“酸狐狸平台”是NSA下属计算机网络入侵行动队的主战装备，攻击范围覆盖全球，重点攻击目标指向中国和俄罗斯，美国的做法不能不让人怀疑其正在积极为发动更大规模的网络战做准备。

针对中国和俄罗斯，“酸狐狸平台”设置专用服务器

近期，中国多家科研机构先后发现了“验证器”木马程序的活动痕迹。

360公司28日发布的研究报告表明，根据可考究的美国NSA机密文档显示：“验证器”是一种小型植入木马，可以远程部署，也可以手动部署在任何Windows系统上，从Windows98到WindowsServer2003都适配。同时，其具有7×24小时在线运行能力，使美国NSA的系统操控者和数据窃密者可以上传下载文件、远程运行程序、获取系统信息、伪造ID，并能够在特定情况下紧急自毁。在这一武器助力下，美国NSA能对攻击目标开展系统环境信息的收集，同时也为安装（植入）更为复杂的木马程序提供条件。

此前，360公司发现并公开披露了美国NSA利用一系列网络武器对包含中国在内的世界各国的政府机构、重要组织和信息基础设施目标发起持续性攻击行动。在整个攻击过程中，美国NSA会通过植入以“验证器”为代表的后门程序，并长期潜伏在目标用户的上网终端中，再通过这些后门程序发起更多复杂的网络攻击渗透。

美国国家安全局（NSA）总部，马里兰州米德堡

而该木马程序据信是NSA“酸狐狸”漏洞攻击武器平台默认使用的标配程序。这种情况表明，前文提到的中国科研单位曾经遭受过美国NSA“酸狐狸”漏洞攻击武器平台的网络攻击。

根据介绍，“酸狐狸平台”是NSA特定入侵行动办公室（TAO）对他国开展网络间谍行动的重要阵地基础设施，现已成为计算机网络入侵行动队（CNE）的主力装备。该武器平台主要被用于突破位于受害目标办公内网的主机系统，并向其植入各类木马、后门等以实现持久化控制。酸狐狸平台采用分布式架构，由多台服务器组成，按照任务类型进行分类，包括：垃圾钓鱼邮件、中间人攻击、后渗透维持等。

CNE下设一名或多名“酸狐狸”项目教官，这些教官可以领导一个或多个“酸狐狸”行动组，行动组中包括多名队员，分别承担直接支援特定的网络入侵行动、维护酸狐狸服务器等职责。TAO在全球范围内部署酸狐狸平台服务器，服务器按照目标所处区域进行分布式部署，包括中东地区、亚洲地区、欧洲地区等，其中编号前缀为XS的服务器是统筹多项任务的主服务器。值得注意的是，编号为XS11的服务器被明确分配给英国情报机构“英国政府通信总部”（GCHQ）开展中间人网络攻击行动。此外，TAO针对中国和俄罗斯目标设置了专用的“酸狐狸平台”服务器，编号为FOX00-64的系列服务器被用于支援计算机网络入侵行动队的漏洞攻击行动，其中编号为FOX00-6401的服务器专门针对中国目标，FOX00-6402的服务器专门针对俄罗斯目标。

FA服务器分布及任务用途分类，其中FOX00-6401的服务器专门针对中国，FOX00-6402号服务器针对俄罗斯

国家计算机病毒应急处理中心相关专家对《环球时报》记者表示，“酸狐狸平台”在进行漏洞利用前，会对目标主机的软硬件环境进行探测。报告中披露的“酸狐狸平台”规则配置文件表明，该武器平台明确将在我国和俄罗斯的计算机杀毒软件作为“技术对抗”目标。而且美国在国际互联网上专门部署了针对中国和俄罗斯的网络间谍活动服务器，用于植入恶意程序并窃取情报。

美国为了维持其网络霸权，不惜“监控全人类”，这一点在美国各届政府都没有改变过。就在今年6月1日，美国国家安全局局长兼网络司令部司令中曾根证实，在俄乌冲突中，美国对俄罗斯发起了一系列进攻性网络行动以支援乌克兰。

这位专家也表示，美国在变本加厉对全球目标实施攻击窃密的同时，还不遗余力地“贼喊捉贼”，纠集其所谓盟友国家，大肆宣扬“中国网络威胁论”，诋毁污蔑我国网络安全政策和“一带一路”等真正互利共赢的国际经济文化交流合作计划，打压中国在境外合法经营的企业和新闻媒体，甚至煽动民间对立情绪，鼓动所谓民间“道德”黑客向他国目标发动网络攻击。

上百个中国重要信息系统中发现“验证器”木马痕迹

在成功提取国内某科研机构重要信息系统中的“验证器”木马程序样本的基础上，360公司第一时间在国内开展扫描检测。结果发现该木马程序的不同版本曾在中国上百个重要信息系统中运行，其植入时间远远早于“酸狐狸平台”及其组件被公开曝光时间，说明NSA对至少上百个中国国内的重要信息系统实施网络攻击。时至今日，多个“验证器”木马程序仍在一些信息系统中运行，向NSA总部传送情报。360公司认为，“在本地网络服务器或上网终端中发现‘验证器’样本，表明这些设备已经遭受NSA的网络攻击，系统中的重要信息已被NSA窃取，并且目标系统内网中的其它节点均可能被NSA渗透远控。”

此外，根据“酸狐狸平台”服务器上的过滤器规则片段，可以判断该服务器主要针对中国的主机目标进行攻击，过滤器中重点针对目标环境中的卡巴斯基杀毒软件、瑞星杀毒软件、江民杀毒软件等中国地区流行的杀毒软件进程进行了匹配并进行了可植入条件判断。

“酸狐狸平台”服务器上的过滤器规则片段，过滤器中重点针对目标环境中的卡巴斯基杀毒软件、瑞星杀毒软件、江民杀毒软件等中国地区流行的杀毒软件。

360公司认为，不仅在中国，其他国家的重要信息基础设施中，也正在运行大批的“验证器”木马程序，并且数量远超中国。

国家计算机病毒应急处理中心28日发布的报告显示，更为可怕的是，NSA利用这些武器平台与其他“五眼联盟”国家情报机构合作，建立了一个覆盖全球的网络情报搜集体系，在全球范围布设了大量隐蔽的情报搜集服务器和掩护跳板服务器，围绕该情报搜集体系建立了一整套情报工作机制，常态化维持着人类历史上规模最为庞大的间谍网络，而且仍在持续扩张，成为全人类的共同威胁。

上文中的专家也认为，尽管铁证如山，但美国今后还会继续开展网络间谍活动和网络战。今年6月22日，美国会众议院拨款委员会通过了美国2023财年7610亿美元的国防支出法案，其中包括美国防部112亿美元的网络空间活动预算，较上一财年增长8%，并将其网络战部队从137支增加到142支。美军还在全面推进JADC2“陆、海、空、天、网”全域指挥作战能力提升计划，其目标就是在全域空间中都具备压倒性军事优势。美国近期还连续出台一系列法案，增加网络安全预算规模，加强自身关键信息基础设施安全防御水平，举办各类国内和国际网络战演习，政府、军队和民间联合开展网络安全人才培养，鼓励开展网络安全研究，限制敏感网络安全技术输出等。美国的做法不能不让人怀疑其正在积极为发动更大规模的网络战做准备。来源：环球网 

美国是全球网络安全最大“病毒”

 

最近，美国在网络空间的恶行又一次在全球曝光。信息安全领域“安在”新媒体近日发布网络安全文章，披露了美国国家安全局使用高级网络攻击武器，曾在30天内远程窃取了970亿条全球互联网数据和1240亿条电话数据。此外，美国还利用潜艇对全球海底光缆和电缆进行网络窃密。

 

长期以来，美国凭借自身在网络安全领域的技术优势，肆无忌惮地对世界各国实施大规模、有组织、无差别的窃密、监控和攻击，非法窃取他国敏感情报和公民隐私信息，是公认的全球头号“黑客帝国”和“窃密大户”。从“维基解密”到“斯诺登事件”，从“方程式组织”到“梯队系统”，美国的网络“黑手”一直在翻云覆雨，连盟友和伙伴都不放过。2020年11月和2021年5月，欧洲媒体就连续披露美国国家安全局网络监控电缆，进而对法、德等欧洲盟友进行窃密的丑闻。欧洲多国纷纷要求美国就此“作出解释”。

 

极其讽刺的是，美国一边对盟友伙伴实施无差别监听窃密，一边又极力拉拢他们组成情报“小圈子”，试图打造一个以美国为核心的全球窃密网络，充分暴露出美国的极端战略自私。近期的这份最新报告就揭露，英国等“五眼联盟”国家和部分欧洲国家的网络机构，协助并参与了美国在全球范围内的网络窃密行动。

 

更值得警惕的是，美国正在不遗余力地推动网络空间军事化。早在10年前，美军就成立了网络司令部，并于2017年将其升级为最高级别的联合作战司令部之一。2018年美国国防部网络战略报告强调，要在网络空间“先发制人”。“维基解密”网创始人阿桑奇曾透露，美国开发的网络武器多达2000种，是世界头号网络武器大国。2017年，美国国家安全局网络武器“永恒之蓝”被曝光。该网络武器的变种已经导致全球航运、制造业、食品、支付等重要供应链多次停摆，成为全球一大威胁。

 

近年来，美国及其主导的北约更是明确将网络空间视为新战场，不断推进网络军事作战部署，将其视为打击所谓“战略竞争对手”的一件趁手武器。俄乌冲突爆发后，美国网络司令部司令兼国家安全局局长保罗·中曾根就公开承认，美国网络司令部以“前出狩猎”等网络战行动，“帮助乌克兰强化网络防御”。今年3月，中国国家计算机病毒应急处理中心披露了美国国家安全局对外网络攻击窃密的主战网络武器“NOPEN”。中国两家企业也发布报告，披露了美国国家安全局的网络攻击武器“Quantum攻击平台”等。

 

作为全球网络安全的最大“病毒”，美国却装可怜、扮无辜，把自己塑造成网络攻击的受害者，更以网络秩序的维护者自居，试图主导网络安全国际议程。一段时间以来，美国政客鼓动、胁迫他国加入所谓“清洁网络”计划，企图在网络市场上清除中国企业；酝酿成立所谓“未来互联网联盟”，主导“小圈子”讨论网络安全问题；甚至派遣网络部队，“帮助”很多曾受美国网络攻击的国家“提升网络安全能力”……如此虚伪，如此双标，令人瞠目。这也让世人进一步看清：美国根本不关心全球网络安全问题，只是将其作为肆意攻击他国、维护网络霸权的工具。

 

网络安全是全球性挑战，没有哪个国家能够置身事外、独善其身。各国应在相互尊重、平等互利的基础上，加强对话合作，坚决反对网络霸权，共同应对网络安全威胁，构建和平、安全、开放、合作、有序的网络空间治理秩序，让互联网更好造福人类。（作者：李嘉宝  人民日报海外版）

 

中国曾遭美国网络武器“蜂巢”攻击

 

4月19日，中国国家计算机病毒应急处理中心发布了《美国中央情报局（CIA）“蜂巢”恶意代码攻击控制武器平台分析报告》，对“蜂巢”（Hive）恶意代码攻击控制武器平台（以下简称“蜂巢”）进行了分析。

 

资料显示，蜂巢由美国中央情报局（CIA）数字创新中心（DDI）下属的信息作战中心工程开发组（EDG，以下简称“美中情局工程开发组”）和美国著名军工企业诺斯罗普·格鲁曼（NOC）旗下XETRON公司联合研发，由美国中央情报局（CIA）专用。

 

这是继美国国家安全局（NSA）“电幕行动”“APT-C40”“NOPEN”“量子”之后的又一款网络攻击武器。其战术目的是在目标网络中建立隐蔽立足点，秘密定向投放恶意代码程序，利用该平台对多种恶意代码程序进行后台控制，为后续持续投送“重型”武器网络攻击创造条件。

 

 

为了更好地实现这一目标，美国中央情报局（CIA）运用该武器平台根据攻击目标特征定制适配多种操作系统的恶意代码程序，对受害单位信息系统的边界路由器和内部主机实施攻击入侵，植入各类木马、后门，实现远程控制，对全球范围内的信息系统实施无差别网络攻击。

 

对此，外交部发言人汪文斌表示，中方对美国政府不负责任的恶意网络活动表示严重关切，敦促美方作出解释，并立即停止相关恶意活动。

 

 

我们注意到，国家计算机病毒应急处理中心此次发布的报告指出，现有国际互联网骨干网和世界各地的重要关健信息基础设施当中，只要包含美国公司提供软硬件，就极有可能被内嵌各类的“后门程序”，从而成为美国政府网络攻击的目标。

 

蜂巢正在监听全球

 

近段时间以来，美国正在大力发展各种网络攻击武器，试图通过大规模的网络攻击来达到其不可告人的目的，而蜂巢正是美国网络战布局中极其重要的网络武器之一。

 

简单来说，蜂巢平台采用C/S架构，主要由主控端（hclient）、远程控制平台（cutthroat，译为：“割喉”）、生成器（hive-patcher）、受控端程序（hived）等部分组成。为了掩护相关网络间谍行动，美中情局工程开发组还专门研发了一套名为“蜂房”（honeycomb）的管理系统，配合多层跳板服务器实现对大量遭受蜂巢平台感染的受害主机的远程隐蔽控制和数据归集。

根据国家病毒计算机应急处理中心的报告，蜂巢作为美国中央情报局（CIA）的主战网络武器装备之一，其强大的系统功能、先进的设计理念和超前的作战思想充分体现了CIA在网络攻击领域的突出能力。

 

同时，蜂巢还广泛支持ARMv7、x86、PowerPC和MIPS等主流CPU架构，覆盖Windows、Unix、Linux、Solaris等通用操作系统，以及RouterOS（一种由MikroTik公司开发的网络设备专用操作系统）等专用操作系统。

 

换句话说，几乎所有的主流系统都被其囊括在内。而这些系统正在全球范围内，为多个国家的互联网提供服务。更糟糕的是，CIA已经在全球范围内部署了蜂巢平台相关网络基础设施，由于隐藏性高，一些受害者即使发现遭受了网络攻击，但也难以进行技术分析。

 

蜂巢就像电视剧中的卧底间谍一般潜伏在系统中，平时并没有特备的动作，因此难以发现其踪迹，但是它却可以利用自身技术将信息传递回美国，以此达到监听全球的目标。我们甚至都不知道，企业正在使用的系统中，国民赖以生存的关键信息基础设施中，是不是有蜂巢在潜伏。

 

这也正是蜂巢最可怕的地方，它就像一只看不见的手，正在掐住我们的脖子。一旦对方觉得有必要，那么随时可以依靠蜂巢发起大规模的网络攻击，猝不及防之下，将会给被攻击方造成极其严重的伤害。

 

事实上，目前美国主战网络武器发展早已脱离了个体层面，而是已经形成了体系化。其网络武器涵盖远程扫描、漏洞利用、隐蔽植入、嗅探窃密、文件提取、内网渗透、系统破坏等网络攻击活动的全链条，具备统一指挥操控能力，已基本实现人工智能化。美国中央情报局（CIA）依托蜂巢平台建立的覆盖全球互联网的间谍情报系统，正在对世界各地的高价值目标和社会名流实施无差别的网络监听。

 

从近期中国网络安全机构揭露的美国国家安全局（NSA）“电幕行动”“APT-C-40”“NOPEN”“量子”网络攻击武器和此次曝光的美国中央情报局（CIA）“蜂巢”武器平台的技术细节分析，现有国际互联网的骨干网设备和世界各地的重要信息，基础设施中（服务器、交换设备、传输设备和上网终端），只要包含美国互联网公司提供的硬件、操作系统和应用软件，就极有可能包含零日（0day）或各类后门程序（Backdoor），就极有可能成为美国情治机构的攻击窃密目标，全球互联网上的全部活动、存储的全部数据都会“如实”展现在美国情治机构面前，成为其对全球目标实施攻击破坏的“把柄”和“素材”。

这意味着，一旦蜂巢完成全球重点部署战略，那么全球都将处于美国网络威胁的辐射之下。蜂巢作为超级监听器，可以随时了解对方的一举一动；同时它还是进攻的桥头堡，给全面网络战埋下了一颗钉子。

 

网络战的威力不可小视

 

正在进行中的俄乌战争给所有人展示了网络战的威力，成本低、效果大、难溯源的特点赋予了网络战极强的隐秘性与杀伤力。随着科学技术的发展，战争的模式正在发生改变，而网络战也已经成为一场战争爆发的急先锋和持续压制的利器。

 

早在俄乌热战争爆发之前，网络战已经先一步开打，俄罗斯曾多次利用网络攻击影响乌克兰舆论宣传。

 

2022年1月13日，乌克兰政府网站遭到篡改，网站页面发布了引发恐怖的虚假信息。在2月15日攻击中，部分乌克兰Privatbank银行用户收到银行ATM机无法使用的虚假消息，乌克兰网络警察称这是旨在制造混乱的“信息攻击”。乌克兰有关部门还查封了一个拥有超过18万个社交媒体账号、用来散布假新闻的僵尸网络等。

 

另外，就在俄罗斯发动特别军事行动的前一天，一款名为“HermeticWiper ”的新型数据擦除恶意软件在乌克兰的数百台重要的计算机上被发现，这成为开战后新一轮的针对性破坏型网络攻击。

 

在俄乌战争期间，网络战也是双方重点关注的胜负手之一。在欧美等国家的支持下，乌克兰利用网络战开始全面向俄罗斯反击。

 

例如在3月初，乌克兰国防战略中心展示了在网络战中的成果，公布了在乌克兰作战的12万俄军的个人资料，包括他们的名字、注册编号、服役地点、职务等信息。同时，在国际舆论上，乌克兰也保持着较高的论调，反观俄罗斯因为遭受了欧美等国家的制裁，在网络战中处于下风。

 

此外，欧美等国的黑客也加入了乌克兰的阵营，并对俄罗斯展开了持续性的网络攻击。例如国际知名黑客组织“匿名者”（Anonymous）就曾高调宣布将以俄罗斯政府机构和组织为目标，陆续攻击了俄罗斯克林姆林宫官网、俄外交部、俄罗斯海关、红星电视台、俄罗斯央行等多个重要组织，窃取了不少机构的机密数据，并扬言将在短时间内将其泄露。

 

这也正是网络战的重要目标之一，攻击并瘫痪对方的关键信息基础设施，不断打击对方的战争潜力。近年来全球多个国家已经遭受类似事件。

 

例如英国电网重要管理机构Elexon遭到网络攻击，内部IT网络受到影响、关键通信功能丧失；印度孟买遭遇大范围断电，直接导致铁路、股票交易所、医疗设施以及其它大部分关键基础设施瘫痪等。

 

倘若这些网络攻击发生在战争时期，那么势必会对国内造成严重的打击，并且将直接削弱对方的战争实力，降低对方的战争意愿，这值得我们警醒。

 

结语

 

随着数字化转型的加速进行，未来社会和组织对于互联网的依赖性将进一步提升，与此同时，网络战所带来的后果也将变的更加难以想象。

 

目前，我国对于网络空间安全给予高度重视，《网络安全法》《个人数据保护法》《关键基础设施保护条例》等多部法律、法规陆续实施，将进一步强化我国网络空间整体防护能力。同时，我们也要做好相应的准备，加快推进国产可信设备和操作系统的布局，避免因网络战而遭受损失。

 

（来源：转编自“学术派”微信公众号，修订发布；图片来自网络，侵删） 

---

 

     【昆仑策网】微信公众号秉承“聚贤才，集众智，献良策”的办网宗旨，这是一个集思广益的平台，一个发现人才的平台，一个献智献策于国家和社会的平台，一个网络时代发扬人民民主的平台。欢迎社会各界踊跃投稿，让我们一起共同成长。

　　电子邮箱：gy121302@163.com

　　更多文章请看《昆仑策网》，网址：

　　　　http://www.kunlunce.cn

　　　　http://www.kunlunce.com