美國利用「酸狐貍平臺」進(jìn)行全球網(wǎng)絡(luò)攻擊，還為中國和俄羅斯設(shè)置專門服務(wù)器

大數(shù)據(jù)文摘出品

6月28日，國家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司分別發(fā)布專題研究報(bào)告，并披露了一款叫做「酸狐貍平臺」的網(wǎng)絡(luò)攻擊武器。

據(jù)了解，「酸狐貍平臺」是美國國家安全局（NSA）下屬計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)的主戰(zhàn)裝備，攻擊范圍覆蓋全球。

早在十年前，斯洛登就曾經(jīng)公開了「酸狐貍平臺」在全球范圍內(nèi)向多個(gè)國家的重要信息系統(tǒng)植入木馬程序并實(shí)施間諜活動(dòng)。

如今，更多細(xì)節(jié)被披露，原來俄羅斯和中國還被“特殊關(guān)照”了，上百個(gè)中國信息系統(tǒng)都遭遇過這種攻擊，并且一些木馬程序一直到現(xiàn)在還在運(yùn)行。

NSA下轄一個(gè)專門對他國開展網(wǎng)絡(luò)間諜行動(dòng)的部門——特定入侵行動(dòng)辦公室（TAO）。

這一部門的主要工作就是收集其他國家的電腦信息情報(bào)，大約在1998年設(shè)立，里面有一個(gè)專門搞間諜活動(dòng)的組織叫計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)（CNE），「酸狐貍平臺」就是的主力裝備。

「酸狐貍平臺」是酸狐貍”漏洞攻擊武器平臺（FoxAcid）的簡稱，它能夠在具備會話劫持等中間人攻擊能力的前提下，精準(zhǔn)識別被攻擊目標(biāo)的版本信息，自動(dòng)化開展遠(yuǎn)程漏洞攻擊滲透，向目標(biāo)主機(jī)植入木馬、后門。

由于各國重要機(jī)構(gòu)的設(shè)施基本都采用了內(nèi)網(wǎng)，所以「酸狐貍平臺」主要實(shí)施中間人攻擊（MIMT），這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺通信計(jì)算機(jī)之間，這臺計(jì)算機(jī)就稱為“中間人”，借此「酸狐貍平臺」可以突破控制其辦公內(nèi)網(wǎng)主機(jī)。

此后，「酸狐貍平臺」再向其植入各類木馬、后門等以實(shí)現(xiàn)持久化控制，「酸狐貍平臺」采用分布式架構(gòu)，由多臺服務(wù)器組成，按照任務(wù)類型進(jìn)行分類，包括：垃圾釣魚郵件、中間人攻擊、后滲透維持等。

一般來說，「酸狐貍平臺」結(jié)合“QUANTUM（量子）”和“SECONDDATE（二次約會）”等中間人攻擊武器使用，此前「明鏡在線」（SPIEGEL ONLINE）曾披露過一個(gè)NSA的一個(gè)關(guān)于這種攻擊的內(nèi)部幻燈片，里面就詳細(xì)介紹了這種攻擊方式。

《衛(wèi)報(bào)》也曾經(jīng)報(bào)道了相關(guān)消息，“為了誘騙目標(biāo)訪問 FoxAcid 服務(wù)器，NSA依賴與美國電信公司的秘密合作關(guān)系。作為混亂系統(tǒng)的一部分，美國國家安全局在互聯(lián)網(wǎng)主干的關(guān)鍵位置放置代號為“量子”的秘密服務(wù)器。這種布局確保他們能夠比其他網(wǎng)站更快地做出反應(yīng)。通過利用這種速度差異，這些服務(wù)器可以在合法網(wǎng)站能夠響應(yīng)之前將訪問過的網(wǎng)站模擬到目標(biāo)網(wǎng)站，從而欺騙目標(biāo)網(wǎng)站的瀏覽器訪問 Foxacid服務(wù)器?！?/span>

根據(jù)360報(bào)告的披露，NSA對包含中國在內(nèi)的世界各國的政府機(jī)構(gòu)、重要組織和信息基礎(chǔ)設(shè)施目標(biāo)發(fā)起持續(xù)性攻擊行動(dòng)。TAO針對中國和俄羅斯目標(biāo)設(shè)置了專用的“酸狐貍平臺”服務(wù)器，編號為FOX00-64的系列服務(wù)器被用于支援計(jì)算機(jī)網(wǎng)絡(luò)入侵行動(dòng)隊(duì)的漏洞攻擊行動(dòng)，其中編號為FOX00-6401的服務(wù)器專門針對中國目標(biāo)，F(xiàn)OX00-6402的服務(wù)器專門針對俄羅斯目標(biāo)。中國科研單位就曾經(jīng)遭受過美國NSA“酸狐貍”漏洞攻擊武器平臺的網(wǎng)絡(luò)攻擊。

360公司第一時(shí)間在國內(nèi)開展掃描檢測。結(jié)果發(fā)現(xiàn)該木馬程序的不同版本曾在中國上百個(gè)重要信息系統(tǒng)中運(yùn)行，其植入時(shí)間遠(yuǎn)遠(yuǎn)早于「酸狐貍平臺」被公開曝光時(shí)間，說明NSA對至少上百個(gè)中國國內(nèi)的重要信息系統(tǒng)實(shí)施網(wǎng)絡(luò)攻擊。

時(shí)至今日，許多“驗(yàn)證器”木馬程序仍在一些信息系統(tǒng)中運(yùn)行，并實(shí)時(shí)向NSA總部傳送情報(bào)。

360公司，“在本地網(wǎng)絡(luò)服務(wù)器或上網(wǎng)終端中發(fā)現(xiàn)‘驗(yàn)證器’樣本，表明這些設(shè)備已經(jīng)遭受NSA的網(wǎng)絡(luò)攻擊，系統(tǒng)中的重要信息已被NSA竊取，并且目標(biāo)系統(tǒng)內(nèi)網(wǎng)中的其它節(jié)點(diǎn)均可能被NSA滲透遠(yuǎn)控?！?/span>

「酸狐貍平臺」甚至特別采用過濾器針對卡巴斯基殺毒軟件、瑞星殺毒軟件、江民殺毒軟件等中國地區(qū)流行的殺毒軟件。

早在十年前，斯諾登就披露了美國國家安全局一批文件，里面就有美國情報(bào)機(jī)構(gòu)使用代號為 FoxAcid的服務(wù)器，可以利用目標(biāo)機(jī)器上的軟件漏洞實(shí)施間諜活動(dòng)。

安全專家布魯斯 · 施奈爾(Bruce Schneier)就也曾在一篇文章中表示，美國國家安全局擁有大量零日漏洞（被發(fā)現(xiàn)后立即被惡意利用的安全漏洞），可用于網(wǎng)絡(luò)行動(dòng)，主要用于網(wǎng)絡(luò)間諜活動(dòng)。

FireEye 安全公司“ World War c”發(fā)表的一份報(bào)告也揭示，（美國）國家支持的網(wǎng)絡(luò)間諜和破壞目的的攻擊正在加劇，月光迷宮(Moonlight Maze)和泰坦雨(Titan Rain)等活動(dòng)，或者對伊朗和格魯吉亞的破壞性網(wǎng)絡(luò)攻擊，都在這種軍事準(zhǔn)則的演變上“簽了字”。

今年6月22日，美國會眾議院撥款委員會通過了美國2023財(cái)年7610億美元的國防支出法案，其中包括美國防部112億美元的網(wǎng)絡(luò)空間活動(dòng)預(yù)算，較上一財(cái)年增長8%，并將其網(wǎng)絡(luò)戰(zhàn)部隊(duì)從137支增加到142支。美軍還在全面推進(jìn)JADC2“陸、海、空、天、網(wǎng)”全域指揮作戰(zhàn)能力提升計(jì)劃，其目標(biāo)就是在全域空間中都具備壓倒性軍事優(yōu)勢。

相關(guān)報(bào)道：