第三阶段,QUANTUM(量子)攻击操作进入被NSA称为“QUANTUMNATION”(量子国界)的阶段,“NATION”代号具有一定的网络空间边界和国家边界的含义。
360云端安全大脑目前发现的美国国家安全局(NSA)对外实施的大部分网络黑客攻击是针对其他国家用户的漏洞攻击,攻击过程中,NSA会向目标用户上网终端植入以VALIDATOR(验证器)为代表的NSA后门程序长期潜伏再目标用户上网终端中,再通过这些后门程序发起更多复杂的网络攻击渗透。
如下图NSA机密文档所示,Quantum(量子)攻击系统正在对目标用户访问的Facebook(脸书)网站实施CNE(网络情报收集)攻击任务,NSA的Quantum(量子)攻击系统后台显示了受害目标用户访问Facebook(脸书)时,NSA实施漏洞攻击的确切时间,同时还标记了受害者网络浏览器类型等隐私信息。
参考[7]文档Quantum(量子)攻击系统任务操作介绍第24页 我们完整的还原了APT-C-40组织对中国境内特定机构发起的黑客攻击和数据窃密事件。
06 Quantum(量子)注入攻击的完整实例
通过以上章节分析可知,Quantum(量子)攻击系统是一个异常复杂和精密的先进网络攻击平台。 360大数据视野中发现了大量APT-C-40组织实施的QUANTUMINSERT(量子注入)类型的攻击痕迹,这些攻击实例中包含了用FoxAcid(酸狐狸)网站仿冒服务器实施漏洞利用攻击,向受害者植入以VALIDATOR(验证器)、UNITEDRAKE(联合耙)等为代表的NSA专属后门程序,大量窃取受害者个人隐私和上网数据等内容。
FoxAcid(酸狐狸)攻击武器在执行漏洞攻击任务时,需要有QUANTUMINSERT(量子注入)和QUANTUMBISCUIT(量子饼干)两个Quantum(量子)系统模块支持,劫持并向FoxAcid(酸狐狸)提供最基础网络流量,FoxAcid(酸狐狸)攻击武器利用各种主流浏览器和Flash等应用程序的 0day漏洞对目标对象实施攻击,再向其上网终端中植入初始后门程序。
从QUANTUMINSERT(量子注入)的原理分析看,NSA利用网络响应速度差来实现Quantum(量子)注入攻击,劫持全球互联网上任意终端设备的正常网页浏览流量。NSA把FoxAcid(酸狐狸)服务器部署在互联网骨干网中,可使网络攻击受害者在真实网站服务器响应之前接收到NSA量子攻击劫持后的假冒服务器响应,迫使受害者重定向访问NSA的FoxAcid仿冒网站或网页资源。
Quantum(量子)注入攻击在安全业界又被归类定义为MotS(Man on the Side)旁路型中间人攻击,我们观察到的完整Quantum(量子)注入攻击过程如下图所示:
在完整的攻击实例中,Quantum(量子)注入攻击伪造的HTTP重定向报文会先于正常响应报文到达用户上网终端。
攻击过程中,由美国国家安全局(NSA)伪造的数据包和正常的网络数据包会带有相同的序列号(Sequence),对受害者上网终端形成欺骗。
在真实的 Quantum(量子)系统注入攻击实例中,我们发现量子注入攻击的实施方式异常复杂,呈现出分布式跳板节点的特征。面对这种定向、瞬时、分布式攻击情况,安全人员难以准确定位网络链路中的哪一跳节点具体实施了量子注入攻击,也极难捕获完整的量子注入攻击过程。但即使在如此艰难和复杂的攻防场景下,360云端安全大脑仍依靠独一无二的安全大数据能力,仍捕获了大量美国国家安全局(NSA)的Quantum(量子)注入攻击的专用后门程序武器样本。
从被公开揭露的NSA机密文档《QUANTUM Shooter SBZ Notes》[8]内容可以印证:
参考[8]文档QUANTUM Shooter SBZ Notes
1.NSA需要在网络传输线路上建立被动监听节点,持续不断窃取信道中的网络信号数据,并实现高速解码和条件匹配,这一项目被NSA称为TURMOIL(混乱,与量子攻击系统配套的后门监听系统),该系统需要具备极高性能,以确保对窃取到的网络数据包解码匹配时间尽可能短。