新華社北京4月15日電 題:操弄網(wǎng)絡(luò )攻擊溯源 栽贓陷害中國——揭開(kāi)“伏特臺風(fēng)”真相
新華社記者
2024年2月1日���,美國國會(huì )眾議院“中國問(wèn)題特別委員會(huì )”舉行了“中國對美國國土和國家安全的網(wǎng)絡(luò )威脅”聽(tīng)證會(huì )���。會(huì )議圍繞2023年5月被美國微軟公司披露的名為“伏特臺風(fēng)”(Volt Typhoon)且所謂“具有中國政府支持背景的黑客組織”展開(kāi)討論����,稱(chēng)其對美國關(guān)鍵基礎設施發(fā)動(dòng)了網(wǎng)絡(luò )攻擊并試圖進(jìn)一步實(shí)施破壞���,給美國國家安全造成嚴重威脅�。
“伏特臺風(fēng)”是何方神圣�����?其與中國政府的關(guān)聯(lián)證據何在�����?既然去年5月就已經(jīng)披露了攻擊活動(dòng)���,美國政客為何時(shí)隔8個(gè)月舊事重提����,再次向中國發(fā)難��?
何為“伏特臺風(fēng)”����?
2023年5月24日�,“五眼聯(lián)盟”國家(美國���、英國�����、加拿大�、澳大利亞��、新西蘭)的網(wǎng)絡(luò )安全主管部門(mén)聯(lián)合發(fā)布了名為《中華人民共和國國家支持背景的黑客正在使用逃避檢測技術(shù)》的預警通報���。預警通報稱(chēng)名為“伏特臺風(fēng)”的黑客組織針對美國關(guān)鍵基礎設施單位實(shí)施了網(wǎng)絡(luò )間諜活動(dòng)�����。
該預警通報直接引用了微軟公司于同日發(fā)布的《“伏特臺風(fēng)”組織利用逃避檢測技術(shù)針對美國關(guān)鍵基礎設施發(fā)動(dòng)攻擊》的技術(shù)分析報告和溯源分析結果�����。微軟公司技術(shù)分析報告中將攻擊者按照微軟公司的內部規則命名為“伏特臺風(fēng)”����,并直接指出該組織是所謂“總部位于中國且由國家政府支持的網(wǎng)絡(luò )攻擊行為主體”��。
雖然“五眼聯(lián)盟”的預警通報和微軟公司的技術(shù)報告詳細介紹了攻擊者的技戰術(shù)特征和感染指標等����,但沒(méi)有給出具體的溯源分析過(guò)程����,而是直接給“伏特臺風(fēng)”打上了“具有中國政府支持背景的黑客組織”標簽��。
該預警通報一經(jīng)發(fā)布就被路透社����、華爾街日報�、紐約時(shí)報等新聞媒體大量轉載�,紐約時(shí)報還報道稱(chēng)美國情報機構在2023年2月發(fā)現關(guān)島和美國部分地區的電信網(wǎng)絡(luò )遭到入侵����,并將上述攻擊與相關(guān)預警通報聯(lián)系起來(lái)����。
不難看出��,關(guān)于“伏特臺風(fēng)”組織以及該組織的歸屬�����,美國政府����、網(wǎng)絡(luò )安全企業(yè)和新聞媒體的最主要參考依據就是微軟公司的技術(shù)分析報告和“五眼聯(lián)盟”發(fā)布的聯(lián)合預警通報���。
“伏特臺風(fēng)”真的具有國家支持背景嗎��?
一直以來(lái)����,網(wǎng)絡(luò )攻擊活動(dòng)的歸因分析都是國際性難題������!胺嘏_風(fēng)”這一名稱(chēng)和歸因都源自美國微軟公司的技術(shù)分析報告和“五眼聯(lián)盟”發(fā)布的聯(lián)合預警通報��,但微軟公司并沒(méi)有給出詳細的歸因分析過(guò)程和根據���,且報告中也提及�����,黑客使用逃避檢測技術(shù)為取證和溯源工作帶來(lái)較大困難�����。
中國國家計算機病毒應急處理中心和計算機病毒防治技術(shù)國家工程實(shí)驗室聯(lián)合360數字安全集團通過(guò)對報告給出的相關(guān)攻擊活動(dòng)技術(shù)特征進(jìn)行溯源分析��,發(fā)現能夠被查找到的13個(gè)惡意程序樣本關(guān)聯(lián)多個(gè)IP地址�。這些IP地址與很多的網(wǎng)絡(luò )攻擊事件相關(guān)����,并且也存在多個(gè)IP地址與同一攻擊事件或網(wǎng)絡(luò )安全風(fēng)險存在關(guān)聯(lián)的現象���,其中與13個(gè)惡意程序樣本關(guān)聯(lián)程度最高的有5個(gè)IP地址�。
而與這5個(gè)IP地址都有關(guān)聯(lián)的網(wǎng)絡(luò )攻擊事件報告是美國威脅盟公司于2023年4月11日發(fā)布的《關(guān)于“暗黑力量”勒索病毒團伙研究報告》����。報告顯示����,“暗黑力量”首次被發(fā)現攻擊活動(dòng)時(shí)間為2023年1月��,僅2023年3月全球范圍內就至少有10個(gè)機構遭到該組織攻擊并被勒索�。受害機構所在國家包括阿爾及利亞����、埃及����、捷克�、土耳其����、以色列�、秘魯���、法國�����、美國等��。
另外���,通過(guò)對美國流明科技公司2023年12月發(fā)布報告中包含的惡意程序樣本和IP地址等技術(shù)特征進(jìn)行檢索����,并未找到其與微軟公司和“五眼聯(lián)盟”預警通報中所述技術(shù)特征之間的關(guān)聯(lián)關(guān)系��。
技術(shù)團隊判定�,來(lái)自“伏特臺風(fēng)”的惡意程序樣本并未表現出明確的國家背景黑客組織行為特征���,而是與“暗黑力量”勒索病毒等網(wǎng)絡(luò )犯罪團伙的關(guān)聯(lián)程度明顯�����。在此情況下�����,微軟公司及“五眼聯(lián)盟”國家僅憑受害單位和攻擊者的攻擊技戰術(shù)這些模糊的歸因因素就將“伏特臺風(fēng)”扣上所謂“中國政府黑客”的帽子未免過(guò)于牽強���。
“伏特臺風(fēng)”的真相
2024年1月31日對于美國國會(huì )��、美國政府網(wǎng)絡(luò )安全主管部門(mén)和美國網(wǎng)絡(luò )安全企業(yè)來(lái)說(shuō)是一個(gè)重要的時(shí)間節點(diǎn)�����。在同一天��,美國國會(huì )���、美國司法部����、美國國土安全部共同針對“伏特臺風(fēng)”打出了一套“組合拳”����。
首先��,參加聽(tīng)證會(huì )的美國國會(huì )議員以及美國國家安全局����、美國網(wǎng)絡(luò )安全與基礎設施安全局���、美國聯(lián)邦調查局和美國國家網(wǎng)絡(luò )總監辦公室的一把手們大肆鼓吹“中國威脅論”�����,要求國會(huì )在網(wǎng)絡(luò )安全方面進(jìn)一步加大人�����、財����、物投入��。其次�,2024年美國總統大選�,共和����、民主兩黨自然都不想在中國問(wèn)題上“丟選票”�,通過(guò)公開(kāi)“討伐”中國��,國會(huì )議員們還可以提高自身曝光率�,收獲不錯的政治資本���。
美國網(wǎng)絡(luò )安全企業(yè)當然希望美國聯(lián)邦政府的錢(qián)包越鼓越好�����,而且“中國威脅論”也成為這些企業(yè)開(kāi)拓歐美市場(chǎng)最好的營(yíng)銷(xiāo)廣告�����。最終����,在2024年3月11日���,拜登政府公布的2025財年預算申請文件中�,聯(lián)邦政府在民事行政部門(mén)和機構的網(wǎng)絡(luò )安全預算達到了創(chuàng )紀錄的130億美元�����,較2024財年又提高了10%�����。
就在微軟公司發(fā)布報告的前兩個(gè)月����,也就是2023年3月24日�����,微軟公司獲得了美國國防部聯(lián)合作戰云項目的第一批任務(wù)訂單��。在美國流明科技公司發(fā)布有關(guān)KV僵尸網(wǎng)絡(luò )與“伏特臺風(fēng)”存在關(guān)聯(lián)的分析報告的前一個(gè)月�,2023年11月7日�,美國流明科技公司剛剛贏(yíng)得了美國國防信息系統局價(jià)值1.1億美元的五年期合同訂單�����。
美國政客���、高官和企業(yè)家因“伏特臺風(fēng)”虛假敘事賺得盆滿(mǎn)缽滿(mǎn)���,而且也達到在國際社會(huì )抹黑中國形象���、離間中國與他國關(guān)系����、遏制中國經(jīng)濟發(fā)展的目的���。
美國政府搞小圈子��、小院高墻��,甚至操弄微軟等公司開(kāi)展虛假敘事����,把網(wǎng)絡(luò )攻擊溯源當成政治游戲���、當成打壓中國的工具����、當成攫取資本為自身謀利的抓手���,徹底暴露了美“歇斯底里”和“無(wú)底線(xiàn)”的對華政策��,以及美國政客��、高官和企業(yè)家勾連腐敗真相�����,這樣只會(huì )破壞國際公共網(wǎng)絡(luò )空間的正常秩序����,破壞中美關(guān)系�,影響美國政府在全球的聲譽(yù)����。
近年來(lái)����,中國公安機關(guān)偵破西北工業(yè)大學(xué)�、武漢市地震監測中心等多個(gè)機構被美國家安全局�����、中央情報局網(wǎng)絡(luò )攻擊案件表明����,美國才是真正的“黑客帝國”“竊密帝國”����。
