五大關(guān)聯(lián)證據(jù)實錘

APT-C-39組織隸屬于美國中央情報局

　　以“Vault7（穹窿7）” 為核心關(guān)聯(lián)點，再透過約書亞以上一系列經(jīng)歷與行為，為我們定位APT-C-39組織的歸屬提供了重要線索信息。此外，再綜合考慮該APT-C-39網(wǎng)絡(luò)武器使用的獨特性和時間周期，360安全大腦最終判定：該組織的攻擊行為，正是由約書亞所在的CIA主導的國家級黑客組織發(fā)起。具體關(guān)聯(lián)證據(jù)如下：

　　證 據(jù) 一

　　APT-C-39組織使用了大量CIA“Vault7（穹窿7）”項目中的專屬網(wǎng)絡(luò)武器

　　研究發(fā)現(xiàn)，APT-C-39組織多次使用了Fluxwire，Grasshopper等CIA專屬網(wǎng)絡(luò)武器針對我國目標實施網(wǎng)絡(luò)攻擊。

　　通過對比相關(guān)的樣本代碼、行為指紋等信息，可以確定該組織使用的網(wǎng)絡(luò)武器即為“Vault7（穹窿7）” 項目中所描述的網(wǎng)絡(luò)攻擊武器。

　　證 據(jù) 二

　　APT-C-39組織大部分樣本的技術(shù)細節(jié)與“Vault7（穹窿7）”文檔中描述的技術(shù)細節(jié)一致

　　360安全大腦分析發(fā)現(xiàn)，大部分樣本的技術(shù)細節(jié)與“Vault7（穹窿7）” 文檔中描述的技術(shù)細節(jié)一致，如控制命令、編譯pdb路徑、加密方案等。

　　這些是規(guī)范化的攻擊組織常會出現(xiàn)的規(guī)律性特征，也是分類它們的方法之一。所以，確定該組織隸屬于CIA主導的國家級黑客組織。

　　證 據(jù) 三

　　早在“Vault7（穹窿7）”網(wǎng)絡(luò)武器被維基解密公開曝光前，APT-C-39組織就已經(jīng)針對中國目標使用了相關(guān)網(wǎng)絡(luò)武器

　　2010年初，APT-C-39組織已對我國境內(nèi)的網(wǎng)路攻擊活動中，使用了“Vault7（穹窿7）”網(wǎng)絡(luò)武器中的Fluxwire系列后門。這遠遠早于2017年維基百科對“Vault7（穹窿7）”網(wǎng)絡(luò)武器的曝光。這也進一步印證了其網(wǎng)絡(luò)武器的來源。

　　在通過深入分析解密了“Vault7（穹窿7）” 網(wǎng)絡(luò)武器中Fluxwire后門中的版本信息后，360安全大腦將APT-C-39組織歷年對我國境內(nèi)目標攻擊使用的版本、攻擊時間和其本身捕獲的樣本數(shù)量進行統(tǒng)計歸類，如下表：

　　從表中可以看出，從2010年開始，APT-C-39組織就一直在不斷升級最新的網(wǎng)絡(luò)武器，對我國境內(nèi)目標頻繁發(fā)起網(wǎng)絡(luò)攻擊。

　　證 據(jù) 四

　　APT-C-39組織使用的部分攻擊武器同NSA存在關(guān)聯(lián)

　　WISTFULTOLL是2014年 NSA泄露文檔中的一款攻擊插件。

　　在2011年針對我國某大型互聯(lián)網(wǎng)公司的一次攻擊中，APT-C-39組織使用了WISTFULTOOL插件對目標進行攻擊。

　　與此同時，在維基解密泄露的CIA機密文檔中，證實了NSA會協(xié)助CIA研發(fā)網(wǎng)絡(luò)武器，這也從側(cè)面證實了APT-C-39組織同美國情報機構(gòu)的關(guān)聯(lián)。

　　證 據(jù) 五

　　APT-C-39組織的武器研發(fā)時間規(guī)律定位在美國時區(qū)

　　根據(jù)該組織的攻擊樣本編譯時間統(tǒng)計，樣本的開發(fā)編譯時間符合北美洲的作息時間。

　　惡意軟件的編譯時間是對其進行規(guī)律研究、統(tǒng)計的一個常用方法，通過惡意程序的編譯時間的研究，我們可以探知其作者的工作與作息規(guī)律，從而獲知其大概所在的時區(qū)位置。

　　下表就是APT-C-39組織的編譯活動時間表（時間我們以東8時區(qū)為基準），可以看出該組織活動接近于美國東部時區(qū)的作息時間，符合CIA的定位。（位于美國弗吉尼亞州，使用美國東部時間。）

　　綜合上述技術(shù)分析和數(shù)字證據(jù)，我們完全有理由相信：APT-C-39組織隸屬于美國，是由美國情報機構(gòu)參與發(fā)起的攻擊行為。

　　尤其是在調(diào)查分析過程中，360安全大腦資料已顯示，該組織所使用的網(wǎng)絡(luò)武器和CIA “Vault7（穹窿7）” 項目中所描述網(wǎng)絡(luò)武器幾乎完全吻合。而CIA “Vault7（穹窿7）” 武器從側(cè)面顯示美國打造了全球最大網(wǎng)絡(luò)武器庫，而這不僅給全球網(wǎng)絡(luò)安全帶來了嚴重威脅，更是展示出該APT組織高超的技術(shù)能力和專業(yè)化水準。

　　戰(zhàn)爭的形式不止于兵戎相見這一種。網(wǎng)絡(luò)空間早已成為大國較量的另一重要戰(zhàn)場。而若與美國中央情報局CIA博弈，道阻且長！

　　最后

　　關(guān)于360安全大腦—APT威脅情報中心：

　　從2014年開始，360安全大腦通過整合海量安全大數(shù)據(jù)，實現(xiàn)了APT威脅情報的快速關(guān)聯(lián)溯源，獨家發(fā)現(xiàn)并追蹤了四十個APT組織及黑客團伙，獨立發(fā)現(xiàn)了多起境外APT組織使用“在野”0day漏洞針對我國境內(nèi)目標發(fā)起的APT攻擊，大大拓寬了國內(nèi)關(guān)于APT攻擊的研究視野和研究深度，填補了國內(nèi)APT研究的空白。我們發(fā)現(xiàn)境外針對中國境內(nèi)目標的攻擊最早可以追溯到2007年，至少影響了中國境內(nèi)超過萬臺電腦，攻擊范圍遍布國內(nèi)31個省級行政區(qū)。我們發(fā)現(xiàn)的APT攻擊和部分國外安全廠商機構(gòu)發(fā)現(xiàn)的APT攻擊，都可以直接證明中國是APT攻擊中的主要受害國。