-
美國(guó)國(guó)家安全局“APT-C-40”無(wú)差別網(wǎng)絡(luò)攻擊詳解
-
呂棟lvdong@guancha.cn
最后更新: 2022-03-23 21:23:56Quantum(量子)攻擊的實(shí)施過(guò)程分析
美國(guó)國(guó)家安全局(NSA)為了監(jiān)控全球互聯(lián)網(wǎng)目標(biāo),制定了眾多的作戰(zhàn)計(jì)劃,相關(guān)計(jì)劃涉及的具體任務(wù)會(huì)通過(guò)Quantum(量子)系統(tǒng)平臺(tái)實(shí)施,從分析中可推測(cè),在實(shí)施過(guò)程中所采集的大量數(shù)據(jù)都在用戶毫不知情的情況下獲得,滲透技術(shù)使得美國(guó)本土公民和世界其他國(guó)家網(wǎng)民的個(gè)人隱私得不到應(yīng)有的保護(hù),公民隱私權(quán)遭到不同程度的侵犯。
當(dāng)美國(guó)國(guó)家安全局或聯(lián)邦政府其它部門下達(dá)的黑客攻擊任務(wù)提交到Quantum(量子)系統(tǒng)后,攻擊實(shí)施人員首先會(huì)針對(duì)攻擊目標(biāo)的網(wǎng)絡(luò)通信流量進(jìn)行監(jiān)聽(tīng),對(duì)被攻擊目標(biāo)訪問(wèn)的特定網(wǎng)站進(jìn)行定向網(wǎng)絡(luò)劫持,然后通過(guò)各類0day(零日)漏洞向目標(biāo)上網(wǎng)終端中植入VALIDATOR(驗(yàn)證器)等以環(huán)境探查為目的后門程序,完成初始情報(bào)收集。隨后,安裝更多先進(jìn)的后門程序,進(jìn)行一系列精密復(fù)雜的網(wǎng)絡(luò)滲透攻擊,最終完成情報(bào)收集任務(wù)。目標(biāo)上網(wǎng)終端中存儲(chǔ)的靜態(tài)文件、上網(wǎng)流量及通訊內(nèi)容,全都在美國(guó)國(guó)家安全局的竊密之列。
QUANTUM(量子)攻擊的完整實(shí)施過(guò)程分為以下三個(gè)階段,現(xiàn)已完全實(shí)現(xiàn)了工程化、自動(dòng)化:
第一階段
QUANTUM(量子)攻擊實(shí)施者會(huì)首先對(duì)被攻擊目標(biāo)進(jìn)行網(wǎng)絡(luò)定位,整個(gè)定位過(guò)程是通過(guò)NSA持有的一整套“QUANTUM Capabilities”(量子能力),網(wǎng)絡(luò)黑客攻擊工具完成,這些工作具有對(duì)全球互聯(lián)網(wǎng)巨頭網(wǎng)絡(luò)流量的遠(yuǎn)程劫持操控能力。據(jù)NSA機(jī)密文檔顯示,“QUANTUM Capabilities”(量子能力)的定位操作除了針對(duì)特定IP,更重要的是能夠針對(duì)電子郵箱、社交網(wǎng)絡(luò)、搜索引擎、視頻網(wǎng)站等全球網(wǎng)民使用最多的互聯(lián)網(wǎng)服務(wù)及不同的網(wǎng)站賬號(hào)進(jìn)行遠(yuǎn)程定位,快速找出攻擊目標(biāo),所處的網(wǎng)絡(luò)及上網(wǎng)地點(diǎn)。
Quantum(量子)攻擊系統(tǒng)任務(wù)操作介紹第12頁(yè)
第二階段
目標(biāo)定位完成后,QUANTUM量子攻擊操作會(huì)進(jìn)入被NSA稱之為“QUANTUM SIGDEV”(量子監(jiān)控)的階段,該階段的主要任務(wù)是全面監(jiān)控攻擊目標(biāo)的互聯(lián)網(wǎng)賬號(hào)等相關(guān)網(wǎng)絡(luò)通信內(nèi)容和其它網(wǎng)絡(luò)活動(dòng)。如下圖美國(guó)國(guó)家安全局(NSA)機(jī)密文檔所示,美國(guó)國(guó)家安全局(NSA)的Quantum(量子)攻擊系統(tǒng)后臺(tái)顯示了如何監(jiān)控Yahoo(雅虎)、Facebook(臉書)和Hotmail等美國(guó)互聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)注冊(cè)用戶的部分細(xì)節(jié),表明美國(guó)國(guó)家安全局實(shí)際上正在對(duì)全球各地使用美國(guó)互聯(lián)網(wǎng)產(chǎn)品的用戶實(shí)施無(wú)差別監(jiān)控。
Quantum(量子)攻擊系統(tǒng)任務(wù)操作介紹第14頁(yè)
第三階段
QUANTUM(量子)攻擊操作進(jìn)入被NSA稱為“QUANTUMNATION”(量子國(guó)界)的階段,“NATION”代號(hào)具有一定的網(wǎng)絡(luò)空間邊界和國(guó)家邊界的含義。360云端安全大腦目前發(fā)現(xiàn)的美國(guó)國(guó)家安全局(NSA)對(duì)外實(shí)施的大部分網(wǎng)絡(luò)黑客攻擊是針對(duì)其他國(guó)家用戶的漏洞攻擊,攻擊過(guò)程中,NSA會(huì)向目標(biāo)用戶上網(wǎng)終端植入以VALIDATOR(驗(yàn)證器)為代表的NSA后門程序,長(zhǎng)期潛伏在目標(biāo)用戶上網(wǎng)終端中,再通過(guò)這些后門程序發(fā) 起更多復(fù)雜的網(wǎng)絡(luò)攻擊滲透。如下圖NSA機(jī)密文檔所示,Quantum(量子)攻擊系統(tǒng)正在對(duì)目標(biāo)用戶訪問(wèn)的Facebook(臉書)網(wǎng)站實(shí)施CNE(網(wǎng)絡(luò)情報(bào)收集)攻擊任務(wù),NSA的Quantum(量子)攻擊系統(tǒng)后臺(tái)顯示了受害目標(biāo)用戶訪問(wèn)Facebook(臉書)時(shí),NSA實(shí)施漏洞攻擊的確切時(shí)間,同時(shí)還標(biāo)記了受害者網(wǎng)絡(luò)瀏覽器類型等隱私信息。
Quantum(量子)攻擊系統(tǒng)任務(wù)操作介紹第24頁(yè)
我們完整的還原了APT-C-40組織對(duì)中國(guó)境內(nèi)特定機(jī)構(gòu)發(fā)起的黑客攻擊和數(shù)據(jù)竊密事件。
Quantum(量子)注入攻擊的完整實(shí)例分析
通過(guò)以上章節(jié)分析可知,Quantum(量子)攻擊系統(tǒng)是一個(gè)異常復(fù)雜和精密的先進(jìn)網(wǎng)絡(luò)攻擊平臺(tái)。360大數(shù)據(jù)視野中發(fā)現(xiàn)了大量APT-C-40組織實(shí)施的QUANTUMINSERT(量子注入)類型的攻擊痕跡,這些攻擊實(shí)例中包含了用FoxAcid(酸狐貍)網(wǎng)站仿冒服務(wù)器實(shí)施漏洞利用攻擊,向受害者植入以VALIDATOR(驗(yàn)證器)、UNITEDRAKE(聯(lián)合耙)等為代表的NSA專屬后門程序,大量竊取受害者個(gè)人隱私和上網(wǎng)數(shù)據(jù)等內(nèi)容。
FoxAcid(酸狐貍)攻擊武器在執(zhí)行漏洞攻擊任務(wù)時(shí),需要有QUANTUMINSERT(量子注入)和QUANTUMBISCUIT(量子餅干)兩個(gè)Quantum(量子)系統(tǒng)模塊支持,劫持并向FoxAcid(酸狐貍)提供最基礎(chǔ)網(wǎng)絡(luò)流量,F(xiàn)oxAcid(酸狐貍)攻擊武器利用各種主流瀏覽器和Flash等應(yīng)用程序的0day漏洞對(duì)目標(biāo)對(duì)象實(shí)施攻擊,再向其上網(wǎng)終端中植入初始后門程序。
從QUANTUMINSERT(量子注 入)的原理分析看,NSA利用網(wǎng)絡(luò)響應(yīng)速度差來(lái)實(shí)現(xiàn)Quantum(量子)注入攻擊,劫持全球互聯(lián)網(wǎng)上任意終端設(shè)備的正常網(wǎng)頁(yè)瀏覽量。NSA把FoxAcid(酸狐貍)服務(wù)器部署在互聯(lián)網(wǎng)骨干網(wǎng)中,可使網(wǎng)絡(luò)攻擊受害者在真實(shí)網(wǎng)站服務(wù)器響應(yīng)之前接收到NSA量子攻擊劫持后的假冒服務(wù)器響應(yīng),迫使受害者重定向訪問(wèn)NSA的FoxAcid仿冒網(wǎng)站或網(wǎng)頁(yè)資源。
Quantum(量子)注入攻擊在安全業(yè)界又被歸類定義為MotS(Man on the Side)旁路型中間人攻擊,我們觀察到的完整Quantum(量子)注入攻擊過(guò)程如下圖所示:
在完整的攻擊實(shí)例中,Quantum(量子)注入攻擊偽造的HTTP重定向報(bào)文會(huì)先于正常響應(yīng)報(bào)文到達(dá)用戶上網(wǎng)終端。
攻擊過(guò)程中,由美國(guó)國(guó)家安全局(NSA)偽造的數(shù)據(jù)包和正常的網(wǎng)絡(luò)數(shù)據(jù)包會(huì)帶有相同的序列號(hào)(Sequence),對(duì)受害者上網(wǎng)終端形成欺騙。
在真實(shí)的Quantum(量子)系統(tǒng)注入攻擊實(shí)例中,我們發(fā)現(xiàn)量子注入攻擊的實(shí)施方式異常復(fù)雜,呈現(xiàn)出分布式跳板節(jié)點(diǎn)的特征。面對(duì)這種定向、瞬時(shí)、分布式攻擊情況,安全人員難以準(zhǔn)確定位網(wǎng)絡(luò)鏈路中的哪一跳節(jié)點(diǎn)具體實(shí)施了量子注入攻擊,也極難捕獲完整的量子注入攻擊過(guò)程。但即使在如此艱難和復(fù)雜的攻防場(chǎng)景下,360云端安全大腦仍依靠獨(dú)一無(wú)二的安全大數(shù)據(jù)能力,捕獲了大量美國(guó)國(guó)安全局(NSA)的Quantum(量子)注入攻擊的專用后門程序武器樣本。
從被公開(kāi)揭露的NSA機(jī)密文檔《QUANTUM Shooter SBZ Notes》內(nèi)容可以印證:
QUANTUM Shooter SBZ Notes
1. NSA需要在網(wǎng)絡(luò)傳輸線 路上建立被動(dòng)監(jiān)聽(tīng)節(jié)點(diǎn),持 續(xù)不斷竊取信道中的網(wǎng)絡(luò)信號(hào)數(shù)據(jù),并實(shí)現(xiàn)高速解碼和條件匹配,這一項(xiàng)目被NSA稱為TURMOIL(混亂,與量子攻擊系統(tǒng)配套的后門監(jiān)聽(tīng)系統(tǒng)),該系統(tǒng)需要具備極高性能,以確保對(duì)竊取到的網(wǎng)絡(luò)數(shù)據(jù)包解碼匹配時(shí)間盡可能短。
2.一個(gè)具體場(chǎng)景是,當(dāng)NSA網(wǎng)絡(luò)攻擊受害者利用訪問(wèn)Facebook(臉書)等美國(guó)網(wǎng)站,相關(guān)訪問(wèn)流量數(shù)據(jù)包會(huì)被TURMOIL系統(tǒng)定時(shí)監(jiān)聽(tīng)并解析匹配,一旦匹配到NSA想要入侵的攻擊目標(biāo),Quantum(量子)攻擊平臺(tái)就會(huì)通過(guò)TURBINE(渦輪,量子攻擊系統(tǒng)配套的后門植入工具)向感染SBZ(StraitBizarre,一種可以實(shí)施量子注入攻擊的跳板后門)的網(wǎng)絡(luò)設(shè)備發(fā)送命令,控制SBZ向受害者上網(wǎng)終端發(fā)送偽造的量子注入數(shù)據(jù)包,相關(guān)數(shù)據(jù)包通常是進(jìn)行HTTP重定向,迫使受害者訪問(wèn)FoxAcid服務(wù)器。
3.SBZ節(jié)點(diǎn)又被歸類為QUANTUM Shooter(量子射手)節(jié)點(diǎn),由于NSA要保證SBZ發(fā)送的數(shù)據(jù)包先于正常服務(wù)器響應(yīng)數(shù)據(jù)包到達(dá)受害者,相關(guān)節(jié)點(diǎn)必須離受害者足夠“近”(網(wǎng)絡(luò)延遲足夠低)。同時(shí),為了保證攻擊成功率,相關(guān)節(jié)點(diǎn)也會(huì)出現(xiàn)分布式攻擊情況。由于這種攻擊手法常常用于對(duì)特定受害者發(fā)動(dòng)定向攻擊,使QUANTUM Shooter(量子射手)節(jié)點(diǎn)的攻擊行為同時(shí)具備了定向性、瞬時(shí)性和分布式特點(diǎn),導(dǎo)致極難被追蹤分析。
小結(jié)
美國(guó)國(guó)家安全局(NSA)的全球化無(wú)差別黑客入侵行徑,離不開(kāi)龐大而復(fù)雜的網(wǎng)絡(luò)武器平臺(tái)支持。本報(bào)告針對(duì)QUANTUM(量子)攻擊系統(tǒng)的應(yīng)用場(chǎng)景和攻擊實(shí)施過(guò)程進(jìn)行的技術(shù)分析,結(jié)合360云端安全大腦視野發(fā)現(xiàn)的真實(shí)案例,全面印證了美國(guó)國(guó)家安全局(NSA)針對(duì)全球互聯(lián)網(wǎng)用戶實(shí)施大規(guī)模無(wú)差別網(wǎng)絡(luò)攻擊的詳細(xì)情況,也引發(fā)了我們的進(jìn)一步思考:
1.美國(guó)NSA網(wǎng)絡(luò)武器攻擊已完全實(shí)現(xiàn)了工程化、自動(dòng)化。網(wǎng)絡(luò)戰(zhàn)時(shí)代到來(lái),網(wǎng)絡(luò)武器的自動(dòng)化、智能化優(yōu)勢(shì)成為超越信息優(yōu)勢(shì)的“進(jìn)階優(yōu)勢(shì)”,而NSA組織的QUANTUM(量子)系統(tǒng)可能僅是冰山一角,美國(guó)或掌握著更多更高度工程化的網(wǎng)絡(luò)攻擊平臺(tái),其自動(dòng)化的“思考”速度和質(zhì)量,極大提高了美國(guó)自主作戰(zhàn)系統(tǒng)實(shí)現(xiàn)制勝目標(biāo)的優(yōu)勢(shì),也為全球網(wǎng)絡(luò)安全帶來(lái)無(wú)窮隱憂。
2.為實(shí)施并制勝網(wǎng)絡(luò)戰(zhàn),美國(guó)政府充分利用一切先進(jìn)技術(shù)和網(wǎng)絡(luò)資源。美國(guó)有著全球最先進(jìn)的互聯(lián)網(wǎng)技術(shù),這是盡人皆知的,但為了掌握網(wǎng)絡(luò)戰(zhàn)主導(dǎo)權(quán),美國(guó)將諸如QUANTUM(量子)攻擊系統(tǒng)等大量頂級(jí)技術(shù)手段、高端人才、情報(bào)力量納入作戰(zhàn)序列,由此可見(jiàn),美國(guó)對(duì)發(fā)展網(wǎng)絡(luò)作戰(zhàn)力量的重視程度,并不計(jì)成本地投入資源、增加籌碼。
3.美國(guó)的網(wǎng)絡(luò)攻擊屬于無(wú)差別攻擊,目標(biāo)是全球范圍,甚至包括美國(guó)盟友。由上述分析可見(jiàn),美國(guó)針對(duì)各類電子郵箱、社交網(wǎng)絡(luò)、搜索引擎、視頻網(wǎng)站等幾乎所有互聯(lián)網(wǎng)用戶發(fā)起無(wú)差別的網(wǎng)絡(luò)攻擊,美國(guó)的網(wǎng)絡(luò)戰(zhàn)略打擊是全球性的、無(wú)節(jié)制的,在美國(guó)網(wǎng)絡(luò)攻擊的鐮刀之下,沒(méi)有哪一國(guó)能獨(dú)善其身。
4.美國(guó)的網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略,或不僅限于網(wǎng)絡(luò)竊密。通過(guò)公開(kāi)的資料已知,美國(guó)已經(jīng)完成了其網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略目標(biāo)第一步——網(wǎng)絡(luò)竊密,像斯諾登還有維基百科爆料的“棱鏡”計(jì)劃都屬于這一范疇,但不排除美國(guó)的下一步目標(biāo)野心將更大。一旦通過(guò)在對(duì)手的電腦網(wǎng)絡(luò)中安插硬件或軟件后門,實(shí)現(xiàn)關(guān)鍵目標(biāo)遠(yuǎn)程操控,包括軍事系統(tǒng)、國(guó)家公共安全領(lǐng)域的服務(wù)器、民航公路鐵路交通系統(tǒng)的主機(jī)、銀行金融系統(tǒng)的服務(wù)器等,如果美國(guó)更大的戰(zhàn)略目標(biāo)實(shí)現(xiàn),其對(duì)手將毫無(wú)談判余地。
本文系觀察者網(wǎng)獨(dú)家稿件,未經(jīng)授權(quán),不得轉(zhuǎn)載。
- 責(zé)任編輯: 呂棟 
-
市場(chǎng)監(jiān)管總局:緊盯民生商品和防疫物資價(jià)格
2022-03-23 20:20 抗疫進(jìn)行時(shí) -
通脹率創(chuàng)30年新高,63%的英國(guó)民眾認(rèn)為政府很糟糕
2022-03-23 18:30 觀網(wǎng)財(cái)經(jīng)-海外 -
400萬(wàn)粉絲理財(cái)大V徐曉峰被公訴,“割韭菜”手段曝光
2022-03-23 15:50 觀網(wǎng)財(cái)經(jīng)-金融 -
中興通訊5年“緩刑期”結(jié)束
2022-03-23 15:25 觀網(wǎng)財(cái)經(jīng)-科創(chuàng) -
普京發(fā)言人:若國(guó)家面臨“生存”威脅,俄羅斯就可以使用核武器
2022-03-23 10:56 烏克蘭之殤 -
蘇州首套房貸利率降至4.6%,為近5年來(lái)新低
2022-03-23 09:51 觀網(wǎng)財(cái)經(jīng)-房產(chǎn) -
程武上任將滿兩年,閱文扭虧為盈
2022-03-23 09:20 觀網(wǎng)財(cái)經(jīng)-互聯(lián)網(wǎng) -
大公司早報(bào)|小米去年凈利潤(rùn)增長(zhǎng)70% 萬(wàn)門教育被曝關(guān)門跑路
2022-03-23 09:06 大公司 -
姚振華回應(yīng)法院公告其下落不明:借了7億,很快能和解
2022-03-22 22:48 -
員工人均年薪百萬(wàn),公司虧損幾億,這家“奇葩”公司上市了
2022-03-22 19:34 觀網(wǎng)財(cái)經(jīng)-健康 -
波音的“災(zāi)難循環(huán) ”
2022-03-22 18:14 觀網(wǎng)財(cái)經(jīng)-海外 -
上海保供舉措升級(jí):社區(qū)集單提效率,專屬配送保用藥
2022-03-22 16:24 觀網(wǎng)財(cái)經(jīng)-互聯(lián)網(wǎng) -
鼎龍文化公告:僅財(cái)務(wù)總監(jiān)搭乘“MU5735”航班
2022-03-22 12:45 觀網(wǎng)財(cái)經(jīng)-科創(chuàng)
相關(guān)推薦 -
-
會(huì)議記錄曝光!在華美企茫然:不可能的任務(wù) 評(píng)論 116阿斯麥CEO直說(shuō)了:打壓中國(guó),跟國(guó)安有啥關(guān)系? 評(píng)論 120“伊朗、沙特將在紅海舉行首次雙邊軍演” 評(píng)論 179繞開(kāi)“金融核彈”打造新支付體系,金磚方案值得期待 評(píng)論 190最新聞 Hot
-
中國(guó)男子在菲律賓釣魚時(shí)被綁架,“已被釋放”
-
“正與中方商談租借月壤樣品,我覺(jué)得中國(guó)會(huì)答應(yīng)”
-
“說(shuō)印度是新的中國(guó)過(guò)于夸張,但‘去風(fēng)險(xiǎn)’用得上”
-
這一幕被逐幀記錄!
-
會(huì)議記錄曝光!在華美企茫然:不可能的任務(wù)
-
“把特朗普關(guān)起來(lái)!”說(shuō)罷,拜登發(fā)覺(jué)不太對(duì)…
-
友誼的小船說(shuō)翻就翻…
-
“馬斯克像個(gè)傻瓜一樣”
-
“我們可以自信地說(shuō),俄中關(guān)系已成為典范”
-
阿斯麥CEO直說(shuō)了:打壓中國(guó),跟國(guó)安有啥關(guān)系?
-
美國(guó)也來(lái):印度要負(fù)責(zé)
-
“他站隊(duì)了,給哈里斯捐了5000萬(wàn)美元”
-
哈薩克斯坦稱“當(dāng)前無(wú)意加入金磚”,俄外長(zhǎng)回應(yīng)
-
“中國(guó)仍是中心,美國(guó)短期內(nèi)做不到”
-
“中國(guó)引領(lǐng),金磚國(guó)家在這方面將追平歐盟和G7”
-
“中國(guó)、阿聯(lián)酋…”,美商務(wù)部又開(kāi)始“拉黑”了
-