近日,国家计算机病毒应急处理中心对美国家安全局(NSA)“酸狐狸”漏洞攻击武器平台(FoxAcid)进行了技术分析。该漏洞攻击武器平台是美国国家安全局(NSA)特定入侵行动办公室(TAO,也被称为“接入技术行动处”)对他国开展网络间谍行动的重要阵地基础设施,并成为计算机网络入侵行动队(CNE)的主力装备。该漏洞攻击武器平台曾被用于多起臭名昭著的网络攻击事件。近期,中国多家科研机构先后发现了一款名为“验证器”(Validator)木马的活动痕迹,该恶意程序据信是NSA“酸狐狸”漏洞攻击武器平台默认使用的标配后门恶意程序。这种情况突出表明,上述单位曾经遭受过美国NSA“酸狐狸”漏洞攻击武器平台的网络攻击。一、基本情况
“酸狐狸”漏洞攻击武器平台(FoxAcid)(以下简称“酸狐狸平台”)是特定入侵行动办公室(TAO)打造的一款中间人劫持漏洞攻击平台,能够在具备会话劫持等中间人攻击能力的前提下,精准识别被攻击目标的版本信息,自动化开展远程漏洞攻击渗透,向目标主机植入木马、后门。特定入侵行动办公室(TAO)主要使用该武器平台对受害单位办公内网实施中间人攻击,突破控制其办公网主机。该武器平台主要被特定入侵行动办公室(TAO)用于突破控制位于受害单位办公内网的主机系统,并向其植入各类木马、后门等以实现持久化控制。酸狐狸平台采用分布式架构,由多台服务器组成,按照任务类型进行分类,包括:垃圾钓鱼邮件、中间人攻击、后渗透维持等。其中特定入侵行动办公室还针对中国和俄罗斯目标设置了专用的酸狐狸平台服务器。
二、具体功能
酸狐狸平台一般结合“QUANTUM(量子)”和“SECONDDATE(二次约会)”等中间人攻击武器使用,对攻击目标实施网络流量劫持并插入恶意XSS脚本,根据任务类型和实际需求,XSS脚本的漏洞利用代码可能来自一个或多个酸狐狸平台服务器。该漏洞攻击武器平台集成了各种主流浏览器的零日(0day)漏洞,可智能化配置漏洞载荷针对IE、火狐、苹果Safari、安卓Webkit等多平台上的主流浏览器开展远程漏洞溢出攻击。攻击过程中该平台结合各类信息泄露漏洞对目标系统实施环境探测,并依据探测结果对漏洞载荷进行匹配筛选,选择合适的漏洞开展攻击。如果目标价值很高,且目标系统版本较新、补丁较全,该平台会选择利用高价值零日漏洞实施攻击;相反,如果目标价值较低且系统版本老旧,该平台会选择较低价值的漏洞甚至已公开漏洞实施攻击。一旦漏洞被触发并符合入侵条件,就会向目标植入间谍软件,获取目标系统的控制权,从而实现对目标的长期监视、控制和窃密。
总结
上述技术分析表明,美国NSA“酸狐狸”漏洞攻击武器平台仍是目前美国政府的主战网络武器之一,有三点结论值得国际社会严密关注:一是该漏洞利用平台是美国国家安全局NSA特定入侵行动办公室(TAO)下属计算机网络入侵行动队的主战装备,在计算机网络入侵行动队单独或配合进行的网络入侵行动中得到广泛应用,攻击范围覆盖全球,其中中国和俄罗斯是重点目标。二是该武器平台采用了高度模块化结构,具有较高的可扩展性,同时可以与特定入侵行动办公室的项目管理工具高度集成,实现高效跨行动支援。三是支持跨平台攻击,与特定入侵行动办公室(TAO)的其他网络武器进行集成后,其几乎可以攻击所有具有网络连接功能的设备,是名副其实的网络“黑洞”。
注:本文转自国家计算机病毒应急处理中心公告,文内观点仅供参考