独家揭秘美国安局全球网络攻击手法：全球数亿公民隐私如“裸奔”

[环球时报-环球网记者范凌志曹思齐]

《环球时报》记者近日从360公司独家获悉，自2008年以来，360云安全大脑整合海量安全大数据，自主捕获大量先进复杂的攻击程序，通过长期分析跟踪从多个受害者处获取证据，并结合相关全球威胁情报，以及对斯诺登事件和“影子经纪人”黑客组织的持续跟踪，确认这些针对一系列行业领先企业长达十余年的攻击属于美国国家安全局(NSA)。

据《环球时报》记者了解，NSA除了对电力、水利、交通、能源等关键基础设施构成严重威胁外，还将通信行业作为重点目标。长期“偷窥”和收集存储在通信行业的大量个人信息和关键行业数据，导致公民身份、财产、家庭住址等隐私数据被恶意收集、非法滥用和跨境流出甚至大量网民被全面召回的严重威胁。在NSA的监控下，全球数以亿计的公民隐私和敏感信息无处可藏，如同裸奔。

是美利坚合众国国安局组织的重点目标之一，受感染单位感染率可能达到百万。

美国国家安全局(NSA)隶属于美国国防部，专门从事电子通信侦察。其主要任务是收集各国信息，揭露潜伏间谍的通信活动，并向美国政府提供各种经过处理的信息。长期以来，NSA组织为了达到美国政府搜集情报的目的，对全球发动大规模网络攻击，而中国是NSA组织的重点目标之一。

2013年，美国中央情报局(CIA)前雇员、国家安全局(NSA)外包技术员爱德华·斯诺登(edward snowden)向世界曝光了美国政府收集用户数据信息的丑闻，泄露了大量NSA组织的网络战机密文件，在世界范围内引起轰动。经过这次事件，“网络战”和“国家网络威胁”的概念得到了全世界的认可。

紧接着，2016年和2017年，黑客组织“影子经纪人”公开了NSA应用的网络武器样本，NSA组织大规模高危网络战武器和配套部件逐一曝光。360公司相关人士告诉《环球时报》记者，360公司是国内第一家有意识跟踪高级别网络威胁的安全公司，并率先提出APT(高级可持续威胁攻击)的概念。在此期间，依靠海量安全大数据的情报视野，360团队看到各行各业都在NSA网络武器的攻击下沦陷，积极推出各种配套防护工具，包括永恒之蓝武器库防御方案和漏洞补丁，全力抵御NSA武器库的攻击。

《环球时报》记者了解到，长期以来，为了达到美国政府搜集情报的目的，NSA组织对全球发动大规模网络攻击，中国是NSA组织的重点目标之一。NSA组织在国内攻击的目标有政府、金融、科研院所、运营商、教育、军工、航空空航天、医疗等行业，重要敏感单位和组织成为主要目标，占比较大。

美国国家安全局(NSA)制定了许多监控全球目标的行动计划。360安全专家告诉《环球时报》记者，通过对NSA独家验证器后门配置字段的统计分析，推测NSA对中国的潜在攻击量非常巨大。“光是Validator的感染量，最保守的估计应该在几万的量级，几十万甚至几百万都有可能。”

与此同时，《环球时报》记者获悉，根据NSA机密文件中描述的FOXCID服务器的代号，可以发现其对英国、德国、法国、韩国、波兰、日本、伊朗等全球47个国家和地区发动了攻击。，403个目标受到影响，潜伏期超过十年。

披露:美国国安局的网络攻击战术有哪些？

《环球时报》记者获悉，360安全团队将NSA及其下属机构单独编号为APT-C-40，与一系列行业领军企业共建APT高级威胁研究实验室，发现美国国家安全局针对一系列行业的龙头企业长达十余年。通过对取证数据的分析，发现这些攻击实际上始于2010年。结合网络情报的分析判断，此次攻击活动与NSA的一项网络战计划实施时间相衔接。攻击活动涉及企业众多关键网管服务器和终端，攻击手段多样、隐秘、有害。具体方法如下:

(1)量子攻击系统

量子(QUANTUM)攻击系统是NSA开发的一系列网络攻击和利用平台的总称。它包含许多子项目，都以Quantum命名。它是NSA最强大的互联网攻击工具，也是NSA进行网络情报战最重要的能力体系之一。最早的项目创建于2004年。

从文件中不难看出，QUANTUM在NSA的三个主要网络战方向(CNE、CNA、CND)都有相关项目。量子计划的本质是基于NSA在全球网络通信和互联网体系中的核心地位，利用先进技术对网络信号进行监控、拦截和自动利用而实现的一系列数据分析和利用能力。

(2)FOXACID 0Day漏洞攻击平台

量子攻击往往伴随着一个代号为FOXACID的系统。FOXACID是NSA设计的一个强大的0-0Day漏洞攻击平台，它可以自动完成漏洞攻击的主要步骤，甚至涉及网络攻击经验很少的操作人员，成为一个强大的“大规模入侵工具”。根据NSA机密文件，FOXACID服务器利用各种浏览器0Day漏洞，如Flash、IE和Firefox浏览器漏洞，向计算机目标植入木马程序。

根据现有资料，FOXACID在2007年之前就已经投入使用，直到2013年仍有使用痕迹，因此估计其使用时间至少在8年以上。NSA依靠与美国电信公司的秘密合作，将FOXACID服务器放在互联网骨干网中，保证了FOXACID服务器的响应速度比实际网站服务器更快。利用这种速度差异，量子注入攻击可以在实际网站做出反应之前模仿这个网站，迫使目标机器的浏览器访问FoxAcid服务器。

验证机的后门

Validator(验证器)是FoxAcid项目中使用的主要后门程序之一，一般用于NSA的初始入侵。通过其重新植入更复杂的木马程序，如UnitedRake (United Rake)，每个植入的计算机系统都会被分配一个唯一的验证ID。

根据NSA机密文件的描述，Validator主要配合FOXACID攻击使用。基于基本的C/S架构，Validator提供了一个敏感目标接触的后门。Validator可以通过远程和直接联系进行部署，并提供7x24小时在线功能。验证程序是一个非常简单的后门程序，它提供了一个队列操作模式。只能支持上传下载文件、执行程序、获取系统信息、改ID、自毁等简单功能。

(4)联合后门系统

UNITEDRAKE(联合耙子)是NSA开发的一种先进的后门系统。30位安全专家对泄露的相关文档进行了分析，UNITEDRAKE的整体架构大致分为五个子系统，分别是服务器、系统管理界面、数据库、模块插件集和客户端。它们的关系如下:

服务器:服务器为CC server，主要功能是接受客户端的连接请求，管理客户端与其他子系统的通信。设计该系统的目的是尽可能减少操作请求的数量。在文档中，它被描述为侦听端口，即监听端口。

系统管理界面:系统管理界面是一套图形化的用户界面，操作人员可以通过它直接查看客户端状态，向客户端发出命令，管理插件，调整客户端的配置。它在文档中被描述为UR GUI。

模块集:这部分是整个UNITEDRAKE系统的技术核心，功能插件使得整个系统具有很强的扩展性和适应性；一个插件模块由一个或多个客户端插件、一个或多个服务器插件和一个或多个系统管理接口组件组成，它们协作形成一个完整的功能插件模块；并且对于不同的动作，插件模块可以根据任务需求灵活选择组合和安装。

数据库:UNITEDRAKE系统使用SQL数据库来存储和管理信息:系统配置信息、客户端配置信息、各种状态信息和收集的数据。

客户端:客户端程序，即发布植入的木马程序；它可以隐蔽地嵌入目标机器，为进一步的攻击提供支持。客户端的设计侧重于提高隐蔽性。

全球数亿公民的隐私和敏感信息无处可藏，如同裸奔。

《环球时报》记者获悉，综合(APT-C-40组织)，即NSA的非法入侵，将可能对我国乃至其他国家的国防安全、关键基础设施安全、金融安全、社会安全、生产安全和公民个人信息造成严重危害。

30名安全专家告诉《环球时报》记者，面对这些非法网络攻击，首先要警惕国家APT组织对国家安全的危害。战争的形式并不局限于互相对抗。网络空早已成为大国角逐的又一重要战场。“回顾2020年，360揭露美国中央情报局CIA(APT-C-39)以网络攻击渗透中国长达11年。面对网络强国咄咄逼人的战略攻势，以国家力量为背景的APT网络攻击和全球网络战依然历历在目。

“网络战和国家APT组织对国家安全有很多危害。”这位专家告诉记者，入侵组织不仅对国家政府和关键部门进行持续监控和间谍活动，还对一个国家的政治、经济、社会、国防和军事进行持续威胁。APT一旦攻击整个国家社会系统，可能造成交通、银行、航空空、水电系统瘫痪，对国家政治稳定和经济命脉造成不可估量的危害。

30安全专家表示，此外，要警惕国家APT组织对关键基础设施的危害。“关键基础设施逐渐成为网络战的首选目标，各国之间针对关键基础设施的网络战也越来越频繁。网络攻击不再仅仅是为了窃取情报，还包括攻击电力、水利、电信、交通、能源等关键基础设施，从而攻击公共数据、公共通信网络、公共交通网络等。

“同时，国家APT组织对个人信息安全的危害也不容小觑。”《环球时报》根据360云安全大脑的长期监测数据发现，NSA将通信行业作为重点目标，长期“偷窥”和收集大量关于通信行业的个人信息和关键数据，导致大量网民的公民身份、财产、家庭住址等隐私数据面临被恶意收集、非法滥用、跨境流出甚至全部召回的严重威胁。“在NSA组织的监控下，全球数亿公民的隐私和敏感信息无处可藏，就像‘裸奔’一样，而幕后政府和政客只关注政治私利，完全无视公民的个人权利。公民的人权成为政治博弈的筹码，他们的入侵严重侵犯了中国和全球公民的合法利益。”30安全专家说。

专家提醒，根据公开的网络信息，美国国家安全局(NSA)的全球入侵离不开其下属部门和附属机构提供的数据和攻击武器支持。文中提到的后门程序UnitedRake、量子攻击系统、假冒服务器Foxacid就是有代表性的攻击套件组合。“关于美国NSA武器库的后续信息数据和战例分析，我们将进一步分析判断。”