近期，包括奇安信和360在內(nèi)的中國(guó)公司接連曝光美國(guó)對(duì)中國(guó)等國(guó)發(fā)動(dòng)無(wú)差別網(wǎng)絡(luò)攻擊的完整證據(jù)鏈條。中國(guó)外交部本月也就相關(guān)報(bào)告回應(yīng)指出，美國(guó)對(duì)中國(guó)進(jìn)行了大規(guī)模、長(zhǎng)時(shí)間、系統(tǒng)性的網(wǎng)絡(luò)攻擊，嚴(yán)重危害中國(guó)關(guān)鍵基礎(chǔ)設(shè)施安全，海量個(gè)人數(shù)據(jù)安全以及商業(yè)和技術(shù)秘密，嚴(yán)重影響了中美在網(wǎng)絡(luò)空間的互信。

3月23日，觀察者網(wǎng)再次從360公司獲取一份報(bào)告。該報(bào)告針對(duì)美國(guó)網(wǎng)絡(luò)攻擊手法之一的QUANTUM（量子）攻擊系統(tǒng)，進(jìn)行應(yīng)用場(chǎng)景和攻擊實(shí)施過(guò)程的技術(shù)分析，并結(jié)合真實(shí)案例，再度印證美國(guó)國(guó)家安全局（NSA）針對(duì)全球互聯(lián)網(wǎng)用戶實(shí)施大規(guī)模無(wú)差別網(wǎng)絡(luò)攻擊的詳細(xì)情況。

具體來(lái)看，這份報(bào)告總結(jié)出美國(guó)政府發(fā)動(dòng)網(wǎng)絡(luò)攻擊的四個(gè)特征：

首先，美國(guó)網(wǎng)絡(luò)武器攻擊已完全實(shí)現(xiàn)工程化、自動(dòng)化。NSA組織的QUANTUM（量子）系統(tǒng)可能僅是冰山一角，美國(guó)或掌握著更多更高度工程化的網(wǎng)絡(luò)攻擊平臺(tái)，其自動(dòng)化的“思考”速度和質(zhì)量，極大提高了美國(guó)自主作戰(zhàn)系統(tǒng)實(shí)現(xiàn)制勝目標(biāo)的優(yōu)勢(shì)，也為全球網(wǎng)絡(luò)安全帶來(lái)無(wú)窮隱憂。

第二，為實(shí)施并制勝網(wǎng)絡(luò)戰(zhàn)，美國(guó)政府充分利用一切先進(jìn)技術(shù)和網(wǎng)絡(luò)資源。為了掌握網(wǎng)絡(luò)戰(zhàn)主導(dǎo)權(quán)，美國(guó)將諸如QUANTUM（量子）攻擊系統(tǒng)等大量頂級(jí)技術(shù)手段、高端人才、情報(bào)力量納入作戰(zhàn)序列，由此可見(jiàn)，美國(guó)對(duì)發(fā)展網(wǎng)絡(luò)作戰(zhàn)力量的重視程度，并不計(jì)成本地投入資源、增加籌碼。

第三，美國(guó)的網(wǎng)絡(luò)攻擊屬于無(wú)差別攻擊，目標(biāo)是全球范圍，甚至包括美國(guó)盟友。報(bào)告分析顯示，美國(guó)針對(duì)各類(lèi)電子郵箱、社交網(wǎng)絡(luò)、搜索引擎、視頻網(wǎng)站等幾乎所有互聯(lián)網(wǎng)用戶發(fā)起無(wú)差別的網(wǎng)絡(luò)攻擊，美國(guó)的網(wǎng)絡(luò)戰(zhàn)略打擊是全球性的、無(wú)節(jié)制的，在美國(guó)網(wǎng)絡(luò)攻擊的鐮刀之下，沒(méi)有哪一國(guó)能獨(dú)善其身。

第四，美國(guó)的網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略，或不僅限于網(wǎng)絡(luò)竊密。報(bào)告指出，美國(guó)已完成其網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略目標(biāo)第一步——網(wǎng)絡(luò)竊密，像斯諾登還有維基百科爆料的“棱鏡”計(jì)劃都屬于這一范疇，但不排除美國(guó)的下一步目標(biāo)野心將更大。一旦通過(guò)在對(duì)手的電腦網(wǎng)絡(luò)中安插硬件或軟件后門(mén)，實(shí)現(xiàn)關(guān)鍵目標(biāo)遠(yuǎn)程操控，包括軍事系統(tǒng)、國(guó)家公共安全領(lǐng)域的服務(wù)器、民航公路鐵路交通系統(tǒng)的主機(jī)、銀行金融系統(tǒng)的服務(wù)器等，如果美國(guó)更大的戰(zhàn)略目標(biāo)實(shí)現(xiàn)，其對(duì)手將毫無(wú)談判余地。

以下是報(bào)告原文：

閱讀摘要：

“APT”（高級(jí)持續(xù)性攻擊）是一種針對(duì)性、隱蔽性、持續(xù)性極強(qiáng)的網(wǎng)絡(luò)攻擊行為。現(xiàn)已發(fā)現(xiàn)的絕大多數(shù)APT組織都具有國(guó)家或政府背景，相關(guān)攻擊行為通常由某個(gè)與特定國(guó)家政府關(guān)聯(lián)的實(shí)體機(jī)構(gòu)具體實(shí)施。APT攻擊的主要目標(biāo)不是普通個(gè)體，而是特定的組織機(jī)構(gòu)，包括政府、大學(xué)、醫(yī)療、企業(yè)、科研甚至重要信息基礎(chǔ)設(shè)施運(yùn)維單位等不同類(lèi)型的重要機(jī)構(gòu)。360云端安全大腦持續(xù)跟蹤世界現(xiàn)存諸多APT組織及其活動(dòng)情況，率先發(fā)現(xiàn)并公開(kāi)披露來(lái)自美國(guó)的世界頂尖APT組織對(duì)中國(guó)境內(nèi)目標(biāo)所發(fā)起的持續(xù)性攻擊行動(dòng)，并將該組織命名為“APT-C-40”。

在對(duì)APT-C-40攻擊活動(dòng)的長(zhǎng)期跟蹤研究過(guò)程中，我們發(fā)現(xiàn)了遍布全球（包括美國(guó)多個(gè)盟友的各行各業(yè)的大量受害用戶，并實(shí)地從中國(guó)境內(nèi)部分受害者的上網(wǎng)設(shè)備中提取了該組織多種復(fù)雜而先進(jìn)的網(wǎng)絡(luò)攻擊武器程序樣本，經(jīng)過(guò)審慎而深入的技術(shù)分析，我們發(fā)現(xiàn)該組織所使用的網(wǎng)絡(luò)武器與NSA的專(zhuān)屬網(wǎng)絡(luò)攻擊武器完全吻合，且針對(duì)中國(guó)境內(nèi)機(jī)構(gòu)的黑客攻擊行為發(fā)生在斯諾登和“影子經(jīng)紀(jì)人”曝光事件之前。根據(jù)技術(shù)分析結(jié)果和已有數(shù)字證據(jù)，我們完全有理由相信，發(fā)起上述黑客攻擊的組織隸屬于美國(guó)政府，美國(guó)國(guó)防部下屬的國(guó)家安全局（NSA）直接實(shí)施了相關(guān)黑客攻擊行為。

APT-C-40組織介紹

根據(jù)維基百科記錄，美國(guó)國(guó)家安全局(NSA)設(shè)有一個(gè)名為接入技術(shù)行動(dòng)處（TAO Tailored Access Operations）的絕密行動(dòng)部門(mén)，該部門(mén)早在1998年就開(kāi)始在網(wǎng)上活躍，主要職責(zé)是為美國(guó)情治機(jī)構(gòu)提供針對(duì)美國(guó)本土和其他國(guó)家高級(jí)目標(biāo)的通訊監(jiān)控、情報(bào)獲取，甚至遠(yuǎn)程破壞（摧毀）行動(dòng)。

2013年，安全專(zhuān)家Jacob Appelbaum曝光了一份長(zhǎng)達(dá)50頁(yè)的NSA機(jī)密文檔《NSA ANT catalog》，該文檔描述了一系列名目繁雜的高端網(wǎng)絡(luò)黑客攻擊技術(shù)和項(xiàng)目。據(jù)該文檔內(nèi)容顯示，相關(guān)的網(wǎng)絡(luò)黑客攻擊技術(shù)和項(xiàng)目創(chuàng)建于2008年前后，它們可以認(rèn)為是為美國(guó)國(guó)家安全局下屬接入技術(shù)行動(dòng)處（TAO）專(zhuān)門(mén)定制研發(fā)的先進(jìn)網(wǎng)絡(luò)攻擊武器。

2016至2017年間，“影子經(jīng)紀(jì)人”（The Shadow Broker）公開(kāi)揭露了屬于NSA的大量網(wǎng)絡(luò)攻擊武器和機(jī)密辦公文檔。美國(guó)“The Intercept”網(wǎng)站結(jié)合愛(ài)德華 · 斯 諾 登（Edward Snowden，前CIA技術(shù)分析員和美國(guó)國(guó)家安全局NSA承包商雇員）揭露的美國(guó)國(guó)家安全局（NSA）內(nèi)幕情報(bào)，發(fā)布了重磅分析文章《THE NSA LEAK IS REAL, SNOWDEN DOCUMENTS CONFIRM》，確認(rèn)了斯諾登曝光的網(wǎng)絡(luò)攻擊武器確屬美國(guó)國(guó)家安全局（NSA）。

2013年至2017年間，中立網(wǎng)絡(luò)權(quán)威人士、中立新聞媒體和堅(jiān)定捍衛(wèi)公民隱私權(quán)利的中立機(jī)構(gòu)相繼發(fā)布解讀分析報(bào)告，確認(rèn)網(wǎng)絡(luò)上披露的所謂“NSA網(wǎng)絡(luò)武器和機(jī)密文檔”全部屬于NSA。

從2008年開(kāi)始，360云端安全大腦整合海量安全大數(shù)據(jù)，獨(dú)立捕獲了大量異常復(fù)雜的網(wǎng)絡(luò)黑客攻擊程序樣本，經(jīng)過(guò)長(zhǎng)期分析跟蹤并從多個(gè)受害單位實(shí)地取證，結(jié)合關(guān)聯(lián)全球各國(guó)發(fā)布的威脅情報(bào)，以及對(duì)斯諾登事件、“影子經(jīng)紀(jì)人”曝光事件的綜合研究，確認(rèn)這些黑客攻擊程序樣本屬于美國(guó)國(guó)家安全局（NSA），進(jìn)而證實(shí)NSA長(zhǎng)期對(duì)我國(guó)開(kāi)展了極為隱蔽的無(wú)差別黑客攻擊行動(dòng)，最終將實(shí)施攻擊行動(dòng)的這些帶有NSA背景的黑客組織單獨(dú)編號(hào)為APT-C-40。

據(jù)相關(guān)證據(jù)推測(cè)，泄露的一系列NSA網(wǎng)絡(luò)武器被他國(guó)特別是“五眼聯(lián)盟”國(guó)家黑客廣泛利用，造成了全球性的網(wǎng)絡(luò)安全災(zāi)難。如“永恒之藍(lán)”被“WannaCry”蠕蟲(chóng)病毒利用，在2017年攻擊了中國(guó)和全球多個(gè)國(guó)家地區(qū)，給各國(guó)信息網(wǎng)絡(luò)造成了嚴(yán)重危害。而APT-C-40組織則針對(duì)我國(guó)各行業(yè)龍頭企業(yè)，政府、大學(xué)、醫(yī)療機(jī)構(gòu)、科研機(jī)構(gòu)，甚至關(guān)乎國(guó)計(jì)民生的重要信息基礎(chǔ)設(shè)施運(yùn)維單位等機(jī)構(gòu)實(shí)施了長(zhǎng)達(dá)十余年時(shí)間的秘密黑客攻擊活動(dòng)，竊取了海量重要數(shù)據(jù)，造成的潛在威脅難以評(píng)估。本報(bào)告將對(duì)美國(guó)國(guó)家安全局的相關(guān)黑客攻擊活動(dòng)進(jìn)行分析披露。

Quantum攻擊技術(shù)簡(jiǎn)介（量子）

被公開(kāi)揭露的NSA高端網(wǎng)絡(luò)黑客攻擊武器名目繁雜數(shù)量眾多，難以通過(guò)一份技術(shù)分析報(bào)告完整呈現(xiàn)。本報(bào)告屬于360系列報(bào)告的第一篇，將聚焦APT-C-40組織針對(duì)中國(guó)境內(nèi)目標(biāo)的黑客攻擊中所使用的最具代表性的Quantum（量子）攻擊系統(tǒng)。Quantum（ 量子）攻擊是 美國(guó) 國(guó)家安 全 局（NSA）針對(duì)國(guó)家 級(jí) 互聯(lián)網(wǎng)專(zhuān)門(mén)設(shè)計(jì)的一種先進(jìn)的網(wǎng)絡(luò)流量劫持攻擊技術(shù)，主要針對(duì)國(guó)家級(jí)網(wǎng)絡(luò)通信進(jìn)行中間劫持，以實(shí)施漏洞利用、通信操控、情報(bào)竊取等一系列復(fù)雜網(wǎng)絡(luò)攻擊。據(jù)NSA官方機(jī)密文檔《Quantum Insert Diagrams》內(nèi)容顯示，Quantum（量子）攻擊可以劫持全世界任意地區(qū)任意網(wǎng)上用戶的正常網(wǎng)頁(yè)瀏覽流量，進(jìn)行0day（零日）漏洞利用攻擊并遠(yuǎn)程植入后門(mén)程序。

Quantum（量子）系統(tǒng)的應(yīng)用場(chǎng)景分析

Quantum（量子）攻擊系統(tǒng)均以英文單詞QUANTUM開(kāi)頭命名，網(wǎng)上揭露的NSA機(jī)密文檔中，詳細(xì)描述了各QUANTUM系統(tǒng)模塊的具體代號(hào)、主要功能、應(yīng)用場(chǎng)景、項(xiàng)目狀態(tài)和相關(guān)網(wǎng)絡(luò)黑客攻擊武器啟用時(shí)間等。

Quantum（量子）攻擊系統(tǒng)有三種網(wǎng)絡(luò)攻擊應(yīng)用場(chǎng)景，攻擊平臺(tái)投使用的時(shí)間最早可追溯至2005年。此三種應(yīng)用場(chǎng)景，都以單詞縮寫(xiě)進(jìn)行命名，縮寫(xiě)分別為CNE（網(wǎng)絡(luò)情報(bào)竊?。NA（網(wǎng)絡(luò)攻擊破壞）和CND（網(wǎng)絡(luò)攻擊防御）。

1.Computer Network Exploitation（網(wǎng)絡(luò)情報(bào)竊取）CNE（網(wǎng)絡(luò)情報(bào)竊?。┖诳凸艋顒?dòng)應(yīng)用場(chǎng)景涉及6個(gè)Quantum（量子）系統(tǒng)模塊，主要功能是通過(guò)先進(jìn)技術(shù)手段遠(yuǎn)程秘密劫持世界各地互聯(lián)網(wǎng)正常流量，隨意操縱控制網(wǎng)絡(luò)流量，通過(guò)注入惡意代碼等方式對(duì)任意聯(lián)網(wǎng)終端實(shí)施漏洞攻擊，持續(xù)進(jìn)行破壞性網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)情報(bào)竊取等活動(dòng)。有證據(jù)顯示，遭到美國(guó)國(guó)家安全局NSA竊取的數(shù)據(jù)包括（但不限于）：網(wǎng)絡(luò)配置文件、賬號(hào)和密碼、辦公和私人文檔、數(shù)據(jù)庫(kù)、網(wǎng)上好友信息、網(wǎng)絡(luò)通訊信息、電子郵件、攝像頭實(shí)時(shí)數(shù)據(jù)、麥克風(fēng)實(shí)時(shí)數(shù)據(jù)等。

2.Computer Network Attack（網(wǎng)絡(luò)攻擊破壞）CNA（網(wǎng)絡(luò)攻擊破壞）黑客攻擊活動(dòng)應(yīng)用場(chǎng)景，涉及2個(gè)Quantum（量子）系統(tǒng)模塊，主要功能是進(jìn)行網(wǎng)絡(luò)攻擊破壞。與常規(guī)的黑客攻擊破壞活動(dòng)不同，NSA的黑客攻擊粒度更為精細(xì)化，可針對(duì)正常網(wǎng)絡(luò)流量中的任意網(wǎng)絡(luò)通訊和文件傳輸進(jìn)行操控、分析和破壞，特定情況下可以遠(yuǎn)程關(guān)閉或破壞遭攻擊目標(biāo)的關(guān)鍵信息基礎(chǔ)設(shè)施和水、電、氣等民生設(shè)施。

3.Computer Network Defense（網(wǎng)絡(luò)攻擊防御）CND（網(wǎng)絡(luò)攻擊防御）黑客攻擊防 御應(yīng) 用場(chǎng)景涉及1個(gè)Quantum（量子）系統(tǒng)模塊，主要目的是從受美國(guó)國(guó)家安全局NSA劫持的網(wǎng)絡(luò)流量中阻斷或發(fā)現(xiàn)惡意荷載的下載，并對(duì)其進(jìn)行安全分析。使NSA能夠從被攻擊目標(biāo)或自身網(wǎng)絡(luò)中提取非美國(guó)國(guó)家安全局（NSA）攻擊源的惡意程序樣本，執(zhí)行失陷情報(bào)分析和網(wǎng)絡(luò)攻擊防御類(lèi)任務(wù)。

Quantum（量子）系統(tǒng)的九大模塊分析

360云端安全大腦對(duì)Quantum（量子）系統(tǒng)進(jìn)行了長(zhǎng)期的跟蹤研究，現(xiàn)已發(fā)現(xiàn)美國(guó)國(guó)家安全局（NSA）Quantum（量子）系統(tǒng)的九種先進(jìn)網(wǎng)絡(luò)攻擊能力模塊：

1.QUANTUMINSERT（量子注入）

該模塊具備向正常網(wǎng)絡(luò)流量中注入惡意流量的攻擊能力。這是360云端安全大腦迄今發(fā)現(xiàn)的數(shù)量最多的Quantum（量子）攻擊方式。該模塊主要用于美國(guó)國(guó)家安全局（NSA）劫持世界各地互聯(lián)網(wǎng)用戶的正常網(wǎng)頁(yè)瀏覽流量，將用戶希望訪問(wèn)的正常合法網(wǎng)站劫持到NSA的FoxAcid（酸狐貍）仿冒網(wǎng)站服務(wù)器上，通過(guò)FoxAcid（酸狐貍）發(fā)送各類(lèi)瀏覽器0day（零日）漏洞，并完成對(duì)互聯(lián)網(wǎng)用戶的定點(diǎn)或批量攻擊，遠(yuǎn)程控制用戶網(wǎng)絡(luò)端，向用戶上網(wǎng)終端植入各種美國(guó)國(guó)家安全局（NSA）的復(fù)雜后門(mén)程序進(jìn)行情報(bào)竊取。

2.QUANTUMBOT（量子傀儡）

NSA也會(huì)針對(duì)網(wǎng)絡(luò)空間中的黑客組織進(jìn)行網(wǎng)絡(luò)攻擊，奪取黑客組織的網(wǎng)絡(luò)資源，為自身的后續(xù)黑客攻擊活動(dòng)提供技術(shù)支持。該模塊提供一種遠(yuǎn)程操控網(wǎng)絡(luò)空間中任意僵尸網(wǎng)絡(luò)的攻擊能力，通過(guò)劫持僵尸網(wǎng)絡(luò)命令控制的網(wǎng)絡(luò)流量，直接接管相關(guān)僵尸網(wǎng)絡(luò)資源，再操控這些僵尸網(wǎng)絡(luò)發(fā)起破壞性的攻擊活動(dòng)，隱藏NSA的黑客攻擊痕跡。

3.QUANTUMBISCUIT（量子餅干）

該模塊用于增強(qiáng)Quantum（量子）注入攻擊，針對(duì)攻擊目標(biāo)建立Quantum（量子）注入攻擊的代理跳板，目的是防止NSA的黑客攻擊行為被溯源發(fā)現(xiàn)，該模塊也常用于NSA針對(duì)特定目標(biāo)的網(wǎng)絡(luò)環(huán)境實(shí)施Quantum（量子）攻擊，定制部署攻擊跳板。

4.QUANTUMDNS（量子DNS）

該模塊具有對(duì)網(wǎng)絡(luò)流量DNS的劫持攻擊能力。通過(guò)該模塊，NSA可以劫持互聯(lián)網(wǎng)所有網(wǎng)站域名的DNS解析，重定向網(wǎng)站流量，同時(shí)還可以配合FOXACID（酸狐貍）平臺(tái)實(shí)施漏洞攻擊。

5.QUANTUMHAND（量子掌握）

該模塊提供了針對(duì)臉書(shū)（Facebook）等重要美國(guó)境內(nèi)網(wǎng)站的流量劫持能力，針對(duì)瀏覽相關(guān)網(wǎng)站的網(wǎng)絡(luò)流量進(jìn)行漏洞攻擊，植入美國(guó)國(guó)家安全局（NSA）的復(fù)雜后門(mén)程序。這種攻擊能力令人發(fā)指，美國(guó)國(guó)家安全局（NSA）會(huì)針對(duì)世界各國(guó)訪問(wèn)臉書(shū)、推特、油管、亞馬遜等美國(guó)網(wǎng)站的幾乎所有互聯(lián)網(wǎng)用戶發(fā)起無(wú)差別的網(wǎng)絡(luò)攻擊。

6.QUANTUMPHANTOM（量子幻影）

為防止美國(guó)國(guó)家安全局（NSA）向其它國(guó)家實(shí)施的網(wǎng)絡(luò)攻擊被追蹤溯源，該模塊提供了一種利用網(wǎng)絡(luò)鏈路中間節(jié)點(diǎn)劫持技術(shù)實(shí)現(xiàn)攻擊源隱藏的先進(jìn)網(wǎng)絡(luò)攻擊能力。例如：NSA使用一個(gè)假冒IP地址作為命令控制，劫持與這個(gè)假冒IP通信的網(wǎng)絡(luò)路由節(jié)點(diǎn)鏈路，在網(wǎng)絡(luò)鏈路的中途節(jié)點(diǎn)進(jìn)行被動(dòng)監(jiān)聽(tīng)和流量操控，隱藏NSA真實(shí)的后門(mén)命令控制地址。

7.QUANTUMSKY（量子天空）

該模塊提供了一種網(wǎng)絡(luò)通信阻斷能力，通過(guò)RST復(fù)位報(bào)文中斷特定的網(wǎng)絡(luò)連接，主要用于NSA劫持和阻止特定目標(biāo)訪問(wèn)特定網(wǎng)站的流量。

8.QUANTUMCOPPER（量子警察）

該模塊針對(duì)網(wǎng)絡(luò)通信流量中的文件提供了篡改能力，使NSA的攻擊可以針對(duì)網(wǎng)絡(luò)流量中的文件上傳和下載進(jìn)行劫持，實(shí)施中斷破壞或后門(mén)植入感染等網(wǎng)絡(luò)攻擊。

9.QUANTUMSMACKDOWN（量子下載）

該模塊提供了惡意網(wǎng)絡(luò)流量的分析能力，可以阻斷和抽取下載網(wǎng)絡(luò)流量中的惡意荷載及惡意樣本等，主要用于NSA對(duì)攻擊目標(biāo)非美國(guó)攻擊源的失陷情報(bào)收集，也可以防御和分析自身網(wǎng)絡(luò)環(huán)境中的惡意流量。

Quantum（量子）攻擊的實(shí)施過(guò)程分析

美國(guó)國(guó)家安全局（NSA）為了監(jiān)控全球互聯(lián)網(wǎng)目標(biāo)，制定了眾多的作戰(zhàn)計(jì)劃，相關(guān)計(jì)劃涉及的具體任務(wù)會(huì)通過(guò)Quantum（量子）系統(tǒng)平臺(tái)實(shí)施，從分析中可推測(cè)，在實(shí)施過(guò)程中所采集的大量數(shù)據(jù)都在用戶毫不知情的情況下獲得，滲透技術(shù)使得美國(guó)本土公民和世界其他國(guó)家網(wǎng)民的個(gè)人隱私得不到應(yīng)有的保護(hù)，公民隱私權(quán)遭到不同程度的侵犯。

當(dāng)美國(guó)國(guó)家安全局或聯(lián)邦政府其它部門(mén)下達(dá)的黑客攻擊任務(wù)提交到Quantum（量子）系統(tǒng)后，攻擊實(shí)施人員首先會(huì)針對(duì)攻擊目標(biāo)的網(wǎng)絡(luò)通信流量進(jìn)行監(jiān)聽(tīng)，對(duì)被攻擊目標(biāo)訪問(wèn)的特定網(wǎng)站進(jìn)行定向網(wǎng)絡(luò)劫持，然后通過(guò)各類(lèi)0day（零日）漏洞向目標(biāo)上網(wǎng)終端中植入VALIDATOR（驗(yàn)證器）等以環(huán)境探查為目的后門(mén)程序，完成初始情報(bào)收集。隨后，安裝更多先進(jìn)的后門(mén)程序，進(jìn)行一系列精密復(fù)雜的網(wǎng)絡(luò)滲透攻擊，最終完成情報(bào)收集任務(wù)。目標(biāo)上網(wǎng)終端中存儲(chǔ)的靜態(tài)文件、上網(wǎng)流量及通訊內(nèi)容，全都在美國(guó)國(guó)家安全局的竊密之列。

QUANTUM（量子）攻擊的完整實(shí)施過(guò)程分為以下三個(gè)階段，現(xiàn)已完全實(shí)現(xiàn)了工程化、自動(dòng)化：

第一階段

QUANTUM（量子）攻擊實(shí)施者會(huì)首先對(duì)被攻擊目標(biāo)進(jìn)行網(wǎng)絡(luò)定位，整個(gè)定位過(guò)程是通過(guò)NSA持有的一整套“QUANTUM Capabilities”（量子能力），網(wǎng)絡(luò)黑客攻擊工具完成，這些工作具有對(duì)全球互聯(lián)網(wǎng)巨頭網(wǎng)絡(luò)流量的遠(yuǎn)程劫持操控能力。據(jù)NSA機(jī)密文檔顯示，“QUANTUM Capabilities”（量子能力）的定位操作除了針對(duì)特定IP，更重要的是能夠針對(duì)電子郵箱、社交網(wǎng)絡(luò)、搜索引擎、視頻網(wǎng)站等全球網(wǎng)民使用最多的互聯(lián)網(wǎng)服務(wù)及不同的網(wǎng)站賬號(hào)進(jìn)行遠(yuǎn)程定位，快速找出攻擊目標(biāo)，所處的網(wǎng)絡(luò)及上網(wǎng)地點(diǎn)。

第二階段

目標(biāo)定位完成后，QUANTUM量子攻擊操作會(huì)進(jìn)入被NSA稱(chēng)之為“QUANTUM SIGDEV”（量子監(jiān)控）的階段，該階段的主要任務(wù)是全面監(jiān)控攻擊目標(biāo)的互聯(lián)網(wǎng)賬號(hào)等相關(guān)網(wǎng)絡(luò)通信內(nèi)容和其它網(wǎng)絡(luò)活動(dòng)。如下圖美國(guó)國(guó)家安全局（NSA）機(jī)密文檔所示，美國(guó)國(guó)家安全局（NSA）的Quantum（量子）攻擊系統(tǒng)后臺(tái)顯示了如何監(jiān)控Yahoo（雅虎）、Facebook（臉書(shū)）和Hotmail等美國(guó)互聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡(luò)注冊(cè)用戶的部分細(xì)節(jié)，表明美國(guó)國(guó)家安全局實(shí)際上正在對(duì)全球各地使用美國(guó)互聯(lián)網(wǎng)產(chǎn)品的用戶實(shí)施無(wú)差別監(jiān)控。

第三階段

QUANTUM（量子）攻擊操作進(jìn)入被NSA稱(chēng)為“QUANTUMNATION”（量子國(guó)界）的階段，“NATION”代號(hào)具有一定的網(wǎng)絡(luò)空間邊界和國(guó)家邊界的含義。360云端安全大腦目前發(fā)現(xiàn)的美國(guó)國(guó)家安全局（NSA）對(duì)外實(shí)施的大部分網(wǎng)絡(luò)黑客攻擊是針對(duì)其他國(guó)家用戶的漏洞攻擊，攻擊過(guò)程中，NSA會(huì)向目標(biāo)用戶上網(wǎng)終端植入以VALIDATOR（驗(yàn)證器）為代表的NSA后門(mén)程序，長(zhǎng)期潛伏在目標(biāo)用戶上網(wǎng)終端中，再通過(guò)這些后門(mén)程序發(fā) 起更多復(fù)雜的網(wǎng)絡(luò)攻擊滲透。如下圖NSA機(jī)密文檔所示，Quantum（量子）攻擊系統(tǒng)正在對(duì)目標(biāo)用戶訪問(wèn)的Facebook（臉書(shū)）網(wǎng)站實(shí)施CNE（網(wǎng)絡(luò)情報(bào)收集）攻擊任務(wù)，NSA的Quantum（量子）攻擊系統(tǒng)后臺(tái)顯示了受害目標(biāo)用戶訪問(wèn)Facebook（臉書(shū)）時(shí)，NSA實(shí)施漏洞攻擊的確切時(shí)間，同時(shí)還標(biāo)記了受害者網(wǎng)絡(luò)瀏覽器類(lèi)型等隱私信息。

我們完整的還原了APT-C-40組織對(duì)中國(guó)境內(nèi)特定機(jī)構(gòu)發(fā)起的黑客攻擊和數(shù)據(jù)竊密事件。

Quantum（量子）注入攻擊的完整實(shí)例分析

通過(guò)以上章節(jié)分析可知，Quantum（量子）攻擊系統(tǒng)是一個(gè)異常復(fù)雜和精密的先進(jìn)網(wǎng)絡(luò)攻擊平臺(tái)。360大數(shù)據(jù)視野中發(fā)現(xiàn)了大量APT-C-40組織實(shí)施的QUANTUMINSERT（量子注入）類(lèi)型的攻擊痕跡，這些攻擊實(shí)例中包含了用FoxAcid（酸狐貍）網(wǎng)站仿冒服務(wù)器實(shí)施漏洞利用攻擊，向受害者植入以VALIDATOR（驗(yàn)證器）、UNITEDRAKE（聯(lián)合耙）等為代表的NSA專(zhuān)屬后門(mén)程序，大量竊取受害者個(gè)人隱私和上網(wǎng)數(shù)據(jù)等內(nèi)容。

FoxAcid（酸狐貍）攻擊武器在執(zhí)行漏洞攻擊任務(wù)時(shí)，需要有QUANTUMINSERT（量子注入）和QUANTUMBISCUIT（量子餅干）兩個(gè)Quantum（量子）系統(tǒng)模塊支持，劫持并向FoxAcid（酸狐貍）提供最基礎(chǔ)網(wǎng)絡(luò)流量，F(xiàn)oxAcid（酸狐貍）攻擊武器利用各種主流瀏覽器和Flash等應(yīng)用程序的0day漏洞對(duì)目標(biāo)對(duì)象實(shí)施攻擊，再向其上網(wǎng)終端中植入初始后門(mén)程序。

從QUANTUMINSERT（量子注 入）的原理分析看，NSA利用網(wǎng)絡(luò)響應(yīng)速度差來(lái)實(shí)現(xiàn)Quantum（量子）注入攻擊，劫持全球互聯(lián)網(wǎng)上任意終端設(shè)備的正常網(wǎng)頁(yè)瀏覽量。NSA把FoxAcid（酸狐貍）服務(wù)器部署在互聯(lián)網(wǎng)骨干網(wǎng)中，可使網(wǎng)絡(luò)攻擊受害者在真實(shí)網(wǎng)站服務(wù)器響應(yīng)之前接收到NSA量子攻擊劫持后的假冒服務(wù)器響應(yīng)，迫使受害者重定向訪問(wèn)NSA的FoxAcid仿冒網(wǎng)站或網(wǎng)頁(yè)資源。

Quantum（量子）注入攻擊在安全業(yè)界又被歸類(lèi)定義為MotS（Man on the Side）旁路型中間人攻擊，我們觀察到的完整Quantum（量子）注入攻擊過(guò)程如下圖所示：

在完整的攻擊實(shí)例中，Quantum（量子）注入攻擊偽造的HTTP重定向報(bào)文會(huì)先于正常響應(yīng)報(bào)文到達(dá)用戶上網(wǎng)終端。

攻擊過(guò)程中，由美國(guó)國(guó)家安全局（NSA）偽造的數(shù)據(jù)包和正常的網(wǎng)絡(luò)數(shù)據(jù)包會(huì)帶有相同的序列號(hào)（Sequence），對(duì)受害者上網(wǎng)終端形成欺騙。

在真實(shí)的Quantum（量子）系統(tǒng)注入攻擊實(shí)例中，我們發(fā)現(xiàn)量子注入攻擊的實(shí)施方式異常復(fù)雜，呈現(xiàn)出分布式跳板節(jié)點(diǎn)的特征。面對(duì)這種定向、瞬時(shí)、分布式攻擊情況，安全人員難以準(zhǔn)確定位網(wǎng)絡(luò)鏈路中的哪一跳節(jié)點(diǎn)具體實(shí)施了量子注入攻擊，也極難捕獲完整的量子注入攻擊過(guò)程。但即使在如此艱難和復(fù)雜的攻防場(chǎng)景下，360云端安全大腦仍依靠獨(dú)一無(wú)二的安全大數(shù)據(jù)能力，捕獲了大量美國(guó)國(guó)安全局（NSA）的Quantum（量子）注入攻擊的專(zhuān)用后門(mén)程序武器樣本。

從被公開(kāi)揭露的NSA機(jī)密文檔《QUANTUM Shooter SBZ Notes》內(nèi)容可以印證：

1. NSA需要在網(wǎng)絡(luò)傳輸線 路上建立被動(dòng)監(jiān)聽(tīng)節(jié)點(diǎn)，持 續(xù)不斷竊取信道中的網(wǎng)絡(luò)信號(hào)數(shù)據(jù)，并實(shí)現(xiàn)高速解碼和條件匹配，這一項(xiàng)目被NSA稱(chēng)為T(mén)URMOIL（混亂，與量子攻擊系統(tǒng)配套的后門(mén)監(jiān)聽(tīng)系統(tǒng)），該系統(tǒng)需要具備極高性能，以確保對(duì)竊取到的網(wǎng)絡(luò)數(shù)據(jù)包解碼匹配時(shí)間盡可能短。

2.一個(gè)具體場(chǎng)景是，當(dāng)NSA網(wǎng)絡(luò)攻擊受害者利用訪問(wèn)Facebook（臉書(shū)）等美國(guó)網(wǎng)站，相關(guān)訪問(wèn)流量數(shù)據(jù)包會(huì)被TURMOIL系統(tǒng)定時(shí)監(jiān)聽(tīng)并解析匹配，一旦匹配到NSA想要入侵的攻擊目標(biāo)，Quantum（量子）攻擊平臺(tái)就會(huì)通過(guò)TURBINE（渦輪，量子攻擊系統(tǒng)配套的后門(mén)植入工具）向感染SBZ（StraitBizarre，一種可以實(shí)施量子注入攻擊的跳板后門(mén)）的網(wǎng)絡(luò)設(shè)備發(fā)送命令，控制SBZ向受害者上網(wǎng)終端發(fā)送偽造的量子注入數(shù)據(jù)包，相關(guān)數(shù)據(jù)包通常是進(jìn)行HTTP重定向，迫使受害者訪問(wèn)FoxAcid服務(wù)器。

3.SBZ節(jié)點(diǎn)又被歸類(lèi)為QUANTUM Shooter（量子射手）節(jié)點(diǎn)，由于NSA要保證SBZ發(fā)送的數(shù)據(jù)包先于正常服務(wù)器響應(yīng)數(shù)據(jù)包到達(dá)受害者，相關(guān)節(jié)點(diǎn)必須離受害者足夠“近”（網(wǎng)絡(luò)延遲足夠低）。同時(shí)，為了保證攻擊成功率，相關(guān)節(jié)點(diǎn)也會(huì)出現(xiàn)分布式攻擊情況。由于這種攻擊手法常常用于對(duì)特定受害者發(fā)動(dòng)定向攻擊，使QUANTUM Shooter（量子射手）節(jié)點(diǎn)的攻擊行為同時(shí)具備了定向性、瞬時(shí)性和分布式特點(diǎn)，導(dǎo)致極難被追蹤分析。

小結(jié)

美國(guó)國(guó)家安全局（NSA）的全球化無(wú)差別黑客入侵行徑，離不開(kāi)龐大而復(fù)雜的網(wǎng)絡(luò)武器平臺(tái)支持。本報(bào)告針對(duì)QUANTUM（量子）攻擊系統(tǒng)的應(yīng)用場(chǎng)景和攻擊實(shí)施過(guò)程進(jìn)行的技術(shù)分析，結(jié)合360云端安全大腦視野發(fā)現(xiàn)的真實(shí)案例，全面印證了美國(guó)國(guó)家安全局（NSA）針對(duì)全球互聯(lián)網(wǎng)用戶實(shí)施大規(guī)模無(wú)差別網(wǎng)絡(luò)攻擊的詳細(xì)情況，也引發(fā)了我們的進(jìn)一步思考：

1.美國(guó)NSA網(wǎng)絡(luò)武器攻擊已完全實(shí)現(xiàn)了工程化、自動(dòng)化。網(wǎng)絡(luò)戰(zhàn)時(shí)代到來(lái)，網(wǎng)絡(luò)武器的自動(dòng)化、智能化優(yōu)勢(shì)成為超越信息優(yōu)勢(shì)的“進(jìn)階優(yōu)勢(shì)”，而NSA組織的QUANTUM（量子）系統(tǒng)可能僅是冰山一角，美國(guó)或掌握著更多更高度工程化的網(wǎng)絡(luò)攻擊平臺(tái)，其自動(dòng)化的“思考”速度和質(zhì)量，極大提高了美國(guó)自主作戰(zhàn)系統(tǒng)實(shí)現(xiàn)制勝目標(biāo)的優(yōu)勢(shì)，也為全球網(wǎng)絡(luò)安全帶來(lái)無(wú)窮隱憂。

2.為實(shí)施并制勝網(wǎng)絡(luò)戰(zhàn)，美國(guó)政府充分利用一切先進(jìn)技術(shù)和網(wǎng)絡(luò)資源。美國(guó)有著全球最先進(jìn)的互聯(lián)網(wǎng)技術(shù)，這是盡人皆知的，但為了掌握網(wǎng)絡(luò)戰(zhàn)主導(dǎo)權(quán)，美國(guó)將諸如QUANTUM（量子）攻擊系統(tǒng)等大量頂級(jí)技術(shù)手段、高端人才、情報(bào)力量納入作戰(zhàn)序列，由此可見(jiàn)，美國(guó)對(duì)發(fā)展網(wǎng)絡(luò)作戰(zhàn)力量的重視程度，并不計(jì)成本地投入資源、增加籌碼。

3.美國(guó)的網(wǎng)絡(luò)攻擊屬于無(wú)差別攻擊，目標(biāo)是全球范圍，甚至包括美國(guó)盟友。由上述分析可見(jiàn)，美國(guó)針對(duì)各類(lèi)電子郵箱、社交網(wǎng)絡(luò)、搜索引擎、視頻網(wǎng)站等幾乎所有互聯(lián)網(wǎng)用戶發(fā)起無(wú)差別的網(wǎng)絡(luò)攻擊，美國(guó)的網(wǎng)絡(luò)戰(zhàn)略打擊是全球性的、無(wú)節(jié)制的，在美國(guó)網(wǎng)絡(luò)攻擊的鐮刀之下，沒(méi)有哪一國(guó)能獨(dú)善其身。

4.美國(guó)的網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略，或不僅限于網(wǎng)絡(luò)竊密。通過(guò)公開(kāi)的資料已知，美國(guó)已經(jīng)完成了其網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略目標(biāo)第一步——網(wǎng)絡(luò)竊密，像斯諾登還有維基百科爆料的“棱鏡”計(jì)劃都屬于這一范疇，但不排除美國(guó)的下一步目標(biāo)野心將更大。一旦通過(guò)在對(duì)手的電腦網(wǎng)絡(luò)中安插硬件或軟件后門(mén)，實(shí)現(xiàn)關(guān)鍵目標(biāo)遠(yuǎn)程操控，包括軍事系統(tǒng)、國(guó)家公共安全領(lǐng)域的服務(wù)器、民航公路鐵路交通系統(tǒng)的主機(jī)、銀行金融系統(tǒng)的服務(wù)器等，如果美國(guó)更大的戰(zhàn)略目標(biāo)實(shí)現(xiàn)，其對(duì)手將毫無(wú)談判余地。

本文系觀察者網(wǎng)獨(dú)家稿件，未經(jīng)授權(quán)，不得轉(zhuǎn)載。

關(guān)鍵詞：