观察者网再发一份报告：美国对中国等国发动无差别网络攻击

近日，包括奇安信、360在内的中国企业相继曝光了美国对中国等国发动网络攻击的完整证据链。中国外交部本月也对相关报道作出回应，指出美国对中国实施大规模、长期、系统性网络攻击，严重危害中国关键基础设施安全，海量个人数据和商业技术秘密的安全，严重影响了我国关键基础设施的安全。中美网络空间互信。

3月23日，观察者网再次获得360公司的报道。报告重点关注美国网络攻击手段之一的QUANTUM（量子）攻击系统，对应用场景和攻击实施过程进行技术分析。结合真实案例，再次印证美国国家安全局（NSA）对全球互联网用户实施大规模无线攻击。差异化网络攻击的详细信息。

具体来说，该报告总结了美国政府发起的网络攻击的四个特征：

首先，美国的网络武器攻击已经完全设计和自动化。NSA 组织的 QUANTUM（量子）系统可能只是冰山一角。美国可能拥有越来越多高度工程化的网络攻击平台。其自动化“思维”的速度和质量，大大提高了美军自主作战系统制胜目标的达成度。也给全球网络安全带来了无尽的担忧。

第二，为了实施和打赢网络战，美国政府充分利用所有先进技术和网络资源。为了掌握网络战的主导地位，美国将QUANTUM（量子）攻击系统等一大批顶尖技术手段、高端人才、情报力量纳入作战序列。可见，美国对于网络战力的发展非常重视，不计成本。资源，增加筹码。

第三，美国的网络攻击是不分青红皂白的攻击，针对世界，甚至包括美国的盟友。报告分析显示，美国对各种电子邮件、社交网络、搜索引擎、视频网站等几乎所有互联网用户发起了不分青红皂白的网络攻击。镰刀之下，没有一个国家能独善其身。

第四，美国的网络战战略可能不仅限于网络盗窃。报道指出，美国已经完成了网络战战略目标的第一步——网络窃取，斯诺登和维基百科披露的“棱镜”计划属于这一类，但不排除美国’下一个目标野心会更大。大的。一旦将硬件或软件后门插入对手的计算机网络，就可以实现对关键目标的远程控制，包括军事系统、国家公共安全领域的服务器、民航、公路和铁路运输系统中的主机以及服务器在银行和金融系统中。如果美国更大的战略目标实现了，对手就没有商量的余地。

以下为报告原文：

阅读摘要：

“APT”（高级持续攻击）是一种有针对性的、隐蔽的、持续的网络攻击。已发现的绝大多数 APT 组织具有国家或政府背景，相关攻击通常由与特定国家/地区政府相关的实体实施。APT攻击的主要目标不是普通个人，而是特定的组织，包括政府、高校、医疗、企业、科研等不同类型的重要组织，甚至是重要的信息基础设施运维单位。360云安全大脑持续追踪全球众多现有APT组织及其活动，率先发现并公开披露全球发起的持续性攻击。

在对 APT-C-40 攻击活动的长期跟踪研究中，我们发现了大量来自全球各行各业的受害用户（包括多个美国盟友，并从美国的互联网设备中提取数据）一些在中国当场的受害者）。在对该组织各种复杂先进的网络攻击武器程序样本进行仔细深入的技术分析后，我们发现该组织使用的网络攻击武器与美国国家安全局的独家网络攻击武器完全一致，黑客攻击针对中国机构的事发生在斯诺登和“影子经纪人”曝光之前。基于技术分析结果和现有数字证据，我们完全有理由相信，发起上述黑客攻击的组织隶属于美国政府和美国国防部下属的国家安全局。(NSA) 直接进行了相关的黑客攻击。

APT-C-40组织介绍

根据维基百科的记录，美国国家安全局（NSA）有一个名为 TAO Tailored Access Operations 的绝密行动单位，自 1998 年以来一直活跃于网上，主要负责为美国情报机构提供通信监视、情报获取、甚至对美国和其他国家的高层目标进行远程破坏（摧毁）行动。

2013 年，安全专家 Jacob Appelbaum 曝光了一份 50 页的机密 NSA 文件，即 NSA ANT 目录，其中描述了一系列高端网络黑客技术和项目。根据该文件的内容，相关的网络黑客技术和项目是在2008年左右创建的，可以认为是专门为美国国家安全局接入技术运营办公室（TAO）开发的先进网络攻击武器。

2016年至2017年间，“影子经纪人”公开曝光了大量属于美国国家安全局的网络攻击武器和机密办公文件。美国“The Intercept”网站结合爱德华·斯诺登（前CIA技术分析师、美国国家安全局NSA承包商雇员）披露的美国国家安全局（NSA）内幕情报，发布重磅分析文章《THE NSA LEAK IS REAL, SNOWDEN DOCUMENTS CONFIRM”，确认斯诺登曝光的网络攻击武器确实属于美国国家安全局（NSA）。

2013年至2017年，坚定捍卫公民隐私权的中立网络权威机构、中立新闻媒体、中立机构相继发布解读分析报告，确认在互联网上公开的所谓“NSA网络武器和机密文件”属于给美国国家安全局。

自2008年以来，360云安全大脑整合海量安全大数据，自主捕获了大量极其复杂的网络黑客攻击程序样本。以及对斯诺登事件和“影子经纪人”曝光事件的综合研究，确认这些黑客程序样本属于美国国家安全局（NSA），这进一步证实了美国国家安全局进行了极其隐蔽和不分青红皂白的黑客行为长期以来对我国的行动。最终实施攻击的具有 NSA 背景的黑客组织分别编号为 APT-C-40。

相关证据显示，一系列泄露的美国国家安全局网络武器已被其他国家，特别是“五眼”国家的黑客广泛使用，造成全球网络安全灾难。例如，“永恒之蓝”被“WannaCry”蠕虫利用，2017年攻击中国及全球多个国家和地区，对各国信息网络造成严重危害。APT-C-40组织对我国各行业的龙头企业、政府、高校、医疗机构、科研机构，甚至重要的信息基础设施运维单位等进行了十多年的秘密黑客攻击。事关国计民生。活动，窃取大量重要数据，造成的潜在威胁难以评估。本报告将分析和披露美国国家安全局的相关黑客活动。

量子攻击技术介绍（量子）

NSA公开披露的高端网络黑客武器种类繁多，很难在一份技术分析报告中完整呈现。本报告是360系列报告的第一篇，将重点关注APT-C-40集团在中国对目标进行黑客攻击时使用的最具代表性的量子攻击系统。量子攻击是美国国家安全局（NSA）专门为国家级互联网设计的一种先进的网络流量劫持攻击技术。以及一系列复杂的网络攻击。根据美国国家安全局的官方机密文件“Quantum Insert Diagrams”，Quantum（量子）攻击可以劫持世界任何地区任何在线用户的正常网页浏览流量，

量子系统应用场景分析

量子攻击系统都是以英文单词 QUANTUM 命名的。在网上公开的美国国家安全局机密文件中，对各个QUANTUM系统模块的具体代号、主要功能、应用场景、项目状态以及相关的网络黑客武器进行了详细的描述。.

量子攻击系统拥有三个网络攻击应用场景，攻击平台早在2005年就投入使用。这三个应用场景以首字母缩写命名，缩写分别为CNE（Cyber​​ Intelligence Theft）、CNA（Cyber​​ Attack）破坏）和 CND（网络攻击防御）。

1.Computer Network Exploitation（网络智能盗窃）CNE（Network Intelligence Theft）黑客活动的应用场景涉及6个Quantum（量子）系统模块，主要功能是远程秘密劫持周围的正常互联网流量世界通过先进的技术手段，随意操纵和控制网络流量，通过注入恶意代码等方式对任何联网终端实施漏洞攻击，持续进行破坏性网络攻击和网络情报窃取等活动。有证据表明，NSA窃取的数据包括（但不限于）：网络配置文件、帐号和密码、办公和私人文件、数据库、在线朋友信息、网络通讯信息、电子邮件、实时摄像头数据、

2.计算机网络攻击（Network Attack Destruction）CNA（Network Attack Destruction）黑客活动应用场景，涉及2个Quantum（量子）系统模块，主要功能是进行网络攻击和破坏。与传统的黑客和破坏活动不同，NSA 的黑客攻击更加细化，可以针对正常网络流量中的任何网络通信和文件传输进行操纵、分析和破坏，并且在某些情况下可以远程关闭或破坏。水、电、气等关键信息基础设施和民生设施。

3.计算机网络防御（网络攻击防御）CND（网络攻击防御）黑客防御应用场景涉及1个量子（Quantum）系统模块，主要目的是拦截被NSA劫持的网络流量拦截或发现恶意payload下载，并对它们进行安全分析。它使NSA能够从被攻击目标或自身网络中提取非NSA攻击源的恶意程序样本，执行漏洞情报分析、网络攻击防御等任务。

量子系统九大模块分析

360云安全大脑对Quantum（量子）系统进行了长期跟踪研究，现已发现NSA Quantum（量子）系统的九个高级网络攻击能力模块：

1.量子插入

该模块具有将恶意流量注入正常网络流量的攻击能力。这是迄今为止360云安全大脑发现的数量最多的量子攻击。该模块主要被美国国家安全局（NSA）用来劫持全球互联网用户的正常网页浏览流量，将用户想要访问的正常合法网站劫持到美国国家安全局的FoxAcid（酸狐）仿冒网站服务器，通过FoxAcid（酸狐）发送各种浏览器0-day（零日）漏洞，完成对网民的定点或批量攻击，远程控制用户的网络终端，植入国安各种复杂的后门程序机构（NSA）进入用户的互联网终端。情报盗窃。

2.QUANTUMBOT（量子傀儡）

NSA还将在网络空间对黑客组织进行网络攻击land攻击源端口目的端口，抢占黑客组织的网络资源，并为其自身后续的黑客攻击提供技术支持。该模块提供了远程控制网络空间中任何僵尸网络的攻击能力。通过劫持僵尸网络指挥和控制的网络流量，可以直接接管相关的僵尸网络资源，进而操纵这些僵尸网络发动破坏性攻击活动，隐藏NSA黑客。攻击痕迹。

3.量子饼干（量子饼干）

该模块用于增强Quantum（量子）注入攻击，为针对攻击目标的Quantum（量子）注入攻击建立代理跳板。目的是防止NSA的黑客行为被追踪和发现。该模块也常用于 NSA 针对特定目标的网络环境。实施量子攻击，自定义部署攻击跳板。

4.量子DNS

该模块具有劫持网络流量 DNS 的能力。通过该模块，NSA可以劫持互联网上所有网站域名的DNS解析，重定向网站流量，同时配合FOXACID（酸狐）平台实施漏洞攻击。

5.QUANTUMHAND（量子掌握）

该模块提供了劫持美国Facebook（Facebook）等重要网站流量的能力，对浏览相关网站的网络流量进行漏洞攻击，植入美国国家安全局（NSA）复杂的后门程序。这种攻击能力太离谱了。美国国家安全局（NSA）将对全球几乎所有访问 Facebook、Twitter、YouTube、亚马逊和其他美国网站的互联网用户发起不分青红皂白的网络攻击。

6.量子幻影

为了防止美国国家安全局（NSA）对其他国家进行的网络攻击被追踪，该模块提供了先进的网络攻击能力，利用网络链路中的中间节点劫持技术隐藏攻击源攻击。例如：NSA使用虚假IP地址作为指挥控制，劫持与该虚假IP通信的网络路由节点链路，在网络链路的中途节点进行被动监控和流量操纵，隐藏NSA的真实后门命令和控制地址。

7.QUANTUMSKY（量子天空）

该模块提供网络通信阻塞能力，通过 RST 复位消息中断特定的网络连接。它主要被 NSA 用来劫持和阻止特定目标访问特定网站的流量。

8.QUANTUMCOPPER（量子警察）

该模块为网络流量中的文件提供篡改能力，使NSA攻击能够劫持网络流量中的文件上传和下载，并实施中断或后门植入等网络攻击。

9.QUANTUMSMACKDOWN

该模块提供分析恶意网络流量的能力，可以拦截和提取下载网络流量中的恶意payload和恶意样本。网络环境中的恶意流量。

量子攻击的实现过程分析

美国国家安全局 (NSA) 制定了许多行动计划，以监控全球互联网目标。相关计划中涉及的具体任务将通过Quantum（量子）系统平台实施。从分析中可以推断，在执行过程中收集的大量数据将得到执行。数据是在用户不知情的情况下获得的。渗透技术使美国公民和世界其他国家网民的个人隐私得不到妥善保护，公民的隐私权受到不同程度的侵犯。

当美国国家安全局或联邦政府其他部门发布的黑客攻击任务提交给量子（quantum）系统时，攻击者会首先监控攻击目标的网络通信流量，针对特定网站进行针对性网络被攻击目标访问。劫持，然后通过各种0day（零日）漏洞将VALIDATOR（验证器）等后门程序植入目标互联网终端，以环境探索为目的，完成初步情报收集。随后，安装更高级的后门程序，进行一系列精巧复杂的网络渗透攻击，最终完成情报收集任务。静态文件，

QUANTUM 攻击的完整实施过程分为以下三个阶段，现已完全工程化和自动化：

第一阶段

QUANTUM（量子）攻击实施者将首先在网络上定位被攻击目标。整个定位过程是通过NSA持有的一套“QUANTUM Capabilities”（量子能力）和网络黑客工具完成的。远程劫持和操纵网络流量。根据美国国家安全局的机密文件，“QUANTUM Capabilities”的定位操作不仅针对特定IP，更重要的是，它可以针对最常用的互联网服务和不同的互联网服务，如电子邮件、社交网络、搜索引擎、视频网站等。可远程定位网站账号，快速查明攻击目标、网络和在线位置。

第二阶段

目标定位完成后，QUANTUM量子攻击行动将进入NSA称为“QUANTUM SIGDEV”（量子监控）的阶段。该阶段的主要任务是全面监控攻击目标的互联网账号及其他相关网络通信内容和其他网络活动。如以下美国国家安全局（NSA）的机密文件所示，美国国家安全局（NSA）量子（quantum）攻击系统的背景展示了如何监控雅虎（Yahoo）等美国互联网产品的网络、Facebook (Facebook) 和 Hotmail 注册用户的一些详细信息表明，NSA 实际上正在不分青红皂白地监视世界各地使用美国互联网产品的用户。

第三阶段

QUANTUM（量子）攻击行动已进入美国国家安全局称为“QUANTUMNATION”（量子国界）的阶段，“NATION”代号具有一定的网络空间边界和国界含义。360云安全大脑目前发现的美国国家安全局（NSA）实施的大部分网络黑客攻击都是针对其他国家用户的漏洞攻击。在攻击过程中，NSA会将VALIDATOR（验证器）植入目标用户的互联网终端。以它为代表的NSA后门程序长期潜伏在目标用户的互联网终端中，然后通过这些后门程序发起更为复杂的网络攻击和渗透。如下面的 NSA 机密文件所示，Quantum（量子）攻击系统正在对目标用户访问的Facebook（Facebook）网站实施CNE（Network Intelligence Gathering）攻击任务。NSA 的 Quantum（量子）攻击系统的背景显示了受害目标用户。在访问 Facebook 时，NSA 利用该漏洞的确切时间也被标记为私人信息，例如受害者的网络浏览器类型。

我们已经完全恢复了APT-C-40组织对中国特定机构发起的黑客攻击和数据窃取事件。

量子注入攻击的完整示例分析

通过以上章节的分析可以看出，量子攻击系统是一个极其复杂精密的高级网络攻击平台。在 360 大数据愿景中发现了大量由 APT-C-40 组织实施的 QUANTUMINSERT（量子注入）类型的攻击痕迹。这些攻击示例包括利用FoxAcid（酸狐）网站欺骗服务器实施漏洞利用攻击，向受害者植入。进入以 VALIDATOR（验证者）、UNITEDRAKE（联合 rake）等为代表的 NSA 专用后门程序，窃取大量受害者的个人隐私和互联网数据。

FoxAcid（酸狐）攻击武器需要两个Quantum（量子）系统模块QUANTUMINSERT（量子注入）和QUANTUMBISCUIT（量子饼干）的支持，才能劫持并为FoxAcid（酸狐）提供最基本的网络流量。，FoxAcid（酸狐）攻击武器利用各种主流浏览器和Flash等应用程序的0day漏洞对目标对象进行攻击，然后将初始后门程序植入其互联网终端。

从QUANTUMINSERT（量子注入）的原理分析，NSA利用网络响应速度不佳的方式实现了Quantum（量子）注入攻击，劫持全球互联网上任意终端设备的正常网页浏览量。NSA 在 Internet 主干中部署 FoxAcid（酸狐）服务器，让网络攻击受害者在 NSA 量子攻击劫持后在真实网站服务器响应之前接收到虚假服务器响应，迫使受害者重定向到 NSA 的 FoxAcid 虚假网站或网络资源。

Quantum（量子）注入攻击在安全行业中被分类定义为MotS（Man on the Side）绕过中间人攻击。我们观察到的完整的Quantum（量子）注入攻击过程如下图所示：

在完整的攻击示例中，量子注入攻击的伪造HTTP重定向报文将在正常响应报文之前到达用户的互联网终端。

在攻击过程中，美国国家安全局（NSA）伪造的数据包与正常的网络数据包具有相同的序列号（Sequence），从而欺骗受害者的互联网终端。

在量子系统注入攻击的真实实例中，我们发现量子注入攻击的实现非常复杂，呈现出分布式跳板节点的特点。面对这种定向、瞬时、分布式的攻击，安全人员很难准确定位到网络链路中的哪一跳节点具体实施了量子注入攻击，捕捉完整的量子注入攻击过程难度极大. 然而，即使在如此高难度、复杂的攻防场景下，360云安全大脑依然凭借其独有的安全大数据能力，为NSA的Quantum（量子）注入攻击捕获了大量特殊的后门武器样本。

从公开披露的 NSA 机密文件《QUANTUM Shooter SBZ Notes》中可以确认：

1. NSA需要在网络传输线上建立无源监控节点，不断窃取通道内的网络信号数据，实现高速解码和条件匹配。这个项目被NSA后门监控系统称为TURMOIL（混沌，匹配量子攻击系统），系统需要有极高的性能，以保证被盗网络数据包的解码匹配时间尽可能短。

2.一个具体的场景是，当NSA网络攻击的受害者使用访问Facebook（Facebook）等美国网站时，相关的访问流量数据包会被TURMOIL系统定期监控并解析匹配。为了攻击目标，量子攻击平台会通过TURBINE（turbine，量子攻击系统的后门植入工具）向感染了SBZ（StraitBizarre，可以实施量子注入攻击的跳板后门）的网络设备发送命令，控制SBZ 向受害者的互联网终端发送虚假的量子注入数据包。相关数据包通常是 HTTP 重定向，迫使受害者访问 FoxAcid 服务器。

3.SBZ 节点被归类为 QUANTUM Shooter 节点。由于 NSA 想要确保 SBZ 发送的数据包在服务器正常响应数据包之前到达受害者，因此相关节点必须与受害者“足够近”（网络延迟足够低）。同时，为了保证攻击的成功率，相关节点也会发生分布式攻击。由于这种攻击方式常用于对特定受害者发起针对性攻击，因此 QUANTUM Shooter 节点的攻击行为同时具有定向性、瞬时性和分布性等特点，使得追踪和分析极为困难。

概括

NSA的全球化滥杀滥伤，离不开庞大而复杂的网络武器平台的支持。本报告对QUANTUM（量子）攻击系统的应用场景和攻击实施过程的技术分析，结合360云安全大脑视觉发现的真实案例，充分印证了美国国家安全局（NSA）对全球互联网用户实施了大规模的无线攻击。不同网络攻击的细节也引发了我们进一步的思考：

1.美国国家安全局网络武器攻击已经完全设计和自动化。随着网络战时代的到来，网络武器的自动化和智能化优势已经成为超越信息优势的“先进优势”，而NSA组织的QUANTUM（量子）系统可能只是冰山一角，美国可能拥有越来越多高度工程化的武器。网络攻击平台以其自动化“思考”的速度和质量，极大提升了美国自主作战系统实现制胜目标的优势，也给全球网络安全带来了无尽的担忧。

2.为了实施和打赢网络战，美国政府充分利用所有先进技术和网络资源。众所周知，美国拥有世界上最先进的互联网技术，但为了掌握网络战的主导地位，美国吸纳了大量顶尖的技术手段、高端人才和情报力量比如将QUANTUM（量子）攻击系统转化为运算顺序。可见，美国高度重视网络战力发展，不惜成本投入资源、加大杠杆。

3.美国网络攻击是针对世界的不分青红皂白的攻击，甚至包括美国的盟友。从以上分析可以看出，美国对各种电子邮件、社交网络、搜索引擎、视频网站等几乎所有网民发起了不分青红皂白的网络攻击。美国的网络战略打击是全球性的、不受控制的。镰刀之下，没有一个国家能独善其身。

4.美国的网络战战略可能不仅限于网络盗窃。通过公开信息得知，美国已经完成了网络战战略目标的第一步——网络窃取。斯诺登和维基百科披露的“棱镜”计划属于这一类，但不排除美国将一步目标野心更大。一旦将硬件或软件后门插入对手的计算机网络，就可以实现对关键目标的远程控制land攻击源端口目的端口，包括军事系统、国家公安领域的服务器、民航、公路和铁路运输系统中的主机，以及网络中的服务器。银行和金融系统。如果美国更大，如果它的战略目标实现，