“斯诺登事情”迄今已近十年，伴跟着“棱镜门”的曝光，国家级网络进犯行为逐渐浮出水面。早在此前，已有多方信息闪现，美相关安排运用其技能和先发优势针对他国展开网络进犯行为。为系统呈现美情报安排展开全球网络进犯活动的状况，我国网络安全工业联盟（CCIA）精心编制，并于今天发布了《美国情报安排网络进犯的前史回忆——依据全球网络安全界宣布信息剖析》（以下简称《陈述》）。

　　《陈述》安身网络安全专业视角，坚持科学、客观、中立准则，依据全球数十家网络安全企业、研讨安排及专家学者的近千份研讨文献，充沛整合各方剖析进程及研讨效果，力求经过业界和学界的剖析实证，尽力呈现美相关安排对他国进行网络进犯的状况，提醒网络霸权对全球网络空间次序构成的严重损坏及严重要挟。

　　《陈述》依照时刻和事情头绪，共分为13篇，首要包含美国情报安排网络进犯他国要害根底设备，进行无差别网络保密与监控，植入后门污染规范及供应链源头，开发网络进犯兵器并构成走漏，所售商用进犯渠道失控而成为黑客利器，搅扰和镇压正常的世界技能交流与协作，打造契合美国利益的规范及次序，阻止全球信息技能开展，制造网络空间的分裂与对立等。

　　2010年美国情报安排运用“震网”病毒（Stuxnet）进犯伊朗，打开了网络战的“潘多拉魔盒”。在信息技能开展前史上，呈现过很多网络病毒和进犯事情，但“震网”事情是首个得到充沛技能实证、对实际世界中的要害工业根底设备构成了与传统物理毁伤等效的网络进犯举动。全球网络安全厂商与专家的接力剖析，对这次进犯举动进行了十分充沛的画像，逐渐将暗地黑手承认美国情报安排。

　　2010年6月，白俄罗斯网络安全公司VirusBlokAda技能人员在伊朗客户电脑中发现了一种新的蠕虫病毒，依据代码中呈现的特征字“stux”将其命名为“Stuxnet”；

　　2010年9月，美国网络安全厂商赛门铁克宣布“震网”病毒的基本状况、传达办法、进犯方针，及病毒演化进程；

　　俄罗斯网络安全厂商卡巴斯基针对“震网”病毒先后宣布数十篇陈述，从功用行为、进犯方针、缝隙运用、躲避对立、指令和操控服务器等多方面进行全面剖析，特别评论了“震网”病毒所运用的LNK缝隙和具有签名的驱动程序，并指出如此杂乱的进犯只能在“国家支撑下”才可进行；

　　我国网络安全厂商安天连续发布3篇陈述，剖析“震网”病毒的进犯进程、传达办法、进犯目的、文件衍生联系和运用的多个零日缝隙、更新办法及USB摆渡传达条件的技能机理，总结其进犯特色和对工业操控系统现场设备的影响进程，并估测或许的进犯场景，建立环境模拟其对工控系统的进犯进程；

　　2013年11月，德国IT安全专家拉尔夫·朗纳（Ralph Langner）先后宣布两篇文章，将“震网”事情称为“网络战的教科书典范”，依据对“震网”病毒两个版别及进犯事情的盯梢研讨，归纳性地勾画了“网络战发生物理性战果”的详细完结办法和作战流程。

　　全球网络安全厂商逐渐证明愈加杂乱的“毒曲”（Duqu）“火焰”（Flame）以及“高斯”(Gauss)等病毒与“震网”同源，与其同期乃至更早前就现已开端传达。

　　2011年10月，匈牙利安全团队CrySyS发现了一个与“震网”十分相似的病毒样本，称之为Duqu （“毒曲”），在与“震网”进行比照后，研讨人员承认二者极具相似性；

　　2011年10月，赛门铁克发布陈述，详细剖析了“毒曲”病毒的全球感染状况、装置进程及加载逻辑;

　　卡巴斯基从2011年10月起，连续发布了关于“毒曲”病毒的十篇剖析陈述，以为“毒曲”是一个多功用结构，具有高度可定制性和通用性。2015年6月，卡巴斯基捕获到了“毒曲”病毒对其进行的进犯，剖析以为进犯者目的监控并盗取其源代码，只要国家支撑的团队才有才能做到；

　　2012年5月，安天发布陈述剖析“毒曲”病毒的模块结构、编译器架构、要害功用，指出“毒曲”与“震网”在结构和功用上具有必定的相似性，并依据编码心理学，判别二者具有同源性；

　　2012年4月，伊朗石油部和伊朗国家石油公司遭到“火焰”病毒进犯。卡巴斯基剖析以为“火焰”是其时进犯机制最杂乱、要挟程度最高的计算机病毒之一，结构杂乱度是“震网”病毒的20倍，暗地团队很或许由政府安排操作；

　　2012年5月，安天发布陈述，剖析了“火焰”病毒的运转逻辑、传达机理和首要模块功用，以为“火焰”是一个比“震网”具有更多模块的杂乱组件化木马，其缝隙进犯模块中包含曾被“震网”病毒运用过的USB进犯模块，佐证了二者的同源联系；

　　2012年8月，卡巴斯基发现“高斯”病毒，称有满足依据标明“高斯”与“火焰”“震网”密切相关，由与“震网”“毒曲”“火焰”相关的安排创立；

　　2019年9月，安天经过继续盯梢研讨发布陈述“震网事情的九年再复盘与考虑”，剖析了“震网”各个版别的特色、发生原因、效果机理、相关高档歹意代码工程结构，以及“震网”“毒曲”“火焰”“高斯”“方程式安排”所运用歹意代码间的相关。

　　2013年6月5日，英国《卫报》首先报导美国中央情报局（CIA）情报职工斯诺登爆料的NSA代号为“棱镜”（PRISM）隐秘项目，曝光了包含微软、yahoo、谷歌、苹果等在内的9家世界网络巨子合作美国政府隐秘监听通话记录、电子邮件、视频和相片等信息，乃至侵略包含德国、韩国在内的多个国家的网络设备。跟着斯诺登走漏文件的逐渐揭穿，全球网络安全厂商关于美国情报安排网络空间举动的相关工程系统、配备系统有了更多能够剖析的文献材料，美国网络空间超级机器的全貌逐渐闪现。

　　2013年7月，安天发布剖析文章，指出斯诺登事情露出的要点内容首要包含：一是“棱镜”项目作为NSA网络情报系统的一个组成部分，首要运用美国互联网企业所供给的接口进行数据检索、查询和搜集作业；二是谷歌、微软、苹果、脸谱等美国大型互联网企业大多与此方案有相关；三是NSA部属的特定侵略举动办公室（TAO）对我国进行了长达15年的进犯，相关举动得到了思科的协助；

　　2017年12月安天发布系列文章，深度解析斯诺登走漏文件中的“星风”方案等，指出美国展开了以“棱镜”为代表的很多网络情报偷听项目和方案，构成掩盖全球的网络情报获取才能，并在此根底上，建立了以“湍流”（TURBULENCE）为代表的进攻性才能支撑系统，经过被迫信号情报获取、自动信号情报获取、使命逻辑操控、情报分散与聚合、定向定位等相关才能模块，完结完好的网络空间情报循环，再结合“监护”（TUTELAGE）、“量子”（QUANTUM）等网络空间攻防才能模块，进一步完结情报驱动的网络空间活泼防护和进攻举动；

　　2022年3月，我国网络安全厂商360发布陈述，宣布NSA长达十余年对全球主张的无差别进犯，特别对“量子”进犯系统、“酸狐狸”（FOXACID）零日缝隙进犯渠道、“验证器”（VALIDATOR）和“联合耙”（UNITEDRAKE）后门进行剖析，剖析标明全球受害单位感染量或达百万级。

　　全球网络安全业界和学术界经过不懈尽力，证明了美国经过植入后门操作世界信息安全规范的行径。其做法动摇了整个互联网的技能信赖根底，对全球世界联系生态环境构成极为恶劣的影响。

　　2007年，微软暗码学家从技能视点进行剖析，阐明美NIST在2006年经过SP 800-90A引荐的双椭圆曲线（Dual EC）承认性随机位发生器（DRBG）算法存在可植入后门的或许性；

　　2013年斯诺登走漏文档不只证明了此前的后门猜想，还曝光了NSA对暗码系统的长时间、系统性的操控，运用加密规范缝隙对全球的监控；

　　2015年，美国“连线”杂志宣布了NSA对VPN通讯进犯的加密缝隙Logjam；

　　2020年，美国、德国和瑞士媒体联合宣布CIA经过操作暗码机出产厂商Crypto AG，长时间盗取全球多个国家政企用户加密通讯内容。

　　固件是写入硬件的软件，其比操作系统更底层，乃至先于操作系统加载。如果把病毒写入固件中，就更荫蔽和难以发现。全球网络安全工业界和学术界逐渐证明了美国运用硬盘固件完结“耐久化”的进犯活动。

　　2014年1月，专心研讨BIOS安全的网络安全专家达尔马万·萨利亨（Darmawan Salihun）撰文，剖析曝光NSA的BIOS后门DEITYBOUNCE、GODSURGE等，并将这些歹意软件称为“天主形式”；

　　2015年2月至3月期间，卡巴斯基发布系列陈述，揭穿名为“方程式安排”（Equation Group）的APT安排，称其已活泼了近20年，是“震网”和“火焰”病毒的暗地操作者，在进犯杂乱性和进犯技巧方面逾越了前史上全部的网络进犯安排。

　　2016年，卡巴斯基依据RC算法的常量值，验证了黑客安排“影子经纪人”走漏的NSA数据归于“方程式安排”，指出“方程式安排”在高价值方针中针对硬盘固件完结进犯耐久化的植入；

　　2015年3月和4月，安天先后发布两篇陈述，剖析“方程式安排”首要进犯渠道的组成结构、相相联系、回传信息、指令分支、C2地址、插件功用，并解析了要害插件“硬盘重编程”模块的进犯技能原理，以及多个组件的本地配备和网络通讯加密算法和密钥；

　　2022年2月，我国网络安全厂商奇安信发布陈述称，经过“影子经纪人”与斯诺登走漏的数据验证了Bvp47是归于NSA“方程式安排”的尖端后门，并复原了Dewdrops、“喝茶”（Suctionchar_Agent）嗅探木马与Bvp47后门程序等其他组件合作施行联合进犯的场景。

　　第六篇 掩盖全渠道的网络进犯——“方程式安排”Solaris和Linux样本的曝光

　　网络安全研讨人员发现，超级进犯安排力求将其载荷才能扩展到全部能够达到侵略和耐久化的场景。在这些场景中，各种服务器操作系统，如Linux、Solaris、FreeBSD等，更是其高度重视的方针。依据这样的研判，关于“方程式安排”这一超级APT进犯安排，网络安全厂商展开了详尽深化的盯梢研讨。

　　2015年2月，卡巴斯基提出“方程式安排”或许具有多渠道进犯才能，有实例证明，“方程式安排”歹意软件DOUBLEFANTASY存在Mac OS X版别；

　　2016年11月，安天发布陈述，剖析了“方程式安排”针对多种架构和系统的进犯样本，全球首家经过实在样本曝光该安排针对Solaris（SPARC架构）、Linux系统进犯才能；

　　2017年1月，安天依据“影子经纪人”走漏的“方程式安排”样本剖析，制造“方程式安排”作业模块积木图，提醒了美国经过精细化模块完结前后场操控、按需投递歹意代码的作业办法。

　　2017年5月12日，WannaCry勒索软件运用NSA网络兵器中的“永久之蓝”（Eternalblue）缝隙，制造了一场广泛全球的巨大网络灾祸。超级大国无节制地开展网络军备，但又不严厉保管，严重危害全球网络安全。

　　微软曾在2017年3月份发布了“永久之蓝”缝隙的补丁，而“影子经纪人”在2017年4月发布的“方程式安排”运用的网络兵器中包含了该缝隙的运用程序，黑客正是运用了这一网络兵器，针对全部未及时打补丁的Windows系统电脑施行了此次全球性大规模进犯；

　　我国国家互联网应急中心（CNCERT）承认WannaCry勒索软件在传达时依据445端口并运用SMB服务缝隙（MS17-010），整体能够判别是因为此前“影子经纪人”宣布缝隙进犯东西而导致的黑产进犯要挟；

　　卡巴斯基剖析以为网络进犯所用的黑客东西“永久之蓝”是由 “影子经纪人”此前在网上宣布，来自NSA的网络兵器库；

　　安天对该勒索软件运用的SMB缝隙MS17-010进行剖析，将其定性为“军械级进犯配备的非受控运用”，并随后发布了“关于系统化应对NSA网络军械配备的操作手册”；

　　360检测到该勒索软件传达后敏捷发布警报，呼吁民众及时装置系统补丁和安全软件，并在获取到样本后，推出了系列解决方案。

　　美国网络兵器库中的其他“军械”一旦走漏或许会被针对性地运用，其衍生的危害或许不低于“永久之蓝”，它们的存在和走漏愈加令人担忧。

　　美国未对其出售的自动化进犯渠道进行有用束缚管控，导致浸透进犯测验渠道Cobalt Strike等成为黑客遍及运用的东西，不只给全球网络空间埋下了安全隐患，并且对他国安全构成了无法预估的潜在影响。

　　2015年5月，安天发现在一例针对我国政府安排的准APT进犯事情中，进犯者依托Cobalt Strike渠道生成的、运用信标（Beacon）形式进行通讯的Shellcode，完结对方针主机长途操控。在2015年我国互联网安全大会（ISC 2015）上，安天对Regin、Cobalt Strike等首要商业化网络兵器进行了系统收拾，剖析指出，Cobalt Strike创始人拉菲尔·穆奇在美军现役和预备役网络部队的执役和研制布景，明晰地反映了美军事网络技能和才能的外溢及损坏性；

　　2015年6月22日，斯诺登宣布了美国、英国有关情报安排施行的“拱形”方案（CamberDADA）。该方案首要运用美国侵略全球运营商的流量获取才能，对卡巴斯基等反病毒厂商和用户间通讯进行监控，以获取新的病毒样本及其他信息。该方案后续方针包含欧洲和亚洲16个国家的23家全球要点网络安全厂商，其间包含我国网络安全厂商安天。

　　剖析以为，“拱形”方案的目的：一是捕获全球用户向反病毒厂商上报的样本，二是为TAO供给可重用样本资源，三是监测反病毒厂商的处理才能及是否放行某些歹意代码样本。

　　美国“阻拦者”刊文称，“拱形”方案闪现自2008年开端NSA就针对卡巴斯基和其他反病毒厂商的软件展开了系统性的间谍活动；

　　美国“连线”刊文称，“拱形”方案描绘了一个系统性的软件“逆向工程”活动，经过监控网络安全厂商发现软件缝隙，以便协助情报安排绕过这些软件；

　　美国“福布斯”刊文称，“拱形”方案监控名单是美国情报安排对“五眼联盟”国家以外的、有才能发现和遏止其网络活动的安全厂商“黑名单”；

　　我国新华社刊文称，被列入监控规模的反病毒企业纷繁对此表明不安，一同均称对其安全产品有决心，没有发现产品遭到削弱；

　　安天发布声明称，泄密文档宣布的首要是相关情报安排在公网信道监听获取用户上报给厂商的邮件，并非是对安全厂商本身的网络系统和产品进行的进犯。此份监控“方针名单”的出台，将使本已呈现裂缝与猜疑的全球安全工业更趋分裂。

　　“影子经纪人”和维基解密走漏数据进一步提醒了美国NSA和CIA两大情报安排网络军械库的实在面貌。“影子经纪人”分批曝光了NSA针对网络安全设备的进犯配备、针对全球服务器进犯列表清单、侵略SWIFT安排材料、FuzzBunch（FB）缝隙进犯渠道和DanderSpritz（DSZ）远控渠道等网络兵器配备，并称这些进犯配备与“方程式安排”有关。NSA针对的方针包含俄罗斯、日本、西班牙、德国、意大利等在内的超越45个国家的287个方针，继续时刻长达十几年。“维基解密”曝光了8761份据称是CIA网络进犯活动的隐秘文件，其间包含7818个网页和943份附件。走漏的文件包含巨大进犯配备库的文档信息，其渠道面掩盖十分广泛，不只包含Windows、Linux、iOS、Android等常见的操作系统，也包含智能电视、车载智能系统、路由器等网络节点单元和智能设备。

　　全球网络安全学术界和工业界在震动之余，纷繁开端对走漏的材料进行收拾和剖析。针对“影子经纪人”曝光的材料，收拾出了NSA网络作业系统中以FB、Operation Center（OC）和DSZ为代表的三大中心模块；而维基解密曝光的“七号军械库”（Vault 7）包含的CIA网络作业15个东西(集)和5个结构，也得到较为全面的收拾。

　　2017年12月至2018年11月，安天发布“美国网络空间进犯与自动防护才能解析”系列陈述，从情报循环、进攻性才能支撑、进犯配备和活泼防护等多视点对美国网络空间攻防才能进行了系统化收拾；

　　2018年10月，卡巴斯基对DSZ中的DarkPulsar后门进行了深度剖析，其耐久性和埋伏才能的研讨结果标明，背面的开发者十分专业，针对的是具有长时间监督和操控价值的方针；

　　2021年12月，以色列安全厂商Checkpoint剖析DSZ中的Double Feature组件后得出结论，DSZ（以及FB和OC）都是“方程式安排”巨大的东西集；

　　2020年3月，360宣布了CIA进犯安排（APT-C-39）对我国航空航天、科研安排、石业、大型互联网公司以及政府安排等要害范畴长达十一年的网络浸透进犯；2022年3月，360发布关于NSA进犯安排APT-C-40的剖析陈述称，该安排早在2010年就开端了针对我国系列行业龙头公司的进犯；

　　2022年3月，我国国家计算机病毒应急处理中心（CVERC）正式揭穿发布了对NSA运用“NOPEN”木马的剖析陈述。2022年9月曝光的针对我国西北工业大学进犯中，NSA运用了多达41种网络兵器，其间就有“影子经纪人”走漏过的NOPEN。

　　第十一篇 初次完好的溯源——复盘“方程式安排”进犯中东技能设备的完好进程

　　2017年4月14日，“影子经纪人”曝光的美国网络进犯相关数据中包含一个名为SWIFT的文件夹，其间包含一同2012年7月至2013年9月期间，针对中东地区最大的SWIFT服务供给商EastNets主张的进犯举动。该举动成功盗取了EastNets在比利时、约旦、埃及和阿联酋的上千个雇员账户、主机信息、登录凭据及管理员账号。

　　2019年6月，安天依据“影子经纪人”走漏材料与前史捕获剖析效果进行相关剖析，完好复盘了“方程式安排”进犯中东最大SWIFT金融服务供给商EastNets事情，复原美国进犯跳板、作业途径、配备运用、战术进程、场景环境和作业结果，总结了美国此次作业运用的进犯配备信息，指出美国具有掩盖全渠道全系统的进犯才能和很多的零日缝隙储藏。

　　美国运用其在网络空间的话语权，搅扰和镇压正常世界交流，阻遏信息的传达和同享，而全球网络安全厂商和学术人员在各种世界会议和论坛上继续尽力，揭穿美国网络行为、目的和活动。

　　2015年，德国《明镜周刊》宣布了NSA经过侵入（并运用）第三方网络根底设备，获取情报或施行网络进犯的“第四方情报搜集”方法和项目。卡巴斯基公司研讨人员在2017年的Virus Bulletin年度会议上剖析了这一进犯方法的荫蔽性和高度杂乱性；

　　2016年，美国哥伦比亚大学世界与公共事务学院的高档研讨人员杰森·希利（Jason Healey）撰文，深化剖析了美国缝隙公正判决程序（VEP）自2008到2016年的开展进程，并对当时（2016年）美国或许囤积的零日缝隙军械数量进行了慎重的预算；

　　我国复旦大学沈逸教授在2013年“新时代网络要挟之路”研讨会对美国国家监控行为进行前史收拾；

　　安天在2015年“中俄网络空间开展与安全论坛”上，对美“方程式安排”的特色、才能及对我国要点根底工业企业进犯状况进行了剖析。

　　近年来，美国为了保护其政治霸权、经济利益以及军事技能和才能优势，泛化“国家安全”概念，制裁具有技能竞争力的他国闻名网络安全企业，不管损坏世界次序和商场规矩，不吝危害包含美国在内的全球顾客利益。其首要做法包含：

　　禁用卡巴斯基的软件产品。2017年9月13日，美国疆土安全部以卡巴斯基或许要挟美国联邦信息系统安全为由，要求全部联邦安排90天内卸载所运用的卡巴斯基软件产品；

　　运用实体清单限制我国企业开展。2020年5月22日，网络安全企业——奇虎360被美国商务部列入“实体清单”；

　　对曝光美国网络进犯行为的他国安全企业施压。2016年12月22日，美国NetScout公司发文称我国网络安全公司安天是“我国反APT”代言人；2022年2月17日，美国国会“美中经济与安全审查委员会”（USCC）听证会特别点名安天和奇虎360，因其揭穿宣布了对NSA和CIA网络空间举动的剖析。

　　对我国网安企业另册排名并据此镇压。自2019年起，Cybersecurity Ventures的“网络安全500强”名单被“网络安全公司抢手150强名单”所替代，上榜的均为欧美厂商。2020年9月，Cybersecurity Ventures发布我国最抢手、最具立异性的“我国网络安全公司”名单，包含安天、奇虎360、奇安信、山石网科、安恒、深服气、微步在线年USCC听证会专家正是依据此份名单，主张美商务部、财务部将其间企业列入实体名单、制裁名单。

　　新闻信息服务许可证音像制品出书许可证播送电视节目制造运营许可证网络视听许可证网络文化运营许可证