美國機密反恐計劃！軍方黑客行動「Slingshot」曝光

最新 03-24

E安全3月22日訊 2018年3月9日，卡巴斯基發布報告揭露了一起潛伏6年的「彈弓」（Slingshot）網路間諜行動。攻擊者通過非洲和中東多國被入侵的路由器感染數千台設備，這些國家包括阿富汗、伊拉克、肯亞、蘇丹、索馬利亞、土耳其和葉門。

研究人員將此次發現的惡意軟體稱為 Slingshot，並將該軟體背後的組織命名為 Slingshot 。安全公司在發現惡意軟體及黑客組織時，常用這種命名方式。

卡巴斯基的研究人員推測，Slingshot 至少自2012年開始活動，直到2018年2月仍在活躍，潛伏時間長達6年之久。

Slingshot 為美軍搜集情報

卡巴斯基並未在報告中將該行動歸因到某個國家或政府，只是將其描述為高級持續威脅（APT）。但幾名前任與現任美國情報官員向美媒透露， Slingshot 代表的是美國特種作戰司令部（SOCOM）下屬聯合特種作戰司令部（JSOC）運作的一項軍事計劃。

卡巴斯基的研究人員稱，這起複雜的間諜活動可以傳播具有高度入侵性的惡意軟體，以便從被感染的設備竊取大量數據。

消息人士透露， Slingshot 通過感染恐怖分子常用的電腦，幫助美國軍方和情報界收集相關情報。這些目標電腦通常位於發展中國家的網吧，因為「伊斯蘭國」（ISIS）和基地組織（al-Qaeda）目標通常會在網吧收發消息。這幾名消息人士不願透露姓名，因為這涉及保密計劃，他們擔心暴露姓名可能會導致美國失去一個有價值的長期監控計劃，並且會為士兵的生命安全構成威脅。

Slingshot 計劃被揭露，也代表著由美國特種作戰司令部（SOCOM）領導的網路間諜行動首次被曝光。SOCOM 一向負責在敵方領土部署精銳部隊執行前線任務。過去十年間，SOCOM 在全球反恐戰中發揮了重要作用，執行了多項保密任務，包括殺死基地組織頭目本·拉登。

Slingshot 輔助聯合特種作戰司令部（JSOC）執行前線任務。一名前美國情報官員透露，卡巴斯基的調查結果可能已經使美國方面放棄並摧毀用來管理這個監控計劃的某些數字基礎設施。因為美軍標準程序是：一旦被發現就直接摧毀。儘管美國已經習慣處理這類事件，但這種情況仍很糟糕。

據多名學者透露，雖然美國特種作戰司令部（SOCOM）本質上並不是一個情報機構，但涉足網路行動已有一段時間，SOCOM 在內部將網路行動稱之為「特殊偵察」。大多數這些行動通常會結合人工情報（HUMINT）和信號情報（SIGINT）抓捕恐怖分子。

隨著全球反恐戰在不斷升級，美國大多數作戰司令部都採取了舉措，並獲得了大量資金來提升間諜能力。從美軍資源的爆炸性增長中獲益最多的其中一個軍事單位就是 SOCOM，在軍事行動方面，許多人將它形容成「矛頭」。

一名高級美國情報軍官表示，SOCOM 許多下屬部隊都擁有獨立的網路能力。過去十年間，SOCOM 以非常特別的方式實施網路行動。如果一項行動中涉及網路攻擊， SOCOM 要麼得到了美國網路司令部的支持，要麼就是依賴各部隊的小中隊。

約2007年，美國一個名為「計算機網路作戰中隊」（簡稱CNOS）的黑客組織由 JSOC 指揮運作。儘管 CNOS 的總部設在弗吉尼亞州北部，但它會幫助中東地區的秘密特工協調任務，有時會入侵網吧和當地的電信公司。加拿大記者肖恩·奈勒曾在其著作《Relentless Strike: The Secret History of Joint Special Operations Command》中首次提到黑客組織 CNOS。

奈勒寫到，CNOS 成員可能駐紮在世界各地，包括NSA總部馬里蘭州的米德堡和 CIA 總部所在地弗吉尼亞州蘭利。CNOS 與 CIA存在密切的聯繫，這就進一步模糊了美國情報界和軍事機構原本已模糊的界限。

奈勒在書中提到一起案例，CNOS 通過擊鍵識別軟體感染了一台恐怖分子的電腦；有時會秘密啟用目標電腦的網路攝像頭，進而讓特別行動小組主動識別目標。卡巴斯基發現的「Slingshot」程序具有類似的功能。

美國特種作戰司令部（SOCOM）獨有的結構提供了一種簡單的方法來利用長期的情報計劃，其原因在於該司令部可在全球範圍內快速組織並部署部隊。

CNOS 黑客組織這樣的團隊可經地區作戰司令部批准後，與情報機構密切合作，JSOC與 CIA就曾合作過。奈勒在書中援引一名美軍情報官員的話寫到，美軍在聯合特種作戰司令部（JSOC）內保留 CNOS 黑客組織是因為，美軍希望該組織在全球範圍內完成「國家目標」，CNOS 就曾入侵伊拉克的網路。

Slingshot背後的黑客組織身份猜想

卡巴斯基一名研究人員表示，Slingshot 行動是迄今為止發現的最先進、最複雜的間諜行動之一。Slingshot 的創建者採用許多步驟隱藏身份和目的，這加大了研究的難度。

卡巴斯基首席安全研究員庫爾特·鮑姆加特納稱，Slingshot 的幕手黑手是他見過的技術最先進的黑客組織之一。Slingshot 的大部分代碼非常獨特，之前從沒見過…研究人員認為，Slingshot 或許與 Equation Grayfish 和 White Lambert 有一些相似之處。

Grayfish 是一款與「方程式黑客組織」（Equation Group）有關聯的軟體植入程序（Implant）。業界廣泛認為，方程式組織與 NSA 有關。

Lamberts 背後的黑客組織與 CIA 有關聯。

與「方程式組織」和 Lambert 行動有關的黑客工具均用英語編寫，這一點與 Slingshot 一致。另外，Slingshot 也使用了截然不同的軟體驅動程序濫用技術，將惡意代碼安裝到目標系統上。Slingshot 、 Equation Grayfish 、 White Lambert 這三款惡意軟體是目前發現的唯一使用這種驅動程序濫用方法的軟體。

某些研究人員認為 Slingshot 出自「五眼聯盟」（澳大利亞、加拿大、紐西蘭、英國和美國）之手，但卡巴斯基並不確定。外媒致信卡巴斯基，詢問 Slingshot 是否出自美軍之手，但未得到回復。

卡巴斯基指出，惡意軟體 Slingshot 包含不同的模塊，每個模塊都有不同的標題，例如 Gollum、Cahnadr 或 NeedleWatch。在斯諾登泄露的文件中，有一份發佈於2015年的 NSA 備忘錄，其中將 Gollum 描述為 NSA 之外另一機構使用的「Partner Implant」。這份備忘錄在五眼聯盟之間傳閱，討論的是建立可訪問數據管道的必要性，即從遭遇感染的電腦（活躍的 Implant 隱藏在其中）提取信息。

除了 Gollum，Slingshot 利用 Mikrotik 路由器的方式也可追根溯源到 CIA。維基解密曝光的 Vault 機密文件顯示，至少自2015年以來，CIA 就一直有意感染 Mikrotik 設備，目前這些產品在中東和東南亞很受歡迎。

美國國家情報總監辦公室、NSA 和美國特種作戰司令部（SOCOM）的發言人均拒絕發表評論。