代号“大理石”！美国网络武器更多细节被中方公开

　　今年4月15日、7月8日，中国国家计算机病毒应急处理中心等机构连续发布了两次专题报告，揭露了美方利用所谓“伏特台风”虚假叙事行动计划对我国抹黑的真实意图。

　　今天（14日）我国网络安全机构第三次发布专题报告，进一步公开美国政府机构和“五眼联盟”国家针对中国和德国等其他国家，以及全球互联网用户实施网络间谍窃听、窃密活动，并掌握了美国政府机构通过各种手段嫁祸他国的相关证据，另外还有他们采取“供应链”攻击，在互联网设备产品中植入后门等事实，彻底揭穿所谓“伏特台风”这场由美国联邦政府自导自演的政治闹剧。

　　美研发嫁祸他国隐身“工具包”

　　代号“大理石”

　　报告显示，长期以来，美国在网络空间积极推行“防御前置”战略，并实施“前出狩猎”战术行动，也就是在对手国家周边地区部署网络战部队，对这些国家的网上目标进行抵近侦察和网络渗透。为适应这种战术需要，美国情报机构专门研发了掩盖自身恶意网络攻击行为、嫁祸他国的隐身“工具包”，代号“大理石”。

　　国家计算机病毒应急处理中心高级工程师 杜振华：它的功能主要是对这种网络武器，也就是像间谍软件或者这些恶意程序当中的代码中的这些可识别的特征进行混淆，甚至是擦除。这样起到了一个效果，就像是把开发者的指纹给擦除了，也相当于像把枪械武器的膛线改变了，所以这样就造成从技术上对这种武器的来源的溯源就变得非常困难。

　　技术团队调查发现，根据“大理石”工具框架源代码及其注释显示，它被确定为一个机密级（且不可向国外透露）的武器研发计划，起始时间不晚于2015年。“大理石”工具框架可以使用超过100种混淆算法，它能将源代码文件中可读的变量名、字符串等替换为不可读（不可识别）内容，并且可以插入特定的干扰字符串。

　　国家计算机病毒应急处理中心高级工程师 杜振华：我们可以看到这里边有阿拉伯语，有中文，有俄语，有朝鲜语，还有波斯语，那么他在缓冲区做好混淆的这种数据之后，那么会把缓冲区的数据写入到指定的位置，或者是相应的程序的文件当中，那么实现对这种网络武器的痕迹的故意的植入。

　　安天科技集团技术委员会副主任 李柏松：这是一种在网络攻击中比较常见的手段，相当于是，比如说a组织，他把自己伪装成了b组织，而这种伪装可以在好多个不同的环节出现。比如说他在架设他的命令控制服务器的过程中，比如说在他的窃密的木马开发过程中，好多个阶段都可以用这样的一些手法。而这个就使得他的攻击变得很难去溯源。