Quantum（量子）攻击的实施过程分析

美国国家安全局（NSA）为了监控全球互联网目标，制定了众多的作战计划，相关计划涉及的具体任务会通过Quantum（量子）系统平台实施，从分析中可推测，在实施过程中所采集的大量数据都在用戶毫不知情的情况下获得，渗透技术使得美国本土公民和世界其他国家网民的个人隐私得不到应有的保护，公民隐私权遭到不同程度的侵犯。

当美国国家安全局或联邦政府其它部门下达的黑客攻击任务提交到Quantum（量子）系统后，攻击实施人员首先会针对攻击目标的网络通信流量进行监听，对被攻击目标访问的特定网站进行定向网络劫持，然后通过各类0day（零日）漏洞向目标上网终端中植入VALIDATOR（验证器）等以环境探查为目的后门程序，完成初始情报收集。随后，安装更多先进的后门程序，进行一系列精密复杂的网络渗透攻击，最终完成情报收集任务。目标上网终端中存储的静态文件、上网流量及通讯内容，全都在美国国家安全局的窃密之列。

QUANTUM（量子）攻击的完整实施过程分为以下三个阶段，现已完全实现了工程化、自动化：

第一阶段

QUANTUM（量子）攻击实施者会首先对被攻击目标进行网络定位，整个定位过程是通过NSA持有的一整套“QUANTUM   Capabilities”（量子能力），网络黑客攻击工具完成，这些工作具有对全球互联网巨头网络流量的远程劫持操控能力。据NSA机密文档显示，“QUANTUM   Capabilities”（量子能力）的定位操作除了针对特定IP，更重要的是能够针对电子邮箱、社交网络、搜索引擎、视频网站等全球网民使用最多的互联网服务及不同的网站账号进行远程定位，快速找出攻击目标，所处的网络及上网地点。

Quantum（量子）攻击系统任务操作介绍第12页

第二阶段

目标定位完成后，QUANTUM量子攻击操作会进入被NSA称之为“QUANTUM  SIGDEV”（量子监控）的阶段，该阶段的主要任务是全面监控攻击目标的互联网账号等相关网络通信内容和其它网络活动。如下图美国国家安全局（NSA）机密文档所示，美国国家安全局（NSA）的Quantum（量子）攻击系统后台显示了如何监控Yahoo（雅虎）、Facebook（脸书）和Hotmail等美国互联网产品网络注册用户的部分细节，表明美国国家安全局实际上正在对全球各地使用美国互联网产品的用户实施无差别监控。

Quantum（量子）攻击系统任务操作介绍第14页

第三阶段

QUANTUM（量子）攻击操作进入被NSA称为“QUANTUMNATION”（量子国界）的阶段，“NATION”代号具有一定的网络空间边界和国家边界的含义。360云端安全大脑目前发现的美国国家安全局（NSA）对外实施的大部分网络黑客攻击是针对其他国家用户的漏洞攻击，攻击过程中，NSA会向目标用户上网终端植入以VALIDATOR（验证器）为代表的NSA后门程序，长期潜伏在目标用户上网终端中，再通过这些后门程序发 起更多复杂的网络攻击渗透。如下图NSA机密文档所示，Quantum（量子）攻击系统正在对目标用户访问的Facebook（脸书）网站实施CNE（网络情报收集）攻击任务，NSA的Quantum（量子）攻击系统后台显示了受害目标用户访问Facebook（脸书）时，NSA实施漏洞攻击的确切时间，同时还标记了受害者网络浏览器类型等隐私信息。

Quantum（量子）攻击系统任务操作介绍第24页

我们完整的还原了APT-C-40组织对中国境内特定机构发起的黑客攻击和数据窃密事件。

Quantum（量子）注入攻击的完整实例分析

通过以上章节分析可知，Quantum（量子）攻击系统是一个异常复杂和精密的先进网络攻击平台。360大数据视野中发现了大量APT-C-40组织实施的QUANTUMINSERT（量子注入）类型的攻击痕迹，这些攻击实例中包含了用FoxAcid（酸狐狸）网站仿冒服务器实施漏洞利用攻击，向受害者植入以VALIDATOR（验证器）、UNITEDRAKE（联合耙）等为代表的NSA专属后门程序，大量窃取受害者个人隐私和上网数据等内容。

FoxAcid（酸狐狸）攻击武器在执行漏洞攻击任务时，需要有QUANTUMINSERT（量子注入）和QUANTUMBISCUIT（量子饼干）两个Quantum（量子）系统模块支持，劫持并向FoxAcid（酸狐狸）提供最基础网络流量，FoxAcid（酸狐狸）攻击武器利用各种主流浏览器和Flash等应用程序的0day漏洞对目标对象实施攻击，再向其上网终端中植入初始后门程序。

从QUANTUMINSERT（量子注 入）的原理分析看，NSA利用网络响应速度差来实现Quantum（量子）注入攻击，劫持全球互联网上任意终端设备的正常网页浏览量。NSA把FoxAcid（酸狐狸）服务器部署在互联网骨干网中，可使网络攻击受害者在真实网站服务器响应之前接收到NSA量子攻击劫持后的假冒服务器响应，迫使受害者重定向访问NSA的FoxAcid仿冒网站或网页资源。

Quantum（量子）注入攻击在安全业界又被归类定义为MotS（Man on the Side）旁路型中间人攻击，我们观察到的完整Quantum（量子）注入攻击过程如下图所示：

在完整的攻击实例中，Quantum（量子）注入攻击伪造的HTTP重定向报文会先于正常响应报文到达用户上网终端。

攻击过程中，由美国国家安全局（NSA）伪造的数据包和正常的网络数据包会带有相同的序列号（Sequence），对受害者上网终端形成欺骗。

在真实的Quantum（量子）系统注入攻击实例中，我们发现量子注入攻击的实施方式异常复杂，呈现出分布式跳板节点的特征。面对这种定向、瞬时、分布式攻击情况，安全人员难以准确定位网络链路中的哪一跳节点具体实施了量子注入攻击，也极难捕获完整的量子注入攻击过程。但即使在如此艰难和复杂的攻防场景下，360云端安全大脑仍依靠独一无二的安全大数据能力，捕获了大量美国国安全局（NSA）的Quantum（量子）注入攻击的专用后门程序武器样本。

从被公开揭露的NSA机密文档《QUANTUM Shooter SBZ  Notes》内容可以印证：

QUANTUM Shooter SBZ Notes

1. NSA需要在网络传输线 路上建立被动监听节点，持 续不断窃取信道中的网络信号数据，并实现高速解码和条件匹配，这一项目被NSA称为TURMOIL（混乱，与量子攻击系统配套的后门监听系统），该系统需要具备极高性能，以确保对窃取到的网络数据包解码匹配时间尽可能短。

2.一个具体场景是，当NSA网络攻击受害者利用访问Facebook（脸书）等美国网站，相关访问流量数据包会被TURMOIL系统定时监听并解析匹配，一旦匹配到NSA想要入侵的攻击目标，Quantum（量子）攻击平台就会通过TURBINE（涡轮，量子攻击系统配套的后门植入工具）向感染SBZ（StraitBizarre，一种可以实施量子注入攻击的跳板后门）的网络设备发送命令，控制SBZ向受害者上网终端发送伪造的量子注入数据包，相关数据包通常是进行HTTP重定向，迫使受害者访问FoxAcid服务器。

3.SBZ节点又被归类为QUANTUM Shooter（量子射手）节点，由于NSA要保证SBZ发送的数据包先于正常服务器响应数据包到达受害者，相关节点必须离受害者足够“近”（网络延迟足够低）。同时，为了保证攻击成功率，相关节点也会出现分布式攻击情况。由于这种攻击手法常常用于对特定受害者发动定向攻击，使QUANTUM  Shooter（量子射手）节点的攻击行为同时具备了定向性、瞬时性和分布式特点，导致极难被追踪分析。

小结

美国国家安全局（NSA）的全球化无差别黑客入侵行径，离不开庞大而复杂的网络武器平台支持。本报告针对QUANTUM（量子）攻击系统的应用场景和攻击实施过程进行的技术分析，结合360云端安全大脑视野发现的真实案例，全面印证了美国国家安全局（NSA）针对全球互联网用户实施大规模无差别网络攻击的详细情况，也引发了我们的进一步思考：

1.美国NSA网络武器攻击已完全实现了工程化、自动化。网络战时代到来，网络武器的自动化、智能化优势成为超越信息优势的“进阶优势”，而NSA组织的QUANTUM（量子）系统可能仅是冰山一角，美国或掌握着更多更高度工程化的网络攻击平台，其自动化的“思考”速度和质量，极大提高了美国自主作战系统实现制胜目标的优势，也为全球网络安全带来无穷隐忧。

2.为实施并制胜网络战，美国政府充分利用一切先进技术和网络资源。美国有着全球最先进的互联网技术，这是尽人皆知的，但为了掌握网络战主导权，美国将诸如QUANTUM（量子）攻击系统等大量顶级技术手段、高端人才、情报力量纳入作战序列，由此可见，美国对发展网络作战力量的重视程度，并不计成本地投入资源、增加筹码。

3.美国的网络攻击属于无差别攻击，目标是全球范围，甚至包括美国盟友。由上述分析可见，美国针对各类电子邮箱、社交网络、搜索引擎、视频网站等几乎所有互联网用户发起无差别的网络攻击，美国的网络战略打击是全球性的、无节制的，在美国网络攻击的镰刀之下，没有哪一国能独善其身。

4.美国的网络战战略，或不仅限于网络窃密。通过公开的资料已知，美国已经完成了其网络战战略目标第一步——网络窃密，像斯诺登还有维基百科爆料的“棱镜”计划都属于这一范畴，但不排除美国的下一步目标野心将更大。一旦通过在对手的电脑网络中安插硬件或软件后门，实现关键目标远程操控，包括军事系统、国家公共安全领域的服务器、民航公路铁路交通系统的主机、银行金融系统的服务器等，如果美国更大的战略目标实现，其对手将毫无谈判余地。

本文系观察者网独家稿件，未经授权，不得转载。