重磅披露：上百中国重要系统被美植入木马

前有“验证器”木马程序后有“酸狐狸”，美国重点网络攻击目标直指中俄。

近日，国家计算机病毒应急处理中心（CVERC）和 360 公司分别发布报告，披露中国多家科研机构曾遭到美国国家安全局（NSA）所属的又一款网络攻击武器——“酸狐狸”漏洞攻击武器平台（以下简称“酸狐狸平台”）的网络攻击。

报告还指出，美国国家安全局曾在至少上百个中国国内的重要信息系统中植入木马程序。

当有记者在例行记者会上询问外交部发言人赵立坚对此事的看法时，赵立坚表示：我们谴责美国政府此类恶意网络活动，要求美方作出解释，并立即停止这种不负责任的行为。

他进一步披露，据中国国家互联网应急中心网站去年发布的报告显示，2020 年中国捕获计算机恶意程序样本数量超过 4200 万个，其中境外恶意程序主要来自美国，占比达 53.1%。

揭开“酸狐狸”的真面目

“酸狐狸平台”是 NSA 特定入侵行动办公室（TAO）对他国开展网络间谍行动的重要阵地基础设施，攻击范围覆盖全球，重点攻击目标指向中国和俄罗斯，现已成为计算机网络入侵行动队（CNE）的主力装备。

该武器平台主要被用于突破位于受害目标办公内网的主机系统，并向其植入各类木马、后门等以实现持久化控制。

酸狐狸平台采用分布式架构，由多台服务器组成，按照任务类型进行分类，包括：垃圾钓鱼邮件、中间人攻击、后渗透维持等。

据悉，CNE 下设一名或多名“酸狐狸”项目教官，这些教官可以领导一个或多个“酸狐狸”行动组。

TAO 在全球范围内部署酸狐狸平台服务器，服务器按照目标所处区域进行分布式部署，包括中东地区、亚洲地区、欧洲地区等。

值得注意的是，TAO 针对中国和俄罗斯目标设置了专用的“酸狐狸平台”服务器。

“木马尖兵”开路，“酸狐狸”殿后

360 公司发布的相关报告显示：NSA 的实战化网络攻击武器体系极其复杂，可以根据不同的攻击任务配置多种攻击武器和攻击方式组织，攻击的不同阶段会针对特定目标植入不同类型的木马程序。

其中，一款名为“验证器”（Validator）的木马程序是 NSA 在网络攻击活动中最先植入目标的轻量级后门，主要功能是对攻击目标的网络系统环境进行探查，被认为是 NSA 专门开展的“木马尖兵”。

图片来自 360 公司相关报告

该款木马可以通过网络远程和物理接触两种方式进行安装，具有 7X24 小时在线运行能力，使 NSA 的系统操控者和数据窃密者可以上传下载文件、远程运行程序、获取系统信息、伪造 ID，并在特定情况下紧急自毁。

360 公司在报告中表示：根据斯诺登曝光文档描述，“验证器”（Validator）正是与“酸狐狸平台”相配套的专用木马程序，它基于基本 C/S 架构，为 NSA 向敏感目标发动更为复杂的网络攻击提供轻便易用的潜伏工具。

图片来自 360 公司相关报告

上百中国重要系统被植入木马程序

在成功提取国内某科研机构重要信息系统中的“验证器”木马程序样本的基础上，360 公司第一时间在国内开展扫描检测。

结果发现该木马程序的不同版本曾在中国上百个重要信息系统中运行，其植入时间远远早于“酸狐狸平台”及其组件被公开曝光时间。

这说明 NSA 对至少上百个中国国内的重要信息系统实施网络攻击。时至今日，多个“验证器”木马程序仍在一些信息系统中运行，向 NSA 总部传送情报。

此外，根据“酸狐狸平台”服务器上的过滤器规则片段，可以判断该服务器主要针对中国的主机目标进行攻击，过滤器中重点针对目标环境中的卡巴斯基杀毒软件、瑞星杀毒软件、江民杀毒软件等中国地区流行的杀毒软件进程进行了匹配并进行了可植入条件判断。

不过 360 公司也认为，除中国外，其他国家的重要信息基础设施中也正在运行大批的“验证器”木马程序，并且数量可能远超中国。