证 据 一
APT-C-39组织使用了大量CIA“Vault7(穹窿7)”项目中的专属网络武器
研究发现,APT-C-39组织多次使用了Fluxwire,Grasshopper等CIA专属网络武器针对我国目标实施网络攻击。
通过对比相关的样本代码、行为指纹等信息,可以确定该组织使用的网络武器即为“Vault7(穹窿7)” 项目中所描述的网络攻击武器。
证 据 二
APT-C-39组织大部分样本的技术细节与“Vault7(穹窿7)”文档中描叙的技术细节一致
360安全大脑分析发现,大部分样本的技术细节与“Vault7(穹窿7)” 文档中描叙的技术细节一致,如控制命令、编译pdb路径、加密方案等。
这些是规范化的攻击组织常会出现的规律性特征,也是分类它们的方法之一。所以,确定该组织隶属于CIA主导的国家级黑客组织。
证 据 三
早在“Vault7(穹窿7)”网络武器被维基解密公开曝光前,APT-C-39组织就已经针对中国目标使用了相关网络武器
2010年初,APT-C-39组织已对我国境内的网路攻击活动中,使用了“Vault7(穹窿7)”网络武器中的Fluxwire系列后门。这远远早于2017年维基百科对“Vault7(穹窿7)”网络武器的曝光。这也进一步印证了其网络武器的来源。
在通过深入分析解密了“Vault7(穹窿7)” 网络武器中Fluxwire后门中的版本信息后,360安全大脑将APT-C-39组织历年对我国境内目标攻击使用的版本、攻击时间和其本身捕获的样本数量进行统计归类,如下表:
从表中可以看出,从2010年开始,APT-C-39组织就一直在不断升级最新的网络武器,对我国境内目标频繁发起网络攻击。
证 据 四
APT-C-39组织使用的部分攻击武器同NSA存在关联
WISTFULTOLL是2014年 NSA泄露文档中的一款攻击插件。
在2011年针对我国某大型互联网公司的一次攻击中,APT-C-39组织使用了WISTFULTOOL插件对目标进行攻击。
与此同时,在维基解密泄露的CIA机密文档中,证实了NSA会协助CIA研发网络武器,这也从侧面证实了APT-C-39组织同美国情报机构的关联。
证 据 五
APT-C-39组织的武器研发时间规律定位在美国时区
根据该组织的攻击样本编译时间统计,样本的开发编译时间符合北美洲的作息时间。