1、概述：覆蓋智能終端的A²PT樣本拼圖

---

在過去二十多年的時間里，全球關鍵信息基礎設施運營者、安全廠商、研究者所面臨的重大考驗是，如何應對以NSA等情報機構所發動的網絡攻擊活動，基于這種攻擊活動應用了難以想象的技術與資源，安天CERT將這種攻擊活動稱之為A²PT（高級的高級持續性威脅）攻擊，并發現其中多起攻擊都來自于NSA下屬的方程式組織。如何把A²PT攻擊活動中的攻擊樣本與過程揭示出來，成為了一場比馬拉松更艱苦的分析接力賽，這場接力至少已經完成了三次交接棒，第一階段從2010年的“震網”事件觸發，圍繞“震網”-“火焰”-“毒曲”-“高斯”系列樣本的攻擊活動、樣本同源性與關聯展開，直到2013年的斯諾登事件出現，才發現這些只是冰山一角；第二階段是從方程式組織（隸屬于NSA）被曝光開始，圍繞其硬盤固件攻擊能力、載荷、通信加密機制特點、“原子化”作業模式等展開，并逐漸證明“震網”等攻擊與方程式組織密切相關；第三階段則是圍繞“影子經紀人”所泄露的方程式組織的漏洞和攻擊載荷，全球業界展開更深入的拼接分析和復盤。中國網絡安全產業聯盟在4月11日所發布的報告《美國情報機構網絡攻擊的歷史回顧——基于全球網絡安全界披露信息分析》^[1]基本完整復現了這場漫長而艱難的斗爭。

這場分析接力中兩項比較重要的工作：一項是揭示從“震網”到方程式的復雜線索關聯，這些信息可以參見卡巴斯基和安天相關的惡意代碼家族的同源性分析報告^[2][3]，也可以在《震網事件的九年再復盤與思考》^[4]看到相關的惡意代碼工程的關聯圖譜。另一項則是去驗證一個邏輯上存在著必然性，但又需要大量工作來佐證的判斷——即方程式組織的作業能力和惡意代碼樣本儲備是覆蓋全操作系統平臺的。毫無疑問，國際安全廠商卡巴斯基為此做出了最大的貢獻，安天CERT也有部分獨創的工作，例如Linux、Solaris樣本的最早曝光是來自安天的報告。安天CERT在2016年的報告《從方程式到“方程組”——EQUATION攻擊組織高級惡意代碼的全平臺能力解析》^[5]中，匯聚了安天和卡巴斯基等的成果，統計了Windows、Linux、Solaris、FreeBSD和Mac OS平臺的樣本情況。但彼時方程式組織針對iOS 、Android等移動平臺的樣本還沒有正式浮出水面，盡管在2013年斯諾登事件中所曝光的NSA ANT系列攻擊裝備中DROPOUTJEEP、TOTEGHOSTLY等代號給出了一些線索，但由于iOS平臺取證的難度，和其攻擊作業的高度定向性，業內一直沒有樣本級別的發現和實證——但這并不意味著，它們會永遠沉寂于水面之下，持續的努力讓我們能夠在后續找到線索并進行了分析積累。

2023年6月1日，卡巴斯基^[6]發布了《三角行動：iOS設備被以前未知的惡意軟件攻擊》，這讓我們決定對我們原有分析成果進行補充分析，并正式發布。由于卡巴斯基尚未公開有關事件樣本信息和分析結果，我們尚無法判定我們分析的這些歷史樣本是否是“三角行動”攻擊樣本的早期版本。但我們明確的判斷是：我們所分析的樣本，和卡巴斯基所曝光的攻擊同樣來自方程式組織。但與卡巴斯基所發現的樣本是依托iMessage的漏洞投放不同的是，本報告的相關攻擊樣本來自方程式組織基于“量子”（QUANTUM）系統在網絡側針對上網終端瀏覽器漏洞利用投放。

2.樣本分析

---

相關樣本并不是常規的iOS APP應用安裝包，而是針對iOS底層的木馬，木馬分為執行載荷與后門程序，執行載荷是最初投放到系統的，它負責釋放后門程序和持久化。

2.1 執行載荷

表2?1 木馬主體程序

木馬主體程序在投遞過程中偽裝的文件名是regquerystr.exe，但并非是一個PE格式文件，實際文件格式是ARM架構的Mach-O 可執行程序，利用漏洞或通過沙盒逃逸完成后門程序的釋放和執行，其首先檢測內核版本和用戶權限。

圖2?1 對內核版本信息和當前的用戶權限進行獲取和判斷

然后木馬程序進行后門程序的釋放，將其釋放到/tmp/mvld，并執行/bin/launchctl的load命令完成后門服務的運行。

圖2?2 運行后門服務

圖2?3 正在運行的后門服務

木馬主體采用了兩種不同的加密算法來加密其明文字符串信息。

算法1：

圖2?4 字符串加密算法1

算法2：

圖2?5 字符串加密算法2

其使用的加密方法比較簡單，配置數據只運用了異或和乘法運算，其使用的密鑰有0x47[7]和0x1D，網絡通訊部分則使用了標準的HTTPS加密協議。這種簡單的加密與方程式組織在PC平臺樣本嚴格使用高強度加密算法并不一致，關于PC樣本加密算法和密鑰可以參見安天分析報告《方程式（EQUATION）部分組件中的加密技巧分析》^[8]，但相對來看，可能是彼時的手機環境算力相對較低，同時沒有較為成熟的安全對抗機制，因此攻擊者并未使用強加密。。

圖 2?6 解密后的關鍵字符串信息

表 2?2 Regquerystr木馬解密出的配置信息

2.2 后門程序

在投放載荷執行后，會釋放一個后門程序mvld。該木馬是Regquerystr釋放的子程序，主要用于收集設備信息，以及與遠程服務器通信，程序運行后會生成日志文件/private/var/tmp/.swapfile.tmp，并刪除自身文件(/tmp/mvld)，經分析，可將該木馬合并入方程式組織的DoubleFantasy ^[9]攻擊木馬武器譜系。

表2?2 后門程序信息

mvld后門程序路徑如下：

圖2-7 后門程序路徑

mvld后門程序會訪問遠程控制服務器發送http請求，當C2域名無法訪問時直接訪問硬編碼IP：

圖2-8 向遠程服務器發送請求

mvld后門程序配置了代理設置，采用neno客戶端http協議。

圖2-9 代理設置

mvld后門程序通過getuid、getpwuid獲取設備帳號的用戶名、密碼、用戶組等信息。

圖2-10 獲取設備信息

mvld后門程序同時也會讀取/etc/passwd文件，獲取登錄用戶信息。

圖2-11 獲取登錄用戶信息

修改環境變量DYLD_INSERT_LIBRARIES：

圖2-12 修改環境變量DYLD_INSERT_LIBRARIES內容

該樣本有13個指令代碼，功能與安天歷史曝光過的方程式Windows和Solaris木馬DoubleFantasy系列指令十分相似。

圖2-13 指令代碼

樣本各個指令功能簡要描述如下：

樣本獲取配置環境等信息后進行回傳：

圖2-14 獲取環境和配置信息回傳

獲取信息格式說明：

表2-4獲取環境和配置信息格式說明

mvld木馬內部解密出信息FAID，其中ace02468bdf13579^[10]與之前曝光的NSA作業所需強制性的唯一標識代碼一致，該標識也存在于“影子經紀人”泄露的方程式武器庫中SecondDate武器中，種種信息都指向：該木馬來自美方情報機構NSA下屬的方程式組織。

表2?5 mvld解密出的配置信息

配置名稱	內容	說明
CI	3600	心跳
CIAE	120
cop1	80	C2端口1
cop2	443	C2端口2
CSF	/private/var/tmp/.swapfile.tmp
FAID	***_ace02468bdf13579_***
ID	*****00171
lp1	**********[.]com	C2地址1
lp2	80[.]*[.]*[.]*	C2地址2
os1	www.google.com	測試網絡聯通
os2	www.yahoo.com	測試網絡聯通
os3	www.wikipedia.org	測試網絡聯通
os4	www.apple.com	測試網絡聯通
PV	12
SDE	/usr/gated/gated.deb

3.同源分析

---

我們將該iOS木馬與方程式組織的DoubleFantasy木馬裝備序列進行對比分析，可以得出如下結果：在功能、行為、算法、信息收集和指令控制集合上幾乎相同；木馬使用方程式組織加密算法中最常使用的數值0x47 ^[7]、收集終端信息格式與DoubleFantasy一致，控制指令代碼結構與DoubleFantasy基本一致。

3.1 配置數據解密算法、密鑰對比

本報告樣本與其他方程式組織樣本在加密算法、密鑰上完全一致：

圖 3?1 歷史其他平臺方程式樣本（左）解密算法與iOS樣本（右）解密算法

3.2 信息收集格式對比

對比發現本報告樣本與其他方程式樣本在信息收集的數據格式基本一致：

圖 3?2 歷史其他平臺方程式樣本（左）信息收集與iOS樣本（右）信息收集對比

3.3 控制指令代碼對比

本報告樣本與其他方程式樣本在控制指令格式上基本一致：

圖 3?3 歷史其他平臺方程式樣本（左）指令代碼與iOS樣本（右）指令代碼對比

4.攻擊投放分析

---

通常認為iOS平臺的安全強度比Android平臺更高。但iOS平臺本身依然有很多可攻擊入口。針對iOS平臺曾出現過的攻擊方式包括，基于App Store投毒、基于iMessage和FaceTime的漏洞、基于Wi-Fi在流量側的攻擊等。卡巴斯基所發布的報告，聲明其所捕獲的攻擊入口為iMessage服務。iMessage漏洞確實是一個常用的攻擊入口，加之其本身帶有電信碼號的指向性，適合發起指向明確目標的攻擊。但同時我們也要指出的是，關閉iMessage和Facetime等服務，依然不能有效對抗方程式組織的攻擊，這是因為：方程式組織所擁有專屬的“上帝視角”攻擊模式，是依托入侵和劫持各國運營商網絡設備、和其他的信道介入能力構建流量劫持體系，在擬攻擊目標人員上網過程中，基于“量子”（QUANTUM）系統插入攻擊流量，利用瀏覽器等上網軟件的漏洞，實現將惡意代碼投放到設備當中運行。

“量子”（QUANTUM）系統項目于2013年首次被斯諾登曝光，由美國國家安全局（NSA）發起，并與英國政府通信總部（GCHQ）和瑞典國防無線局（FRA）聯合執行，用于開發和運營承載實施網絡攻擊的工程體系和入侵工具集，以實現對網絡空間中網絡狀態的干預和控制，由NSA下屬的特別行動入侵行動辦公室（TAO）開發并負責使用。而我們所說的方程式組織則是網絡安全產業界基于分析工作中發現的裝備特點對TAO所賦予的“別名”。

“量子”（QUANTUM）系統的運行支點，是對網絡通訊基礎設施的關鍵路由和網關等設備的入侵和劫持，從而具備獲取分析和劫持攻擊目標上網過程的能力。其首先基于上網設備的相關IP、碼號、鏈路、身份賬號或其他標識依托X-KeyScore系統進行識別，看是否復合攻擊目標定義，以及是否是已經攻擊成功設備，如果是尚未實施攻擊過攻擊的待攻擊目標，則進一步判斷是否存在可用漏洞，然后選用相應的工具執行秘密入侵。我們以假定目標登錄雅虎賬戶為例，攻擊過程如下：1、目標登錄Yahoo郵箱或網站；2、特殊行動源（SSO: Special Source Operations）站點發現“量子”（QUANTUM）系統指定的雅虎分揀器篩選的數據包，會將其重定向到FOXACID服務器；3、該服務器將FOXACID URL注入到選定的數據包并將其發回至目標計算機；4、雅虎服務器接收到請求郵件內容的數據包；5、FOXACID數據包先于雅虎數據包回到終端；6、目標機器加載雅虎頁面，但在后臺同時加載FOXACID URL，將目標重定向到FOXACID刺探服務器；7、如果目標瀏覽器可用，且PSP（Personnel Security Program）未能檢測，則FOXACID將第一階段植入程序部署到目標；8、“驗證器”后門（美方稱之為Validator，安全廠商命名為DoubleFantasy的木馬）成功安裝。

圖4?1 NSA“量子”（QUANTUM）系統攻擊原理

在針對iOS平臺的攻擊中，“量子”系統通過多個Safari瀏覽器的遠程代碼執行漏洞組合利用投放攻擊樣本。其中最早的攻擊行為在2013年或更早的時間就出現。其早期運用的漏洞可能包括CVE-2014-1349、CVE-2014-4466等，漏洞利用代碼則由“狐酸”FOXACID漏洞平臺生成，“量子”系統所構造的流量可以實現先于正常網站返回流量抵達目標終端，觸發漏洞執行該木馬程序。在利用本報告樣本的攻擊過程中，攻擊載荷在量子系統在插入的網絡流量中偽裝成GIF頭部，命名為regquerystr.exe。

需要高度警惕的是，“量子”系統的攻擊是上帝視角的，具體表現為：

1. 其攻擊流量是由被入侵或控制的網絡路由設備發出，其甚至可能先于被訪問的網站感知到被攻擊方的網絡訪問。

2. 其攻擊對象是訪問網站和網絡資源的瀏覽器，或其他互聯網客戶端，因此其更難防御，也無法用傳統收斂開放端口和暴露面的思路來防范。

3. 其插入的攻擊流量并不是和真實網站交互過程，且是加密的，因此即使數據包遭到了還原和留存，發現了其構造的域名，也不具備傳統IP/域名意義的溯源價值。

4. 在攻擊得手后，其相關角色和設備被標定為攻擊有效，后續不會再進行投放的動作，而攻擊失手后，則可能不再繼續攻擊，或未來不會采用同一漏洞進行攻擊。因此極難復現和驗證。

5. “量子”的能力并不僅可以部署于骨干網被A²PT組織滲透或控制的網絡設備之中，也可以在入侵作業中，植入到政企機構網關和邊界設備上，包括相關漏洞利用工具可以部署到類似企業WEBMail服務器中，使之有別于一般的持久化，而采取反復打入+內存木馬的方式，更好地對抗一般性的威脅獵殺。

“量子”的作業能力一方面來自于方程式組織對全球關鍵網絡通訊設備的攻擊控制程度，另一方面則來自其掌控的大量未公開漏洞資源和漏洞利用工具儲備。

5.A²PT組織的漏洞儲備、來源及資源運營和作業分析

---

5.1 整體漏洞運營機制

無論是攻擊中東SWIFT對信息基礎設施長驅直入^[11]，還是“量子”之手實現上帝視角的攻擊，方程式等A²PT作業組織都依賴極為豐富的漏洞儲備^[12][13]。

美方對零日漏洞（0day）的管理和儲備有一套自身的管理機制。2017年美國白宮發布《漏洞公平裁決政策和程序》^[14]，為漏洞公平裁決程序(Vulnerabilities Equities Process，VEP)制定了更多的規則和透明度要求，包括目的、背景、范圍、參與主體、裁決過程和相關附件等內容，這個政策的主導機構就是NSA。VEP是美國政府在處理安全漏洞問題時所引入的一項裁決機制，當發現漏洞時，是選擇將發現的漏洞向有關科技公司披露，告知其產品或服務中存在的網絡安全漏洞以便開發者及時進行修復，還是選擇將漏洞信息進行保留，以便今后用于網絡入侵、情報搜集、軍事活動或執法活動等目的。

為了實現對高價值零日漏洞（0day）的壟斷利用，NSA還開發了一套NOBUS運營體系，NOBUS是Nobody But Us的遞歸縮寫，即“沒有人可以（使用這些漏洞）除了我們”——這是NSA用來描述其認為只有其自身才能擁有和利用的安全漏洞的術語。他們在該系統中評估對手能夠利用系統中已知漏洞的可能性，如果他們確定該漏洞只能由NSA出于計算資源、預算或技能組合等原因利用，就會將其標記為NOBUS，并且不會推動修補漏洞，而是讓該漏洞繼續存在以便針對當前或未來的目標進行利用^[15]。NSA曾對外表示，它披露了發現的91%的漏洞，這就意味著剩下的9%的漏洞被NSA“私藏”了。而被NSA“私藏”的儲備漏洞，才是讓網絡世界變得更加脆弱的獨家命門。

當然更為嚴重的問題是，美方情報機構操縱預置漏洞和削弱產品安全性的行為，其中最為典型的是對加密算法標準的污染，如NIST 2006年正式發布的特別出版物SP 800-90（2012年后改稱為SP 800-90A）《使用確定性隨機位發生器的隨機數產生算法推薦》中，推薦的4種“確定性隨機位發生器”（DRBG）算法之一雙橢圓曲線算法Dual_EC_DRBG其實存在后門^[16]。以及瑞士Crypto AG公司出品的加密機被美方控制，削弱其銷往超過120個國家的通訊加密設備的密碼強度，通過攔截并解碼加密程序以竊取各國政府及企業用戶的加密通訊內容^[17]。

5.2 兩類重點漏洞儲備

---

安天CERT認為方程式組織至少重點進行了兩類漏洞和利用工具庫的建設：一類是用于攻擊開放端口和服務的，我們稱之為漏洞集合（S），即Service，服務端；一類是用于攻擊瀏覽器和互聯網客戶端的，我們暫稱之為漏洞集合（C），即Client，客戶端。這兩個集合都用于實現對端點目標的突防，后續還可以與相關的提權、持久化等工具配合使用。但兩個集合的運用方式有所差異。

集合（S）被用于依托跳板，基于主動向特定端口或服務發送數據包的方式，攻擊互聯網開放目標，實現打入，或者在取得橋頭堡后在網絡縱深目標體系中橫向移動。集合（S）中的漏洞儲備相當豐富，以至于僅震網攻擊中，就使用了超過5個0day，在方程式組織攻擊中東最大SWIFT機構EastNets中，所使用的多個漏洞也屬于此類。在2017年4月14日的Shadow Brokers（影子經紀人）事件中，這個漏洞集合被徹底曝光。其中包括：Eternalblue（永恒之藍）、Easybee（易之蜂針）、Easypi（易之遠控）、Eclipsedwing（日食之翼）、Educatedscholar（文雅學者）、Emeraldthread（翡翠纖維）、Emphasismine（地域之雷）、Englishmansdentist（恐怖牙醫）、Erraticgopher（古怪地鼠）、Eskimoroll （愛斯基摩卷）、Esteemaudit（尊重審查）、Eternalromance（永恒浪漫）、Eternalsynergy（永恒協作）、Ewokfrenzy（星際流氓）、Explodingcan（爆炸之罐）、Zippybeer（奪命之酒）。 \值得一提的是，相關漏洞和利用工具的泄露及其后被黑產集團所利用，最終導致了2017年5月12日的全球大規模的 “WannaCry”（中文名稱魔窟）勒索軟件感染事件，給全球網絡用戶帶來的空前的災難影響。相關攻擊者僅使用“永恒之藍”（Eternalblue）一個漏洞就對全球網絡安全造成了如此巨大的危害^[18]。我們在《安天關于系統化應對NSA網絡軍火裝備的操作手冊》^[19]報告中對這批漏洞和所攻擊的服務進行了圖譜化梳理（圖5-1）?？梢钥隙ǖ氖牵谶@次泄露事件后，相關組織會放棄這批效力大打折扣、且可能暴露行蹤的漏洞利用，啟用儲備漏洞利用并加快漏洞挖掘采集儲備的節奏。

圖5?1 NSA 攻擊開放端口和服務的漏洞圖譜圖片

但長期以來，對于漏洞庫（C），卻一直了解甚少。基于“量子”系統的運行機理，其必然存在的一個重點針對IE、Edge、Chrome、Firefox等瀏覽器（含主要插件）的0day漏洞集合。我們有理由相信，由于漏洞庫（S）的工具，更多要在手工作業中使用，導致其可以被更多人員接觸到，也間接導致類似被“影子經紀人”泄露事件的發生。但由于漏洞庫（C）更多的是配置到“量子”系統使用，因此其相對管控更為嚴格。這就使相關漏洞一直沒有完整的浮出水面。

但從另外一個層面，我們在對ANT工具集合和Vault7的分析中可以得出如下結論，A²PT組織的作業風格是，惡意代碼覆蓋全體系結構和操作系統平臺、漏洞儲備覆蓋全系統和主流應用場景、中繼運載工具覆蓋全接口?；诼┒磶欤–）配套量子系統的使用特點，我們完全可以有效猜測漏洞庫（C）的覆蓋能力。我們選取了一個非常具備場景清單價值的參照系。在NSA有間接參與和關聯的相關活動中，類似Pwn2Own這樣的安全大賽所提出的場景目標，高度匹配“量子”系統的需求。從2007-2013年的Pwn2Own的著名黑客成功攻擊案例中，我們可以看到，對主流瀏覽器實現全覆蓋是Pwn2Own的重點。這些場景較好地覆蓋了“量子”所需要的漏洞需求頻譜。因此我們就需要進一步細化分析A²PT組織的供給能力體系和資源運營。

圖5?2 2007-2013年的PWN2OWN的部分破解成功攻擊案例^[20]

我們可以PWN2OWN的破解場景作為一個參照系，來繪制“量子”系統的攻擊能力頻譜圖，這個頻譜完全覆蓋全球所有主要終端和智能手機終端設備和瀏覽器。

圖5?3 量子系統可攻擊場景圖譜化分析

由于沒有參照系作為分析支撐，我們在“量子”可攻擊場景圖譜上并未標注中國的基礎信息產品和手機環境。但從我們歷史分析成果中所呈現的相關攻擊組織追求攻擊能力覆蓋全場景的一貫“調性”，其必然針對中國的基礎信息產品和智能手機等環境持續進行全面的漏洞挖掘研究，進行攻擊能力儲備積累，隨時準備運用。前火眼公司首席戰略官Richard Bejtlich的觀點是^[21]，修復漏洞提升安全性，還是藏匿漏洞用于網絡入侵，對美國政府來說是一個“糾結”，“當外國目標運行其自己本土的軟件時，這種糾結就不存在了”?？梢韵胂?，方程式等A²PT攻擊組織既擁有深入了解美國出品軟硬件產品脆弱性的非對稱優勢；同時在挖掘、分析、利用其他國家的信息產品與服務的脆弱性方面，也會更有恃無恐。

所以我們需要進一步梳理分析其攻擊資源的來源。

5.3 A²PT的0day漏洞和惡意代碼工具的來源

安天CERT嘗試根據公開信息梳理方程式等A²PT攻擊組織在除自身挖掘發現和預置外，可能用于直接和間接獲取漏洞的資源來源。

5.3.1 基于基礎IT廠商安全生態獲取漏洞

信息化產品與服務的漏洞的發現、上報、修復和披露機制，是整個信息社會安全運營的重要基礎環節，相關信息共享和聯動響應機制也是全球產業鏈分工的基本信任基礎。在全球化的歷史演進中，相應的國際協同機制也已經形成。全球安全研究者對IT產品和開源代碼進行分析研究，將這些漏洞上報給廠商和漏洞共享平臺，以推動產品改進，大型IT廠商，自身也組建規模龐大的安全隊伍，持續改善自身的安全性。當然這也就意味著，基礎信息化軟硬件產品、大規模互聯網服務產品在這個機制中起到更舉足輕重的作用。一旦這個機制被擁有IT產品壟斷和支配力的霸權國家所把持，使相關機制單邊化，就必然導致一種空前的不平衡和不平等。也更加重了全球用戶對部分嚴重漏洞源自研發的失誤還是合作預置的懷疑：2013 年 12月，原“洋蔥路由器”( Tor) 項目核心程序員雅各·阿貝爾鮑姆( Jacob Appelbaum)在第 30 屆通信大會上展示了一組泄露的 PPT 文檔，其中包含 NSA 針對各種網絡產品的可利用漏洞開發的程序與木馬。產品覆蓋服務器、路由器、防火墻和手機設備，囊括了DELL、HP、Sun、CISCO等知名品牌^[22]。阿貝爾鮑姆表示，他懷疑NSA與其中一些企業存在合作關系，披露這此內容的初衷是“讓相關企業在曝光的壓力下，自己澄清是 NSA的同謀還是受害者?！?/p>

2016年，美國哥倫比亞大學國際與公共事務學院的高級研究人員杰森·希利 ( Jason Healey) 在《國際事務雜志》發表“美國政府與零日漏洞”一文，深入分析了美國漏洞公平裁決程序(VEP)自2008到2016年的發展歷程，并對當前（2016年）美國可能囤積的零日漏洞軍火數量進行了謹慎的估算^[23]?；赩EP的裁決機制，我們很難判斷多少漏洞被打上了NOBUS的標簽，成為A²PT用來攻擊對手的網絡軍火。

一些已經被公開披露的嚴重漏洞，從漏洞早期發現時點到修補和公開時點之間存在較長時間差。例如Google公司的Project Zero等安全團隊在2017年6月發現Intel CPU的重大漏洞：Meltdown（熔毀，CVE-2017-5754）和Spectre漏洞（幽靈，CVE-2017-5715和CVE-2017-5753），這些漏洞對全球云基礎設施帶來重大威脅，但直到六個月后的2018年1月這些漏洞^[24]才被公告。網絡安全研究者有理由猜測，這六個月成為A²PT攻擊全球云基礎設施的獨家作業窗口期。

5.3.2 通過參與各類公開活動搜集漏洞信息

RSA信息安全大會是全球網絡安全領域一年一度的盛會，每年上半年在舊金山舉行，來自世界各地的安全廠商代表和業界精英在大會期間聚集一堂，就全球面臨的網絡安全威脅和技術發展趨勢進行廣泛的溝通與交流。美國相關情報機構NSA、FBI等都例行“參展”，主要發展專業人員加入他們的隊伍。包括發表演講，號召“黑客”為美國服務。

黑帽安全技術大會（Black Hat Conference）、DEFCON極客大會等黑客大會，也是美情報機構重點關注和參與的會議。

Pwn2Own是全球最著名的黑客大賽之一，由美國五角大樓網絡安全服務商、惠普旗下TippingPoint的ZDI（Zero Day Initiative）為主辦項目組，谷歌、微軟、蘋果、Adobe等互聯網和軟件巨頭都為比賽提供支持，通過黑客攻擊挑戰來完善自身產品。這種大會顯然也是美情報機構搜集、儲備漏洞和攻擊技術的良機。

目前并無線索來表明Pwn2Own活動與美方掌握的獨家漏洞具有直接關聯，但正如我們前文指出的， 從Pwn2Own所長期專注的科目來看，這個題目的場景設計基本完整映射了“量子”系統進行流量側攻擊作業的能力需求和價值偏好。而ZDI作為惠普旗下付費收購0day漏洞的平臺，主要以明碼標價、現金獎勵的形式征集漏洞，全世界的黑客都可以把漏洞賣給ZDI。而ZDI作為美情報機構的代理人，則可能將征集到的高價值漏洞轉賣給美情報機構。

5.3.3 通過漏洞懸賞計劃獲取漏洞信息

2016年起，美國防部就啟動了“黑掉五角大樓”（Hack the Pentagon）漏洞懸賞計劃的試點。2023年1月13日，美國防部宣布將發起“黑掉五角大樓3.0”計劃，旨在發現維持五角大樓和相關場地運行操作技術中的漏洞^[25]。這些活動獲取漏洞的真實用途值得懷疑。

2019年1月，美國總統特朗普簽署了一項法案，要求國土安全部在六個月內制定一個測試漏洞的賞金計劃。除了政府部門自身的漏洞懸賞計劃以外，美國本土還有一些知名的漏洞懸賞公司為美軍方和情報機構提供服務，這些公司包括HackerOne、BugCrowd和Synack等。

5.3.4 研發和采購商業惡意代碼+漏洞利用工具

基于安天CERT在《震網事件的九年再復盤與思考》中對方程式組織的惡意代碼工程體系的關系梳理，可以看到其相當長的時間是基于超大規模惡意代碼工程進行“滾動迭代”和積木式更新，安天CERT相對傾向認為NSA在核心行動中惡意代碼體系是長期自研，或者由關系極為密切的承包商來長期承載。

美情報機構購買商用網絡軍火的歷史已經被曝光。2021年7月19日，英國廣播公司（BBC）報道，以色列軟件監控公司NSO向一些國家售賣了一款名為“飛馬”的手機間諜軟件，用以監控各類重點人員甚至他國的相關政要?！帮w馬”軟件可以輕而易舉地入侵蘋果和安卓系統，并輕松截取手機里的各類信息、圖片、視頻、電郵內容、通話記錄，甚至可以秘密開啟麥克風進行實時錄音^[26]。2022年，《紐約時報》的一項調查就揭露FBI曾購買過“飛馬”軟件，此后FBI局長克里斯托弗·雷也承認FBI確實購買了“飛馬”軟件^[27]。

據《紐約時報》2022年7月份報道，在獲得美國情報部門默許下，美國軍事承包商 L3 Harris的高管團隊曾多次訪問以色列，試圖收購“飛馬”軟件的生產商NSO集團^[28]。

總部位于意大利的軟件開發商Hacking Team是一家向多國機構出售間諜軟件工具的公司。美國FBI也是它的客戶，據Wired報道，從2011年起，美國聯邦調查局曾先后共支付了77萬美元購買Hacking Team公司的“伽利略”遠程控制系統^[29]。

必須指出的是：無論是“飛馬”，還是“伽利略”，都可以與“量子”系統的投放機制配合，作為突破得手后，實現持續作業。

5.4 A²PT組織資源運營與作業關系分析

美方情報機構通過公開安全活動、代理人模式、漏洞懸賞合作以及與網絡軍火商采購的模式在全球搜集、采購0day漏洞，并通過與網空防務承包商、電信基礎設施公司和互聯網公司構建網空項目、武器、基礎設施和大數據支撐，依托在全球部署的項目和作業平臺，利用植入、運載和中繼裝備，通過漏洞投放各類高級惡意代碼，針對全球IT目標發起大量攻擊行動，其組織運營和作業關系圖譜推測如下：

圖5?4 A²PT組織的資源運營和作業關系圖譜

6.小結：迎接智能終端設備面臨的A²PT攻擊挑戰

---

由于iOS環境特點，我們針對方程式組織針對iOS攻擊的相關分析工作的展開，比我們之前分析方程式組織針對Windows、Linux、Solaris系統的攻擊和硬盤持久化行為更加艱難。

基于前文提到的分析工作：相關針對iOS移動設備木馬樣本系方程式組織所使用的網絡攻擊武器，與我們與Windows、Linux、Solaris所披露曝光的系列樣本同屬DoubleFantasy攻擊裝備譜系。該木馬可以通過“量子”系統，基于iOS平臺Safari瀏覽器0day漏洞進行遠程植入和執行，并采用加密方法實現明文信息的隱藏，同時在運行之后刪除自身達到內存作業，而無文件落地以對抗取證的目的。

這些分析工作讓方程式組織的攻擊武器對操作系統平臺覆蓋能力的證據拼圖得以進一步完善，對《從方程式到方程組》報告中所編制的圖表進行更新。

表 6?1 方程式攻擊組織多平臺操作系統載荷的曝光過程

我們在本篇報告所分析的相關樣本及其必然存在的后續版本，不僅可以基于iMessage漏洞投放，更可通過“量子”系統，基于手機訪問互聯網的過程來實現更隱蔽的投放。我們對“量子”系統可攻擊目標基于一個參照系進行了枚舉，進行了可攻擊目標圖譜的繪制。

本次相關事件和樣本聚焦于iOS平臺，但這并不代表其他平臺和場景就是安全的。“量子”投放體系、面向瀏覽器和網絡客戶端的漏洞庫，A²PT組織的這個能力體系，具備在幾乎所有PC和移動設備訪問網絡過程中打擊投放的能力。其將全球手機用戶和網民都置于“量子”高懸的達摩克里斯之劍下。在實際作業中，A²PT組織可以針對高價值目標精確打點，而防御方找到受害者卻猶如大海撈針，處于極為困難被動的境地。

但這些都更說明，手機和智能終端的安全性需要進一步提升。

手機等智能終端設備相對于傳統PC節點來說具有更強的個人關聯性，其設備上的數據資產與人本身、及其社交范圍、行動軌跡、行為偏好等存在高度的關聯性，例如定位數據、手機通訊錄、文檔文件、短信通話、照片。通過對設備上的數據資產的收集和分析，能夠對目標人員的工作生活、人員畫像以及周邊環境進行定向精確的畫像分析。近幾年來，手機等智能終端設備不僅為人們提供了日常生活的信息化和智能化便利，也被國內大量政企機構、工業部門等引入作為移動辦公環境（包括生產運營系統的遠程管理）。特別是在廣泛使用的雙因子認證和零信任體系中，手機+SIM卡已經成為核心的令牌設備。一旦手機失陷，攻擊者不僅能收集到與目標人員相關的更高價值的數據資產，更成為入侵政企機構內網的突破口和跳板。

手機等智能終端設備具有遠超傳統PC節點的廣泛感知能力，其帶有多種傳感器（包括帶有GPS傳感器用于獲取高精度定位，加速度傳感器、重力傳感器、陀螺儀和旋轉矢量傳感器）可被用于獲取當前設備的高精度即時動態。除了高精度傳感器外，還有攝像頭、麥克風這種輸入輸出的硬件采集裝置，甚至是基于WiFi、藍牙模塊進行周邊環境和設備的掃描和收集。這種特性使A²PT組織入侵智能手機后可以取得比PC或服務器更豐富的關聯收獲。

手機等智能終端設備有更多的暴露面和可攻擊面，包括終端技術棧層面的攻擊面，涉及硬件、固件、系統和應用，通信層面的攻擊面，涉及WiFi、藍牙、蜂窩網絡、GPS等，供應鏈層面的攻擊面以及系統和互聯網生態下的攻擊面。從設備使用和定位來看，手機等智能終端設備作為消費級的產品，其會基于產品體驗來權衡安全性的設計，并且用戶會通過手機設備從不同的渠道下載應用、瀏覽網站等，但從手機終端防御機制和體系來看，手機設備的安全性防御體系主要依賴于供應商和制造商引入的系統安全管控和緩解機制和應用的威脅檢測防御，一旦突破某些單點安全策略，攻擊和防御就不再對等。再者，由于移動互聯網環境下，國際互聯網廠商過量的信息攫取，經過“棱鏡”等特權接口，也成為超高能力網空威脅行為體能準確定位攻擊目標的來源。

在手機系統中，蘋果安全機制設計長期是被稱道的，其安全體系和封閉式應用生態等降低了系統和設備被一般性攻擊的可能性和安全風險，但在卡巴斯基曝光的事件中，蘋果手機反而成為一個難以有效進行環境分析和取證的“黑箱”。

也許比被APT攻擊更危險的，是霸權主義和單邊主義對世界的撕裂。

安天始終致力于為手機和智能終端、云和其他各種計算環境提供基礎安全能力，這些能力包括了移動惡意代碼檢測、Wi-Fi接入安全、支付安全、掃碼安全等。我們也一直努力支持手機和智能操作系統廠商研發改善安全設計，通過削減攻擊面，增強安全緩解和管控策略，例如引入權限模型，應用生態管控，建立響應體系。我們尊重且敬畏自己的工作，但我們必須指出，手機是一種海量的消費級產品，其更多是面向便利性而設計，面向普通使用者，而非IT管理運營人員使用。手機廠商出廠的原生安全機制，是構建一個良性的基本面，支撐較好的運營和治理基礎。但通用的安全機制，無論多么強勁，都很難對抗使用0day漏洞和專用樣本的APT攻擊，更不是簡單靠安全意識和習慣就能解決的。而即使在消費級智能設備和系統上，寄希望于通過數據和運行環境隔離，設備入網管理和訪問控制，容器級的應用管控等策略，很難完全對抗使用0day漏洞和先進樣本的APT攻擊。對有高安全需求場景的移動終端，需要以基于成熟的商業產品為基礎，基于更專門的投入和保障體系，達成更強的安全防御能力。

與此同時，只有體系化和全生命周期的防御、溯源和獵殺機制，才能對抗體系化和全時間窗口的攻擊，這個戰場既在桌面終端、移動手機終端之上，也在網絡設備和邊界設備（包括安全設備）之上，更在內網和云計算等縱深資產之中。

讓威脅檢測、主動防御等更多安全能力基因化、底層化，從供應鏈層面構建原生融合的安全能力，實現“關口前移，防患于未然”，是我們的始終專注的工作，這些工作將持續塑造一個有利于防御攻擊的供應鏈安全基本面；發現分析溯源曝光高級威脅，是我們始終奮戰的戰場，這些工作不僅持續檢驗和改善我們的核心安全能力，有助于公眾了解網絡空間的風險，有助于關鍵信息基礎設施和政企機構以更真實客觀的敵情想定改善網絡安全能力。

我們將繼續為此付出努力。

參考資料

---

[1] 美國情報機構網絡攻擊的歷史回顧——基于全球網絡安全界披露信息分析

http://www.china-cia.org.cn/home/WorkDetail?id=643368b50200340e00ff4fc7

[2] 探索Duqu木馬身世之謎

https://antiy.cn/research/notice&report/research_report/261.html

[3] Equation: The Death Star of Malware Galaxy

https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/

[4] 震網事件的九年再復盤與思考

https://www.antiy.com/response/20190930.html

[5] 從“方程式”到“方程組”EQUATION攻擊組織高級惡意代碼的全平臺能力解析

https://www.antiy.com/response/EQUATIONS/EQUATIONS.html

[6] Operation Triangulation: iOS devices targeted with previously unknown malware

https://securelist.com/operation-triangulation/109842/

[7] Bvp47 美國NSA方程式的頂級后門

https://mp.weixin.qq.com/s/WTlRPzUv3npV8xd9KRJoQw

[8] 方程式（EQUATION）部分組件中的加密技巧分析

https://www.antiy.com/response/Equation_part_of_the_component_analysis_of_cryptographic_techniques.html

[9] 修改硬盤固件的木馬-探索方程式（EQUATION）組織的攻擊組件

https://www.antiy.com/response/EQUATION_ANTIY_REPORT.html

[10] 美國國家安全局（NSA）“狐酸”漏洞攻擊武器平臺技術分析報告

https://www.cverc.org.cn/head/zhaiyao/news20220629-FoxAcid.htm

[11] “方程式組織”攻擊SWIFT服務提供商EastNets事件復盤分析報告

https://www.antiy.com/response/20190601.html

[12] The nsa hacks other countries by buying millions of dollars worth of computer vulnerabilities

http://www.washingtonpost.com/blogs/the-switch/wp/2013/08/31/the-nsa-hacks-other-countries-by-buying-millions-of-dollars-worth-of-computer-vulnerabilities/

[13] 10 Things You Need To Know About 'Wikileaks CIA Leak'

https://thehackernews.com/2017/03/wikileaks-cia-vault7-leak.html

[14] 美國NSA主導的VEP-《漏洞公平裁決政策和程序》的是是非非

https://www.ics-cert.org.cn/portal/page/122/e999bf92e06f42b89800faf420b45b14.html

[15] 維基百科：NOBUS

https://en.wikipedia.org/wiki/NOBUS

[16] Aris. Dual_EC_DRBG Backdoor: a Proof of Concept

https://blog.0xbadc0de.be/archives/155

[17] The intelligence coup of the century’For decades, the CIA read the encrypted communications of allies and adversaries.

https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage/

[18] 安天針對勒索蠕蟲“魔窟”（WannaCry）的深度分析報告

https://www.antiy.com/response/wannacry.html

[19] 《關于系統化應對NSA網絡軍火裝備的操作手冊》

https://www.antiy.com/response/Antiy_Wannacry_NSA.html

[20] Pwn2Own list of notable hacks is incomplete

https://en.wikipedia.org/wiki/Pwn2Own

[21] Five Reasons I Want China Running Its Own Software

https://taosecurity.blogspot.com/2017/03/five-reasons-i-want-china-running-its.html

[22] NSA Surveillance Has No Boundaries, Expert Says

https://threatpost.com/nsa-surveillance-has-no-boundaries-expert-says/103355/

[23] The U.S. Government and Zero-Day Vulnerabilities.

https://jia.sipa.columia.edu/sites/default/files/attachments/Healey%20VEPpdf

[24] 6 months later, Spectre still haunts.

https://securityboulevard.com/2018/07/6-months-later-spectre-still-haunts/

[25] Hack the Pentagon 3.0 Bug Bounty Program to Focus on Facility Control Systems

https://www.securityweek.com/hack-pentagon-30-bug-bounty-program-focus-facility-control-systems/

[26] REGULATING THE ZERO-DAY VULNERABILITY TRADE:A PRELIMINARY ANALYSIS

https://fsi-live.s3.us-west-1.amazonaws.com/s3fs-public/fidler-second-review-changes-made.pdf

[27] Pegasus: Spyware sold to governments 'targets activists'

https://www.bbc.co.uk/news/technology-57881364

[28] FBI acknowledges it tested NSO Group’s spyware

https://www.washingtonpost.com/technology/2022/02/02/pegasus-fbi-nso-test/

[29] L3 Harris in talks to buy Israeli spyware firm NSO

https://www.reuters.com/markets/deals/l3harris-talks-buy-israeli-spyware-firm-nso-reports-2022-06-15/

[30] The FBI Spent $775K on Hacking Team's Spy Tools Since 2011

https://www.wired.com/2015/07/fbi-spent-775k-hacking-teams-spy-tools-since-2011/

[31] Shadow Brokers reveals list of Servers Hacked by the NSA

http://thehackernews.com/2016/10/nsa-shadow-brokers-hacking.html

[32] A Fanny Equation: "I am your father, Stuxnet"

http://securelist.com/blog/research/68787/a-fanny-equation-i-am-your-father-stuxnet/

[33] Equation Group: from Houston with love

http://securelist.com/blog/research/68877/equation-group-from-houston-with-love/

[34] Equation_group_questions_and_answers

https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

我們對本報告會繼續修訂更新，請持續關注。