五大關(guān)聯(lián)證據(jù)實(shí)錘

APT-C-39組織隸屬于美國(guó)中央情報(bào)局

　　以“Vault7（穹窿7）” 為核心關(guān)聯(lián)點(diǎn)，再透過約書亞以上一系列經(jīng)歷與行為，為我們定位APT-C-39組織的歸屬提供了重要線索信息。此外，再綜合考慮該APT-C-39網(wǎng)絡(luò)武器使用的獨(dú)特性和時(shí)間周期，360安全大腦最終判定：該組織的攻擊行為，正是由約書亞所在的CIA主導(dǎo)的國(guó)家級(jí)黑客組織發(fā)起。具體關(guān)聯(lián)證據(jù)如下：

　　證 據(jù) 一

　　APT-C-39組織使用了大量CIA“Vault7（穹窿7）”項(xiàng)目中的專屬網(wǎng)絡(luò)武器

　　研究發(fā)現(xiàn)，APT-C-39組織多次使用了Fluxwire，Grasshopper等CIA專屬網(wǎng)絡(luò)武器針對(duì)我國(guó)目標(biāo)實(shí)施網(wǎng)絡(luò)攻擊。

　　通過對(duì)比相關(guān)的樣本代碼、行為指紋等信息，可以確定該組織使用的網(wǎng)絡(luò)武器即為“Vault7（穹窿7）” 項(xiàng)目中所描述的網(wǎng)絡(luò)攻擊武器。

　　證 據(jù) 二

　　APT-C-39組織大部分樣本的技術(shù)細(xì)節(jié)與“Vault7（穹窿7）”文檔中描述的技術(shù)細(xì)節(jié)一致

　　360安全大腦分析發(fā)現(xiàn)，大部分樣本的技術(shù)細(xì)節(jié)與“Vault7（穹窿7）” 文檔中描述的技術(shù)細(xì)節(jié)一致，如控制命令、編譯pdb路徑、加密方案等。

　　這些是規(guī)范化的攻擊組織常會(huì)出現(xiàn)的規(guī)律性特征，也是分類它們的方法之一。所以，確定該組織隸屬于CIA主導(dǎo)的國(guó)家級(jí)黑客組織。

　　證 據(jù) 三

　　早在“Vault7（穹窿7）”網(wǎng)絡(luò)武器被維基解密公開曝光前，APT-C-39組織就已經(jīng)針對(duì)中國(guó)目標(biāo)使用了相關(guān)網(wǎng)絡(luò)武器

　　2010年初，APT-C-39組織已對(duì)我國(guó)境內(nèi)的網(wǎng)路攻擊活動(dòng)中，使用了“Vault7（穹窿7）”網(wǎng)絡(luò)武器中的Fluxwire系列后門。這遠(yuǎn)遠(yuǎn)早于2017年維基百科對(duì)“Vault7（穹窿7）”網(wǎng)絡(luò)武器的曝光。這也進(jìn)一步印證了其網(wǎng)絡(luò)武器的來源。

　　在通過深入分析解密了“Vault7（穹窿7）” 網(wǎng)絡(luò)武器中Fluxwire后門中的版本信息后，360安全大腦將APT-C-39組織歷年對(duì)我國(guó)境內(nèi)目標(biāo)攻擊使用的版本、攻擊時(shí)間和其本身捕獲的樣本數(shù)量進(jìn)行統(tǒng)計(jì)歸類，如下表：

　　從表中可以看出，從2010年開始，APT-C-39組織就一直在不斷升級(jí)最新的網(wǎng)絡(luò)武器，對(duì)我國(guó)境內(nèi)目標(biāo)頻繁發(fā)起網(wǎng)絡(luò)攻擊。

　　證 據(jù) 四

　　APT-C-39組織使用的部分攻擊武器同NSA存在關(guān)聯(lián)

　　WISTFULTOLL是2014年 NSA泄露文檔中的一款攻擊插件。

　　在2011年針對(duì)我國(guó)某大型互聯(lián)網(wǎng)公司的一次攻擊中，APT-C-39組織使用了WISTFULTOOL插件對(duì)目標(biāo)進(jìn)行攻擊。

　　與此同時(shí)，在維基解密泄露的CIA機(jī)密文檔中，證實(shí)了NSA會(huì)協(xié)助CIA研發(fā)網(wǎng)絡(luò)武器，這也從側(cè)面證實(shí)了APT-C-39組織同美國(guó)情報(bào)機(jī)構(gòu)的關(guān)聯(lián)。

　　證 據(jù) 五

　　APT-C-39組織的武器研發(fā)時(shí)間規(guī)律定位在美國(guó)時(shí)區(qū)

　　根據(jù)該組織的攻擊樣本編譯時(shí)間統(tǒng)計(jì)，樣本的開發(fā)編譯時(shí)間符合北美洲的作息時(shí)間。

　　惡意軟件的編譯時(shí)間是對(duì)其進(jìn)行規(guī)律研究、統(tǒng)計(jì)的一個(gè)常用方法，通過惡意程序的編譯時(shí)間的研究，我們可以探知其作者的工作與作息規(guī)律，從而獲知其大概所在的時(shí)區(qū)位置。

　　下表就是APT-C-39組織的編譯活動(dòng)時(shí)間表（時(shí)間我們以東8時(shí)區(qū)為基準(zhǔn)），可以看出該組織活動(dòng)接近于美國(guó)東部時(shí)區(qū)的作息時(shí)間，符合CIA的定位。（位于美國(guó)弗吉尼亞州，使用美國(guó)東部時(shí)間。）

　　綜合上述技術(shù)分析和數(shù)字證據(jù)，我們完全有理由相信：APT-C-39組織隸屬于美國(guó)，是由美國(guó)情報(bào)機(jī)構(gòu)參與發(fā)起的攻擊行為。

　　尤其是在調(diào)查分析過程中，360安全大腦資料已顯示，該組織所使用的網(wǎng)絡(luò)武器和CIA “Vault7（穹窿7）” 項(xiàng)目中所描述網(wǎng)絡(luò)武器幾乎完全吻合。而CIA “Vault7（穹窿7）” 武器從側(cè)面顯示美國(guó)打造了全球最大網(wǎng)絡(luò)武器庫，而這不僅給全球網(wǎng)絡(luò)安全帶來了嚴(yán)重威脅，更是展示出該APT組織高超的技術(shù)能力和專業(yè)化水準(zhǔn)。

　　戰(zhàn)爭(zhēng)的形式不止于兵戎相見這一種。網(wǎng)絡(luò)空間早已成為大國(guó)較量的另一重要戰(zhàn)場(chǎng)。而若與美國(guó)中央情報(bào)局CIA博弈，道阻且長(zhǎng)！

　　最后

　　關(guān)于360安全大腦—APT威脅情報(bào)中心：

　　從2014年開始，360安全大腦通過整合海量安全大數(shù)據(jù)，實(shí)現(xiàn)了APT威脅情報(bào)的快速關(guān)聯(lián)溯源，獨(dú)家發(fā)現(xiàn)并追蹤了四十個(gè)APT組織及黑客團(tuán)伙，獨(dú)立發(fā)現(xiàn)了多起境外APT組織使用“在野”0day漏洞針對(duì)我國(guó)境內(nèi)目標(biāo)發(fā)起的APT攻擊，大大拓寬了國(guó)內(nèi)關(guān)于APT攻擊的研究視野和研究深度，填補(bǔ)了國(guó)內(nèi)APT研究的空白。我們發(fā)現(xiàn)境外針對(duì)中國(guó)境內(nèi)目標(biāo)的攻擊最早可以追溯到2007年，至少影響了中國(guó)境內(nèi)超過萬臺(tái)電腦，攻擊范圍遍布國(guó)內(nèi)31個(gè)省級(jí)行政區(qū)。我們發(fā)現(xiàn)的APT攻擊和部分國(guó)外安全廠商機(jī)構(gòu)發(fā)現(xiàn)的APT攻擊，都可以直接證明中國(guó)是APT攻擊中的主要受害國(guó)。