美國中情局黑客攻擊中國關鍵領域，長達11年

  國際安全智庫 微信公號 3 月 3 日發布文章，披露了美國中央情報局 CIA
攻擊組織（APT-C-39）對中國關鍵領域長達十一年的網絡滲透攻擊情況。

全文如下：

記載曆史時刻，全球首家實錘！涉美 CIA
攻擊組織對我國發起網絡攻擊。

全球首家實錘 360 安全大腦捕獲了美國中央情報局 CIA
攻擊組織（APT-C-39）對我國進行的長達十一年的網絡攻擊滲透。在此期間，我國航空航天、科研機構、石油行業、大型互聯網公司以及政府機構等多個單位均遭到不同程度的攻擊。
不但如此，360 安全大腦通過關聯相關情報，還定位到負責從事研發和製作相關網絡武器的 CIA 前雇員：約書亞 亞當 舒爾特 (
Joshua Adam Schulte ) 。在該組織攻擊我國目標期間，他在 CIA 的秘密行動處 ( NCS )
擔任科技情報主管職位，直接參與研發了針對我國攻擊的網絡武器：Vault7（穹窿 7）。這部分相關線索，更進一步地將 360
安全大腦發現的這一 APT 組織的攻擊來源，鎖定為美國中央情報局。美國中央情報局（Central
Intelligence Agency，簡稱
CIA），一個可以比美國國家安全局（NSA）更為世人熟知的名字，它是美國聯邦政府主要情報搜集機構之一，下設情報處 (
DI ) 、秘密行動處 ( NCS ) 、科技處 ( DST ) 、支援處 ( DS )
四大部門，總部位於美國弗吉尼亞州的蘭利。其主要業務包括：收集外國政府、公司和個人的信息；分析其他美國情報機構收集的信息以及情報；提供國家安全情報評估給美國高級決策者；在美國總統要求下執行或監督秘密活動等。

CIA核心網絡武器Vault7成重要突破口

360安全大腦全球首家捕獲涉美攻擊組織APT-C-39時間追溯到
2017 年，維基解密接受了來自約書亞的 拷貝情報 ，向全球披露了 8716 份來自美國中央情報局 CIA
網絡情報中心的文件，其中包含涉密文件 156 份，涵蓋了 CIA
黑客部隊的攻擊手法、目標、工具的技術規範和要求。而這次的公布中，其中包含了核心武器文件 Vault7（穹窿 7）。

360 安全大腦通過對泄漏的 Vault7（穹窿 7）
網絡武器資料的研究，並對其深入分析和溯源，於全球首次發現與其關聯的一係列針對我國航空航天、科研機構、石油行業、大型互聯網公司以及政府機構等長達十一年的定向攻擊活動。

而這些攻擊活動最早可以追溯到 2008 年（從 2008 年 9 月一直持續到 2019 年 6
月左右），並主要集中在北京、廣東、浙江等省份。

而上述這些定向攻擊活動都歸結於一個鮮少被外界曝光的涉美 APT 組織 APT-C-39（360 安全大腦將其單獨編號）。

關於 APT-C-39 組織其攻擊實力如何，有多大的安全隱患？這裏以航空航天機構為例說明。 因涉及國家安全領域，所以我們隻披露 360
安全大腦所掌握情報數據的部分細節：其中 CIA
在針對我國航空航天與科研機構的攻擊中，我們發現：主要是圍繞這些機構的係統開發人員來進行定向打擊。而這些開發人員主要從事的是：航空信息技術有關服務，如航班控製係統服務、貨運信息服務、結算分銷服務、乘客信息服務等。
(
航空信息技術有關服務：指為國內與國際商營航空公司提供航班控製係統服務，乘客信息服務，機場旅客處理係統服務及相關數據、延伸信息技術服務。
) 值得注意的是，CIA 所攻擊的航空信息技術服務，不僅僅是針對國內航空航天領域，同時還覆蓋百家海外及地區的商營航空公司，CIA
此舉的目的到底為何？ 其實，對於 CIA 來說，為獲取類似的情報而進行長期、精心布局和大量投入是很常見的操作。就在今年 2
月初，《華盛頓郵報》等媒體的聯合調查報道指出，CIA 從上世紀五十年代開始就布局收購並完全控製了瑞士加密設備廠商 Crypto
AG，在長達七十年的曆史中，該公司售往全球一百多個國家的加密設備都被 CIA 植入了後門程序，使得這期間 CIA
都可以解密這些國家的相關加密通訊和情報。

至此，我們可以推測：CIA 在過去長達十一年的滲透攻擊裏，通過攻破或許早已掌握到了我乃至國際航空的精密信息，甚至不排除 CIA
已實時追蹤定位全球的航班實時動態、飛機飛行軌跡、乘客信息、貿易貨運等相關情報。

如猜測屬實，那 CIA 掌控到如此機密的重要情報，將會做出哪些意想不到的事情呢？獲取關鍵人物的行程信息，進而政治威脅，或軍事打壓
……

這並不是危言聳聽，2020 年 1 月初，伊朗一代 軍神 卡西姆 蘇萊曼尼被美國總統特朗普輕易 獵殺
，其中掌握到蘇萊曼尼航班和行程的精確信息就是暗殺成功的最關鍵核心，而這些信息正是以 CIA
為代表的美國情報機構通過包括網絡攻擊在內的種種手段獲取的。這一事件，是美國情報機構在現實世界作用的一個典型案例。

360安全大腦精準鎖定CIA武器
研發關鍵人物

約書亞亞當舒爾特

( Joshua AdamSchulte )

提到 CIA 關鍵網絡武器 Vault7（穹窿 7），就不得不介紹一下這位 CIA 前雇員：約書亞 亞當 舒爾特 ( Joshua
Adam Schulte ) 。

約書亞 亞當 舒爾特 ( Joshua Adam Schulte，以下簡稱約書亞 ) ，1988 年 9
月出生於美國德克薩斯州拉伯克，現年 31 歲，畢業於德薩斯大學斯汀分校，曾作為實習生在美國國家安全局（NSA）工作過一段時間，於
2010 年加入美國中央情報局 CIA，在其秘密行動處（NCS）擔任科技情報主管。

( 國家秘密行動處 ( NCS ) 充當中央情報局秘密部門，是協調、去除衝突以及評估美國情報界秘密行動的國家主管部門。 )
精通網絡武器設計研發專業技術，又懂情報運作，約書亞成為 CIA
諸多重要黑客工具和網絡空間武器主要參與設計研發者核心骨幹之一。這其中就包含 Vault7（穹窿 7）
CIA 這一關鍵網絡武器。 2016 年，約書亞利用其在核心機房的管理員權限和設置的後門，拷走了 Vault7（穹窿 7） 並 給到
維基解密組織，該組織於 2017 年將資料公布在其官方網站上。 2018 年，約書亞因泄露行為被美國司法部逮捕並起訴，2020 年 2
月 4 日，在聯邦法庭的公開聽證會上，檢方公訴人認定，約書亞作為 CIA
網絡武器的核心研發人員和擁有其內部武器庫最高管理員權限的負責人，將網絡武器交由維基解密公開，犯有
在中央情報局曆史上最大的一次機密國防情報泄露事件 。
以上約書亞的個人經曆和泄露的信息，為我們提供了重要線索，而其研發並由美國檢方公訴人證實的核心網絡武器 Vault7（穹窿
7），成為實錘 APT-C-39 隸屬於美國中央情報局 CIA 的重要突破口。

五大關聯證據實錘

APT-C-39組織隸屬於美國中央情報局以 Vault7（穹窿
7） 為核心關聯點，再透過約書亞以上一係列經曆與行為，為我們定位 APT-C-39 組織的歸屬提供了重要線索信息。此外，再綜合考慮該
APT-C-39 網絡武器使用的獨特性和時間周期，360 安全大腦最終判定：該組織的攻擊行為，正是由約書亞所在的 CIA
主導的國家級黑客組織發起。具體關聯證據如下：

證 據 一

APT-C-39 組織使用了大量 CIAVault7 ( 穹窿 7 ) 項目中的專屬網絡武器

研究發現，APT-C-39 組織多次使用了 Fluxwire，Grasshopper 等 CIA
專屬網絡武器針對我國目標實施網絡攻擊。

通過對比相關的樣本代碼、行為指紋等信息，可以確定該組織使用的網絡武器即為 Vault7（穹窿 7）
項目中所描述的網絡攻擊武器。

證 據 二 APT-C-39 組織大部分樣本的技術細節與 Vault7（穹窿 7） 文檔中描敘的技術細節一致 360
安全大腦分析發現，大部分樣本的技術細節與 Vault7（穹窿 7） 文檔中描敘的技術細節一致，如控製命令、編譯 pdb
路徑、加密方案等。這些是規範化的攻擊組織常會出現的規律性特征，也是分類它們的方法之一。所以，確定該組織隸屬於 CIA
主導的國家級黑客組織。

證 據 三

早在 Vault7（穹窿 7） 網絡武器被維基解密公開曝光前，APT-C-39 組織就已經針對中國目標使用了相關網絡武器

2010 年初，APT-C-39 組織已對我國境內的網路攻擊活動中，使用了 Vault7（穹窿 7） 網絡武器中的 Fluxwire
係列後門。這遠遠早於 2017 年維基百科對 Vault7（穹窿 7） 網絡武器的曝光。這也進一步印證了其網絡武器的來源。

在通過深入分析解密了 Vault7（穹窿 7） 網絡武器中 Fluxwire 後門中的版本信息後，360 安全大腦將 APT-C-39
組織曆年對我國境內目標攻擊使用的版本、攻擊時間和其本身捕獲的樣本數量進行統計歸類，如下表：

從表中可以看出，從 2010 年開始，APT-C-39 組織就一直在不斷升級最新的網絡武器，對我國境內目標頻繁發起網絡攻擊。

證 據 四

APT-C-39 組織使用的部分攻擊武器同 NSA 存在關聯

WISTFULTOLL 是 2014 年 NSA 泄露文檔中的一款攻擊插件。

在 2011 年針對我國某大型互聯網公司的一次攻擊中，APT-C-39 組織使用了 WISTFULTOOL
插件對目標進行攻擊。

與此同時，在維基解密泄露的 CIA 機密文檔中，證實了 NSA 會協助 CIA 研發網絡武器，這也從側麵證實了 APT-C-39
組織同美國情報機構的關聯。

證 據 五

APT-C-39 組織的武器研發時間規律定位在美國時區

根據該組織的攻擊樣本編譯時間統計，樣本的開發編譯時間符合北美洲的作息時間。

惡意軟件的編譯時間是對其進行規律研究、統計的一個常用方法，通過惡意程序的編譯時間的研究，我們可以探知其作者的工作與作息規律，從而獲知其大概所在的時區位置。

下表就是 APT-C-39 組織的編譯活動時間表（時間我們以東 8 時區為基準），可以看出該組織活動接近於美國東部時區的作息時間，符合
CIA 的定位。（位於美國弗吉尼亞州，使用美國東部時間。）

綜合上述技術分析和數字證據，我們完全有理由相信：APT-C-39 組織隸屬於美國，是由美國情報機構參與發起的攻擊行為。
尤其是在調查分析過程中，360 安全大腦資料已顯示，該組織所使用的網絡武器和 CIA Vault7（穹窿 7）
項目中所描述網絡武器幾乎完全吻合。而 CIA Vault7（穹窿 7）
武器從側麵顯示美國打造了全球最大網絡武器庫，而這不僅給全球網絡安全帶來了嚴重威脅，更是展示出該 APT
組織高超的技術能力和專業化水準。 戰爭的形式不止於兵戎相見這一種。網絡空間早已成為大國較量的另一重要戰場。而若與美國中央情報局 CIA
博弈，道阻且長！

最後

關於 360 安全大腦 APT 威脅情報中心：從 2014 年開始，360
安全大腦通過整合海量安全大數據，實現了 APT 威脅情報的快速關聯溯源，獨家發現並追蹤了四十個 APT
組織及黑客團夥，獨立發現了多起境外 APT 組織使用 在野 0day 漏洞針對我國境內目標發起的 APT 攻擊，大大拓寬了國內關於
APT 攻擊的研究視野和研究深度，填補了國內 APT 研究的空白。我們發現境外針對中國境內目標的攻擊最早可以追溯到 2007
年，至少影響了中國境內超過萬台電腦，攻擊範圍遍布國內 31 個省級行政區。我們發現的 APT 攻擊和部分國外安全廠商機構發現的 APT
攻擊，都可以直接證明中國是 APT 攻擊中的主要受害國。

× 

華客網：美國中情局黑客攻擊中國關鍵領域，長達11年