近日，奇虎360在其核心安全技术博客更新了报告，披露美国中央情报局（CIA）攻击组织（APT-C-39）对中国航空航天、科研机构、石油行业等关键领域进行长达11年的网络渗透攻击。360安全卫士官微称，“这不仅是全球首度揭秘，更是全球首度实锤”。

　　360称，CIA的目标是中国的航空和能源行业、科研组织、互联网公司和政府机构。另外360还提到，CIA所攻击的航空信息技术服务，不仅仅是针对国内航空航天领域，同时还覆盖百家海外及地区的商营航空公司。

 

　　CIA目前尚未就此发表评论。

 

　　今年2月初，报道称CIA从上世纪五十年代开始就布局收购并完全控制了瑞士加密设备厂商CryptoAG，在长达七十年的历史中，该公司售往全球一百多个国家的加密设备都被CIA植入了后门程序，使得这期间CIA都可以解密这些国家的相关加密通讯和情报。

 

　　尽管从事着国家级的监测和解密行动，但美国方面却多次宣称遭到“中国黑客”攻击，只不过从未拿出过硬的证据。事实上，中国国家计算机网络应急技术处理协调中心2019年6月发布的《2018年我国互联网网络安全态势综述》数据显示，来自美国的网络攻击数量最多，且呈愈演愈烈之势。

 

　　有意思的是，此前一直是美国公司状告中国，中国公司很少对国外黑客组织采取同样的举动。Forbes线上发表文章评论说：对北京来说，美国指控中国公民和巨头公司从事间谍活动和窃取知识产权的行为是单方面的。这（360披露CIA）可能是尝试平衡天平的开始。

 

　　此前，360团队会定期推送网络安全相关报告，报告一般都会溯源到具体单位和组织，甚至是个人攻击者。例如，该团队曾披露过印度和哈萨克斯坦的APT报告。

 

　　APT（AdvancedPersistentThreat）是一种黑客攻击手段，主要的特点就是高级和持续，攻击手段很强，攻击对象一般是国家政府单位、政企高管、国家或者军事机密等；攻击时间极长，通常以年为单位，长期潜伏。中国是目前主要的受害国之一，境外被发现的APT间谍组织有三十多个。

 

　　360安全专家告诉DeepTech，“360威胁情报中心长期追踪全球的APT组织，此次公开的CIA的APT组织是我们一直就在监测和捕获的。但是由于攻击的目标多，涉及到的数量大，我们花费了大量的时间来进行整理、分析和溯源。在近期，我们又获取到了一些可以将相关网络攻击溯源定性到CIA的关键性强证据，因此我们决定把相关确凿的证据公开。”

 

　　360的报告称，它是通过将发现的恶意软件样本与维基解密(WikiLeaks)2017年公布的一批中央情报局(CIA)数字间谍工具进行对比，发现了这起间谍活动。该团队根据来自CIA前雇员约书亚·亚当·舒尔(JoshuaAdamSchulte)披露在维基解密的文件，通过360安全大脑进行信息分析，找到“五大证据”，论证一个涉美APT组织“APT-C-39”使用的网络武器和CIA核心武器“Vault7(穹窿7)”相似，最终认为一个涉美APT组织隶属于CIA。

 

　　简单来说，其所谓“实锤”，即360安全大脑对比了“Vault7(穹窿7)”和约书亚的公开材料，包括相关的样本代码、行为指纹等信息推理而来。

 

　　目前，该报告中提到的数据证据有两个，一个是APT-C-39组织历年对我国境内目标攻击使用的版本、攻击时间和其本身捕获的样本数量进行的统计归类，另一个是APT-C-39组织的编译活动时间表。

 

　　报告中列出的攻击工具，比如Fluxwire、Grasshopper和WISTFULTOLL，此类工具可以在维基解密中找得到，此类规范化的攻击组织和活动都具备规律性特征。要区分APT-C-39，这需要更多的数据来证实。

 

　　其他证明APT-C-39从属CIA的数据资料在文中并没有透露。DeepTech询问360是如何捕获航班攻击信息的，360暂未进一步公开披露。

 

　　上述360安全专家回应，“我们发现了APT-C-39很多攻击武器，为了证明和美国CIA相关，我们举了一个CIA的专属武器的例子而已。”

 

　　Forbes文章评论说，从公开资源和已知的行动来做推理这是有趣的，但这无法成为归因依据。

 

　　纽约对外关系委员会研究中国和网络安全问题的亚当·塞加尔（AdamSegal）在回应路透社采访时表示，360选择在这个时机发布报告可能与之前的一起起诉有关，上个月美国信用报告机构Equifax遭遇了大规模网络入侵，四名中国人被起诉。

 

　　“这对他们来说是很好的公共关系”，他说，通过披露CIA的行动可能是向华盛顿传递信息的一种方式，同时也能提升360的声誉。

 

　　360对此没有发表评论。但回应DeepTech称，接下来还将利用其在海量安全大数据、情报、专家上的优势，专注于APT攻击、0day漏洞等高级威胁攻击方面。

 

　　在360报告刚出后不久，也就是在3月4日举行的中国外交部例行记者会上发言人赵立坚在回应记者关于360此次报告的提问时表示，事实证明，美国才是全球最大的网络攻击者，是名副其实的“黑客帝国”。美方却贼喊追贼，时时处处把自己装扮成网络攻击的受害者，充分暴露美方在网络安全问题上的虚伪性和双重标准。中国一直是美方网络窃密和攻击的严重受害者，中方就此多次向美方提出严正交涉。我们再次强烈敦促美方作出清楚解释，立即停止此类活动，还中国和世界一个和平、安全、开放、合作的网络空间。