网络战序幕：美国国安局NSA（APT-C-40）对全球发起长达十余年无差别攻击

从2008年开始，360云端安全大脑整合海量安全大数据，独立捕获大量高级复杂的攻击程序，通过长期的分析与跟踪并实地从多个受害单位取证，结合关联全球威胁情报，以及对斯诺登事件、“影子经纪人”黑客组织的持续追踪，确认了这些攻击属于美国国安局NSA组织，进而证实了NSA长期对我国开展极为隐蔽的攻击行动。

与此同时，360公司与系列行业龙头共建了APT高级威胁研究实验室，依托360的安全大数据和企业自身的安全能力，发现了美国国家安全局针对系列行业龙头企业长达十余年时间的攻击活动，随后将NSA及其关联机构单独编号为APT-C-40。

顶级网络战武器库“独步全球”

2013年，前美国中央情报局（CIA）职员、美国国家安全局（NSA）外包技术员爱德华·斯诺登向全世界揭发美国政府收集用户数据信息的丑闻，并泄漏了NSA组织大量网络战机密文档资料，这起美国历史上最严重的泄密事件轰动全球。经此一事，“网络战”及“国家级网络威胁”等概念为全世界所认知，作为国内领先的网络安全公司，360开始重点研究跟进。360是国内第一批有意识追踪高级别网络威胁的安全公司，并率先提出了APT概念。

之后2016年、2017年黑客组织“影子经纪人”又公开了被NSA组织应用的网络武器的样本，NSA组织大规模高危网络作战武器及配套组件逐一曝光。在此期间，360依托海量安全大数据的情报视野，看到各行各业相继沦陷于NSA网络武器攻击之下，360安全团队积极推出各种包括永恒之蓝武器库防御方案和漏洞补丁等配套防护工具，全力抵御NSA武器库攻击。

一、QUANTUM（量子）攻击系统

QUANTUM（量子）攻击系统是NSA发展的一系列网络攻击与利用平台的总称，其下包含多个子项目，均以QUANTUM开头命名。它是NSA最强大的互联网攻击工具，也是NSA进行网络情报战最重要的能力系统之一，最早的项目从2004年就已经开始创建。

从文档中不难看出，在NSA的三个主要网络战方向（CNE、CNA、CND）中，QUANTUM均有相关项目。NSA利用美国在全球网络通讯和互联网体系中所处的核心地位，利用先进技术手段实现对网络信号的监听、截获与自动化利用，QUANTUM项目的本质就是在此基础上实现的一系列数据分析与利用能力。

二、FOXACID（酸狐狸）0Day漏洞攻击平台

QUANTUM（量子）攻击经常配套使用的是代号为FOXACID（酸狐狸）的系统。FOXACID是NSA设计的一个威力巨大的0Day漏洞攻击平台，并且可以对漏洞攻击的主要步骤实施自动化，劫持网络运营商的正常网络流量，是一件威力巨大的“大规模入侵工具”。根据NSA机密文档介绍，FOXACID服务器使用了各种浏览器0Day漏洞，比如Flash、IE、火狐浏览器漏洞，用于向计算机目标植入木马程序。

而从现有情报来看，FOXACID在2007年之前就已经开始投入运作，直到2013年仍有其使用的痕迹，以此估算其使用时间至少长达八年之久。NSA依靠与美国电信公司的秘密合作，把FOXACID服务器放在Internet骨干网，保证了FOXACID服务器的反应速度要快于实际网站服务器的反应速度。利用这个速度差，QUANTUM（量子）注入攻击可以在实际网站反应之前模仿这个网站，迫使目标机器的浏览器来访问FOXACID服务器。

三、Validator（验证器）后门

Validator（验证器）是用于FOXACID项目的主要后门程序之一，一般被用于NSA的初步入侵，通过其再植入更复杂的木马程序，比如UNITEDRAKE（联合耙），每个被植入的计算机系统都会被分配一个唯一的验证ID。

根据NSA机密文档的描述，Validator主要配合FOXACID攻击使用，基于基本的C/S架构，为敏感目标提供了可供接触的后门。Validator可以通过远程和直接接触进行部署，并提供了7x24小时的在线能力。Validator是一种很简单的后门程序，提供了一种队列式的操作模式，只能支持上传下载文件、执行程序、获取系统信息、改变ID和自毁这类简单功能。

四、UNITEDRAKE（联合耙）后门系统

UNITEDRAKE（联合耙），是NSA开发的一套先进后门系统。360安全专家通过对泄露的相关文档进行分析，UNITEDRAKE的整体结构大致分为5个子系统，分别是 服务器、系统管理界面、数据库、模块插件集和客户端，其关系如下所示：