实锤！涉美CIA攻击组织对中国关键领域网络攻击，长达11年(3)

　　以上约书亚的个人经历和泄露的信息，为我们提供了重要线索，而其研发并由美国检方公诉人证实的核心网络武器“Vault7(穹窿7)”，成为实锤APT-C-39隶属于美国中央情报局CIA的重要突破口。

　　五大关联证据实锤

　　APT-C-39组织隶属于美国中央情报局

　　以“Vault7(穹窿7)” 为核心关联点，再透过约书亚以上一系列经历与行为，为我们定位APT-C-39组织的归属提供了重要线索信息。此外，再综合考虑该APT-C-39网络武器使用的独特性和时间周期，360安全大脑最终判定：该组织的攻击行为，正是由约书亚所在的CIA主导的国家级黑客组织发起。具体关联证据如下：

　　证 据 一

　　APT-C-39组织使用了大量CIA"Vault7(穹窿7)"项目中的专属网络武器

　　研究发现，APT-C-39组织多次使用了Fluxwire，Grasshopper等CIA专属网络武器针对我国目标实施网络攻击。

　　通过对比相关的样本代码、行为指纹等信息，可以确定该组织使用的网络武器即为“Vault7(穹窿7)” 项目中所描述的网络攻击武器。

　　证 据 二

　　APT-C-39组织大部分样本的技术细节与“Vault7(穹窿7)”文档中描叙的技术细节一致

　　360安全大脑分析发现，大部分样本的技术细节与“Vault7(穹窿7)” 文档中描叙的技术细节一致，如控制命令、编译pdb路径、加密方案等。

　　这些是规范化的攻击组织常会出现的规律性特征，也是分类它们的方法之一。所以，确定该组织隶属于CIA主导的国家级黑客组织。

　　证 据 三

　　早在“Vault7(穹窿7)”网络武器被维基解密公开曝光前，APT-C-39组织就已经针对中国目标使用了相关网络武器

　　2010年初，APT-C-39组织已对我国境内的网路攻击活动中，使用了“Vault7(穹窿7)”网络武器中的Fluxwire系列后门。这远远早于2017年维基百科对“Vault7(穹窿7)”网络武器的曝光。这也进一步印证了其网络武器的来源。

　　在通过深入分析解密了“Vault7(穹窿7)” 网络武器中Fluxwire后门中的版本信息后，360安全大脑将APT-C-39组织历年对我国境内目标攻击使用的版本、攻击时间和其本身捕获的样本数量进行统计归类，如下表：

　　从表中可以看出，从2010年开始，APT-C-39组织就一直在不断升级最新的网络武器，对我国境内目标频繁发起网络攻击。

　　证 据 四

　　APT-C-39组织使用的部分攻击武器同NSA存在关联

　　WISTFULTOLL是2014年 NSA泄露文档中的一款攻击插件。

　　在2011年针对我国某大型互联网公司的一次攻击中，APT-C-39组织使用了WISTFULTOOL插件对目标进行攻击。

　　与此同时，在维基解密泄露的CIA机密文档中，证实了NSA会协助CIA研发网络武器，这也从侧面证实了APT-C-39组织同美国情报机构的关联。

　　证 据 五

　　APT-C-39组织的武器研发时间规律定位在美国时区

　　根据该组织的攻击样本编译时间统计，样本的开发编译时间符合北美洲的作息时间。

　　恶意软件的编译时间是对其进行规律研究、统计的一个常用方法，通过恶意程序的编译时间的研究，我们可以探知其作者的工作与作息规律，从而获知其大概所在的时区位置。

　　下表就是APT-C-39组织的编译活动时间表(时间我们以东8时区为基准)，可以看出该组织活动接近于美国东部时区的作息时间，符合CIA的定位。(位于美国弗吉尼亚州，使用美国东部时间。)

　　综合上述技术分析和数字证据，我们完全有理由相信：APT-C-39组织隶属于美国，是由美国情报机构参与发起的攻击行为。