在19日的外交部例行记者会上,发言人赵立坚提到了一个美国中情局下属的APT-C-39网络攻击组织。这个组织可以说是地球上最邪恶的黑客组织,曾在长达11年的时间中对中国实施网络攻击。这个组织到底有什么底细?美国的网络间谍无孔不入,不仅瞄准对手,也瞄准盟友,甚至还有可能瞄准了你我的手机。美国的网络间谍到底有多没底线?

APT-C-39网络攻击组织来自何方?

APT是英文“高级长期威胁”的缩写,APT技术综合运用全部可用的黑客手段,不仅限于网络攻击,还结合了线下间谍渗透行为,是公认危害性最大的黑客攻击行为。中国是APT攻击行为的主要受害国。APT-C-39由网络安全公司奇虎360在2020年3月发布的一份报告首次编码命名。其中的C表示受攻击对象是中国,39意味着这一组织是该公司发现的第39个针对中国的APT黑客团体。报告指出,针对中国的APT攻击主要集中在北京、珠三角和长三角等经济发达地区。

以中国航空航天科研领域的受害情况为例,APT-C-39对相关核心机构的系统开发人员长期进行“定向打击”。例如,以国际会议为掩护,向科研人员发送带有木马的邮件,或者赠送带有网络攻击武器的U盘,一段时间以后,科研人员周围的电子设备就形成一张黑客网络,长年不断窃取情报。

分析显示,APT-C-39发起攻击行为的技术特征具有高度规律性,这显示其背后有严密的组织背景,极有可能是国家级黑客组织作案。此外,APT-C-39发起的攻击都以美国东部时间为基轴进行统筹,因此定位其“主脑”位于该时区。值得注意的是,中情局总部所在的弗吉尼亚州就使用美国东部时间。

中情局针对中国的黑客武器—“穹窿7”

关联情报分析还得出结论,攻击所使用的网络武器与由“维基解密”公布的“穹窿7”(Vault7)相吻合。“维基解密”2017年公布了8176份拷贝自美国中情局网络情报中心的文件,其中包含有被中情局视为“核心武器”的“穹窿7”的资料。这些资料由时任美国中情局秘密行动处(NCS)科技情报主管约书亚·亚当·舒尔特(Joshua Adam Schulte)提供给“维基解密”网站。他直接参与研发了针对中国攻击的网络武器“穹窿7”(Vault7)。至此,APT-C-39与美国中情局直接相关的证据链已经相当完整。此外还有证据显示,APT-C-39使用的某些攻击武器由美国国家安全局开发,显示其背后有更高层级的协调。

“穹窿7”是中情局针对中国打造的黑客武器项目,包含多种间谍软件,被称为全球最大规模的网络间谍武器兵工厂。“穹窿7”可以将任何电子设备变成监听监视工具,包括电脑、智能手机、游戏机、路由器和智能电视,甚至还包括汽车、卡车和飞机。

还有报道指出,APT-C-39也被美国“分享”给北约盟友,这也就解释了,为什么5月发布的《2020年我国互联网网络安全态势综述》报告显示,北约的三个成员国美国、荷兰和德国是控制中国电脑数量位列前三的国家。

北约盟友也是美国网络窃密对象

值得注意的是,虽然北约这次也跟随美国政府炒作所谓中国黑客议题,但北约盟友也是美国网络窃密的重点对象。其中最大的受害方就是在美国眼中不怎么“听话”、经常强调“欧洲战略自主”的德国。德国《图片报》2013年报道,当时德国联邦情报局发现,美国对德国政要的“全面监听”已经“长达数年”。报道指出,美国在冷战中结束后,很担心盟友背叛自己,把原本用于监听苏联和东欧国家的“梯队”项目对准盟友。但当时默克尔矢口否认,对媒体表示自己没有被监听。

但美国针对默克尔的监听从未中断。2016年,“维基解密”公布文件证实默克尔确实位列美国的重点监听名单。今年5月30日,丹麦广播公司曝光丹麦国防情报局的“邓哈默行动”报告。该报告证实,美国情报机构通过丹麦的通信电缆对法国、德国、瑞典和挪威等国政要实施长期监听,其中就包括默克尔。报道还指出了监听的途径:丹麦地处北欧的交通要道,多条通信光缆在此登陆,因此丹麦是欧洲的数据信息枢纽。上世纪,丹麦电网公司开展智慧电网建设,也邀请美国公司参与,美国的间谍设备通过丹麦电网无孔不入地渗透到电缆通信机房中。此外,历史上,美国间谍曾用特殊潜水器在海底光缆上安装信息拦截装置的方式窃取苏联情报。

通过这些拦截装置,美国可以获取从电话语音到网页浏览记录,以及金融、政府和军事数据。以去年美军暗杀伊朗高级将领苏莱曼尼为例,美军使用名为RT-RG的情报分析系统处理了与苏莱曼尼有关的光纤、电磁波以及网络信息,构建了“全视全知”的情报监听网络,在数秒钟之内就能判定最佳暗杀时机,作出无人机升空的决定。

美国情报机构控制商业公司

美国情报机构还直接控制欧洲的著名商业公司。去年2月,德国电视2台曝光“瑞士加密机”事件,中情局从上世纪50年代布局收购瑞士的加密设备制造商克里普陀(Crypto AG),并在这家著名企业的产品中植入中情局专用“后门”程序,中情局可以在“任何时间”解密这些国家的核心机密。德国电视2台认为,全球除了中国及苏联之外的几乎所有国家都使用了这家公司的产品,这也解释了上世纪的一些间谍悬案,涉及伊朗、利比亚和埃及等国。

值得指出的是,伊朗是美国网络攻击的重点对象,而欧洲企业再次成为了美国情报部门的白手套。“震网”病毒是世界上目前已知的最具破坏性的超级网络武器,它曾感染了伊朗全国超过60%的电脑,但值得注意的是,在普通电脑中,“震网”病毒并不会发作,因为它攻击的是重要的基础设施使用的工业控制系统,具体来说是德国西门子公司的SCADA数据采集和监控系统。

西门子公司故障排除部门工程师埃里克·拜尔斯(Eric Byres)在研究了“震网”病毒后指出,它可以接管西门子设备的控制权,造成“自毁”,然后再植入虚假代码掩盖故障,并向中控系统发送“运作正常”的信号,等到破坏被发现时早就为时已晚。2008年,伊朗铀浓缩设施出现不明损坏,直到2年后,才有网络安全公司报告了“震网”病毒的存在,但伊朗纳坦兹铀浓缩设施的超过1000台离心机已经彻底报废,直接导致布什尔核电站推迟发电。今年4月,纳坦兹的铀离心机再次遭到破坏。

更值得警惕的是,在智能手机时代,APP也成为美国情报部门的重点“关注”对象。“棱镜门”曝光文件显示,美国政府长期从该国的互联网巨头获取用户隐私数据,推特、脸书、微软、YouTube、Skype、谷歌地图,甚至一些热门的游戏也成为美国情报机关的“数据金矿”。2014年,德国媒体就曝光,当时的热门游戏“愤怒的小鸟”就被美国和英国情报部门用作搜集“大数据”的工具。

网络安全专家指出,这些数据看似“无用”,实际上经过RT-RG的情报分析系统的处理,人人都“无处遁形”。而近日曝光的以色列NSO公司开发的“飞马”手机间谍软件进一步放大了用户的网络安全风险。“飞马”可以在用户毫无知觉的情况下打开摄像头、麦克风和GPS,并获取手机里的任何信息。目前整理出来的“飞马”受害者名单超过5万人,全部都是皇室成员、政要、记者或者重要事件的当事人。法国《世界报》曝光,该国总统马克龙就在这个名单中,中国驻印度的外交官也在其中。《纽约时报》记者证实,美国总统的高级顾问安妮塔·邓恩长期接受“飞马”的开发商以色列NSO公司的“咨询费”,这证实白宫与“飞马”之间有不可告人的“千丝万缕联系”。

作者:陈柯,深圳卫视直新闻主编。