2024年2月1日,美國(guó)國(guó)會(huì)眾議院“中國(guó)問(wèn)題特別委員會(huì)”舉行了“中國(guó)對(duì)美國(guó)國(guó)土和國(guó)家安全的網(wǎng)絡(luò)威脅”聽(tīng)證會(huì)�����。會(huì)議圍繞2023年5月被美國(guó)微軟公司披露的名為“伏特臺(tái)風(fēng)”(Volt Typhoon)且所謂“具有中國(guó)政府支持背景的黑客組織”展開(kāi)討論���,稱(chēng)其對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施發(fā)動(dòng)了網(wǎng)絡(luò)攻擊并試圖進(jìn)一步實(shí)施破壞,給美國(guó)國(guó)家安全造成嚴(yán)重威脅��。
“伏特臺(tái)風(fēng)”是何方神圣�����?其與中國(guó)政府的關(guān)聯(lián)證據(jù)何在�?既然去年5月就已經(jīng)披露了攻擊活動(dòng),美國(guó)政客為何時(shí)隔8個(gè)月舊事重提��,再次向中國(guó)發(fā)難����?
何為“伏特臺(tái)風(fēng)”?
2023年5月24日�,“五眼聯(lián)盟”國(guó)家(美國(guó)、英國(guó)��、加拿大��、澳大利亞、新西蘭)的網(wǎng)絡(luò)安全主管部門(mén)聯(lián)合發(fā)布了名為《中華人民共和國(guó)國(guó)家支持背景的黑客正在使用逃避檢測(cè)技術(shù)》的預(yù)警通報(bào)�。預(yù)警通報(bào)稱(chēng)名為“伏特臺(tái)風(fēng)”的黑客組織針對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施單位實(shí)施了網(wǎng)絡(luò)間諜活動(dòng)。
該預(yù)警通報(bào)直接引用了微軟公司于同日發(fā)布的《“伏特臺(tái)風(fēng)”組織利用逃避檢測(cè)技術(shù)針對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施發(fā)動(dòng)攻擊》的技術(shù)分析報(bào)告和溯源分析結(jié)果�。微軟公司技術(shù)分析報(bào)告中將攻擊者按照微軟公司的內(nèi)部規(guī)則命名為“伏特臺(tái)風(fēng)”,并直接指出該組織是所謂“總部位于中國(guó)且由國(guó)家政府支持的網(wǎng)絡(luò)攻擊行為主體”�����。
雖然“五眼聯(lián)盟”的預(yù)警通報(bào)和微軟公司的技術(shù)報(bào)告詳細(xì)介紹了攻擊者的技戰(zhàn)術(shù)特征和感染指標(biāo)等����,但沒(méi)有給出具體的溯源分析過(guò)程,而是直接給“伏特臺(tái)風(fēng)”打上了“具有中國(guó)政府支持背景的黑客組織”標(biāo)簽��。
該預(yù)警通報(bào)一經(jīng)發(fā)布就被路透社���、華爾街日?qǐng)?bào)、紐約時(shí)報(bào)等新聞媒體大量轉(zhuǎn)載����,紐約時(shí)報(bào)還報(bào)道稱(chēng)美國(guó)情報(bào)機(jī)構(gòu)在2023年2月發(fā)現(xiàn)關(guān)島和美國(guó)部分地區(qū)的電信網(wǎng)絡(luò)遭到入侵,并將上述攻擊與相關(guān)預(yù)警通報(bào)聯(lián)系起來(lái)�。
不難看出,關(guān)于“伏特臺(tái)風(fēng)”組織以及該組織的歸屬�,美國(guó)政府、網(wǎng)絡(luò)安全企業(yè)和新聞媒體的最主要參考依據(jù)就是微軟公司的技術(shù)分析報(bào)告和“五眼聯(lián)盟”發(fā)布的聯(lián)合預(yù)警通報(bào)。
“伏特臺(tái)風(fēng)”真的具有國(guó)家支持背景嗎�����?
一直以來(lái)����,網(wǎng)絡(luò)攻擊活動(dòng)的歸因分析都是國(guó)際性難題?!胺嘏_(tái)風(fēng)”這一名稱(chēng)和歸因都源自美國(guó)微軟公司的技術(shù)分析報(bào)告和“五眼聯(lián)盟”發(fā)布的聯(lián)合預(yù)警通報(bào),但微軟公司并沒(méi)有給出詳細(xì)的歸因分析過(guò)程和根據(jù)�����,且報(bào)告中也提及�,黑客使用逃避檢測(cè)技術(shù)為取證和溯源工作帶來(lái)較大困難。
中國(guó)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和計(jì)算機(jī)病毒防治技術(shù)國(guó)家工程實(shí)驗(yàn)室聯(lián)合360數(shù)字安全集團(tuán)通過(guò)對(duì)報(bào)告給出的相關(guān)攻擊活動(dòng)技術(shù)特征進(jìn)行溯源分析���,發(fā)現(xiàn)能夠被查找到的13個(gè)惡意程序樣本關(guān)聯(lián)多個(gè)IP地址���。這些IP地址與很多的網(wǎng)絡(luò)攻擊事件相關(guān),并且也存在多個(gè)IP地址與同一攻擊事件或網(wǎng)絡(luò)安全風(fēng)險(xiǎn)存在關(guān)聯(lián)的現(xiàn)象��,其中與13個(gè)惡意程序樣本關(guān)聯(lián)程度最高的有5個(gè)IP地址��。
而與這5個(gè)IP地址都有關(guān)聯(lián)的網(wǎng)絡(luò)攻擊事件報(bào)告是美國(guó)威脅盟公司于2023年4月11日發(fā)布的《關(guān)于“暗黑力量”勒索病毒團(tuán)伙研究報(bào)告》。報(bào)告顯示�����,“暗黑力量”首次被發(fā)現(xiàn)攻擊活動(dòng)時(shí)間為2023年1月���,僅2023年3月全球范圍內(nèi)就至少有10個(gè)機(jī)構(gòu)遭到該組織攻擊并被勒索�����。受害機(jī)構(gòu)所在國(guó)家包括阿爾及利亞�����、埃及�、捷克����、土耳其、以色列����、秘魯�����、法國(guó)、美國(guó)等�����。
另外����,通過(guò)對(duì)美國(guó)流明科技公司2023年12月發(fā)布報(bào)告中包含的惡意程序樣本和IP地址等技術(shù)特征進(jìn)行檢索,并未找到其與微軟公司和“五眼聯(lián)盟”預(yù)警通報(bào)中所述技術(shù)特征之間的關(guān)聯(lián)關(guān)系��。
技術(shù)團(tuán)隊(duì)判定��,來(lái)自“伏特臺(tái)風(fēng)”的惡意程序樣本并未表現(xiàn)出明確的國(guó)家背景黑客組織行為特征���,而是與“暗黑力量”勒索病毒等網(wǎng)絡(luò)犯罪團(tuán)伙的關(guān)聯(lián)程度明顯���。在此情況下,微軟公司及“五眼聯(lián)盟”國(guó)家僅憑受害單位和攻擊者的攻擊技戰(zhàn)術(shù)這些模糊的歸因因素就將“伏特臺(tái)風(fēng)”扣上所謂“中國(guó)政府黑客”的帽子未免過(guò)于牽強(qiáng)��。
“伏特臺(tái)風(fēng)”的真相
2024年1月31日對(duì)于美國(guó)國(guó)會(huì)�、美國(guó)政府網(wǎng)絡(luò)安全主管部門(mén)和美國(guó)網(wǎng)絡(luò)安全企業(yè)來(lái)說(shuō)是一個(gè)重要的時(shí)間節(jié)點(diǎn)。在同一天�����,美國(guó)國(guó)會(huì)、美國(guó)司法部�、美國(guó)國(guó)土安全部共同針對(duì)“伏特臺(tái)風(fēng)”打出了一套“組合拳”。
首先�����,參加聽(tīng)證會(huì)的美國(guó)國(guó)會(huì)議員以及美國(guó)國(guó)家安全局�����、美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局����、美國(guó)聯(lián)邦調(diào)查局和美國(guó)國(guó)家網(wǎng)絡(luò)總監(jiān)辦公室的一把手們大肆鼓吹“中國(guó)威脅論”,要求國(guó)會(huì)在網(wǎng)絡(luò)安全方面進(jìn)一步加大人��、財(cái)����、物投入。其次��,2024年美國(guó)總統(tǒng)大選����,共和、民主兩黨自然都不想在中國(guó)問(wèn)題上“丟選票”���,通過(guò)公開(kāi)“討伐”中國(guó)�����,國(guó)會(huì)議員們還可以提高自身曝光率�����,收獲不錯(cuò)的政治資本�����。
美國(guó)網(wǎng)絡(luò)安全企業(yè)當(dāng)然希望美國(guó)聯(lián)邦政府的錢(qián)包越鼓越好����,而且“中國(guó)威脅論”也成為這些企業(yè)開(kāi)拓歐美市場(chǎng)最好的營(yíng)銷(xiāo)廣告��。最終�,在2024年3月11日,拜登政府公布的2025財(cái)年預(yù)算申請(qǐng)文件中����,聯(lián)邦政府在民事行政部門(mén)和機(jī)構(gòu)的網(wǎng)絡(luò)安全預(yù)算達(dá)到了創(chuàng)紀(jì)錄的130億美元�,較2024財(cái)年又提高了10%�����。
就在微軟公司發(fā)布報(bào)告的前兩個(gè)月���,也就是2023年3月24日�����,微軟公司獲得了美國(guó)國(guó)防部聯(lián)合作戰(zhàn)云項(xiàng)目的第一批任務(wù)訂單�����。在美國(guó)流明科技公司發(fā)布有關(guān)KV僵尸網(wǎng)絡(luò)與“伏特臺(tái)風(fēng)”存在關(guān)聯(lián)的分析報(bào)告的前一個(gè)月���,2023年11月7日,美國(guó)流明科技公司剛剛贏得了美國(guó)國(guó)防信息系統(tǒng)局價(jià)值1.1億美元的五年期合同訂單�。
美國(guó)政客、高官和企業(yè)家因“伏特臺(tái)風(fēng)”虛假敘事賺得盆滿(mǎn)缽滿(mǎn)����,而且也達(dá)到在國(guó)際社會(huì)抹黑中國(guó)形象���、離間中國(guó)與他國(guó)關(guān)系、遏制中國(guó)經(jīng)濟(jì)發(fā)展的目的�。
美國(guó)政府搞小圈子����、小院高墻,甚至操弄微軟等公司開(kāi)展虛假敘事����,把網(wǎng)絡(luò)攻擊溯源當(dāng)成政治游戲、當(dāng)成打壓中國(guó)的工具���、當(dāng)成攫取資本為自身謀利的抓手����,徹底暴露了美“歇斯底里”和“無(wú)底線(xiàn)”的對(duì)華政策�����,以及美國(guó)政客�、高官和企業(yè)家勾連腐敗真相,這樣只會(huì)破壞國(guó)際公共網(wǎng)絡(luò)空間的正常秩序��,破壞中美關(guān)系,影響美國(guó)政府在全球的聲譽(yù)�����。
近年來(lái)�����,中國(guó)公安機(jī)關(guān)偵破西北工業(yè)大學(xué)����、武漢市地震監(jiān)測(cè)中心等多個(gè)機(jī)構(gòu)被美國(guó)家安全局、中央情報(bào)局網(wǎng)絡(luò)攻擊案件表明�����,美國(guó)才是真正的“黑客帝國(guó)”“竊密帝國(guó)”����。
編輯:雷偉
冀公網(wǎng)安備13070202002158號(hào)