28日,国家计算机病毒应急响应中心和360公司分别发布专题调研报告,同日披露了另一款网络攻击利器“酸狐”漏洞攻击武器平台(以下简称“酸狐平台”)属于 美国国家安全局(NSA)。“酸狐平台”是美国国家安全局计算机网络入侵小组的主战装备。此次袭击覆盖全球,主要目标是中国和俄罗斯。
针对中国和俄罗斯,“酸狐狸平台”设置专用服务器
近日,国内多家科研机构相继发现“验证者”木马程序的活动痕迹。
根据美国 NSA 可研究的机密文件:“Authenticator”是一种小型植入木马,可以远程或手动部署在任何 Windows 系统上,从 Windows 98 到 Windows Server 2003。同时,它具有 7× 24小时在线操作能力,使美国国家安全局的系统操作员和数据窃贼能够上传和下载文件、远程运行程序、获取系统信息、伪造ID,并在某些情况下能够在紧急情况下自毁。借助这种武器,美国国家安全局可以收集到攻击目标的系统环境信息,也为安装(植入)更复杂的木马程序提供了条件。
此前,360公司发现并公开披露,美国国家安全局利用一系列网络武器,对包括中国在内的世界各国政府机构、重要组织和信息基础设施目标发动持续攻击。在整个攻击过程中,美国国家安全局会植入以“认证者”为代表的后门程序,并长期潜伏在目标用户的互联网终端中,然后通过这些后门程序发起更为复杂的网络攻击。
该木马被认为是NS“Sour Fox”漏洞攻击武器平台使用的默认标准程序。这一情况表明,上述中国科研单位遭到了美国国家安全局“酸狐”漏洞攻击武器平台的攻击。
根据介绍,“酸狐狸平台”是NSA特定入侵行动办公室(TAO)对他国开展网络间谍行动的重要阵地基础设施,现已成为计算机网络入侵行动队(CNE)的主力装备。该武器平台主要被用于突破位于受害目标办公内网的主机系统,并向其植入各类木马、后门等以实现持久化控制。酸狐狸平台采用分布式架构,由多台服务器组成,按照任务类型进行分类,包括:垃圾钓鱼邮件、中间人攻击、后渗透维持等。
CNE下设一名或多名“酸狐狸”项目教官,这些教官可以领导一个或多个“酸狐狸”行动组,行动组中包括多名队员,分别承担直接支援特定的网络入侵行动、维护酸狐狸服务器等职责。TAO在全球范围内部署酸狐狸平台服务器,服务器按照目标所处区域进行分布式部署,包括中东地区、亚洲地区、欧洲地区等,其中编号前缀为XS的服务器是统筹多项任务的主服务器。
值得注意的是,编号为XS11的服务器被明确分配给英国情报机构“英国政府通信总部”(GCHQ)开展中间人网络攻击行动。此外,TAO针对中国和俄罗斯目标设置了专用的“酸狐狸平台”服务器,编号为FOX00-64的系列服务器被用于支援计算机网络入侵行动队的漏洞攻击行动,其中编号为FOX00-6401的服务器专门针对中国目标,FOX00-6402的服务器专门针对俄罗斯目标。
国家计算机病毒应急处理中心相关专家对《环球时报》记者表示,“酸狐狸平台”在进行漏洞利用前,会对目标主机的软硬件环境进行探测。报告中披露的“酸狐狸平台”规则配置文件表明,该武器平台明确将在我国和俄罗斯的计算机杀毒软件作为“技术对抗”目标。而且美国在国际互联网上专门部署了针对中国和俄罗斯的网络间谍活动服务器,用于植入恶意程序并窃取情报。
美国为了维持其网络霸权,不惜“监控全人类”,这一点在美国各届政府都没有改变过。就在今年6月1日,美国国家安全局局长兼网络司令部司令中曾根证实,在俄乌冲突中,美国对俄罗斯发起了一系列进攻性网络行动以支援乌克兰。
这位专家也表示,美国在变本加厉对全球目标实施攻击窃密的同时,还不遗余力地“贼喊捉贼”,纠集其所谓盟友国家,大肆宣扬“中国网络威胁论”,诋毁污蔑我国网络安全政策和“一带一路”等真正互利共赢的国际经济文化交流合作计划,打压中国在境外合法经营的企业和新闻媒体,甚至煽动民间对立情绪,鼓动所谓民间“道德”黑客向他国目标发动网络攻击。
“酸狐狸平台”服务器上的过滤器规则片段,过滤器中重点针对目标环境中的卡巴斯基杀毒软件、瑞星杀毒软件、江民杀毒软件等中国地区流行的杀毒软件。
上百个中国重要信息系统中发现“验证器”木马痕迹
在成功提取国内某科研机构重要信息系统“验证者”木马程序样本的基础上,360公司首次在国内开展扫描测试。发现不同版本的木马程序已在中国数百个重要信息系统中运行,其植入时间远早于“酸狐平台”及其组件被公开曝光的时间,表明美国国家安全局已对至少数百起针对重要信息系统的中国国内网络攻击进行了调查。时至今日,多个“验证者”特洛伊木马仍在某些信息系统中运行,向 NSA 总部发送情报。360认为“在本地网络服务器或互联网终端中发现了验证者样本,说明这些设备受到了NSA的攻击,系统中的重要信息被NSA窃取,目标系统内网的其他节点都在妥协。可能被美国国家安全局渗透。”
另外,根据“酸狐平台”服务器上的过滤规则片段,可以判断该服务器主要针对中国主机目标,过滤重点是卡巴斯基杀毒软件、瑞星杀毒软件、江民杀毒软件等流行的匹配中国杀毒软件进程,判断植入条件。
360公司认为,大量“验证者”木马程序不仅在中国运行,而且在其他国家的重要信息基础设施中运行,数量远超中国。
国家计算机病毒应急响应中心28日发布的报告显示,更可怕的是,美国国家安全局利用这些武器平台,与其他“五眼”国家情报机构合作,建立了全球网络情报收集系统,可以在全球范围内使用。部署了大量隐藏的情报收集服务器和掩护跳板服务器,并围绕这个情报收集系统建立了一套完整的情报工作机制,定期维护着人类历史上最大的间谍网络,是还在扩大。共同的威胁。
据美国全国电脑病毒紧急处置中心3日公布的一份报道称, NSA通过使用这种武器与其它“五眼联盟”的国家情报局合作,构建了一套遍布世界各地的网络信息收集系统,并在世界各地设置了许多隐藏的信息收集服务和保护跳板。它是有史以来最大的一种,是人类有史以来最大的一种,并且还在不断扩大,对整个世界构成了一个巨大的威胁。
上述专家同意,美国将在未来进行电子情报和电子战争,虽然证据确凿。美国会众议院资金委员会在六月二十二日批准了美国在2023财政年度761亿美金的国防开支议案,美国防部在网上作战方面的开支为112亿,比上一财政年度提高了8%,并且把它的网上作战力量从137个增至142个。美国还在全力推动JADC2的海上和空中;“天网”全域指挥作战能力的增强方案,旨在实现对全境的全面军事上的绝对压制。
FA服务器分布及任务用途分类,其中FOX00-6401的服务器专门针对中国,FOX00-6402号服务器针对俄罗斯。
RacentYY
RacentYY
FreeBuf
安全侠
X0_0X
安全侠
Anna艳娜
X0_0X
Anna艳娜
Andrew
RacentYY
