本曝光該組織針對Solaris（SPARC架構）、Linux系統攻擊能力；

2017年1月，安天基于“影子經(jīng)紀人”泄露的“方程式組織”樣本分析，繪制“方程式組織”作業(yè)模塊積木圖，揭示了美國通過(guò)精細化模塊實(shí)現前后場(chǎng)控制、按需投遞惡意代碼的作業(yè)方式。

第七篇 泄露的軍火——美國網(wǎng)絡(luò )武器管理失控成為網(wǎng)絡(luò )犯罪的工具

2017年5月12日，WannaCry勒索軟件利用NSA網(wǎng)絡(luò )武器中的“永恒之藍”（Eternalblue）漏洞，制造了一場(chǎng)遍及全球的巨大網(wǎng)絡(luò )災難。超級大國無(wú)節制地發(fā)展網(wǎng)絡(luò )軍備，但又不嚴格保管，嚴重危害全球網(wǎng)絡(luò )安全。

微軟曾在2017年3月份發(fā)布了“永恒之藍”漏洞的補丁，而“影子經(jīng)紀人”在2017年4月公布的“方程式組織”使用的網(wǎng)絡(luò )武器中包含了該漏洞的利用程序，黑客正是運用了這一網(wǎng)絡(luò )武器，針對所有未及時(shí)打補丁的Windows系統電腦實(shí)施了此次全球性大規模攻擊；

中國國家互聯(lián)網(wǎng)應急中心（CNCERT）確認WannaCry勒索軟件在傳播時(shí)基于445端口并利用SMB服務(wù)漏洞（MS17-010），總體可以判斷是由于此前“影子經(jīng)紀人”披露漏洞攻擊工具而導致的黑產(chǎn)攻擊威脅；

卡巴斯基分析認為網(wǎng)絡(luò )攻擊所用的黑客工具“永恒之藍”是由 “影子經(jīng)紀人”此前在網(wǎng)上披露，來(lái)自NSA的網(wǎng)絡(luò )武器庫；

安天對該勒索軟件利用的SMB漏洞MS17-010進(jìn)行分析，將其定性為“軍火級攻擊裝備的非受控使用”，并隨后發(fā)布了“關(guān)于系統化應對NSA網(wǎng)絡(luò )軍火裝備的操作手冊”；

360檢測到該勒索軟件傳播后迅速發(fā)布警報，呼吁民眾及時(shí)安裝系統補丁和安全軟件，并在獲取到樣本后，推出了系列解決方案。

美國網(wǎng)絡(luò )武器庫中的其他“軍火”一旦泄露可能會(huì )被針對性地使用，其衍生的危害可能不低于“永恒之藍”，它們的存在和泄露更加令人擔憂(yōu)。

第八篇 軍備的擴散——美國滲透測試平臺成為黑客普遍利用的工具

美國未對其銷(xiāo)售的自動(dòng)化攻擊平臺進(jìn)行有效約束管控，導致滲透攻擊測試平臺Cobalt Strike等成為黑客普遍利用的工具，不僅給全球網(wǎng)絡(luò )空間埋下了安全隱患，而且對他國安全造成了無(wú)法預估的潛在影響。

2015年5月，安天發(fā)現在一例針對中國政府機構的準APT攻擊事件中，攻擊者依托Cobalt Strike平臺生成的、使用信標（Beacon）模式進(jìn)行通信的Shellcode，實(shí)現對目標主機遠程控制。在2015年中國互聯(lián)網(wǎng)安全大會(huì )（ISC 2015）上，安天對Regin、Cobalt Strike等主要商業(yè)化網(wǎng)絡(luò )武器進(jìn)行了系統梳理，分析指出，Cobalt Strike創(chuàng )始人拉菲爾·穆奇在美軍現役和預備役網(wǎng)絡(luò )部隊的服役和研發(fā)背景，清晰地反映了美軍事網(wǎng)絡(luò )技術(shù)和能力的外溢及破壞性；

美國安全公司Proofpoint調查結果顯示，2020年威脅行為體對Cobalt Strike的運用較上一年增加了161%，2019年至2021年，濫用Cobalt Strike的攻擊中有15%與已知的黑客組織有關(guān)；

美國網(wǎng)絡(luò )安全公司Sentinelone分析顯示，Egregor勒索軟件的主要分發(fā)方式是Cobalt Strike；

奇安信監測發(fā)現，威脅組織“Blue Mockingbird”利用Telerik UI漏洞（CVE-2019-18935）攻陷服務(wù)器，進(jìn)而安裝Cobalt Strike信標并劫持系統資源挖掘門(mén)羅幣。

第九篇 “拱形”計劃的曝光——應對美國對網(wǎng)絡(luò )安全廠(chǎng)商的監控

2015年6月22日，斯諾登披露了美國、英國有關(guān)情報機構實(shí)施的“拱形”計劃（CamberDADA）。該計劃主要利用美國入侵全球運營(yíng)商的流量獲取能力，對卡巴斯基等反病毒廠(chǎng)商和用戶(hù)間通訊進(jìn)行監控，以獲取新的病毒樣本及其他信息。該計劃后續目標包括歐洲和亞洲16個(gè)國家的23家全球重點(diǎn)網(wǎng)絡(luò )安全廠(chǎng)商，其中包括中國網(wǎng)絡(luò )安全廠(chǎng)商安天。

分析認為，“拱形”計劃的目的：一是捕獲全球用戶(hù)向反病毒廠(chǎng)商上報的樣本，二是為T(mén)AO提供可重用樣本資源，三是監測反病毒廠(chǎng)商的處理能力及是否放行某些惡意代碼樣本。

美國“攔截者”刊文稱(chēng)，“拱形”計劃顯示自2008年開(kāi)始NSA就針對卡巴斯基和其他反病毒廠(chǎng)商的軟件展開(kāi)了系統性的間諜活動(dòng)；

美國“連線(xiàn)”刊文稱(chēng)，“拱形”計劃描繪了一個(gè)系統性的軟件“逆向工程”活動(dòng)，通過(guò)監控網(wǎng)絡(luò )安全廠(chǎng)商發(fā)現軟件漏洞，以便幫助情報機構繞過(guò)這些軟件；

美國“福布斯”刊文稱(chēng)，“拱形”計劃監控名單是美國情報機構對“五眼聯(lián)盟”國家以外的、有能力發(fā)現和遏制其網(wǎng)絡(luò )活動(dòng)的安全廠(chǎng)商“黑名單”；

中國新華社刊文稱(chēng)，被列入監控范圍的反病毒企業(yè)紛紛對此表示不安，同時(shí)均稱(chēng)對其安全產(chǎn)品有信心，沒(méi)有發(fā)現產(chǎn)品受到削弱；

安天發(fā)布聲明稱(chēng)，泄密文檔披露的主要是相關(guān)情報機構在公網(wǎng)信道監聽(tīng)獲取用戶(hù)上報給廠(chǎng)商的郵件，并非是對安全廠(chǎng)商自身的網(wǎng)絡(luò )系統和產(chǎn)品進(jìn)行的攻擊。此份監控“目標名單”的出臺，將使本已出現裂痕與猜忌的全球安全產(chǎn)業(yè)更趨割裂。

第十篇 破窗效應——對“影子經(jīng)紀人”和維基解密泄露數據進(jìn)行迭代分析

“影子經(jīng)紀人”和維基解密泄露數據進(jìn)一步揭示了美國NSA和CIA兩大情報機構網(wǎng)絡(luò )軍火庫的真實(shí)面目?！坝白咏?jīng)紀人”分批曝光了NSA針對網(wǎng)絡(luò )安全設備的攻擊裝備、針對全球服務(wù)器攻擊列表清單、入侵SWIFT機構資料、FuzzBunch（FB）漏洞攻擊平臺和DanderSpritz（DSZ）遠控平臺等網(wǎng)絡(luò )武器裝備，并稱(chēng)這些攻擊裝備與“方程式組織”有關(guān)。NSA針對的目標包括俄羅斯、日本、西班牙、德國、意大利等在內的超過(guò)45個(gè)國家的287個(gè)目標，持續時(shí)間長(cháng)達十幾年?！熬S基解密”曝光了8761份據稱(chēng)是CIA網(wǎng)絡(luò )攻擊活動(dòng)的秘密文件，其中包含7818個(gè)網(wǎng)頁(yè)和943份附件。泄露的文件包含龐大攻擊裝備庫的文檔信息，其平臺面覆蓋非常廣泛，不僅包括Windows、Linux、iOS、Android等常見(jiàn)的操作系統，也包括智能電視、車(chē)載智能系統、路由器等網(wǎng)絡(luò )節點(diǎn)單元和智能設備。

全球網(wǎng)絡(luò )安全學(xué)術(shù)界和產(chǎn)業(yè)界在震驚之余，紛紛開(kāi)始對泄露的資料進(jìn)行整理和分析。針對“影子經(jīng)紀人”曝光的材料，梳理出了NSA網(wǎng)絡(luò )作業(yè)體系中以FB、Operation Center（OC）和DSZ為代表的三大核心模塊；而維基解密曝光的“七號軍火庫”（Vault 7）包含的CIA網(wǎng)絡(luò )作業(yè)15個(gè)工具(集)和5個(gè)框架，也得到較為全面的整理。

2017年12月至2018年11月，安天發(fā)布“美國網(wǎng)絡(luò )空間攻擊與主動(dòng)防御能力解析”系列報告，從情報循環(huán)、進(jìn)攻性能力支撐、攻擊裝備和積極防御等多角度對美國網(wǎng)絡(luò )空間攻防能力進(jìn)行了系統化梳理；

2018年10月，卡巴斯基對DSZ中的DarkPulsar后門(mén)進(jìn)行了深度分析，其持久性和潛伏能力的研究結果表明，背后的開(kāi)發(fā)者非常專(zhuān)業(yè)，針對的是具有長(cháng)期監視和控制價(jià)值的目標；

2021年12月，以色列安全廠(chǎng)商Checkpoint分析DSZ中的Double Feature組件后得出結論，DSZ（以及FB和OC）都是“方程式組織”龐大的工具集；

2020年3月，360披露了CIA攻擊組織（APT-C-39）對中國航空航天、科研機構、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機構等關(guān)鍵領(lǐng)域長(cháng)達十一年的網(wǎng)絡(luò )滲透攻擊；2022年3月，360發(fā)布關(guān)于NSA攻擊組織APT-C-40的分析報告稱(chēng)，該組織早在2010年就開(kāi)始了針對中國系列行業(yè)龍頭公司的攻擊；

2022年3月，中國國家計算機病毒應急處理中心（CVERC）正式公開(kāi)發(fā)布了對NSA使用“NOPEN”木馬的分析報告。2022年9月曝光的針對中國西北工業(yè)大學(xué)攻擊中，NSA使用了多達41種網(wǎng)絡(luò )武器，其中就有“影子經(jīng)紀人”泄露過(guò)的NOPEN。

第十一篇 首次完整的溯源——復盤(pán)“方程式組織”攻擊中東技術(shù)設施的完整過(guò)程

2017年4月14日，“影子經(jīng)紀人”曝光的美國網(wǎng)絡(luò )攻擊相關(guān)數據中包含一個(gè)名為SWIFT的文件夾，其中包含一起2012年7月至2013年9月期間，針對中東地區最大的SWIFT服務(wù)提供商EastNets發(fā)起的攻擊行動(dòng)。該行動(dòng)成功竊取了EastNets在比利時(shí)、約旦、埃及和阿聯(lián)酋的上千個(gè)雇員賬戶(hù)、主機信息、登錄憑證及管理員賬號。

2019年6月，安天基于“影子經(jīng)紀人”泄露資料與歷史捕獲分析成果進(jìn)行關(guān)聯(lián)分析，完整復盤(pán)了“方程式組織”攻擊中東最大SWIFT金融服務(wù)提供商EastNets事件，還原美國攻擊跳板、作業(yè)路徑、裝備運用、戰術(shù)過(guò)程、場(chǎng)景環(huán)境和作業(yè)后果，總結了美國此次作業(yè)使用的攻擊裝備信息，指出美國擁有覆蓋全平臺全系統的攻擊能力和大量的零日漏洞儲備。

第十二篇 國際論壇上的斗爭——揭露美國對網(wǎng)絡(luò )空間安全的操控

美國利用其在網(wǎng)絡(luò )空間的話(huà)語(yǔ)權，干擾和打壓正常國際交流，阻撓信息的傳播和共享，而全球網(wǎng)絡(luò )安全廠(chǎng)商和學(xué)術(shù)人員在各種國際會(huì )議和論壇上持續努力，揭露美國網(wǎng)絡(luò )行為、意圖和活動(dòng)。

2015年，德國《明鏡周刊》披露了NSA通過(guò)侵入（并利用）第三方網(wǎng)絡(luò )基礎設施，獲取情報或實(shí)施網(wǎng)絡(luò )攻擊的“第四方情報收集”手法和項目?？ò退够狙芯咳藛T在2017年的Virus Bulletin年度會(huì )議上分析了這一攻擊手法的隱蔽性和高度復雜性；

2016年，美國哥倫比亞大學(xué)國際與公共事務(wù)學(xué)院的高級研究人員杰森·希利（Jason Healey）撰文，深入分析了美國漏洞公平裁決程序（VEP）自2008到2016年的發(fā)展歷程，并對當前（2016年）美國可能囤積的零日漏洞軍火數量進(jìn)行了謹慎的估算；

中國復旦大學(xué)沈逸教授在2013年“新時(shí)代網(wǎng)絡(luò )威脅之路”研討會(huì )對美國國家監控行為進(jìn)行歷史梳理；

安天在2015年“中俄網(wǎng)絡(luò )空間發(fā)展與安全論壇”上，對美“方程式組織”的特點(diǎn)、能力及對中國重點(diǎn)基礎工業(yè)企業(yè)攻擊情況進(jìn)行了分析。

第十三篇 限制和打壓——美國泛化安全概念制裁他國網(wǎng)絡(luò )安全廠(chǎng)商

近年來(lái)，美國為了維護其政治霸權、經(jīng)濟利益以及軍事技術(shù)和能力優(yōu)勢，泛化“國家安全”概念，制裁具備技術(shù)競爭力的他國知名網(wǎng)絡(luò )安全企業(yè)，不顧破壞國際秩序和市場(chǎng)規則，不惜損害包括美國在內的全球消費者利益。其主要做法包括：

禁用卡巴斯基的軟件產(chǎn)品。2017年9月13日，美國國土安全部以卡巴斯基可能威脅美國聯(lián)邦信息系統安全為由，要求所有聯(lián)邦機構90天內卸載所使用的卡巴斯基軟件產(chǎn)品；

運用實(shí)體清單制約中國企業(yè)發(fā)展。2020年5月22日，網(wǎng)絡(luò )安全企業(yè)——奇虎360被美國商務(wù)部列入“實(shí)體清單”；

對曝光美國網(wǎng)絡(luò )攻擊行為的他國安全企業(yè)施壓。2016年12月22日，美國NetScout公司發(fā)文稱(chēng)中國網(wǎng)絡(luò )安全公司安天是“中國反APT”代言人；2022年2月17日，美國國會(huì )“美中經(jīng)濟與安全審查委員會(huì )”（USCC）聽(tīng)證會(huì )特別點(diǎn)名安天和奇虎360，因其公開(kāi)發(fā)表了對NSA和CIA網(wǎng)絡(luò )空間行動(dòng)的分析。

對中國網(wǎng)安企業(yè)另冊排名并據此打壓。自2019年起，Cybersecurity Ventures的“網(wǎng)絡(luò )安全500強”名單被“網(wǎng)絡(luò )安全公司熱門(mén)150強名單”所取代，上榜的均為歐美廠(chǎng)商。2020年9月，Cybersecurity Ventures發(fā)布中國最熱門(mén)、最具創(chuàng )新性的“中國網(wǎng)絡(luò )安全公司”名單，包括安天、奇虎360、奇安信、山石網(wǎng)科、安恒、深信服、微步在線(xiàn)等20家企業(yè)，而2022年USCC聽(tīng)證會(huì )專(zhuān)家正是依據此份名單，建議美商務(wù)部、財政部將其中企業(yè)列入實(shí)體名單、制裁名單。

免責聲明：本文不構成任何商業(yè)建議，投資有風(fēng)險，選擇需謹慎！本站發(fā)布的圖文一切為分享交流，傳播正能量，此文不保證數據的準確性，內容僅供參考

關(guān)鍵詞：