美国中央情报局（CIA）涉对外及涉我网络攻击分析

长期以来，美国中央情报局（CIA）在世界各地持续进行间谍窃密活动。

随着互联网的飞速发展，美国中央情报局（CIA）借助新的机遇，不断加强其渗透颠覆和破坏活动。

全球范围内使用美国互联网设备和软件产品的机构和个人，也成为了CIA的“特工”，更好地帮助该机构在网络谍报战中获得优势。

这篇文章向大家揭示一系列真实案例，并深入分析这些案例，揭露网络攻击的细节和过程，以及美国中央情报局（CIA）在网络攻击窃密和相关现实危害活动中的角色。

此外，还将探讨全球网络攻击受害者应该如何应对这些威胁。

2017年3月7日，《维基解密》网站披露了8716份据称是来自美国中央情报局（CIA）网络情报中心的秘密文件。

内容涉及美国中央情报局（CIA）黑客团队的攻击手法、攻击行动项目代号、攻击工具技术规范和要求等，《维基解密》将相关文件称为「Vault7」（穹顶7），引发全球范围的高度关注。

2020年，独立发现了一个从未被外界曝光的APT组织，专门针对涉我及其他国家实施网络攻击窃密活动，受害者遍布全球各地，将其单独编号为APT-C-39。

有证据表明，该组织使用与被曝「Vault7」（穹顶7）资料相关联的网络武器工具（包括Athena、Fluxwire，Grasshopper、AfterMidnight、HIVE、ChimayRed等），针对涉我和其他国家受害目标实施网络攻击，攻击活动最早可以追溯到2011年，相关攻击一直延续至今。

被攻击目标涉及各国重要信息基础设施、航空航天、科研机构、石油石化、大型互联网公司以及政府机构等诸多方面。

在规模庞大的全球性网络攻击行动中，美国中央情报局（CIA）大量使用「零日」（0day）漏洞，其中包括一大批至今未被公开披露的后门和漏洞，在世界各地建立僵尸网络和攻击跳板网络，针对网络服务器、网络终端、交换机和路由器，以及数量众多的工业控制设备分阶段实施攻击入侵行动。

在现已发现的专门针对涉我目标实施的网络攻击行动中，成功提取了多个「Vault7」（穹顶7）网络攻击武器样本，多个东南亚国家和欧洲的合作伙伴也提取到了几乎完全相同的样本，主要包括：

Fluxwire（磁通线）后门程序平台

一款支持Windows、Unix、Linux、MacOS等9种主流操作系统，和6种不同网络架构的复杂后门攻击行动管理平台，可将众多肉鸡节点组成完全自主运行的网状网络，支持自我修复、循环攻击和多路径路由。

Athena（雅典娜）程序

一款针对微软Windows操作系统的轻量级后门程序，由美国中央情报局（CIA）与美国Siege Technologies公司（2016年被Nehemiah Security收购）合作开发，可以通过远程安装、供应链攻击、中间人劫持攻击和物理接触安装等方式植入，以微软Windows服务方式驻留。所有攻击功能模块均以插件形式在内存中解密执行。

Grasshopper（蚱蜢）后门程序

一款针对微软Windows操作系统的高级可配置后门程序，可生成多种文件格式形式的（EXE，DLL，SYS，PIC）恶意荷载，支持多种执行方式，配以不同插件模块后，可隐蔽驻留并执行间谍功能。

AfterMidnight（午夜之后）后门程序

一款以微软Windows操作系统DLL服务形式运行的轻量级后门，它通过HTTPS协议动态传输、加载「Gremlins」模块，全程以加密方式执行恶意荷载。

ChimayRed（智美红帽）漏洞利用工具

一款针对MikroTik等品牌路由器的漏洞利用工具套件，配合漏洞利用可植入「TinyShell」等轻量级网络设备后门程序。

HIVE（蜂巢）网络攻击平台

「蜂巢」网络攻击平台由美国中央情报局（CIA）下属部门和美国著名军工企业诺斯罗普·格鲁曼（NOC）旗下公司联合研发，它为美国中央情报局（CIA）网络攻击团队提供一种结构复杂的持续性攻击窃密手段。

它管理利用全球范围内数量庞大的失陷资产，组成多层动态跳板和秘密数据传输通道，7×24小时向美国中央情报局（CIA）上传用户账户、密码和隐私数据（https://www.cverc.org.cn/head/zhaiyao/news20220419-hive.htm）。

其他衍生工具

美国中央情报局（CIA）在通过上述「Vault7」（穹顶7）网络武器实施攻击窃密过程中，还衍生和使用了大量「Vault7」 （穹顶7）资料之外的攻击样本，现已提取的样本中包括伪装的钓鱼软件安装包、键盘记录组件、系统信息收集组件、USB文件窃取模块和不同的开源黑客工具等。

美国中央情报局（CIA）

网络攻击武器样本功能分析

在针对涉我多起典型网络攻击事件的调查过程中，从受害单位信息网络中捕获并成功提取了一大批与网曝美国中央情报局（CIA）「Vault7」（穹顶7）资料紧密关联的木马程序、功能插件和攻击平台样本。

深入分析发现，相关程序样本大都遵循了「Vault7」（穹顶7）资料中的网络运营部内存代码执行规范（Network Operations Division In-memory Code Execution Specification）、网络运营部密码要求（Network Operations Division Cryptographic Requirements）和网络运营部持久化 DLL 规范（Network Operations Division Persisted DLL Specification)等美国中央情报局（CIA）恶意软件开发标准和技术规范。

这些标准和规范分别对应网络攻击窃密活动中恶意代码的加载执行、数据加密和持久化行为，相关网络武器进行了极其严格的规范化、流程化和专业化的软件工程管理。

据《Vault7》（穹顶7）资料显示，上述网络攻击武器归属于美国中央情报局（CIA）的EDG（工程开发组），由其下属的AED（应用工程部）和EDB（嵌入式设备分部）等多个分部独立或联合研发。

这些网络武器大都诞生于一个名为"devlan.net"的美国中央情报局（CIA）最高机密内部网络中。devlan.net是美国中央情报局（CIA）工程开发部（EDG）建立的庞大的网络武器开发测试基础设施。

另据devlan.net的开发日志数据显示，仅HIVE（蜂巢）一个项目就至少投入200余名工程师参与研发。

进一步的技术分析揭示，美国中央情报局（CIA）的后门程序和攻击组件大多采用内存驻留执行的方式，这种方式使得发现相关样本和取证变得异常困难。

然而，联合技术团队克服了这些挑战并成功找到了一些切实可行的解决方案。

为方便描述和问题分析，将美国中央情报局的攻击武器分为九个类别：

1、框架平台类。发现并捕获了Fluxwire（磁通线）、Grasshopper（蚱蜢）、Athena（雅典娜）的攻击样本和攻击活动，经过实地检测，这些样本的功能、攻击特征和网络行为均可与「Vault7」（穹顶7）资料中的描叙一一印证。

2、攻击模块投递类。美国中央情报局（CIA）的黑客攻击手段之一就是使用大量简单且有效的小型恶意代码下载器。

这些下载器旨在加载并执行更多的恶意代码和模块，虽然它们本身并没有特别的恶意功能和特征，但是与其攻击框架平台等攻击武器配合使用时，它们可以呈现出强大而难以溯源的窃密功能。

这种方式的难以追踪，使得该黑客攻击方式成为察觉和发现的难题。

3、远程控制类。现已提取多款远程控制插件，大都属于框架平台类攻击武器衍生出的攻击模块组件，二者之间相互配合。

4、横向移动类。提取到的大量恶意程序样本中，包含多款通过系统管理员凭据使用Windows远程服务安装植入的后门程序。

除此之外，美国中央情报局（CIA）还劫持多种安全产品内网的升级程序，通过内网升级服务器的升级功能下发安装后门程序，实施内网中的横向移动攻击。

5、信息收集窃取类。联合技术团队偶然提取到美国中央情报局（CIA）使用的一款信息窃取工具，它属于网曝美国国家安全局（NSA）机密文档《ANT catalog》48种先进网络武器中的一个，是美国国家安全局（NSA）的专用信息窃取工具。

这种情况说明美国中央情报局（CIA）和美国国家安全局（NSA）会联合攻击同一个受害目标，或相互共享网络攻击武器，或提供相关技术或人力支持。

这为对APT-C-39攻击者身份的归因溯源补充了新的重要证据。

6、漏洞利用类。调查中发现，至少从2015年开始，美国中央情报局（CIA）就在世界各地建立了庞大的网络攻击跳板资源，利用“零日”（0day）漏洞对全球范围IOT（物联网）设备和网络服务器无差别攻击，并将其中的大量失陷设备转换为跳板“肉鸡”，或隐藏自身攻击行为，或将网络攻击嫁祸给其他国家。

例如，美国中央情报局（CIA）使用代号为 ChimayRed（智美红帽）的漏洞攻击套件定向攻击多个型号的MikroTik品牌路由器，其中包括中国境内大量使用这种路由器的网络设备。

攻击过程中，美国中央情报局（CIA）首先会恶意修改路由器启动脚本，使路由器重启后仍执行后门程序。

然后，美国中央情报局（CIA）再修改路由器的CGI程序堵住被美国中央情报局（CIA）自身利用的漏洞，防止其他攻击者再次入侵造成权限丢失。

最终，美国中央情报局（CIA）会向路由器植入“蜂巢”（HIVE）或（TinyShell）等只有美国中央情报局（CIA）可以使用的专属后门程序。

7、 伪装正常软件类。美国中央情报局（CIA）针对攻击目标的网络环境，将后门程序定制伪装为目标使用的用户量较少的冷门软件安装包，针对目标实施精准的社会工程学攻击。

8、安全软件攻防类。美国中央情报局（CIA）掌握了专门用于攻击商业杀毒软件的攻击工具，可以通过这些专用工具远程关闭和杀死指定杀毒软件的进程，使相关杀毒软件对美国中央情报局（CIA）的攻击行为或攻击武器失效。

9、第三方开源工具类。美国中央情报局（CIA）也会经常使用现成的开源黑客工具进行攻击活动。美国中央情报局（CIA）网络攻击行动的初始攻击一般会针对受害者的网络设备或服务器实施，也会进行社会工程学攻击。

在获得目标权限之后，其会进一步探索目标机构的网络拓扑结构，在内网中向其它联网设备进行横向移动，以窃取更多敏感信息和数据。

被美国中央情报局（CIA）控制的目标计算机，会被进行24小时的实时监控，受害者的所有键盘击键都会被记录，剪切板复制粘贴信息会被窃取，USB设备（主要以移动硬盘、U盘等）的插入状态也会被实时监控，一旦有USB设备接入，受害者USB设备内的私有文件都会被自动窃取。

条件允许时，用户终端上的摄像头、麦克风和GPS定位设备都会被远程控制和访问。

原文始发于微信公众号（情报分析师Pro）：美国中央情报局（CIA）涉对外及涉我网络攻击分析