斯诺登事件迄今已近十年，伴随着棱镜门的曝光，国家级网络攻击行为逐渐浮出水面。早在此前，已有多方信息显示，美相关机构利用其技术和先发优势针对他国开展网络攻击行为。为系统呈现美情报机构开展全球网络攻击活动的情况，中国网络安全产业联盟（CCIA）精心编制，并于今日发布了《美国情报机构网络攻击的历史回顾基于全球网络安全界披露信息分析》（以下简称《报告》）。

　　《报告》立足网络安全专业视角，坚持科学、客观、中立原则，基于全球数十家网络安全企业、研究机构及专家学者的近千份研究文献，充分整合各方分析过程及研究成果，力求通过业界和学界的分析实证，努力呈现美相关机构对他国进行网络攻击的情况，揭示网络霸权对全球网络空间秩序构成的重大破坏及严重威胁。

　　《报告》按照时间和事件脉络，共分为13篇，主要包括美国情报机构网络攻击他国关键基础设施，进行无差别网络窃密与监控，植入后门污染标准及供应链源头，开发网络攻击武器并造成泄露，所售商用攻击平台失控而成为黑客利器，干扰和打压正常的国际技术交流与合作，打造符合美国利益的标准及秩序，阻碍全球信息技术发展，制造网络空间的分裂与对抗等。

　　第一篇 网络战的开启对震网事件的分析

　　2010年美国情报机构使用震网病毒（Stuxnet）攻击伊朗核设施，打开了网络战的潘多拉魔盒。在信息技术发展历史上，出现过大量网络病毒和攻击事件，但震网事件是首个得到充分技术实证、对现实世界中的关键工业基础设施造成了与传统物理毁伤等效的网络攻击行动。全球网络安全厂商与专家的接力分析，对这次攻击行动进行了十分充分的画像，逐步将幕后黑手锁定美国情报机构。

　　2010年6月，白俄罗斯网络安全公司VirusBlokAda技术人员在伊朗客户电脑中发现了一种新的蠕虫病毒，根据代码中出现的特征字stux将其命名为Stuxnet；

　　2010年9月，美国网络安全厂商赛门铁克披露震网病毒的基本情况、传播方法、攻击目标，及病毒演化过程；

　　俄罗斯网络安全厂商卡巴斯基针对震网病毒先后发表数十篇报告，从功能行为、攻击目标、漏洞利用、规避对抗、命令和控制服务器等多方面进行全面分析，尤其讨论了震网病毒所利用的LNK漏洞和具有签名的驱动程序，并指出如此复杂的攻击只能在国家支持下才可进行；

　　中国网络安全厂商安天陆续发布3篇报告，分析震网病毒的攻击过程、传播方式、攻击意图、文件衍生关系和利用的多个零日漏洞、更新方式及USB摆渡传播条件的技术机理，总结其攻击特点和对工业控制系统现场设备的影响过程，并推测可能的攻击场景，搭建环境模拟其对工控系统的攻击过程；

　　2013年11月，德国IT安全专家拉尔夫朗纳（Ralph Langner）先后发表两篇文章，将震网事件称为网络战的教科书范例，基于对震网病毒两个版本及攻击事件的跟踪研究，概括性地勾画了网络战产生物理性战果的具体实现方法和作战流程。

　　第二篇 震网之后的连锁反应对毒曲火焰高斯的跟进分析

　　全球网络安全厂商逐步证实更加复杂的毒曲（Duqu）火焰（Flame）以及高斯(Gauss)等病毒与震网同源，与其同期甚至更早前就已经开始传播。

　　2011年10月，匈牙利安全团队CrySyS发现了一个与震网非常类似的病毒样本，称之为Duqu （毒曲），在与震网进行对比后，研究人员确定二者极具相似性；

　　2011年10月，赛门铁克发布报告，详细分析了毒曲病毒的全球感染情况、安装过程及加载逻辑;

　　卡巴斯基从2011年10月起，陆续发布了关于毒曲病毒的十篇分析报告，认为毒曲是一个多功能框架，具有高度可定制性和通用性。2015年6月，卡巴斯基捕获到了毒曲病毒对其进行的攻击，分析认为攻击者意图监控并窃取其源代码，只有国家支持的团队才有能力做到；