3月2日，360核心安全技術博客發布了一篇題為《The CIA Hacking Group (APT-C-39) Conducts Cyber-Espionage Operation on China's Critical Industries for 11 Years》的文章，稱與美國中央情報局（CIA）存在關聯的黑客組織APT-C-39至今已針對中國進行了長達11年之久的網絡間諜活動，目標涵蓋包括航空工業、科研機構、石油行業、網際網路公司和政府機構等在內的多個關鍵行業。

文章還指出，前CIA雇員約書亞·亞當·舒爾特（Joshua Adam Schulte）負責網絡武器的研究、開發和製造。在APT-C-39針對中國進行網絡間諜活動期間，他被CIA國家秘密行動處（NCS）聘為科學技術處（DS＆T）情報官，直接參與了Vault 7項目中網絡武器的開發。

CIA簡介

CIA，英文全稱「Central Intelligence Agency」，是美國聯邦政府的主要情報收集機構之一，主要分為四個組成部分：

• 情報處（DI）
• 國家秘密服務處（NCS）
• 管理處（DS）
• 科學技術處（DS＆T）

其主要服務包括：

• 從外國政府、企業和個人收集信息；
• 分析其他美國同級機構收集的信息和情報；
• 向美國高級決策者提供國家安全情報評估；
• 應美國總統的要求執行或督辦秘密活動。

CIA網絡武器研發關鍵人物約書亞·亞當·舒爾特簡介

約書亞·亞當·舒爾特於1988年9月出生於德克薩斯州的拉伯克市，畢業於德克薩斯大學奧斯汀分校。他曾在國家安全局（NSA）實習過一段時間，然後於2010年加入CIA，擔任科學技術處情報官。

約書亞精通網絡武器的設計和開發，且擁有情報操作方面的知識，很快就成為了CIA許多重要黑客工具的核心骨幹之一。

2016年，約書亞利用他對核心機房的管理特權和預設的後門竊取了Vault 7（7818個網頁，943份附件，全部材料包括數億行代碼），並向維基解密進行了披露。

2018年，約書亞因Vault 7泄露事件被美國司法部逮捕並起訴。

CIA Vault 7泄露事件成為發現APT-C-39的關鍵

據稱，Vault 7是CIA的黑客工具庫。維基解密（WikiLeaks）於2017年對其進行了曝光，而曝光的目的是想要引導公眾對「網絡武器的安全、創造、使用、擴散和民主控制」進行討論。

正是通過對Vault 7的研究，奇虎360發現了一系列針對中國航空工業、科研機構、石油行業、網際網路公司和政府機構的網絡攻擊。

這些攻擊最早可追溯至2008年（從2008年9月到2019年6月），主要分布在北京，廣東和浙江等省，且均被歸因於同一個黑客組織，即APT-C-39。

五大證據直指APT-C-39與CIA存在關聯

證據1：APT-C-39使用了大量 Vault7項目中的專屬網絡武器

奇虎360表示，APT-C-39 曾使用Fluxwire、Grasshopper等 CIA專屬網絡武器針對中國實施網絡攻擊。

通過對比相關的樣本代碼、行為指紋以及其他信息，奇虎360非常肯定該組織使用的網絡武器正是Vault7項目中所描述的網絡武器。

證據2：大多數APT-C-39樣本的技術細節與Vault7文檔中的描述一致

奇虎360分析發現，大多數APT-C-39樣本的技術細節與與Vault7文檔中的描述一致，如控制命令、編譯pdb路徑、加密方案等。

證據3：在維基解密曝光Vault 7之前，APT-C-39就已經對中國目標使用了相關網絡武器

例如，2010 年初，APT-C-39 在針對中國的網絡攻擊活動中就使用了Vault7中的Fluxwire後門，這遠遠早於維基解密曝光的時間。

在對Fluxwire後門進行了深入分析後，奇虎360對相關後門版本、攻擊時間和多年捕獲的APT-C-39樣本進行了統計分類，具體如下表：

證據4：APT-C-39使用的部分攻擊武器與NSA存在關聯

WISTFULTOLL 是2014年NSA泄露文檔中的一款攻擊插件。在 2011 年針對中國一家大型網際網路公司的攻擊中，APT-C-39就使用了 WISTFULTOOL。

另一方面，在維基解密曝光的 CIA 機密文檔中，也有文檔證實了 NSA 會協助 CIA 研髮網絡武器，這也間接證實了 APT-C-39與美國情報機構存在關聯。

證據5：APT-C-39的武器研發時間規律定位在美國時區

從奇虎360捕獲的惡意軟體樣本的編譯時間來看，樣本的開發編譯時間符合美國北美洲的作息時間。

惡意軟體的編譯時間，是APT歸因的一個重要突破口。通過對惡意軟體編譯時間的研究，我們可以歸納出其開發者的作息時間表，從而掌握其所在位置的大致時區。

下表是APT-C-39的編譯活動時間表。不難看出，該組織的活動接近美國東部時區的作息時間，這與CIA所在的位置相符。（維吉尼亞州，美國東部時間）。

結語

2 月 28 日，中國國防部發言人吳謙在記者會上說了這樣一句話，「在網絡安全問題上，美方是國際公認的竊密慣犯。」

吳謙表示，從「維基解密」到「斯諾登事件」，再到最近的「瑞士加密機事件」，美方至今沒有也無法給國際社會一個交代。事實已經一再證明，美國長期以來對外國政府、企業和個人實施大規模、有組織、無差別的網絡竊密與監聽，是名副其實的「黑客帝國」，國際社會應對此保持高度警惕。