Re: [新聞] 大陸官方報告指控 台灣2014年太陽花運動

我特意找了一下報告，關於技術方面，我看不太明白，貼出來供大家看看。

以下爲部分原文：

我們成功提取了多個「Vault7」（穹頂7）網絡攻擊武器樣本，多個東南亞國家和歐洲的合作夥伴也提取到了幾乎完全相同的樣本，主要包括：

2.1 Fluxwire（磁通線）後門程序平臺

一款支持Windows、Unix、Linux、MacOS等9種主流操作系統，和6種不同網絡架構的復雜後門攻擊行動管理平臺，可將眾多「肉雞」節點組成完全自主運行的網狀網絡，支持自我修復、循環攻擊和多路徑路由。

2.2 Athena（雅典娜）程序

一款針對微軟Windows操作系統的輕量級後門程序，由美國中央情報局（CIA）與美國SiegeTechnologies公司（2016年被Nehemiah Security收購）合作開發，可以通過遠程安裝、供應鏈攻擊、中間人劫持攻擊和物理接觸安裝等方式植入，以微軟Windows服務方式駐留。所有攻擊功能模塊均以插件形式在內存中解密執行。

2.3 Grasshopper（蚱蜢）後門程序

一款針對微軟Windows操作系統的高級可配置後門程序，可生成多種文件格式形式的（EXE，DLL，SYS，PIC）惡意荷載，支持多種執行方式，配以不同插件模塊後，可隱蔽駐留並執行間諜功能。

2.4 AfterMidnight（午夜之後）後門程序

一款以微軟Windows操作系統DLL服務形式運行的輕量級後門，它通過HTTPS協議動態傳輸、加載「Gremlins」模塊，全程以加密方式執行惡意荷載。

2.5 ChimayRed（智美紅帽）漏洞利用工具

一款針對MikroTik等品牌路由器的漏洞利用工具套件，配合漏洞利用可植入「TinyShell」等輕量級網絡設備後門程序。

2.6 HIVE（蜂巢）網絡攻擊平臺

「蜂巢」網絡攻擊平臺由美國中央情報局（CIA）下屬部門和美國著名軍工企業諾斯羅普·格魯曼（NOC）旗下公司聯合研發，它為美國中央情報局（CIA）網絡攻擊團隊提供一種結構復雜的持續性攻擊竊密手段。它管理利用全球範圍內數量龐大的失陷資產，組成多層動態跳板和秘密數據傳輸通道，7×24小時向美國中央情報局（CIA）上傳用戶賬戶、密碼和隱私數據（https://www.cverc.org.cn/head/zhaiyao/news20220419-hive.htm）。

2.7 其他衍生工具

美國中央情報局（CIA）在通過上述「Vault7」（穹頂7）網絡武器實施攻擊竊密過程中，還衍生和使用了大量「Vault7」 （穹頂7）資料之外的攻擊樣本，現已提取的樣本中包括偽裝的釣魚軟件安裝包、鍵盤記錄組件、系統信息收集組件、USB文件竊取模塊和不同的開源黑客工具等。

3. 美國中央情報局（CIA）網絡攻擊武器樣本功能分析

在針對中國境內多起典型網絡攻擊事件的調查過程中，360公司從受害單位信息網絡中捕獲並成功提取了一大批與網曝美國中央情報局（CIA）「Vault7」（穹頂7）資料緊密關聯的木馬程序、功能插件和攻擊平臺樣本。深入分析發現，相關程序樣本大都遵循了「Vault7」（穹頂7）資料中的《Network Operations Division In-memory Code Execution Specification》、《Network Operations Division Cryptographic Requirements》和《Network Operations Division Persisted DLL Specification》等美國中央情報局（CIA）惡意軟件開發標準和技術規範。這些標準和規範分別對應網絡攻擊竊密活動中惡意代碼的加載執行、數據加密和持久化行為，相關網絡武器進行了極其嚴格的規範化、流程化和專業化的軟件工程管理。據悉，目前只有美國中央情報局（CIA）嚴格遵守這些標準和規範開發網絡攻擊武器。

據「Vault7」（ 穹頂7）資料顯示，上述網絡攻擊武器歸屬於美國中央情報局（CIA）的EDG（工程開發組），由其下屬的AED（應用工程部）和EDB（嵌入式設備分部）等多個分部獨立或聯合研發。這些網絡武器大都誕生於一個名為「devlan.net」的美國中央情報局（CIA）最高機密內部網絡中。「devlan.net」是美國中央情報局（CIA）工程開發部（EDG）建立的龐大的網絡武器開發測試基礎設施。另據「devlan.net」的開發日誌數據顯示，僅「HIVE」（蜂巢）一個項目就至少投入EDG兩百余名工程師參與研發。

進一步技術分析發現，美國中央情報局（CIA）的後門程序和攻擊組件大都以無實體文件的內存駐留執行的方式運行，這使得對相關樣本的發現和取證難度極大。即使這樣，聯合技術團隊還是成功找到了解決取證難題的有效方法。為後續描述和分析問題方便，我們暫且將美國中央情報局（CIA）的攻擊武器分為9個類別：

3.1 框架平臺類。我們發現並捕獲了Fluxwire（磁通線）、Grasshopper（蚱蜢）、Athena（雅典娜）的攻擊樣本和攻擊活動，經過實地檢測，這些樣本的功能、攻擊特征和網絡行為均可與「Vault7」（穹頂7）資料中的描敘一一印證。

3.2 攻擊模塊投遞類。美國中央情報局（CIA）使用了大量功能簡單的小型惡意代碼下載器，用於加載執行更多的惡意代碼及模塊，相關樣本無特別的惡意功能及特征，但在與框架平臺等攻擊武器配合時卻可展現出強大的竊密功能，極難將其歸因溯源。

3.3 遠程控製類。現已提取多款遠程控製插件，大都屬於框架平臺類攻擊武器衍生出的攻擊模塊組件，二者之間相互配合。

3.4 橫向移動類。提取到的大量惡意程序樣本中，包含多款通過系統管理員憑據使用Windows遠程服務安裝植入的後門程序。除此之外，美國中央情報局（CIA）還劫持多種安全產品內網的升級程序，通過內網升級服務器的升級功能下發安裝後門程序，實施內網中的橫向移動攻擊。

3.5 信息收集竊取類。聯合技術團隊偶然提取到美國中央情報局（CIA）使用的一款信息竊取工具，它屬於網曝美國國家安全局（NSA）機密文檔《ANT catalog》48種先進網絡武器中的一個，是美國國家安全局（NSA）的專用信息竊取工具。這種情況說明美國中央情報局（CIA）和美國國家安全局（NSA）會聯合攻擊同一個受害目標，或相互共享網絡攻擊武器，或提供相關技術或人力支持。這為對APT-C-39攻擊者身份的歸因溯源補充了新的重要證據。

3.6 漏洞利用類。調查中發現，至少從2015年開始，美國中央情報局（CIA）就在世界各地建立了龐大的網絡攻擊跳板資源，利用「零日」（0day）漏洞對全球範圍IOT（物聯網）設備和網絡服務器無差別攻擊，並將其中的大量失陷設備轉換為跳板「肉雞」，或隱藏自身攻擊行為，或將網絡攻擊嫁禍給其他國家。例如，美國中央情報局（CIA）使用代號為「ChimayRed」（智美紅帽）的漏洞攻擊套件定向攻擊多個型號的MikroTik品牌路由器，其中包括中國境內大量使用這種路由器的網絡設備。攻擊過程中，美國中央情報局（CIA）首先會惡意修改路由器啟動腳本，使路由器重啟後仍執行後門程序；然後，美國中央情報局（CIA）再修改路由器的CGI程序堵住被美國中央情報局（CIA）自身利用的漏洞，防止其他攻擊者再次入侵造成權限丟失；最終，美國中央情報局（CIA）會向路由器植入「蜂巢」（HIVE）或「TinyShell」等只有美國中央情報局（CIA）可以使用的專屬後門程序。

3.7 偽裝正常軟件類。美國中央情報局（CIA）針對攻擊目標的網絡環境，將後門程序定製偽裝為目標使用的用戶量較少的冷門軟件安裝包，針對目標實施精準的社會工程學攻擊。

3.8 安全軟件攻防類。美國中央情報局（CIA）掌握了專門用於攻擊商業殺毒軟件的攻擊工具，可以通過這些專用工具遠程關閉和殺死指定殺毒軟件的進程，使相關殺毒軟件對美國中央情報局（CIA）的攻擊行為或攻擊武器失效。

3.9 第三方開源工具類。美國中央情報局（CIA）也會經常使用現成的開源黑客工具進行攻擊活動。美國中央情報局（CIA）網路攻擊行動的初始攻擊一般會針對受害者的網絡設備或服務器實施，也會進行社會工程學攻擊。在獲得目標權限之後，其會進一步探索目標機構的網絡拓撲結構，在內網中向其它聯網設備進行橫向移動，以竊取更多敏感信息和數據。被美國中央情報局（CIA）控製的目標計算機，會被進行24小時的實時監控，受害者的所有鍵盤擊鍵都會被記錄，剪切板復製粘貼信息會被竊取，USB設備（主要以移動硬盤、U盤等）的插入狀態也會被實時監控，一旦有USB設備接入，受害者USB設備內的私有文件都會被自動竊取。條件允許時，用戶終端上的攝像頭、麥克風和GPS定位設備都會被遠程控製和訪問。

--