美相关 APT 组织分析报告 — APT-C-40(NSA)

从 2008 年开始，360 安全云整合海量安全大数据，独立捕获了 大量异常复杂的网络黑客攻击程序样本，经过长期分析跟踪并从多个受害单位实地取证，结合关联全球各国发布的威胁情报，以及对斯诺登事件、”影子经纪人” 曝光事件的综合研究，确认这些黑客攻击程序样本属于美国国家安全局(NSA)，进而证实 NSA 长期对我国开展了极为隐蔽的无差别黑客攻击行动，最终将实施攻击行动的这些带有 NSA 背景的黑客组织单独编号为 APT-C-40

据 “斯诺登”、”影子经纪人” 披露，泄露的一系列 NSA 网络武器被他国特别是 “五眼联盟” 国家黑客广泛利用，造成了全球性的网络 安全灾难。如 “永恒之蓝” 被 “WannaCry” 蠕虫病毒利用，在 2017 年攻击了中国和全球多个国家地区，给各国信息网络造成了严重危害。而 APT-C-40 组织则针对中国各行业龙头企业，政府、大学、医疗机构、科研机构，甚至关乎国计民生的重要信息基础设施运维单位等机构实施了长达十余年时间的秘密黑客攻击活动，窃取了海量重要数据，造成的潜在威胁难以评估。

组织架构

NSA 是完全隶属于美国军方的组织，它专注于电子情报和网络战。2013 年，前情报员斯诺登爆料了 NSA 的“棱镜计划”，揭示了 NSA 在全球范围内进行的大规模网络监听活动，包括对中国的监控。

2016 至 2017 年间，”影子经纪人”(The Shadow Broker) 公开揭露了属于 NSA 的大量网络攻击武器和机密办公文档。美国 "The Intercept" 网站结合爱德华·斯诺登(Edward Snowden，前 CIA 技术分析员和美国国家安全局 NSA 承包商雇员) 揭露的美国国家安全局(NSA) 内幕情报，确认了斯诺登曝光的网络攻击武器确属美国国家安全局(NSA)。

2013 年至 2017 年间，中立网络权威人士、中立新闻媒体和坚定捍卫公民隐私权利的中立机构相继发布解读分析报告，确认网络上披露的所谓 “NSA 网络武器和机密文档” 全部属于 NSA。

根据爱德华·斯诺登(Edward Snowden) 披露的内幕情报，仅在 2011 年，美国国家安全局(NSA) 就组织实施了至少 231 次网络攻击 行动，攻击行动的主要目标包括中国、俄罗斯、伊朗和朝鲜等国家。

2013 年，美国投入全球情报搜集计划的预算高达 526 亿美元，其中涉及网络安全行动的预算，只有三分之一被用于网络安全防御，其它资金均被用于网络攻击。显然，对于美国国家安全局(NSA)而言，最好的防守就是进攻。

根据公开资料显示，美国国家安全局(NSA) 下属包括 16 个单 位，具体如下图所示(至今 NSA 已更新组织架构):

其中作为美国国家安全局(NSA)针对全球开展情报窃取活动的 “尖兵利器” 是其信号情报局下面最大的部门——接入技术行动处 (TAO、Tailored Access Operations)。

根据维基百科记录，该部门早在 1998 年就开始在网上活跃，主要职责是为美国情治机构提供针对美国本土和其他国家高级目标的通讯监控、情报获取，甚至远程破坏(摧毁)行动。

具体包括秘密侵入目标国家的关键信息基础设施和重要互联网信息系统、破解窃取账号密码、突破或破坏对手计算机安全防护系统、监听网络流量、窃取隐私和敏感数据，获取通话内容、电子邮件、网络通信内容和手机短信等。

据了解，接入技术行动处(TAO) 还承担负一项重要职责，即当美国总统命令对他国通讯或网络信息系统实施瘫痪或摧毁行动时，由接入技术行动处(TAO) 将相关网络攻击武器提供给到美国网络战司令部(U.S. Cyber Command)，由该司令部具体组织实施网络攻击行动。

公开信息显示，TAO 组织成员由超过 1000 名现役军人、网络黑客、情报分析师、专家学者、计算机软硬设计师，以及电子工程师等人员组成。根据其工作性质，TAO 的下属网络攻击实施部门被称为远程作战中心(ROC，Remote Operations Center)，办公地点位于美国国家安全局(NSA) 马里兰州总部的米德堡内。据分析，接入技术行动处(TAO) 的办公和网络攻击据点还广泛分布于美国国家安全局(NSA) 位于夏威夷瓦希瓦和瓦胡岛、佐治亚州戈登堡、德克萨斯州圣安东尼奥，以及科罗拉多州的巴克利太空部队基地等地。

根据公开披露信息，美国国家安全局(NSA) 接入技术行动处 (TAO) 的组织代号及架构示意图如下:

• S321-总部，远程作战中心 (ROC，Remote Operations Center)，雇员超过 600 人，负责日常接收、整理、汇总从世界各地被 TAO 远程控制的信息系统中窃取的账号密码和重要敏感信息。

• S323-数据网络技术分部(DNT)：负责开发网络攻击和网络间谍活动武器，其中:

• S3231-访问权限部门(ACD，Access Division)

• S3232-网络安全技术部门(CNT)

• S3233-未知

• S3234-计算机技术部门(CTD)

• S3235-网络技术部门(NTD)

• S324-电信网络技术分部(TNT，Telecommunication Network Technologies):负责组织研发针对电信网络进行黑客攻击的方法和相关技术

• S325-任务基础设施分部 (MIT，Mission Infrastructure Technologies):负责对 TAO 建设运营的全球化网络攻击基础设施进行维护和配置，确保其能够可靠运行 TAO 所有的各种网络攻击武器和间谍软件

• S328–远程访问行动分部(ATO，Access Technologies Operations):

由美国中央情报局(CIA) 和联邦调查局(FBI) 雇员组成，负责执行所谓 "离网行动"，即由中央情报局(CIA) 或联邦调查局(FBI) 特工实际进行他国互联网和电信网络秘密植入流量监听和网络窃密设备，窃取系统账号密码使美国国家安全局(NSA) 接入技术行动处(TAO) 的网络攻击实施者可以从米德堡远程 “合法” 访问这些网络设备。据悉，美国国家安全局(NSA)装备的特殊任务潜艇-吉米卡特号，就被用于对全球范围的光纤和电缆进行窃听。

• S3283-远程访问权限行动部门(EAO)

• S3285-持久化部门

相关资料显示，NSA 窃密期间的 TAO 负责人是罗伯特·乔伊斯 (Robert Edward Joyce)。

此人 1967年9月13日 出生，曾就读于汉尼拔高中，1989 年毕业于克拉克森大学，获学士学位，1993 年毕业于约翰·霍普金斯大学，获硕士学位。1989 年进入美国国家安全局工作。曾经担任过 TAO 副主任，2013 年至 2017 年担任 TAO 主任，他主持实施了对中国和世界其他国家的网络攻击和间谍窃密行动。

2017年10月13日，罗伯特·乔伊斯受命担任美国国土安全顾问。2018年4月10日至2018年5月31日，罗伯特·乔伊斯担任时任美国总统唐纳德·特朗普的白宫国土安全顾问。

2018年5月，罗伯特·乔伊斯担任美国国家安全局(NSA) 的网络安全战略高级顾问。

2021年1月15日-至今，美国国家安全局(NSA)宣布，罗伯特·乔伊斯担任该局的网络安全主管。

组织归因分析

2022年6月22日，西北工业大学发布《公开声明》称遭受境外网络攻击。国家计算机病毒应急处理中心和 360 公司联合组成技术团队开展技术分析工作，判明相关攻击活动源自美国 NSA 下属 TAO。相关证据如下:

证据一:攻击时间完全吻合美国工作作息时间规律

根据对相关网络攻击行为的大数据分析，对西北工业大学的网络攻击行动 98% 集中在北京时间 21 时至凌晨 4 时之间，该时段对应着 美国东部时间 9 时至 16 时，属于美国国内的工作时间段。其次，美国时间的全部周六、周日中，均未发生对西北工业大学的网络攻击行动。第三，分析美国特有的节假日，发现美国的阵亡将士纪念日放假 3 天，美国 “独立日” 放假 1 天，在这四天中攻击方没有实施任何攻击窃密行动。依据上述工作时间和节假日安排进行判断，针对西北工业大学的攻击窃密者都是按照美国国内工作日的时间安排进行活动的。

证据二:武器操作失误暴露工作路径

20XX年5月16日5时36分(北京时间)，攻击方一次失误操作暴露出攻击者上网终端的工作目录和相应的文件名，从中可知木马 控制端的系统环境为 Linux 系统，且相应目录名(Linuxetcautoutils) 系美国国家安全局 “特定入侵行动办公室”(TAO) 网络攻击武器的专 用名称(autoutils)。

证据三:大量武器与遭曝光的 NSA 武器基因高度同源

被捕获的对西北工业大学攻击窃密中所用的 41 款不同的网络攻击武器工具中，有 16 款工具与 “影子经济人” 曝光的美国国家安全局 “特定入侵行动办公室”(TAO) 武器完全一致;有 23 款工具虽然与 “影子经济人” 曝光的工具不完全相同，但其基因相似度高达 97%，属于同一类武器，只是相关配置不相同;有两款工具无法与 “影子经济 人” 曝光工具进行对应，但这两款工具需要与美国国家安全局 “特定入 侵行动办公室”(TAO)的其它网络攻击武器工具配合使用，因此这批武器工具明显具有同源性，都属于美国国家安全局 “特定入侵行动办公室” (TAO)。

组织代表武器

据公开信息显示，高级网络技术分部(ANT，Advanced Network Technology Division) 是接入技术行动处(TAO) 负责网络监控的主要部门。

根据爱德华·斯诺登披露的内部信息，高级网络技术分部(ANT) 日常负责对全球互联网实施大规模流量监控和攻击窃密活动。

2014 年，高级网络技术分部(ANT) 通过设立新的研究项目，将美国国家安全局(NSA) 的网络监控能力延伸到开源网络软硬件产品上。据公开资料显示，大多数新开发的此类网络攻击武器均已交由美国及其他 “五眼联盟” 国家使用。

NSA 针对全球发起网络攻击事件中使用的武器类别主要分为五大类，分别是:

a) 漏洞攻击突破类武器

(1)”剃须刀”

此武器用于对跳板机的攻击，可针对开放了指定 RPC 服务的 X86 和 SPARC 架构的 Solaris 系统实施远程溢出攻击，攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码，直接获取对目标主机的完整控制权。

(2)”孤岛”

此武器同样可针对开放了制定 RPC 服务的 Solaris 系统实施远程溢出攻击，直接获取对目标主机的完整控制权。与 “剃须刀” 工具不同之处在于此工具不具备自主探测目标服务开放情况的能力，需由使用者手动选择欲打击的目标服务。

(3)”酸狐狸” 武器平台

此武器平台部署在哥伦比亚，可结合 “二次约会” 中间人攻击武器使用，可智能化配置漏洞载荷针对 IE、FireFox、Safari、Android Webkit 等多平台上的主流浏览器开展远程溢出攻击，获取目标系统的控制权。

(4)Validator 验证器

另外，名为 “验证器” Validator(Validator 验证器) 的木马程序是 NSA 在网络攻击活动中最先植入目标的轻量级后门，主要功能是对攻击目标的网络系统环境进行探查，被认为是 NSA 专门开展的 “木马尖兵” 为目的的轻量级后门。

“验证器” 木马具备对攻击目标开展系统环境信息收集的能力，同时也为更为复杂的木马程序的安装(植入) 提供条件。该款木马可以通过网络远程和物理接触两种方式进行安装，具有 7X24 小时在线运行能力，使 NSA 的系统操控者和数据窃密者可以上传下载文件、远程运行程序、获取系统信息、伪造 ID，并在特定情况下紧急自毁。

b) 持久化控制类武器

依托此类武器对目标网络进行隐蔽持久控制，可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。

(1)”二次约会”

此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上，可针对海量数据流量进行精准过滤与自动化劫持，实现中间人攻击功能。

(2)”NOPEN”木马

此武器是一种支持多种操作系统和不同体系架构的控守型木马，可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作，并且本身具备权限提升和持久化能力。

(3)”怒火喷射”

此武器是一款基于 Windows 系统的支持多种操作系统和不同体系架构的控守型木马，可根据目标系统环境定制化生成不同类型的木马服务端，服务端本身具备极强的抗分析、反调试能力。

(4)”狡诈异端犯”

此武器是一款轻量级的后门植入工具，运行后即自删除，具备提权功能，持久驻留于目标设备上并可随系统启动。

(5)”坚忍外科医生”

此武器是一款针对 Linux、Solaris、JunOS、FreeBSD 等 4 种类型操作系统的后门，该武器可持久化运行于目标设备上，根据指令对目标设备上的指定文件、目录、进程等进行隐藏。

c) 嗅探窃密类武器

依托此类武器嗅探目标工作人员运维网络时使用的账号口令、生成的操作记录，窃取目标网络内部的敏感信息和运维数据等。

(1)”饮茶”

此武器可长期驻留在 32 位或 64 位的 Solaris 系统中，通过嗅探进程间通信的方式获取 ssh、telnet、rlogin 等多种远程登录方式下暴露的账号口令、操作记录、日志文件等。

(2)”敌后行动” 系列武器

此系列武器是专门针对运营商特定业务系统使用的工具，根据被控业务设备的不同类型，”敌后行动” 会与不同的解析工具配合使用。

d) 隐蔽消痕类武器

依托此类武器消除攻击在目标网络内部的行为痕迹，隐藏、掩饰其恶意操作和窃密行为，同时为上述三类武器提供保护。

(1)”吐司面包”

此武器可用于查看、修改 utmp、wtmp、lastlog 等日志文件以清除操作痕迹。

e) 攻击平台类武器

根据可考的美国国家安全局(NSA) 机密文档显示，NSA 的实战化网络攻击武器体系极其复杂，配套可以根据不同的攻击任务配置多种攻击武器和攻击方式组织，在攻击过程中会植入的不同阶段会针对特定目标植入不同和类型的后门木马程序。

其中，APT-C-40 组织针对中国境内目标的网络攻击中所使用的最具代表性模块化武器平台是 Quantum(量子) 攻击系统。

其作为美国国家安全局(NSA) 针对国家级互联网专门设计的一种先进的网络流量劫持攻击技术，主要针对国家级网络通信进行中间劫持，以实施漏洞利用、通信操控、情报窃取等一系列复杂网络攻击。

据 NSA 官方机密文档《Quantum Insert Diagrams》内容显示，Quantum(量子) 攻击可以劫持全世界任意地区任意网上用户的正常网页浏览流量，进行 0day(零日) 漏洞利用攻击并远程植入后门程序。受所处地域和传输距离等因素影响，从美国国家安全局(NSA) 各个办公地点发起的 “量子”(QUANTUM) 攻击，对于特定的攻击目标和软硬件组合来讲可能速度过慢，不足以完成相关攻击任务。

从本质上看，这些远程攻击是利用联网设备响应时间(速度) 等竞争性条件，使美国国家安全局(NSA) 的攻击服务器可以早于合法服务器抢先做出应答，骗取攻击目标信任，接管后续通讯进程，进而达成攻击意图。

为解决此类问题，美国国家安全局(NSA) 从 2011 年中期开始， 设计开发了一套代号为 “量子射击”(QFIRE) 的功能原型，可根据具体任务需要将美国国家安全局(NSA) 的漏洞分发服务器部署到更靠近攻击目标的托管服务器(运行在 VMware ESX 上的虚拟机)中，建成了名为 “特殊收集站点”(SCS) 的全球化网络攻击任务运行网络。”量子射击”(QFIRE) 的部署目的是降低美国国家安全局(NSA) 攻击武器发出欺骗应答的延迟时间，从而提高远程网络攻击的成功率。

在 “量子”(Quantum)攻击平台的功能套件中，”量子饼干”(QUANTUMCOOKIE) 代表着一种更加复杂的网络攻击形式，可用于攻击 “暗网”( Tor) 用户。还有一个名为 “量子松鼠”(QUANTUMSQUIRREL) 的网络攻击武器，可以被伪装成任何可路由的 IPv4 或 IPv6 主机，使美国国家安全局(NSA) 的网络攻击实施 者能够在通过 “量子松鼠”(QUANTUMSQUIRREL) 作为跳板访问互联网时，随时生成虚假的地理位置信息和个人身份凭证。

美国国家安全局(NSA) “量子松鼠”(QUANTUMSQUIRREL) 网络武器 PPT 演示，解释了 “量子松鼠”(QUANTUMSQUIRREL) 伪造 IP 的欺骗能力

攻击案例

据公开资料显示，美国国家安全局(NSA)接入技术行动处(TAO) 的攻击目标，包括但不限于中国、石油输出国组织(阿尔及利亚、安哥拉、赤道几内亚、加蓬、伊朗、伊拉克、科威特、利比亚、尼日利亚、刚果共和国、沙特阿拉伯、阿拉伯联合酋长国和委内瑞拉等)、墨西哥公共安全秘书处等国家和国际组织。

截至目前，接入技术行动处(TAO) 已有超过 500 个网络攻击和 数据窃密行动代号被公开披露。通过对这些被披露的行动代号及其概 要的综合研判分析，可以整体上了解美国国家安全局(NSA) 在全球范围发动无差别网络攻击的方向、范围、规模、数量等情况。

网络监听相关案例:

2013 年，美国前防务承包商雇员爱德华&斯诺登向媒体曝光美方 代号 “棱镜” 的大规模秘密监听项目，监听对象不仅覆盖美国公民，也 包括法国、德国等欧洲国家政要和民众。

2021年5月，欧洲媒体爆料，美国在丹麦情报部门帮助下，监听德国、法国、瑞典、挪威等欧洲国家领导人。

2023年4月，”泄密门” 事件闹得沸沸扬扬。一批疑似美军秘密文 件被泄露到社交媒体上，其内容显示，美国监听乌克兰总统泽连斯基 与乌官员的内部对话，并获取了韩国和以色列等盟国内部沟通情况。美媒指出，有关信息是美方通过所谓 “信号情报” 获取，而 “信号情报” 是情报界专用术语，意味着美国政府持续监听这些国家。

网络攻击相关案例:

2010 年，美国通过间谍活动将 “震网” 病毒植入伊朗纳坦兹核设施 内部网络，导致大批铀浓缩离心机瘫痪。

俄外交部国际信息安全司司长安德烈&克鲁茨基赫公开表示，截至 2022年5月，来自美国等国的 6.5 万多名黑客定期参与针对俄方关键信息基础设施的攻击。

据香港《大公报》报道，美国前中央情报局雇员斯诺登跟香港英文报章披露，美国国家安全局(NSA) 自 2009 年起即入侵香港及中国内地的计算机，目标包括香港中文大学、公职官员、企业及学生电脑。

2014年1月14日，《纽约时报》报道美国国家安全局在全球近 10 万台电脑中植入软件，可以监控这些电脑的活动或发起网络攻击。国安局在 2014 年之前就启用一项技术，借助无线电波获取一些已经 采取保护措施或没有接入互联网的电脑中的数据。

国安局通过 “间谍、电脑生产商或不知情使用者” 等渠道，把带有这种软件的微型电路板或 USB 存储卡安装进目标电脑，再通过接收这些设备发出的无线电波，获取电脑中的数据。这种软件还可以用来针对目标电脑发起网络攻击。

国安局的说法是，这项技术意在 “积极防御”，针对一些国家的军队、贩毒集团、欧盟内部贸易组织，以及沙特阿拉伯、印度、巴基斯坦等美国反恐伙伴的电脑。这一技术并没有在美国本土使用。上述电脑入侵项目部分内容在 “棱镜” 情报监控丑闻曝光者爱德华·斯诺登先前披露的秘密文件中曾被提及。

2022年4月，中国西北工业大学信息系统发现遭受网络攻击判明相关攻击活动源自美国国家安全局的 “特定入侵行动办公室”。过程中，成功提取了名为 “二次约会” 的间谍软件多个样本。根据黑客组织 “影子经纪人” 泄露的美国国家安全局内部文件，该恶意软件为美国国家安全局开发的网络 “间谍” 武器。它主要部署在目标网络边界设备(网关、防火墙、边界路由器等)，隐蔽监控网络流量，并根据需要精准选择特定网络会话进行重定向、劫持、篡改。

总结

美国 APT 组织全球化无差别黑客入侵行径，引发了我们的进一步思考:

一、美国 APT 组织网络武器攻击已完全实现了工程化、自动化。网络战时代到来，网络武器的自动化、智能化优势成为超越信息优势 的 “进阶优势”，其自动化的 “思考” 速度和质量，极大提高了美国自主 作战系统实现制胜目标的优势，也为全球网络安全带来无穷隐忧。

二、为实施并制胜网络战，美国政府充分利用一切先进技术和网络资源。美国有着全球最先进的互联网技术，这是尽人皆知的，但为了掌握网络战主导权，美国将诸如 QUANTUM(量子) 攻击系统等大量顶级技术手段、高端人才、情报力量纳入作战序列，由此可见，美国对发展网络作战力量的重视程度，并不计成本地投入资源、增加筹码。

三、美国 APT 组织的网络攻击属于无差别攻击，目标是全球范围，甚至包括美国盟友。由上述分析可见，美国针对各类电子邮箱、社交网络、搜索引擎、视频网站等几乎所有互联网用户发起无差别的网络攻击，美国的网络战略打击是全球性的、无节制的，在美国网络攻击的镰刀之下，没有哪一国能独善其身。

四、美国的网络战战略，或不仅限于网络窃密。通过公开的资料已知，美国已经完成了其网络战战略目标第一步——网络窃密，像斯诺登还有维基百科爆料的 “棱镜” 计划都属于这一范畴，但不排除美国的下一步目标野心将更大。一旦 APT 组织通过在对手的电脑网络中安插硬件或软件后门，实现关键目标远程操控，包括军事系统、国家公共安全领域的服务器、民航公路铁路交通系统的主机、银行金融系统的服务器等，如果美国更大的战略目标实现，其对手将毫无谈判余地。

原文地址：https://cdn.isc.360.com/iscvideo-bucket/APT_organization_analysis.pdf

关注公众号后台回复 0001 领取域渗透思维导图，0002 领取VMware 17永久激活码，0003 获取SGK地址，0004 获取在线ChatGPT地址，0005 获取 Windows10渗透集成环境，0006 获取 CobaltStrike 4.9.1破解版

加我微信好友，邀请你进交流群

备用号，欢迎关注

原文始发于微信公众号（刨洞安全团队）：美相关 APT 组织分析报告 — APT-C-40(NSA)