美國情報機構(gòu)網(wǎng)絡(luò)攻擊的歷史回顧-基于全球網(wǎng)絡(luò)安全披露信息分析

目 錄篇 1一)事件回顧 1二)研究分析曝光經(jīng)過 1三)小結(jié) 7參考資料 8篇 一)事件回顧 二)研究分析曝光經(jīng)過 三)小結(jié) 參考資料 篇 一)事件回顧 二)研究分析曝光經(jīng)過 三)小結(jié) 參考資料 篇 一)事件回顧 二)來自學術(shù)界的質(zhì)疑 三)證實 四)余震延綿 五)小結(jié) 參考資料 篇面 一)事件回顧 二)研究分析曝光經(jīng)過 三)小結(jié) 參考資料 篇 s和x 一)事件回顧 二)研究分析曝光經(jīng)過 三)小結(jié) 參考資料 篇 一)事件回顧 二)各方反應(yīng) 三)小結(jié) 參考資料 篇 一)問題概述 二)各方反應(yīng) 三)小結(jié) 參考資料 篇 一)事件回顧 二)各方反應(yīng) 三)小結(jié) 參考資料 篇 一)事件回顧 二)研究分析曝光經(jīng)過 三)小結(jié) 參考資料 篇 一)事件回顧 二)研究分析曝光經(jīng)過 三)小結(jié) 參考資料 篇 一)突然撤稿 二)全球安全廠商在國際會議和論壇上的努力 三)小結(jié) 參考資料 篇 一)禁用卡巴斯基的軟件產(chǎn)品 二)運用實體清單制約中企發(fā)展 00三)施壓曝光美國攻擊的他國網(wǎng)絡(luò)安全企業(yè) 01四)對中國網(wǎng)絡(luò)安全企業(yè)另冊排名并據(jù)此打壓 02五)小結(jié) 04參考資料 05 第一篇 網(wǎng)絡(luò)戰(zhàn)的開——對“震網(wǎng)”事件的分析0世末期信息術(shù)迅發(fā)展網(wǎng)絡(luò)間逐成為類社“五空此同各對網(wǎng)空間事化的擔也持增加00震網(wǎng)?。⊿ue攻擊伊朗核施事代表國打“多拉盒人們網(wǎng)絡(luò)戰(zhàn)的心變了現(xiàn)。(一)事件回顧20年11月伊朗府公承認國納茲核施網(wǎng)絡(luò)較前遭了病攻擊根據(jù)界分攻伊朗設(shè)施的“網(wǎng)病毀壞伊朗近（說23離心感染了0萬計算導(dǎo)致千臺器運出現(xiàn)常伊朗計劃退2“網(wǎng)毒攻事件來被為開啟了網(wǎng)絡(luò)戰(zhàn)時代，拉開了網(wǎng)絡(luò)病毒作為“超級破壞性武器”改變爭模的序。(二)研究分析曝光經(jīng)過20年6白俄羅斯網(wǎng)絡(luò)安全公司VusAa為伊朗戶調(diào)電腦機和啟問其術(shù)人在客電腦中發(fā)了一新的蟲病根病毒碼中現(xiàn)的征字“sx新毒被名Suet00年8美國網(wǎng)絡(luò)安全廠商賽門鐵克指出全球受該病毒感染計算機的約60均伊朗內(nèi)20年9賽鐵克次披“震網(wǎng)的本情1傳方2攻擊標析了染西子S7工程件的法可編控制P）的過，并隨后報告披露震網(wǎng)病毒5版與其他版之間演化程（圖-）3：圖1“震網(wǎng)”病毒不同版本之間的演化程賽門克于20年1月梳了部網(wǎng)絡(luò)全廠發(fā)現(xiàn)、認識震網(wǎng)病毒過程見表145：表-1賽門鐵克對“震網(wǎng)”病的發(fā)現(xiàn)及認知時間事件2008年11月20日rojan.lob變種被發(fā)現(xiàn)利用K漏洞隨后確“震網(wǎng)病毒正是利用了這一漏洞2009年4月安全雜志akin9公布了打印機后臺處理程序服務(wù)中遠程代碼執(zhí)行漏洞的細節(jié)，這一漏洞隨后被確認為M0-0612009年6月最早的“震網(wǎng)”樣本被發(fā)現(xiàn)，沒有利用M0-046，也沒簽名驅(qū)動文件2010年1月25日發(fā)現(xiàn)“震網(wǎng)”驅(qū)動文件的有效簽名證書屬于ealek半導(dǎo)體公司2010年3月第一個利用M0-046的“震網(wǎng)”變種被發(fā)現(xiàn)2010年6月17日irusblokaa報道了W32.uxnet病毒（命名為ootkit.phider它利用快捷方（.ln）文件處理漏進行傳播（隨后被確認為M0-046）2010年7月13日賽門鐵克檢測到W32.emphid（前認為是木馬）2010年7月16日微軟公布了安全公告“Windoshel漏洞會導(dǎo)致遠程代碼執(zhí)行（2286198）”，包括快捷方式（.lnk）文件處理漏洞erisig銷ealtek導(dǎo)體公司的證書2010年7月17日確認了一個新“震網(wǎng)驅(qū)動文件這次的簽名證書則是來自JMiron科技公司2010年7月19日西門子發(fā)表調(diào)查報告“惡意代碼感染西門子Win系統(tǒng)”賽門鐵克將之前檢測到的W32.ephid重命名為W32.tuxnet2010年7月20日賽門鐵克監(jiān)控“震網(wǎng)”命令和控制流量2010年7月22日erisig銷了JMicrn科技公司的證書2010年8月2日微軟公布M0-046該補丁可以修復(fù)Windshell捷方式漏洞2010年8月6日賽門鐵克發(fā)表報告“tuxnet如何通過注入PC并隱藏代碼來感染工業(yè)控制系統(tǒng)”6]2010年9月14日微軟發(fā)布了M0-061，該補丁可以修復(fù)賽門鐵克8月份發(fā)現(xiàn)的打印機后臺處理程序漏洞微軟公布了賽門鐵克8月份確認的兩個提權(quán)漏洞2010年9月30日賽門鐵克在irusulli上公布了“震網(wǎng)”綜合分析報告俄羅斯網(wǎng)絡(luò)安全廠卡巴斯基是內(nèi)分“震及其相關(guān)毒報最多最完的安廠商先后表數(shù)篇報告功能為擊目漏利用規(guī)避抗令和控制服務(wù)器等多方面進行全面分析，尤其是討論了“震網(wǎng)”病毒利用的NK洞和有簽的驅(qū)程序并披“震病最早五個害見圖17巴斯分析后出如復(fù)雜攻擊能“支下才進行。圖2“震網(wǎng)”病毒最早攻擊的五個受害者中國網(wǎng)絡(luò)安全廠商安天是國最分震網(wǎng)及其關(guān)病的廠之一捕獲本后建了擬分沙（見圖-）8。圖3“震網(wǎng)”病毒模擬分析沙盤20年9月7日安發(fā)對Sxet攻擊控制統(tǒng)事的綜報告9“網(wǎng)病的攻過程、傳播式擊意文衍生系和用的個零漏洞進行析，結(jié)其擊特并給解決案（圖1-9。圖4“震網(wǎng)”病毒突破物理隔離環(huán)境的傳播方式210年10針對震網(wǎng)”SB擺行為以復(fù)的問題安天“對uet蟲的續(xù)分報告補充分“網(wǎng)毒的2地址更新式及B擺傳播件的技機理見圖110。圖5“震網(wǎng)”文件釋放結(jié)和SB傳播邏輯圖22年1天發(fā)報“nC后發(fā)了什”11“毒攻工業(yè)制系對現(xiàn)設(shè)備影響過程，并根據(jù)真實工業(yè)控制系統(tǒng)推測一個可能的攻擊場景，搭建境模“毒對控系的攻過見圖161。圖6對轉(zhuǎn)速干擾機理的分析推測23年1德國T安全專家拉爾夫·朗納（aphne先表兩文12]3公其三來“網(wǎng)”這“上首曝光網(wǎng)絡(luò)-br-hsl戰(zhàn)武器”的跟和分研究果“網(wǎng)件稱“網(wǎng)絡(luò)戰(zhàn)的教科書范例網(wǎng)毒兩版本攻件的跟蹤究括性勾畫“網(wǎng)戰(zhàn)產(chǎn)物理戰(zhàn)果的體實方法作戰(zhàn)程。(三)小結(jié)在網(wǎng)安全商和全專的全分析力震網(wǎng)攻擊件的貌和量細被呈出來這是起經(jīng)長期規(guī)劃備和侵潛的活借高度雜的意代和多個零漏洞為攻武器以鈾心機攻擊標過造成超使離機轉(zhuǎn)異常速，致10多離心被摧毀縮鈾離能大幅低信息術(shù)發(fā)歷史出現(xiàn)過量網(wǎng)病毒攻擊件“震被為是一個得到分技實證對現(xiàn)世界的關(guān)工業(yè)礎(chǔ)設(shè)造成與傳物理傷等的網(wǎng)攻擊動且達了預(yù)的攻擊目美針對國工基礎(chǔ)施開網(wǎng)絡(luò)擊放出“網(wǎng)戰(zhàn)這瓶子的魔全球絡(luò)安界的力分，對這攻擊動進了十充分畫像14遺的是當時全球國和絡(luò)安界更看到攻擊露的術(shù)風卻沒有充分意識到事件背后美國所推動的網(wǎng)絡(luò)空間軍事化威脅在些分工作中沒有效整國家權(quán)安視角也缺國際等層的聯(lián)思考。參考資料ymantec.tuxnetInoducestheirstnonootkitorIndusrilontrolystems.210.https/comunit.rodcom.co/ymantcentrprie/cmunites/cmunit-homelibaydocumensviedocumnt?ocumetey=94b1015b-da22-49a-ab?-7f2635e490&ommuntyy=1ecf5f59545-44d6b0f4-4e4a7f5fe8&tablirrydocumesymantec.tuxnet2Pomponent.010.https/comunit.rodcom.co/ymantcentrprie/cmunites/cmunit-homelibaydocumensviedocumnt?ocumetey=12ad5c4-1b6b-4dc-95a5-e632371a847&ommuntyey=1ecff5-9545-44d6b0f4-4e4a7f5fe8&tablirrydocumesymantec.tuxnet0.:?eMisingink.2013.https//dcsbroadcomom/do/stunetmisinlin-1-enymantec.W32.tuxntossie.210.https//dcsbroadcomom/do/secrit-respoe-2-stuxet-dosie-1-enymantec.tuxne:Areakthrough.2010.https/comunit.rodcom.co/ymantcentrprie/iedocumen/stxnet--breaktrouh?ommuntyey=1ec5f55-9545-4d6-b0f4-4e4a7f5fe8&tablirrydocumesymantec.xploringtxnet’sCInfecionrocess.20.https/comunit.rodcom.co/ymantcentrprie/cmunites/cmunit-homelibaydocumensviedocumnt?ocumetey=ad4bd10-b808-14c-b4c3-ae4ad85560&ommuntyy=1ecf5f59545-44d6b0f4-4e4a7f5fe8&tablirrydocumesaspersk.tuxnet:ovicims.014.https/secuelit.co/stxnet-ero-ctms/6748/安天.安天研究人員在安全焦點峰會進行兩場主題演講.https//.anti.c/Mrke/Metig/404.htl安天.對tuxnet蠕攻擊工業(yè)控制系統(tǒng)事件的綜合分析報告.2010.https//.anti.c/rearc/notc&repotresarch_epor20100927.html安天.對tuxnet蠕的后續(xù)分析報告.2010https//.anti.c/rearc/notc&repotresarch_epor2010101.hml安天.inC之后發(fā)生了什么？——淺析攻擊工業(yè)控制系統(tǒng)對現(xiàn)場設(shè)備的響過程.2012https//.anti.c/rearc/notc&repotresarch_epor2012017.hmlalphangne.tuxntsecretn.oreignolic.2013.https/forgnpolic.cm/20131/9/stuxnts-ecrt-ti/alphanne.okllacetrfuge：AechnicalnalyisofWhtuxnetsreatorsedtochiee.2013.https//.langnecm/t-klla-entifug/肖新光.請君入甕—T攻防指南之兵不厭詐-序言.2017.https//logcsdn.ne/exin_34403693/atile/tals/9054085第二篇 “震之后的連鎖反應(yīng)—對“毒曲“火焰”“高斯”的跟進分析“震網(wǎng)”病毒還在全球肆虐，比其更加復(fù)雜的“毒曲”（D火Fae以“高(Gus等病又陸續(xù)闖網(wǎng)絡(luò)全廠的視經(jīng)深入解構(gòu)析界專家逐證實這些毒震網(wǎng)同源“網(wǎng)期甚至更前就經(jīng)開傳播。(一)事件顧21年0月4日匈牙利安全團隊CyS發(fā)現(xiàn)一個與“震網(wǎng)”非常類似的病毒樣本1]，主要目的是為竊取秘密信提供利其創(chuàng)文件“Q作前綴故命名為Dqu“毒”）。22年4朗石部和朗國石油司都到了惡意件攻后證實“火病該毒當已感染了朗巴嫩敘利蘇其中非北非家的相關(guān)算機統(tǒng)全廠推火焰病毒現(xiàn)的早間可溯到27年可能于00年3月就攻擊放出（用竊取朗石部門商業(yè)報）。22年8巴斯發(fā)現(xiàn)東地出現(xiàn)個專收集財務(wù)息的諜軟“高種新網(wǎng)絡(luò)測病能監(jiān)視銀交易竊取站登信息已有千名東銀的客戶密與重數(shù)據(jù)竊全球絡(luò)安廠商后的究中，“毒“火焰“高均證實“震病有相關(guān)性。(二)研究分析曝光經(jīng)過1、“毒”CyS是最發(fā)現(xiàn)毒曲病毒研究構(gòu)。1年0月4日SS布了份0的報“uu發(fā)現(xiàn)一種類“震網(wǎng)的病1次將病毒名毒曲，稱其針對攻擊被大使用并使一個自中臺灣科技司的字簽rS“曲主要能做分析，與“網(wǎng)”行對，確二者間極相似。21年0月8日賽門鐵發(fā)布析報詳分析“曲毒的球感情況安裝程載邏并指毒曲的目“網(wǎng)同要是來收目標的情數(shù)據(jù)資產(chǎn)為類“震病之類攻擊準備（見圖-1）2。圖1“毒曲”和“震網(wǎng)”初步比較卡巴斯基從21年0月0起陸發(fā)布關(guān)“毒曲病的十分析告312認“曲是個多能框架有高可定性和用性可以任意量的意模塊組工作并公了其“震病的同樣本聯(lián)分析及間戳聯(lián)分析在后的研中卡斯基露“曲”用字文件洞S-77遞文文件起攻，分析毒曲命令控制（&）及第層C和層C地址指毒曲20最特點惡意碼只駐留在感染器的存里不在理硬留下跡器重啟時意代會被暫清但要它上內(nèi)網(wǎng)絡(luò)惡意代碼會從一臺染機傳輸來。值得提的是25年6巴斯捕獲“毒”病毒擊擊者圖監(jiān)并竊其源碼巴斯經(jīng)過大量查這又一次心組精密施的T攻只有家支的團才有力做他明確認幕黑手就毒曲背后織而將次攻樣本名“uu20見圖213卡巴基聯(lián)創(chuàng)始兼O尤金卡巴斯uneKaery?！八股献裁磽艨ㄋ够炇乙患赖那閷ζ湫辛朔治?3。圖2“毒曲”0攻擊過程圖22年5月安天《序員志上“索uqu木馬世之——Dqu和Suet同源性析14，分析“毒曲病毒模塊構(gòu)編器架構(gòu)關(guān)鍵能指“毒曲“震在構(gòu)和能上有一的相性時在分毒曲的解密鑰反跟手段程序G時研究人員“曲“震樣中出相同邏輯斷錯誤根編碼理學斷兩具有源（圖-14。圖3“毒曲”與“震網(wǎng)”同源關(guān)鍵代碼基因?qū)Ρ?、“火”22年4朗石部和朗國石油司遭了惡意軟件攻擊，將“火焰”病毒帶入了網(wǎng)絡(luò)安全廠商的視野?？ò退够J該病是當攻擊制最雜脅程最高的計機病之一15結(jié)構(gòu)雜度震網(wǎng)毒的0倍?？ò退够紫踩珜＜襾啔v山大·戈斯捷夫(AanderGosv)表示，“火焰”病毒的編寫和攻擊機制都非常復(fù)雜。據(jù)相線索析“焰出現(xiàn)早可溯到27可能已以某形式躍了達5至8年時間甚至久?？ò退够赋觯坏└腥尽盎鹧妗辈《竞?，包括鍵盤屏幕麥克移存儲備絡(luò)WFUB和系統(tǒng)程等息都能被集括用瀏覽頁訊通話號密以至盤輸?shù)仍诘挠浶畔⑸踔吝^藍牙與感染腦相的智手機平板腦中文件全部可被送給程操病毒服務(wù)見圖215旦完成搜集據(jù)任這病毒可自毀滅這也其能長期潛伏原因一。圖4“火焰”可能的傳播途徑卡巴基稱“火病使用中間攻擊術(shù)用微升級（ooftWnospae進行播火焰毒毒曲的區(qū)在于“毒震網(wǎng)是基于dd框架“焰毒則用Fmr框與“震“毒曲毒相“火焰毒更智能其攻擊目和代組成有較區(qū)別卡巴基認兩框架背后團隊經(jīng)共過至一個塊的代碼表明們至少有次合屬同一構(gòu)的個平項目“火病毒的擊機更為雜攻擊標針特定域或許表明該病的幕團隊可能政府構(gòu)操。尤金卡巴基在份聲中表震網(wǎng)‘毒曲毒屬一系攻擊組成分起全安全士的警惕‘焰毒的現(xiàn)味著聯(lián)網(wǎng)全大進入新階我必須白‘焰病毒是能被輕松用攻擊何國?！?2年5安天發(fā)報告分析“火病的運行邏傳機理主要塊功（圖-16認火焰一個“震具更多塊的雜組化木其漏洞擊模中包曾網(wǎng)使用的SB攻擊模塊，可佐兩者同源系。圖5“火焰”病毒主模塊啟動加載順序22年6微軟發(fā)調(diào)查告指出7“焰主要于進高度雜且具針性的擊從子表和od文檔文件提取1B樣本并壓上傳到命令制服器后攻者發(fā)指令取他感興的特定文檔“火焰病毒擊使微軟nospae用戶，通過置偽的服器，過合的nowsUae進行攻擊當電連接網(wǎng)絡(luò)時戶會到偽成正的微軟更軟件而此“火病就從造的務(wù)器輸?shù)诫娔X該毒使的某技術(shù)被一低級擊者于更廣泛攻擊。CyS在其究中“火”病命名為kpe，認為yer是一種信息竊取惡意軟件，其模塊化結(jié)合了種傳和攻技術(shù)可能經(jīng)活躍5到8時間至更8。yS在告中析了主要塊、儲格、加密法注機制功能（見圖2618提出Ier可能國家府機開發(fā)具有量預(yù)和技并可能與網(wǎng)戰(zhàn)活有關(guān)。圖6“火焰”相關(guān)文件3、 “高斯”22年8月卡巴斯發(fā)高斯病毒認為它是一個復(fù)的網(wǎng)間諜具包“焰毒背的參者創(chuàng)建備高模塊能支持的功可由攻者以插件形式行遠部署見圖219。圖7“高斯”架構(gòu)圖卡巴斯基表示，有足夠的證據(jù)表明“高斯”與“火焰“震密相關(guān)由震網(wǎng)“毒“焰的組織建，中“網(wǎng)”毒攻由國發(fā)起。由震網(wǎng)事件模比龐大版本較多在相當長的段時里界都有獲“震的整版和樣本集震網(wǎng)留下一些史疑例為一個具有度定性的擊行卻呈出發(fā)性的播效存在數(shù)千計樣本對于些問安通過續(xù)的蹤研究在09年網(wǎng)事的九再復(fù)與思0析震網(wǎng)各個本的點生原作機理相關(guān)高級意代工程架“網(wǎng)“曲“焰“高斯方程組織所使惡意碼間關(guān)聯(lián)發(fā)現(xiàn)國至少維了d和Fmr個惡代碼架和行項開發(fā)以上惡意代碼，并且基于更多的線索，發(fā)現(xiàn)ny和Fwrsp也上述意代串接一起見圖220。圖8“震網(wǎng)”和毒曲””火焰””高斯”、n、lsop關(guān)系圖(三)小結(jié)“震網(wǎng)病毒成的大危是建“火“毒”惡意碼的期運和信采集基礎(chǔ)上震網(wǎng)系列病毒攻擊昭示了工業(yè)基礎(chǔ)設(shè)施可能被全面入侵滲透乃至完成戰(zhàn)預(yù)置風險嚴重果家廠的樣研究證實“曲火焰“高震網(wǎng)的關(guān)性基本鎖定幕后手可是美。對震網(wǎng)及其源病的發(fā)與跟分析全球絡(luò)安廠商多聚其復(fù)結(jié)構(gòu)精密計究分也基本建在對使用洞的理分對本的向分以及對本作機理復(fù)盤上攻擊件單當作全威脅技事件理與范析中終缺從作到作視角的思沒從政外社等層對這病毒擊進行更入的解。參考資料ryy.uqu:Atuxnetlikemalarefoundintheil.21.https//.yumpu.co/en/docmnt/ve/1715556/duqua-stuxntlie-malae-fond-inthe-ld-crsslymantec.W32.uqu:?erecrortoteexttuxnet.01.https/comunit.rodcom.co/ymantcentrprie/cmunites/cmunit-homelibaydocumensviedocumnt?ocumetey=933c8f1-6ee-43e-9eb6-6c849f790f2&mmuntyy=1ecf5f59545-44d6b0f4-4e4a7f5fe8&tablirrydocumesaspers.?eMyseryofuqu:artne.20.https/secuelit.co/te-myter-f-duqu-prone/317/aspers.?eMyseryofuqu:arto.201.https/secuelit.co/te-myter-f-duqu-prto/31445/aspers.?eMyseryofuqu:art?re.201.https/secuelit.co/te-myter-f-duqu-prthre/31486/aspers.?eMyseryofuqu:artive.2.https/secuelit.co/te-myter-f-duqu-pre-6/3120/aspers.?eMyteryofuqu:artix?eommandandontrol201.https/secuelit.co/te-myter-f-duqu-prsix-te-cman-an-ontro-serves-36/1863/aspers.tuxnet/uu:?evoltionofiers.201.https/secuelit.co/stxnetduqute-evoltioof-diver/6462/aspers.?eMyseryoftheuqurameork.2012.https/secuelit.co/te-myter-f-th-duqurameor-/32086/aspers.?emyteryofuqurameorkslve.2012.https/secuelit.co/te-myter-f-duqufreork-solvd-7/32354/aspers.?eMyseryofuqu:arten.2012.https/secuelit.co/te-myter-f-duqu-prten/3266/aspers.?eMyseryofuqu2.0:asophsiatedcybrepionageatr2015.https/secuelit.co/te-myter-f-duqu--0--sophitiat-cybeesponage-acto-rturn/70504/ugeneaspersk.WhyackingasperskyabasAilly?ingoo.https//.forbes.cmsite/eugekaspersk/015/06/10/hy-hackinus-as-a-sll-thin-to-d安天.探索uqu木馬身世之謎——uqu和tuxnet同源性分析.2012.https/anticn/reeachnotic&reprtresarcepor/261.hmlaspers.?elae:uestionsndnsers.2012.https/secuelit.co/te-am-qustion-and-nsers/3434/安天.lae蠕蟲樣本集分析報告.2012.https//.anti.c/rearc/notc&repotresarch_epor20120531.htmlMicrosft.lamemalrecoliionattckeplne.2012.https/mscblog.mcrooft.cm/202/06/06/e-mlar-olliioatck-explaied/ryy.skyWIper(lmeirus-omplexcbe-afaetageedatcks.2012.https//.crysys.hu/ublictionles/skyie.pdfaspers.auss:aton-sttecye-srvellacemetsbnkingroj.2012.https/secuelit.co/guss-naion-atecybe-srvellane-eets-ankin-troa-54/3854/安天.震網(wǎng)事件的九年再復(fù)盤與思考.2019.https//.anti.cmesponse/2090930.htmlrendMico.UUUsesN-ikeehniquestoonductInormtion?eft.21.https//.trenmirocom/info/s/thea-enyclopeda/eb-atac/9/duqu-uses-tuxnelik-techiues-t-conuctinfomaio-teftaspersk.?eoofIsonire:aklinglmes&Cervers.2012.https/secuelit.co/te-roo-i-onre-tckin-ame-c-erver/3303/aspers.‘a(chǎn)dget’inthemidl:lamealarespeadigvectoritie.2012.https/secuelit.co/gdgetin-temidde-ae-mlar-preadin-vcto-idenied/3081/aspers.lam:eplationiandospdateMIMoxyserve.2012.https/secuelit.co/me-epicaon-via-inos-updatemim-roxy-serve/3302/aspers.acktotxnet:thessingink.012.https/secelit.co/bck-tostuxnt-te-isi-lin/3314/aspers.?eay?etuxnetid.2012.https/secuelit.co/te-daythesuxnet-ied/3206/aspers.auss:bnormlisrbutio.201.https/secuelit.co/guss-abnoml-ditibuin/36620/aspers.?eMyseryofthenyptedaussayload.212.https/secuelit.co/te-myter-f-th-enryted-gaus-pyload-/3361/aspers.Whatastatiprthng?2012.https/secelit.co/hat-asth-ipethin-48/34088/aspers.ullnalysoflaesommand&ontrolervers.201.https/secuelit.co/fl-anlyss-o-ame-comand-cotrl-srver/3216/aspers.tuxnet:ovicims.014.https/secuelit.co/fl-anlyss-o-ame-comand-cotrl-srver/3216/aspers.uquisback:asperkyabrevealscybratackonitscorportenetorkthatalsohithighprolevicmsinetrncounties,theMiddleastandsia.2015.https//.kaspersk.om/abot/pess-elase2015_duqu-s-back-asers-lab-evelscyberttacon-it-corprat-netor-tht-lso-t-hig-proe-vicim-in-ester-courie-th-idle-as-an-asiaaspers.?euqu2.0echnicaletais.205.https/meda.kasperskcontenthubcom/p-conten/uplads/ste/432018/03/0705202/?eMystery__uqu_2_0_a_sophistiated_cyerespioag_actorretns.pdfaspers.?euqu2.0persitenemodule.015.https/secuelit.co/te-duqu-2-persitenemodul/7041/第三篇 超級機器的全貌—斯諾登事件跟進分析“震曲火焰揭開國情機構(gòu)絡(luò)攻擊能力神秘紗全球絡(luò)安界對國攻能力認知還停留在極度復(fù)雜的病毒木馬和豐富的零日漏洞儲備上。23斯登事讓大看到美國網(wǎng)絡(luò)報攻能力是一“大無形的龐體系隨著諾登露文的逐步公全網(wǎng)絡(luò)全廠對于國情機構(gòu)絡(luò)空行動的相關(guān)工程體系、裝備體系有了更多可以分析的文獻資料，美國絡(luò)空超級器的貌逐顯現(xiàn)。(一)事件回顧23年6月5日，國“報”光美法院03年4月5日秘簽發(fā)權(quán)令要求日至7月9日，國電信巨頭威瑞森公司（ern）須每日向美國國家安全局（N上數(shù)百用戶通話錄中包國際途通話記錄1報，NA要求交的體數(shù)包括話次、通話長話時等話內(nèi)不在中時威森公司必全程格保密次日料人國中情報CIA）情報員斯登現(xiàn)。斯登揭了NA一代號“棱鏡RIS的秘項目光了括微雅虎歌、蘋果在內(nèi)的9國網(wǎng)絡(luò)頭配美國府秘監(jiān)聽話記錄、電子郵件、視頻和照片等信息，甚至入侵包括德國、韓國內(nèi)的個國的網(wǎng)設(shè)備后續(xù)列公文件同露了國政長期來實的監(jiān)及網(wǎng)入侵動。全球部分中立媒體不斷跟進揭露美國情報機構(gòu)的監(jiān)行2423年0英衛(wèi)報發(fā)表“擊r：NA何獲用戶在線名信息2揭了美國NA應(yīng)用漏開發(fā)術(shù)和聯(lián)網(wǎng)控技術(shù)利用r戶Frex瀏覽器洞對發(fā)起絡(luò)攻以取信情報具體作是通過大的絡(luò)監(jiān)能力別出聯(lián)網(wǎng)的or用戶，將其重向到組秘網(wǎng)絡(luò)務(wù)器代號為Fxc），此感染戶計機。24年6月英國科技媒體eegr發(fā)NA與‘五眼吸烏賊論文章稱斯登泄文件示SA“眼聯(lián)在球創(chuàng)了秘監(jiān)視控制范覆蓋全球信及算機全組和公互網(wǎng)作公共信媒介的全性經(jīng)完被打，對IT安全的傷是蓄謀已久的、續(xù)的3。(二)研究分析曝光經(jīng)過23年7天技負責在中計算學會訊》撰文“斯諾登效應(yīng)的前因解讀”5]，指出該事件并非簡單的監(jiān)控隱私露問其響縱涉及當前球秩外交報與政的多方安分析諾登件暴的重點內(nèi)主要括“棱項目為A網(wǎng)絡(luò)報系統(tǒng)的一組成分要利美國聯(lián)網(wǎng)業(yè)所供的口進行數(shù)檢索查詢收集作是谷微蘋臉譜等國大互聯(lián)企業(yè)多與計劃關(guān)聯(lián)是SA下屬的定入行動公（AO中國行了達5攻擊相關(guān)動得了思的幫（見圖-1）5。圖1斯諾登事件相關(guān)信息關(guān)系圖斯諾泄露件披04年美政府“風計SARIN行大模情搜集監(jiān)聽后因法律等問題，將“星風”拆分為“棱鏡”“主干道”“碼頭”“核等多項目由A接管天7年2月發(fā)布系文章深度析斯登泄文件“風劃等（見圖-2）6。圖2“星風”計劃項目結(jié)構(gòu)分析文章出據(jù)斯登泄文件美國展了量的絡(luò)情竊聽目和劃棱鏡是其典型表國通過大海底纜監(jiān)重特殊域監(jiān)計機網(wǎng)利用（CN星監(jiān)和第方情共享方式獲取類絡(luò)情實對全目標完整像而形比較準的目標位能為國獲網(wǎng)絡(luò)間防與反威攻擊等方位勢奠了基。基于覆蓋全球的情報獲取能力，美國建立了以“湍流”（URUN為表的攻性力支體系過被動信號報獲主信號報獲任邏輯制報擴散與合向定等相能力塊現(xiàn)完的網(wǎng)空間情報環(huán)并“監(jiān)（UAG“量子QUNU）等網(wǎng)空間防能模塊進一實現(xiàn)報驅(qū)的網(wǎng)空間積極御和攻行（見圖-336。圖3“湍流”架構(gòu)圖4“監(jiān)護”系統(tǒng)任務(wù)流程22，中國網(wǎng)絡(luò)安全廠商30布報，披露N長達余年全球起的差別擊其量子攻擊系統(tǒng)“酸貍（OXAD零漏洞擊平“驗證器AIAO“聯(lián)耙NIDAK后門進行析析表全球害單感染或達萬見圖357。圖35A網(wǎng)絡(luò)攻擊武器路徑及示意圖針對量子攻擊統(tǒng)，0團隊攻擊術(shù)、攻擊模塊、應(yīng)用場景和攻擊實施過程進行了詳細的技術(shù)分析（見圖-68結(jié)合現(xiàn)的實案，全印證A針對全球聯(lián)網(wǎng)戶實大規(guī)無差網(wǎng)絡(luò)擊的細情。圖36量子注入攻擊過程(三)小結(jié)通過諾登露文全網(wǎng)絡(luò)全廠逐步識到了美國絡(luò)空開展動的力體研表明基于雜的組織系大員規(guī)和充的安預(yù)算通過系列大型程系的建美建立支撐絡(luò)空行動完整工程系以此依托將情獲取積極御動進攻及相關(guān)支撐環(huán)節(jié)等網(wǎng)絡(luò)空間能力整合成整體的國家能力。與此時國具國家全至的傳隨國力發(fā)展?jié)u將球無角的聽與報竊能力為其球利益和權(quán)的石利用取的類網(wǎng)情報形成絡(luò)空間行“天優(yōu)別是于海光纜運營的竊聽美國信號取和報收方面?zhèn)淞伺c倫的隱蔽性護和溯源優(yōu)勢強大作業(yè)系化力加霸化的蔽性反溯優(yōu)勢造了“到無的絡(luò)空間威。隨著諾登露文的公網(wǎng)安全的視逐步戰(zhàn)術(shù)技術(shù)程序升到略層網(wǎng)空間級機的貌逐顯露來。參考資料?euardn.Acollctingphoerecordsofilionsofizoncutoers2013.https//./old2013/jun/0nsa-phoneecords-eion-court-rdr?euardin.ttackingor:howtheAtagetsuses'onlneanonym.https//./old2013/oc/04to-tacks-sa-usrs-olne-anonymty?eeite.:InsietheI-DMIEIDofthe2014.https//.thereise.om/2014/005/ho_th_intrenetas_broken/明鏡周刊.斯諾登泄露A文檔.2013.https//.spiegl.deotosteck/re-di-voaertsvrtdigng-de-na-fotosrece105358.html肖新光.斯諾登效應(yīng)的前因解讀.中國計算機學會通訊.https//.anti.c/do/mrke/20307.pdf安天.“美國網(wǎng)絡(luò)空間攻擊與主動防御能力解析”系列文章12篇.網(wǎng)信軍融合.2017(12)-2018).https/mp.eixin.qq.cm/s/na9sn6fv_lgszw360.網(wǎng)絡(luò)戰(zhàn)序幕：美國國安局（--40）對全球發(fā)起長達十余年差別攻擊.2022.https/mp.eixin.qq.cm/sjjzkyxIauoczWjA360.uant（量子攻擊系統(tǒng)–美國國家安全“--40黑客組織高端網(wǎng)絡(luò)攻擊武器技術(shù)分析報告（一）.2022.https/mp.eixin.qq.cm/slf16hfv1fM3xq7A第四篇 后門的傳言——對美國污染加密通訊標準的揭露對于國是在基礎(chǔ)T產(chǎn)品中預(yù)后門網(wǎng)絡(luò)安全界一直在廣的質(zhì)和猜19年8拿大pym公司席科家安魯費南德AdewFrn現(xiàn)nos系統(tǒng)ypoPI（加密接口）存在的一個名為“_Ky”密鑰讓人時聯(lián)到了稱為A的美國國安全盡微軟此進解釋但其法無讓網(wǎng)絡(luò)安界信全網(wǎng)絡(luò)全界始了找美預(yù)留門的努力。23年9初美國英國家媒報道了NA國國標準技術(shù)究院（IST布的P80A標準中暗藏后門一事，證實了此前憂慮和懷疑已久的業(yè)界傳聞。此后在網(wǎng)安全業(yè)和術(shù)界持續(xù)力下這一疑逐漸得證明并且著對諾登露文的深挖掘還曝光了NA對碼體長期統(tǒng)性操控以及用加準漏對全的監(jiān)其為破了全對網(wǎng)技術(shù)信任，也對球國關(guān)系態(tài)環(huán)造成大影。(一)事件回顧23年9初美紐約報非盈在線聞網(wǎng)站rba及英衛(wèi)報別報了斯登泄文件中有關(guān)NSA加密術(shù)的期破活動直接實了領(lǐng)域自27以來一個測：國NST26正式發(fā)布的別出物P809（2年改稱為P0-A）“使確定隨機發(fā)生的隨數(shù)產(chǎn)算法薦推薦的4種“定性機位生器（DRB）算之一橢圓曲算法Da_RBG實存后門而令球震驚和不的是這個算效低與其三個比帶有漏洞算法所以夠成標準完全是NSA達成聽全球野心精心排的果。密碼密體是基一次密的制所計中高量隨數(shù)產(chǎn)機制現(xiàn)代密技的根如隨機的產(chǎn)生機被做手腳那么個密協(xié)議極容被攻。(二)來自學術(shù)界的質(zhì)疑27在際密學年（Crpo27上來自微軟的密碼學家Nesgsn和Dnhuow從技術(shù)角度分析了a_DRG被植入后門的可能性其論邏輯是：用于定義密碼算法橢圓曲線的若干常數(shù)缺乏詳細來源解釋。如果些常經(jīng)過殊選且法設(shè)者掌選擇相關(guān)細節(jié)數(shù)據(jù)則只獲得算法成隨序列前32個字節(jié)，可推未來有生的“機”列（圖4-2。圖1DalCDG漏洞利用原理但密學家法證算設(shè)計是否于某目的保存相關(guān)據(jù)此對一算的討僅限“漏面，到3年《約時》等這一測坐。(三)證實23年9月6美《紐約時報NA夠騙過網(wǎng)上基本隱私保護”一文中報道3]：“密碼學家長久以來懷疑A在06年NT采的一標準植入漏洞該標準來被有3個成國的際標化組采納機密的A備忘證實兩位軟密學家27披的致命弱點由SA設(shè)計。NA編寫這一準，努力塞進際組私里稱‘個策上的戰(zhàn)而這一動只信號報賦計劃IGINTnbgroc）的一分該劃每獲得253美撥款“積參與美和外國T業(yè)，隱地影和或開地用商產(chǎn)品的計機構(gòu)23預(yù)請求的一目標影響商業(yè)鑰技的政、標和規(guī)”（圖-43）4。圖2NA“信號情報賦能計劃”預(yù)算圖3NA“信號情報賦能計劃”計劃描述23年9月5英“衛(wèi)刊“美間諜構(gòu)如何打敗互聯(lián)網(wǎng)隱私和安全”5，報道了來自斯諾登泄密文檔中有關(guān)NSA用來破解互聯(lián)網(wǎng)加密技術(shù)的“奔牛”計劃（BURU見圖4)4，“SA破解定網(wǎng)通信技術(shù)中密功的能涉多個常敏的來A能夠破廣泛用的線協(xié)包括SP語音安全套接SL泄文檔顯示SA的業(yè)解方案中“用與定行合作伴的感作關(guān)安全產(chǎn)品植入洞。圖44“奔?！庇媱澝枋鲞@些道立引起球安領(lǐng)域高度注對SA操控密及全安全行為開各研究調(diào)查03年12月7“蔥路器（r項核心序員各阿貝爾（abApeu第0混沌信大303）上展了一泄露的PPT檔，中包含NSA對絡(luò)產(chǎn)品的可利用漏洞開發(fā)的程序與木馬。產(chǎn)品覆蓋服務(wù)器、路由防火和手設(shè)備括了從DHunpr、CISO等通品牌阿貝鮑姆示，懷疑A與一些業(yè)存合作系露這內(nèi)容初衷讓相企業(yè)在曝的壓下，己澄是A的同還是害者。23年9國密學家修ahwGe）發(fā)表“密碼程的點思指“NA每花費元，了下這樣事情6：篡國家（是NT標準削弱碼系；對準委會施影響弱化議；同硬件發(fā)商作加密法和機數(shù)成算法的度；攻下一代G手使用加密統(tǒng)；……所有些程都有同的號，是NA的密程序都以‘UR’命。”馬修格林一步括了解一加密統(tǒng)的個途攻擊密算攻加密法的體環(huán)或者入后直接入侵目標，并意味深長地指出，如果那些標準是可信的，那么多的破解方法是后者。23年2月1日時自安全問阿r）發(fā)布“u__RBG門個觀證明”結(jié)合斯諾事件背景給出明確結(jié)論NA意設(shè)這個洞法巧夠?qū)€內(nèi)狀態(tài)以2節(jié)進輸需要2個字的輸作為子也人印象深刻NST的準顯是完瘋狂這是自206丹（nSm和奧斯弗格（Nesegu提出懷疑，研界對STP0-A正式論性回應(yīng)該博文速被NeSsdot多個名信新聞?wù)巨D(zhuǎn)載和傳。214年，美國約翰·霍普金斯大學的斯蒂芬·查克威（tenCowy）等研究人員從技術(shù)上實現(xiàn)了微軟密碼學此前測的洞利8他對使用Da__D的若干（全傳層協(xié)用在兩通信用程之間提供保密性和數(shù)據(jù)完整性）實現(xiàn)進行攻擊和分析，包括OeL-FSWdwsShn（安全S信統(tǒng)）以及Aae加密庫并將果和析發(fā)在SNIX安全年上（圖458。其究表，利單CPU或計算集群花費秒或十秒就可獲得信密論該標準破壞由漏洞存在各種用uaC_實現(xiàn)的S話都不安的。圖-5查克威等利用DlDG漏洞對不同S實現(xiàn)進行攻擊的結(jié)果斯蒂芬查克等人研究人不地聯(lián)起3年2月1日路透社名連接A與全產(chǎn)先鋒秘密合同”報道9其中出，A通高達10萬元的協(xié)議，加密術(shù)公司RA將Da__DG作為ae首選隨數(shù)據(jù)成算，輔相關(guān)構(gòu)開大規(guī)監(jiān)控。(四)余震延綿正如“衛(wèi)報23的道所NA的法已經(jīng)動了整互聯(lián)的信基礎(chǔ)學界和業(yè)界互聯(lián)網(wǎng)通安全懷疑沒有著時而消減而A果“不負眾望”，一再展示其對各類通信標準和應(yīng)用的操控能力。25年5，國“連線”Wrd雜志表“的加密洞影了成上萬網(wǎng)站一文10稱全研人員新發(fā)一個上世紀0代存在關(guān)鍵“oga允許攻擊者攔截解密全球用戶和成千上萬的網(wǎng)站/郵件服務(wù)器之的安通信仔細讀泄的A文件我們發(fā)現(xiàn)A對N的攻與該洞一究人在博中寫道。215年，荷蘭埃因霍芬理工大學的丹尼爾·伯恩斯坦（Dnelenten等人在歐委員會CT計荷科學研究織等個資資助，對NA系化操密碼準的體方法行了度研并表論“ual一標準化后門1該文梳了攜后門的DalC算法進入NT標的過，包專業(yè)學術(shù)見是何被統(tǒng)性地忽闡了這后門真實用中工作理和壞作用分析美國準化專利態(tài)系是如掩蓋一后門的文章出，真正令人震驚是A有組織地削弱加密標準的體系化方法，攜帶后門的DalC算法成為標準，僅僅是NA系統(tǒng)化活動的冰山一角。這一結(jié)論很快就被rpoG事所證。20年2月1日，國《盛頓報》德國視二（D瑞德語播電SF布聯(lián)調(diào)查道，曝光部位瑞士的rpoG公是如被美德兩情報機操控。rpoAG靠二時期美軍產(chǎn)密編制設(shè)起家0紀0代期A和A抓住poAG技更新代的機說公司產(chǎn)銷由A完全設(shè)計的電子型加機。po公在7年推了新一代電加密其部工原理全由A設(shè)自0世紀0代以，CIA與德聯(lián)邦報局（ND同持有CrpoAG的權(quán)，中控其銷超過0個國的通訊加密備的全等通攔截解碼密程以竊各國政府企業(yè)戶的密通內(nèi)容。情報家稱在0紀0代國情官員理的大約的外通信自CrpoAG密碼統(tǒng)證明，在許重大史事中，有ypoAG身影例如英阿馬之戰(zhàn)，CIA使用poG獲取根廷隊情并提供英國。93年，在BND出與國在poAG的合作伙伴關(guān)系后，美國收購了德方全部股份并繼續(xù)把持Crpo公司直到28左，CIA一直是CrpoAG公司的所有者。這一事件的曝光顯示出美國情報獲取的能力，也暴露出西方科技公司與美國情報機構(gòu)之間存在千絲萬縷的關(guān)。(五)小結(jié)加密法是代網(wǎng)安全術(shù)的石之合的使加密法可保證絡(luò)間信的全性夠破包括和HPS在的絕多數(shù)聯(lián)網(wǎng)私保和加技術(shù)表明大數(shù)經(jīng)加密個人商業(yè)絡(luò)通數(shù)據(jù)在線易信息對NA說都手可斯登泄的A對各的竊聽竊密動引發(fā)球?qū)谥螡坏确矫婷媸值闹卣J識思考。美國將全球無死角的信息情報獲取能力視為支撐其全球利的基在追全球聽全控制路上走越，既破了國間的交信也自己成難彌補“反噬03年9月0面加密準P809A種種質(zhì)疑，IST終發(fā)表聲明“我想向IT網(wǎng)絡(luò)全界保證嚴審查準的明公的過依舊在NT不會刻意弱一加密準們將續(xù)執(zhí)使命與加團體合作美國府和型工創(chuàng)立強大加密準NI同時新開了相標準審查05年NT發(fā)布800A修訂去了其的uaC_G產(chǎn)業(yè)和學界對ST任已難以復(fù)在05年來對多個加標準其實進行回溯分析而報中涉的硬件廠也深大眾疑當阿爾鮑曝光檔中及的服務(wù)和交機等品被現(xiàn)漏或缺時們往首先想到是被意植了后而是在發(fā)中現(xiàn)了點或缺陷。參考資料ired.MSeniesidos“pyey”.1999.https//.ired.co1999/09/sdenies-inos-spy-keMicrosft.ntheossbiltyofaackoorintheITP800-90ulcrng.2007.http/rump007.c.yp.t15-shumopdf?eeworkimes.AbletoFoilasicaeguardsofrivacyoneb.https//.nyties.cm/2013/0/6/us/ns-fis-muc-itenet-ecrypon.htmlniverstyfuckland.ryptoon'taveouith.2014.https//.cs.auckan.ac.nz/pgu001/pubs/ypto_ont_help.pdf?euardin.evealed:howSandKsyageciesdfetintrnetpvacysecrt.203.https//./old2013/sep/0/nsa-gch-ncrypion-cdes-secrtyMattewreen.Aew?oughtsonryptograhicngineing.2013.http//log.ryptographengineringcom/201/9/on-nsa.mlris.ual_RGackdoor:aroofofncept.2013.https//log0xbadc0de.e/achive/55Johnsopkinsnivrst.nteracicalploiabiityofualCinSImpemetaions.2014.https//.usenix.og/yste/le/onferece/uenixsecrt14/sec14-pe-checkoapdfeuters.eretcotrctiedAandsecurtyinustrypioe.2013.https//.reutrs.c/atile/u-sa-secrtysa-id9J1220131220ire.ewritcalnryptionug?ects?osandsofts.2015.https//.ired.co2015/05/n-criicl-ecrypion-bg-a?etsthusands-site/indhovenniverstyfechnolo.ual：Atandadizedackoo.2015.https//pre.ue.nl/s/ls/3854147/88733604251427.pdf篇 固件寫入件的件比操系統(tǒng)底層甚至于操系統(tǒng)載果把毒寫固件就隱蔽難以發(fā)現(xiàn)。25年2月8日美媒“截者heInecp）發(fā)究人發(fā)現(xiàn)與A間諜動有‘的惡意軟件”文章1]，披露了卡巴斯基的研究成果，證實了美國利用盤固完持久的擊活引網(wǎng)絡(luò)全界震動隨著巴斯系列告從本實逐步“程式組織NA的底“持化力也來越晰地現(xiàn)出來。(一)事件回顧早在24年1專注究BIS安全網(wǎng)絡(luò)全專家達爾萬利arwnSau開在nfc研究（InScnsue站發(fā)系列章析曝光NA的BIS門DIYBOC、GDUE等并將些惡意軟稱為上帝式2。25年2至3期，卡斯基布系報告38，揭露為“程式織”（qanGrp的APT組織，稱其活躍近0“網(wǎng)火焰病毒幕后操縱者在攻復(fù)雜和攻技巧面超了歷上所的網(wǎng)絡(luò)攻組織在伊俄斯利亞中國英國美國等全超過0個國感染數(shù)千甚至萬個害基“程式織使用惡意序有我毀機制卡巴斯基斷受者實數(shù)目能更。(二)研究分析曝光經(jīng)過25年2，卡巴斯全球次披了“程織”針對球的絡(luò)間活動稱其見過最高的威執(zhí)行者巴斯先后布多詳細告38分析“方式組織的多相組件如Dubanayqanaen、qaoDrg、ryF、rpFnas，尤其提到了硬盤固件重插件qargGyFh擊平臺詳解各組件之的協(xié)關(guān)系見圖53，證明“方式組“網(wǎng)間的系出ny用兩個日漏在29年6和00年3月被震網(wǎng)使用。圖1“方程式組織”相關(guān)組件26卡斯基據(jù)RC法的量值驗證黑客組影子紀人（hwres泄的A數(shù)據(jù)屬于“程式織”9?？ò突浮俺淌娇椄邇r目標針對硬盤固實現(xiàn)擊持化的入過樣研究現(xiàn)千個受害者中僅僅發(fā)現(xiàn)了數(shù)個被硬盤固件重編程模塊感染的案（圖-3硬持久率只千分二左由可“程式織固馬是具針性和密性戰(zhàn)術(shù)網(wǎng)絡(luò)器。圖2硬盤重編程插件感染能力卡巴基披“方式組后安天于25年3月5日和4月9分別布了篇“程式織”備分報告1011]。在“修改硬盤固件的木馬——探索方程式（QION組織攻擊件告中分析“方組織主要擊平的組結(jié)構(gòu)關(guān)聯(lián)系傳信令分C2址件功并析了鍵插“硬重編程”塊的擊技原理見圖510。圖3“方程式組織”各組件關(guān)系示意圖方（QAIN部分件中加密巧分”報告安介紹對該織多組件本地置和絡(luò)通訊加算法密鑰破解析成并布了鑰和鑰結(jié)構(gòu)供界研參考見圖5）11。圖4“方程式組織”加密算法密鑰結(jié)構(gòu)圖222年2月23日中國網(wǎng)絡(luò)安全廠奇安發(fā)布告，披露國S“方程組織頂級門7并“影子經(jīng)人斯諾泄露數(shù)據(jù)證了p7是“式組”的客工（見圖-5）2。圖5NA“方程式組織”頂級門47經(jīng)過面深的技模擬析奇信還了erps、“飲”（cohaAen嗅探馬與p7程序等其組件合實聯(lián)合擊的景（圖-）13。圖6“飲茶”攻擊場景(三)小結(jié)AP（高級持續(xù)性威脅）的特點是更長的時間維系，更大的間跨更的資調(diào)度力使安研究更難接近本程織代表美國級PT組織有一完整嚴密作業(yè)架與法體擁大規(guī)支撐工程系式化備組能進行密的織作高度追作業(yè)程的蔽性反溯性其攻看彈道無痕其破在響續(xù)直安全出網(wǎng)環(huán)境或系的軌很難察覺導(dǎo)致護者其網(wǎng)空間動中實際攻擊術(shù)術(shù)序以相應(yīng)跡知甚少無法在整威脅架視進行面的息掌和解。參考資料?eInercpt.eseacersindtonishing'MalarenkedtoA2015.https/theiercet.co2015/02/17nsa-kasprky-equaiongroup-mlare/InfoecIntitte.AISackdoora.k.a.odModeMalareart1:IBU.2014.https/cysifo.co/p-onten/uplods/2017/0hado_reease_updtd.pdfaspers.quationoup:uestonsandnsers.2015.https/meda.kasperskcontenthubcom/p-conten/uplads/ste/4320