大数据文摘出品
6月28日,国家计算机病毒应急处理中心和360公司分别发布专题研究报告,并披露了一款叫做「酸狐狸平台」的网络攻击武器。
据了解,「酸狐狸平台」是美国国家安全局(NSA)下属计算机网络入侵行动队的主战装备,攻击范围覆盖全球。
早在十年前,斯洛登就曾经公开了「酸狐狸平台」在全球范围内向多个国家的重要信息系统植入木马程序并实施间谍活动。
如今,更多细节被披露,原来俄罗斯和中国还被“特殊关照”了,上百个中国信息系统都遭遇过这种攻击,并且一些木马程序一直到现在还在运行。
全球“验证器”木马程序,为中国和俄罗斯设置专用服务器
NSA下辖一个专门对他国开展网络间谍行动的部门——特定入侵行动办公室(TAO)。
这一部门的主要工作就是收集其他国家的电脑信息情报,大约在1998年设立,里面有一个专门搞间谍活动的组织叫计算机网络入侵行动队(CNE),「酸狐狸平台」就是的主力装备。
「酸狐狸平台」是酸狐狸”漏洞攻击武器平台(FoxAcid)的简称,它能够在具备会话劫持等中间人攻击能力的前提下,精准识别被攻击目标的版本信息,自动化开展远程漏洞攻击渗透,向目标主机植入木马、后门。
由于各国重要机构的设施基本都采用了内网,所以「酸狐狸平台」主要实施中间人攻击(MIMT),这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”,借此「酸狐狸平台」可以突破控制其办公内网主机。
此后,「酸狐狸平台」再向其植入各类木马、后门等以实现持久化控制,「酸狐狸平台」采用分布式架构,由多台服务器组成,按照任务类型进行分类,包括:垃圾钓鱼邮件、中间人攻击、后渗透维持等。
一般来说,「酸狐狸平台」结合“Quantum(量子)”和“SECONDDATE(二次约会)”等中间人攻击武器使用,此前「明镜在线」(SPIEGEL ONLINE)曾披露过一个NSA的一个关于这种攻击的内部幻灯片,里面就详细介绍了这种攻击方式。
《卫报》也曾经报道了相关消息,“为了诱骗目标访问 FoxAcid 服务器,NSA依赖与美国电信公司的秘密合作关系。作为混乱系统的一部分,美国国家安全局在互联网主干的关键位置放置代号为“量子”的秘密服务器。这种布局确保他们能够比其他网站更快地做出反应。通过利用这种速度差异,这些服务器可以在合法网站能够响应之前将访问过的网站模拟到目标网站,从而欺骗目标网站的浏览器访问 Foxacid服务器。”
根据360报告的披露,NSA对包含中国在内的世界各国的政府机构、重要组织和信息基础设施目标发起持续性攻击行动。TAO针对中国和俄罗斯目标设置了专用的“酸狐狸平台”服务器,编号为FOX00-64的系列服务器被用于支援计算机网络入侵行动队的漏洞攻击行动,其中编号为FOX00-6401的服务器专门针对中国目标,FOX00-6402的服务器专门针对俄罗斯目标。中国科研单位就曾经遭受过美国NSA“酸狐狸”漏洞攻击武器平台的网络攻击。
上百个中国信息系统被检查出“验证器”木马程序
360公司第一时间在国内开展扫描检测。结果发现该木马程序的不同版本曾在中国上百个重要信息系统中运行,其植入时间远远早于「酸狐狸平台」被公开曝光时间,说明NSA对至少上百个中国国内的重要信息系统实施网络攻击。
时至今日,许多“验证器”木马程序仍在一些信息系统中运行,并实时向NSA总部传送情报。
360公司,“在本地网络服务器或上网终端中发现‘验证器’样本,表明这些设备已经遭受NSA的网络攻击,系统中的重要信息已被NSA窃取,并且目标系统内网中的其它节点均可能被NSA渗透远控。”
「酸狐狸平台」甚至特别采用过滤器针对卡巴斯基杀毒软件、瑞星杀毒软件、江民杀毒软件等中国地区流行的杀毒软件。
早在十年前,斯诺登就披露了美国国家安全局一批文件,里面就有美国情报机构使用代号为 FoxAcid的服务器,可以利用目标机器上的软件漏洞实施间谍活动。
安全专家布鲁斯 · 施奈尔(Bruce Schneier)就也曾在一篇文章中表示,美国国家安全局拥有大量零日漏洞(被发现后立即被恶意利用的安全漏洞),可用于网络行动,主要用于网络间谍活动。
FireEye 安全公司“ World War c”发表的一份报告也揭示,(美国)国家支持的网络间谍和破坏目的的攻击正在加剧,月光迷宫(Moonlight Maze)和泰坦雨(Titan Rain)等活动,或者对伊朗和格鲁吉亚的破坏性网络攻击,都在这种军事准则的演变上“签了字”。
今年6月22日,美国会众议院拨款委员会通过了美国2023财年7610亿美元的国防支出法案,其中包括美国防部112亿美元的网络空间活动预算,较上一财年增长8%,并将其网络战部队从137支增加到142支。美军还在全面推进JADC2“陆、海、空、天、网”全域指挥作战能力提升计划,其目标就是在全域空间中都具备压倒性军事优势。
