360曝美国10多年对全球无差别网络攻击，中国成重点目标

【文/观察者网 吕栋 编辑/周远方】
继美国国安局顶级Linux平台后门不久前被中国研究员曝光后，中国企业日前再次将美国无差别网络攻击中国和全球多国的重要证据呈现在世人面前。
3月3日，观察者网从360公司获取的一份报告显示，从2008年开始，该公司整合海量安全大数据，独立捕获大量高级复杂的攻击程序，通过长期的分析与跟踪并实地从多个受害单位取证，结合关联全球威胁情报，以及对斯诺登事件、“影子经纪人”黑客组织的持续追踪，确认这些攻击属于美国国安局（NSA）组织，进而证实了NSA长期对我国开展极为隐蔽的攻击行动。
事实上，随着近些年国家重视程度不断提高，中国的网络安全防御模式已较为完整，但仍存在诸多不足。漏洞银行CTO张雪松在接受观察者网采访时指出，上一阶段，国家大范围信息系统安全性已经得到稳步提高，下个阶段将是面对高级和先进威胁攻击的防御体系阶段，国家在此方面的建设仍有一段路要走。
观察者网了解到，随着全国两会如期召开，全国政协委员、360创始人周鸿祎将在提案中建议，把网络安全升级为数字安全，同时建议国家把数字安全纳入新基建，调集社会各方力量共同参与数字安全体系建设。

美国国家安全局局长、陆军中将保罗·纳卡森
美国对全球长期无差别网络攻击，中国是重点
美国国家安全局隶属美国国防部，专门从事电子通信侦察，主要任务是搜集各国的信息资料，揭露潜伏间谍通信联络活动，为美国政府提供各种加工整理的情报信息。360报告显示，长期以来，为达到美国政府情报收集目的，NSA组织针对全球发起大规模网络攻击，中国就是NSA组织的重点攻击目标之一。
观察者网从360公司了解到，NSA非法入侵不仅能窃取情报，还可以对电力、水利、电信、交通、能源等关键基础设施发起攻击，从而对公共数据、公共通信网络、公共交通网络、公共服务等造成灾难性后果。除此之外，NSA还选择将通信行业视为重点攻击目标，长期“偷窥”及收集关于通信行业存储的大量个人信息及行业关键数据。在NSA监视下，全球数亿公民的隐私和敏感信息无处藏身犹如“裸奔”。

360报告截图
2013年，前美国中央情报局（CIA）职员、美国安局（NSA）外包技术员爱德华·斯诺登向全世界揭发美国政府收集用户数据信息的丑闻，并泄漏NSA组织大量网络战机密文档资料，这起美国历史上最严重的泄密事件轰动全球。经此一事，“网络战”及“国家级网络威胁”等概念为全世界所认知，360随后开始重点跟进。
360安全团队通过对取证数据分析，发现APT-C-40（360给NSA及其关联机构的单独编号）针对系列行业龙头公司的攻击实际开始于2010年，结合网络情报分析研判该攻击活动与NSA的某网络战计划实施时间前后衔接，攻击活动涉及企业众多关键的网络管理服务器和终端。
在谈到美国无差别攻击的证据时，漏洞银行CTO张雪松向观察者网指出，影子经纪人（Shadow Brokers）2016年曾攻陷NSA下属黑客团队“方程式组织”，并公布NSA网络武器库，其中包括有“永恒之蓝”等针对windows系统的致命漏洞，之后全球知名的Wanacry勒索病毒，也是根据永恒之蓝编写的。通过大量网络攻击分析发现，全球大量攻击均采用了NSA武器库中的攻击方式和工具，全球影响47个国家和上百个国家关键基础设施。从这些情况可明显看出，美国NSA的武器库对全球系统的影响是无差别的。

Shadow Brokers
360报告中提到，NSA发展的QUANTUM（量子）攻击经常配套使用的是代号为FOXACID（酸狐狸）的系统。FOXACID是NSA设计的一个威力巨大的0Day漏洞攻击平台，并且可以对漏洞攻击的主要步骤实施自动化，劫持网络运营商的正常网络流量，是一件“大规模入侵工具”。根据NSA机密文档介绍，FOXACID服务器使用了各种浏览器0Day漏洞，比如Flash、IE、火狐浏览器漏洞，用于向计算机目标植入木马程序。
众所周知，美国英特尔、微软、甲骨文、谷歌等科技巨头目前掌握着全球互联网科技的软硬件核心技术，市场上也因此有说法称部分0day漏洞是被某些公司刻意设计了后门。

AtlasVPN 报告：2021年上半年，谷歌、微软和甲骨文出现的网络安全漏洞最多
针对这种观点，张雪松向观察者网表示，0day漏洞确实是留存在代码中的缺陷或错误逻辑造成，随着软硬件的发布与出厂，就已经携带了这些缺陷，当然诸多的国外系统，频频爆出致命漏洞，不得不让人们怀疑是在程序编写时故意设计的，更何况像微软、甲骨文等顶级程序员所在的公司，都存在大量的系统漏洞，更是让人们无法相信这些0day漏洞产生的合理性。
张雪松指出，根据专业的安全人员分析，很多0day的存在确实是存在不合理性的，但是目前并未有国外公司承认这一点，往往以编程“失误”等缘由而告终，甚至同样的“失误”还会发生多次，但无论这些后门是否是被设计的，都应该想方设法提高对此类威胁的防御能力。
360方面则告诉观察者网，理论上来讲，安全漏洞取决一个计算机系统的复杂程度，只要是人写的程序必然存在错误和漏洞，这就是所谓的“先天不足”。当然也有一些可能刻意设计的后门，取决于针对什么样的工程设计后门，如果是行业级别的复杂工程是需要有顶尖安全技术能力的科学家才能实现。
中国网络安全防御仍存不足，周鸿祎建议将数字安全纳入新基建
根据360报告，NSA为了监控全球的目标制定了众多的作战计划，360安全专家通过对中招后提取的Validator后门样本配置字段进行统计分析，推演出NSA针对中国的大型攻击活动，仅Validator一项的感染量保守估计达几万数量级，随着持续攻击演进感染量甚至可能已经达到数十万、百万量级。
观察者网了解到，NSA对中国境内的目标攻击如政府、金融、科研院所、运营商、教育、军工、航空航天、医疗等行业，重要敏感单位及组织机构成为主要目标，占比重较大的是高科技领域。同时，根据NSA机密文档中描述的FOXACID服务器代号，结合360全球安全大数据视野，可发现其针对英国、德国、法国、韩国等全球47个国家及地区发起攻击，403个目标受到影响，潜伏时间长达十几年。
3月3日晚间，中国外交部发言人汪文斌就360报告曝光的内容指出，“具有讽刺意味的是，作为全球头号的黑客帝国，美国还以受害者形象误导国际社会，试图主导网络安全国际议程”。他强调，网络空间是人类的共同家园，网络攻击是全球面临的共同威胁，中方再次强烈要求美国停止针对中国和全球的网络窃密和攻击，切实采取负责任的态度，与各方一道共同维护网络空间和平与安全。

观察者网微博截图
从NSA的无差别攻击不难看出，网络攻击近些年已从虚拟世界影响到现实世界，小毛贼、小黑客已成历史，以国家级黑客组织为代表的高级别专业力量入场，关键基础设施、城市、大型企业成为网络攻击的首选目标，数据成为新的攻击对象。
与此同时，360报告提到，中国数字安全投入占比在全球范围内仍相对较低，发达国家仅网络安全占整体IT的投入占比已达10%，而国内尚不足1%，究其原因是部分政企单位仅依照合规堆砌产品，缺乏实战能力，缺乏科学能力评估。
针对中国网络安全现状，张雪松向观察者网表示，中国目前安全现状仍处于十分严峻的状况，来自境外的网络攻击已经愈演愈烈，更有专门针对国家支柱产业的定向攻击。过去十年间，国家网络安全基本从防御薄弱型演变为系统性防御态势，已经具备的较为完整的防御模式，但是面对持续不断的致命漏洞和新型的攻击方式，仍存在诸多不足。近些年随着国家数字化建设和安全治理的重视，国家大范围的信息系统安全性已经得到了稳步提高，下个阶段将是面对高级和先进威胁攻击的防御体系阶段，国家在此方面的建设仍有一段路要走。
为此，360创始人周鸿祎将在今年全国两会提案中建议，将网络安全升级为数字安全，打造覆盖所有数字化场景的数字安全防范应急体系，包括应对工业互联网、车联网、智慧城市，以及云安全、数据安全、供应链安全等挑战。同时，他建议国家把数字安全纳入新基建，各地数字化建设之初便将安全考虑在内，并互联互通，调集社会各方力量共同参与数字安全体系建设，真正提升国家数字安全能力。

360公司创始人周鸿祎（资料图）
网络安全事关国家安全，政府层面其实早已展开行动。
张雪松告诉观察者网，中国开展的信创工程改变了国家早期的安全格局，从根源上提高了境外攻击的难度，因为在系统底层上存在信息系统的不同，导致黑客利用通用0day漏洞攻击的方式大打折扣，这必然形成了具有中国特色的信息化道路，对于全球严峻的网络攻击形势，将产生新的秩序变化。国家已经在这条道路上走出了部分成绩，未来将能够实现更多信创工程的落地，完全实现国家独立自主的信息体系。
2021年12月，美国Apache基金会开源项目的Log4j2组件被发现存在远程代码执行漏洞，该漏洞被业内称为“核弹级”漏洞，引起业界对开源软件安全的重视。
周鸿祎对此表示，在Log4j2漏洞曝出之前，开源软件漏洞便已存在大量漏洞，只不过此漏洞的爆发引起了外界的普遍关注。尽管如此，周鸿祎对开源软件依然持积极看法，并十分提倡开源精神，认为这是新时代的“集中力量办大事”，没有开源软件也就没有中国互联网的今天。
然而，从安全的角度，开源软件很容易成为他国对我进行网络渗透攻击的渠道。因此，周鸿祎将在提案中建议，加强对开源软件的代码审查，国内软件业应该积极参与国际开源社区互动，不断提高话语权，建立影响力，鼓励**市场力量参与国内开源生态建设，尽快掌控开源软件资源应用的主动权。
2022年，是周鸿祎第五年参加两会。过去四年，他已向全国两会提交12份提案，覆盖5G、车联网、工业互联网、新基建、城市安全等新兴领域的安全问题。今年，他的提案将聚焦数字安全、智能网联汽车安全、开源软件安全以及中小企业安全等领域。
企业需承担网络安全合规责任，否则将面临处罚
在360报告披露不久前，奇安信旗下奇安盘古实验室曾发布报告，披露来自美国的Linux平台后门——“电幕行动”（Bvp47）的完整技术细节和攻击组织关联。该公司称，这是隶属于NSA的超一流黑客组织——“方程式”所制造的顶级后门，用于入侵后窥视并控制受害组织网络，已侵害全球45个国家和地区。

奇安盘古实验室报告截图
汇业律师事务所高级合伙人、网络安全和数据合规专家李天航向观察者网指出，通过美国NSA对全球的攻击看，网络安全不仅是企业自身的安全，更是国家安全的基础。NSA的攻击相比黑客的攻击危害更大，其主要针对关键（信息）基础设施，获取重要的个人信息和数据。危害的不仅仅是企业的安全，更是国家安全和社会公共利益。
在《网络安全法》《数据安全法》《个人信息保护法》相继公布施行后，国家在企业落实网络、数据、个人信息保护等领域的安全义务框架规范已基本健全，企业在受到网络攻击后，不仅要遭受网络、数据与个人信息方面的损失，还要因为未履行或者完全履行网数领域合规义务而遭受处罚，目前，公安机关已在数年前就提出了“一案双查”的要求。
李天航认为，企业在做好网络、数据与个人信息等领域的安全措施同时，还必须落实网数领域的法律合规要求。概括来说，主要有以下几个方面：
　　

一、网络安全等级保护义务和应急预案。等保义务包括岗位、制度、数据备份、安全防护措施、网络日志留存6个月以上等，等保二级以上的还需要向公安机关备案。关键信息基础设施运营者还应当履行更为严格的义务，相关网络符合等保三级以上要求。 二、采购符合国家强制性标准的关键网络设备，关键信息基础设施运营者网络产品和服务可能影响国家安全的，需要通过网络安全审查等。 三、对数据采取分类分级保护措施，对重要数据与核心数据采取更为严格的保护措施。开展数据处理活动加强风险监控措施；对重要数据处理活动定期开展风险评估并报告有关主管部门等。 四、关键信息基础设施运营者在境内收集的重要数据和个人信息，达到网信部门规定数量的个人信息处理者收集的个人信息，行业有特殊要求的重要数据等都应当在境内存储。个人信息和重要数据出境还需要通过国家规定安全评估等措施。 五、向境外司法、执法机构提供数据应当通过外交或者国际条约、协定等规定的渠道。未经中国主管部门批准，不得将个人信息和数据向境外司法、执法机构提供。

李天航向观察者网指出，这些仅仅是法律规定的部分要求，在企业面临越来越严重的网络安全威胁情况下，企业需要首先做好合规措施，否则，在自身遭受网络安全威胁的同时，可能还要面临严重的处罚。
附：美国安局网络攻击手法剖析

（1）QUANTUM（量子）攻击系统
QUANTUM（量子）攻击系统是NSA发展的一系列网络攻击与利用平台的总称，其下包含多个子项目，均以QUANTUM开头命名。它是NSA最强大的互联网攻击工具，也是NSA进行网络情报战最重要的能力系统之一，最早的项目从2004年就已经开始创建。

从文档中不难看出，在NSA的三个主要网络战方向（CNE、CNA、CND）中，QUANTUM均有相关项目。NSA利用美国在全球网络通讯和互联网体系中所处的核心地位，利用先进技术手段实现对网络信号的监听、截获与自动化利用，QUANTUM项目的本质就是在此基础上实现的一系列数据分析与利用能力。
（2）FOXACID（酸狐狸）0Day漏洞攻击平台
QUANTUM（量子）攻击经常配套使用的是代号为FOXACID（酸狐狸）的系统。FOXACID是NSA设计的一个威力巨大的0Day漏洞攻击平台，并且可以对漏洞攻击的主要步骤实施自动化，甚至让没有什么网络攻击经验的运营商也参与进来，成为一件威力巨大的“大规模入侵工具”。 根据NSA机密文档介绍，FOXACID服务器使用了各种浏览器0Day漏洞，比如Flash、IE、火狐浏览器漏洞，用于向计算机目标植入木马程序。

而从现有情报来看，FOXACID在2007年之前就已经开始投入运作，直到2013年仍有其使用的痕迹，以此估算其使用时间至少长达八年之久。NSA依靠与美国电信公司的秘密合作，把FOXACID服务器放在Internet骨干网，保证了FOXACID服务器的反应速度要快于实际网站服务器的反应速度。利用这个速度差，QUANTUM（量子）注入攻击可以在实际网站反应之前模仿这个网站，迫使目标机器的浏览器来访问FoxAcid服务器。

（3）Validator（验证器）后门
Validator（验证器）是用于FoxAcid项目的主要后门程序之一，一般被用于NSA的初步入侵，通过其再植入更复杂的木马程序，比如UnitedRake（联合耙），每个被植入的计算机系统都会被分配一个唯一的验证ID。

根据NSA机密文档的描述，Validator主要配合FOXACID攻击使用，基于基本的C/S架构，为敏感目标提供了可供接触的后门。Validator可以通过远程和直接接触进行部署，并提供了7x24小时的在线能力。Validator是一种很简单的后门程序，提供了一种队列式的操作模式，只能支持上传下载文件、执行程序、获取系统信息、改变ID和自毁这类简单功能。
（4）UNITEDRAKE（联合耙）后门系统
UNITEDRAKE（联合耙），是NSA开发的一套先进后门系统。360安全专家通过对泄露的相关文档进行分析，UNITEDRAKE的整体结构大致分为5个子系统，分别是服务器、系统管理界面、数据库、模块插件集和客户端，其关系如下所示：

服务器：服务器即为CC服务器，主要功能为接受客户端的连接请求，并且管理客户端和其他子系统间的通讯，设计该系统的目的为尽可能的减少操作请求次数。在文档中其被描述为 Listening Port，即监听端口。
系统管理界面：系统管理界面为一套图形用户界面，操作者可以通过该界面直接查看客户端状态、给客户端下发命令、管理插件和调整客户端的配置。在文档中其被描述为UR GUI。
插件模块集：该部分为整套UNITEDRAKE系统的技术核心，功能插件化使得整套系统具备极强的可扩展性和适应性；一个插件模块由一个或多个客户端插件，一个或多个服务端插件以及一个或多个系统管理界面组件组成的，三者配合共同组成一个完整的功能插件模块；并且针对不同的行动，插件模块可以根据任务需求弹性化选择组合与安装。
数据库：UNITEDRAKE系统使用SQL数据库来存储和管理一下信息：系统配置信息、客户端配置信息、各类状态信息和收集到的数据。
客户端：客户端程序，即为下发植入的木马程序；其能隐蔽的植入目标机器中，并为进一步的攻击提供支持，客户端的设计重点为提高隐蔽性。

---