2022年06月29日
28日,國家計算機病毒應急響應中心和360公司分別發布專題調研報告,同日披露了另一款網絡攻擊利器“酸狐”漏洞攻擊武器平臺(以下簡稱“酸狐平臺”)屬于 美國國家安全局(NSA)。“酸狐平臺”是美國國家安全局計算機網絡入侵小組的主戰裝備。此次襲擊覆蓋全球,主要目標是中國和俄羅斯。
針對中國和俄羅斯,“酸狐貍平臺”設置專用服務器
近日,國內多家科研機構相繼發現“驗證者”木馬程序的活動痕跡。
根據美國 NSA 可研究的機密文件:“Authenticator”是一種小型植入木馬,可以遠程或手動部署在任何 Windows 系統上,從 Windows 98 到 Windows Server 2003。同時,它具有 7× 24小時在線操作能力,使美國國家安全局的系統操作員和數據竊賊能夠上傳和下載文件、遠程運行程序、獲取系統信息、偽造ID,并在某些情況下能夠在緊急情況下自毀。借助這種武器,美國國家安全局可以收集到攻擊目標的系統環境信息,也為安裝(植入)更復雜的木馬程序提供了條件。
此前,360公司發現并公開披露,美國國家安全局利用一系列網絡武器,對包括中國在內的世界各國政府機構、重要組織和信息基礎設施目標發動持續攻擊。在整個攻擊過程中,美國國家安全局會植入以“認證者”為代表的后門程序,并長期潛伏在目標用戶的互聯網終端中,然后通過這些后門程序發起更為復雜的網絡攻擊。
該木馬被認為是NS“Sour Fox”漏洞攻擊武器平臺使用的默認標準程序。這一情況表明,上述中國科研單位遭到了美國國家安全局“酸狐”漏洞攻擊武器平臺的攻擊。
根據介紹,“酸狐貍平臺”是NSA特定入侵行動辦公室(TAO)對他國開展網絡間諜行動的重要陣地基礎設施,現已成為計算機網絡入侵行動隊(CNE)的主力裝備。該武器平臺主要被用于突破位于受害目標辦公內網的主機系統,并向其植入各類木馬、后門等以實現持久化控制。酸狐貍平臺采用分布式架構,由多臺服務器組成,按照任務類型進行分類,包括:垃圾釣魚郵件、中間人攻擊、后滲透維持等。
CNE下設一名或多名“酸狐貍”項目教官,這些教官可以領導一個或多個“酸狐貍”行動組,行動組中包括多名隊員,分別承擔直接支援特定的網絡入侵行動、維護酸狐貍服務器等職責。TAO在全球范圍內部署酸狐貍平臺服務器,服務器按照目標所處區域進行分布式部署,包括中東地區、亞洲地區、歐洲地區等,其中編號前綴為XS的服務器是統籌多項任務的主服務器。
值得注意的是,編號為XS11的服務器被明確分配給英國情報機構“英國政府通信總部”(GCHQ)開展中間人網絡攻擊行動。此外,TAO針對中國和俄羅斯目標設置了專用的“酸狐貍平臺”服務器,編號為FOX00-64的系列服務器被用于支援計算機網絡入侵行動隊的漏洞攻擊行動,其中編號為FOX00-6401的服務器專門針對中國目標,FOX00-6402的服務器專門針對俄羅斯目標。
國家計算機病毒應急處理中心相關專家對《環球時報》記者表示,“酸狐貍平臺”在進行漏洞利用前,會對目標主機的軟硬件環境進行探測。報告中披露的“酸狐貍平臺”規則配置文件表明,該武器平臺明確將在我國和俄羅斯的計算機殺毒軟件作為“技術對抗”目標。而且美國在國際互聯網上專門部署了針對中國和俄羅斯的網絡間諜活動服務器,用于植入惡意程序并竊取情報。
美國為了維持其網絡霸權,不惜“監控全人類”,這一點在美國各屆政府都沒有改變過。就在今年6月1日,美國國家安全局局長兼網絡司令部司令中曾根證實,在俄烏沖突中,美國對俄羅斯發起了一系列進攻性網絡行動以支援烏克蘭。
這位專家也表示,美國在變本加厲對全球目標實施攻擊竊密的同時,還不遺余力地“賊喊捉賊”,糾集其所謂盟友國家,大肆宣揚“中國網絡威脅論”,詆毀污蔑我國網絡安全政策和“一帶一路”等真正互利共贏的國際經濟文化交流合作計劃,打壓中國在境外合法經營的企業和新聞媒體,甚至煽動民間對立情緒,鼓動所謂民間“道德”黑客向他國目標發動網絡攻擊。
“酸狐貍平臺”服務器上的過濾器規則片段,過濾器中重點針對目標環境中的卡巴斯基殺毒軟件、瑞星殺毒軟件、江民殺毒軟件等中國地區流行的殺毒軟件。
上百個中國重要信息系統中發現“驗證器”木馬痕跡
在成功提取國內某科研機構重要信息系統“驗證者”木馬程序樣本的基礎上,360公司首次在國內開展掃描測試。發現不同版本的木馬程序已在中國數百個重要信息系統中運行,其植入時間遠早于“酸狐平臺”及其組件被公開曝光的時間,表明美國國家安全局已對至少數百起針對重要信息系統的中國國內網絡攻擊進行了調查。時至今日,多個“驗證者”特洛伊木馬仍在某些信息系統中運行,向 NSA 總部發送情報。360認為“在本地網絡服務器或互聯網終端中發現了驗證者樣本,說明這些設備受到了NSA的攻擊,系統中的重要信息被NSA竊取,目標系統內網的其他節點都在妥協。可能被美國國家安全局滲透。”
另外,根據“酸狐平臺”服務器上的過濾規則片段,可以判斷該服務器主要針對中國主機目標,過濾重點是卡巴斯基殺毒軟件、瑞星殺毒軟件、江民殺毒軟件等流行的匹配中國殺毒軟件進程,判斷植入條件。
360公司認為,大量“驗證者”木馬程序不僅在中國運行,而且在其他國家的重要信息基礎設施中運行,數量遠超中國。
國家計算機病毒應急響應中心28日發布的報告顯示,更可怕的是,美國國家安全局利用這些武器平臺,與其他“五眼”國家情報機構合作,建立了全球網絡情報收集系統,可以在全球范圍內使用。部署了大量隱藏的情報收集服務器和掩護跳板服務器,并圍繞這個情報收集系統建立了一套完整的情報工作機制,定期維護著人類歷史上最大的間諜網絡,是還在擴大。共同的威脅。
據美國全國電腦病毒緊急處置中心3日公布的一份報道稱, NSA通過使用這種武器與其它“五眼聯盟”的國家情報局合作,構建了一套遍布世界各地的網絡信息收集系統,并在世界各地設置了許多隱藏的信息收集服務和保護跳板。它是有史以來最大的一種,是人類有史以來最大的一種,并且還在不斷擴大,對整個世界構成了一個巨大的威脅。
上述專家同意,美國將在未來進行電子情報和電子戰爭,雖然證據確鑿。美國會眾議院資金委員會在六月二十二日批準了美國在2023財政年度761億美金的國防開支議案,美國防部在網上作戰方面的開支為112億,比上一財政年度提高了8%,并且把它的網上作戰力量從137個增至142個。美國還在全力推動JADC2的海上和空中;“天網”全域指揮作戰能力的增強方案,旨在實現對全境的全面軍事上的絕對壓制。
FA服務器分布及任務用途分類,其中FOX00-6401的服務器專門針對中國,FOX00-6402號服務器針對俄羅斯。
本文來自安全圈,不代表江蘇國駿觀點。