今天上午,中國國家計算機病毒應急處理中心發(fā)布了“伏特臺風(fēng)美國情報機構針對美國國會(huì )和納稅人的合謀欺詐行動(dòng)”報告,報告中揭露了美國情報機構利用毫無(wú)事實(shí)依據的,所謂“中國網(wǎng)絡(luò )攻擊威脅”的借口無(wú)底線(xiàn)抹黑中國,以此換取美國政府撥款的巨大丑聞。
今年2月1日,美國眾議院舉行了一場(chǎng)所謂“中國網(wǎng)絡(luò )攻擊威脅”的聽(tīng)證會(huì ),該會(huì )議主要圍繞2023年5月被美國微軟公司披露的“伏特臺風(fēng)”黑客組織展開(kāi)討論,微軟公司聲稱(chēng)該黑客組織“具有中國政府支持背景”,并稱(chēng)其對美國關(guān)鍵基礎設施發(fā)動(dòng)了網(wǎng)絡(luò )攻擊并試圖進(jìn)一步實(shí)施破壞,給美國國家安全導致非常嚴重威脅。針對這一指控,中國的聯(lián)合調查技術(shù)團隊進(jìn)行了溯源分析后發(fā)現,相關(guān)指控缺乏證據,純屬栽贓陷害,目的是為了打壓中國對外形象與發(fā)展。
國家計算機病毒應急處理中心高級工程師 杜振華:伏特臺風(fēng)組織的名稱(chēng)來(lái)自于微軟公司,微軟公司對所謂的具有國家支持背景的黑客組織,有一套自己的命名體系。其中臺風(fēng)這個(gè)別名,實(shí)際上就是微軟公司所謂的具有中國國家支持背景的黑客組織的一個(gè)命名。
據了解,2023年5月24日,微軟公司發(fā)布《伏特臺風(fēng)組織利用逃避檢測技術(shù)針對美國關(guān)鍵基礎設施發(fā)動(dòng)攻擊》的技術(shù)分析報告,聲稱(chēng)“伏特臺風(fēng)”黑客組織為“具有中國政府支持背景”,緊接著(zhù)“五眼聯(lián)盟”國家網(wǎng)絡(luò )安全主管部門(mén)公開(kāi)援引該報告,并進(jìn)行大肆渲染。針對報告中的指控,中國國家計算機病毒應急處理中心第一時(shí)間聯(lián)合360數字安全集團成立技術(shù)團隊開(kāi)展調查工作,并形成“伏特臺風(fēng)”溯源報告。
國家計算機病毒應急處理中心高級工程師 杜振華:微軟公司在報告里面附帶了很多的所謂感染指標,感染指標實(shí)際上的意思就是哈希值。這些哈希值我們大家可以想象成是一個(gè)惡意程序的編碼、唯一的編號,通過(guò)對這些惡意程序的哈希值,在公開(kāi)的平臺上檢索最后發(fā)現,有5個(gè)IP地址(關(guān)聯(lián)樣本)是最集中的。這5個(gè)IP地址也與很多的安全事件有關(guān)系,這些安全事件中就有一個(gè)(關(guān)于)叫Dark power,一個(gè)所謂的勒索病毒團伙一個(gè)分析報告有關(guān)系,這個(gè)分析報告是誰(shuí)做?就是美國的ThreatMon,也叫威脅盟公司。
聯(lián)合調查技術(shù)團隊發(fā)現,2023年4月11日,在美國威脅盟公司發(fā)布的《關(guān)于“暗黑力量”勒索病毒團伙研究報告》中顯示,上述惡意程序樣本技術(shù)特征與一個(gè)名為“暗黑力量”的勒索病毒網(wǎng)絡(luò )犯罪團伙關(guān)聯(lián)程度密切,這個(gè)犯罪團伙首次被發(fā)現攻擊活動(dòng)時(shí)間為2023年1月,僅2023年3月全世界內就至少有10個(gè)以上的機構遭到該組織攻擊并被勒索,所在國家包括阿爾及利亞、埃及、捷克、土耳其、以色列、秘魯、法國、美國等。
360數字安全集團網(wǎng)絡(luò )安全專(zhuān)家 邊亮:除了對IP地址的分析之外,我們對報告提到的惡意樣本也進(jìn)行了分析,該樣本主要使用了無(wú)文件攻擊,與傳統的病毒木馬不同,攻擊載荷不需要寫(xiě)入磁盤(pán),惡意代碼在內存當中執行,重啟和關(guān)機就會(huì )消失。樣本的功能只是針對用戶(hù)的文檔進(jìn)行加密、勒索索要贖金,所以我們大家都認為這些樣本和對應的IP地址都指向了勒索病毒犯罪團伙。
聯(lián)合調查技術(shù)團隊經(jīng)過(guò)溯源分析認為,微軟公司和“五眼聯(lián)盟”國家報告中提到的病毒程序并沒(méi)有表現出明確的國家背景黑客組織行為特征,反而與勒索病毒網(wǎng)絡(luò )犯罪團伙的關(guān)聯(lián)程度更明顯。在這種情況下,微軟公司和“五眼聯(lián)盟”國家僅憑受害單位和攻擊者的攻擊技戰術(shù)這些模糊的歸因因素,就把“伏特臺風(fēng)”扣上所謂“中國政府支持背景黑客組織”的帽子,這樣的做法是非常不嚴謹和不專(zhuān)業(yè)的,其背后必然有更深層次的原因。
據網(wǎng)絡(luò )安全專(zhuān)業(yè)的人介紹,針對“伏特臺風(fēng)”組織的歸因分析,美國的不同安全公司也有不同的觀(guān)點(diǎn),有的安全廠(chǎng)商認為它是一個(gè)僵尸網(wǎng)絡(luò ),有的認為是APT(國家級黑客)組織,有的則認為是勒索病毒犯罪團伙。一直以來(lái),網(wǎng)絡(luò )攻擊活動(dòng)的歸因分析都是國際性難題,但是美國政府卻利用對他國網(wǎng)絡(luò )攻擊活動(dòng)的歸因,將自己構造成被網(wǎng)絡(luò )攻擊的所謂“受害者”形象,在博取國際輿論支持的同時(shí),將其作為政治籌碼在國際爭端中向他國施壓,進(jìn)而謀求超額利益。
據網(wǎng)絡(luò )安全專(zhuān)業(yè)的人介紹,針對黑客組織的歸因是一個(gè)很復雜的過(guò)程,攻擊者會(huì )通過(guò)種種手段隱藏自己的實(shí)際身份和地理位置,比如使用虛擬私人網(wǎng)絡(luò )(VPN)、跳板機以及通過(guò)劫持受感染的計算機作為中繼點(diǎn)來(lái)發(fā)起攻擊,這些都使得追蹤原始攻擊源變得極其困難。
360數字安全集團網(wǎng)絡(luò )安全專(zhuān)家 邊亮:另一個(gè)挑戰是,攻擊者可能會(huì )特意留下一些具有誤導性的線(xiàn)索,他們可能會(huì )使用別國的語(yǔ)言、符號、時(shí)間戳作為偽裝成其他黑客組織的特定行為模式,以誤導調查人員,因此對APT(國家背景黑客)組織的歸因,通常是在收集了大量數據之后,基于權衡數據的可能性,歸因通常也只是能達到某些特定的程度的信任水平,想要做到絕對的確定性是十分艱難的。
美國棱鏡門(mén)事件相關(guān)報告提到,美國NSA會(huì )入侵滲透國外資產(chǎn),使用中間人劫持技術(shù),竊取他國工具,實(shí)現干擾目的;美國CIA報告提到,通過(guò)干擾嫁禍的方式,以避免外國敵對情報組織、執法、事件響應、逆向工程;“五眼聯(lián)盟”中的加拿大通信局在安全架構設計中提到,通過(guò)相關(guān)欺騙技術(shù),使用假旗行動(dòng)制造動(dòng)蕩局面,改變對手感知,干擾嫁禍給其他幾個(gè)國家;因此,對APT組織的歸因通常是基于權衡證據的可能性,而不是絕對的黑白分明。
近年來(lái),中國公安機關(guān)偵破西北工業(yè)大學(xué)、武漢地震監測中心等多個(gè)機構被美國家安全局、中央情報局網(wǎng)絡(luò )攻擊案件中表明,美國才是真正的黑客帝國、竊密帝國。
國家計算機病毒應急處理中心高級工程師 杜振華:美國的NSA(美國國家安全局)包括CIA(美國中央情報局)都有過(guò)很多的網(wǎng)絡(luò )武器泄露事件,導致現在的互聯(lián)網(wǎng)空間上出現了攻擊能力慢慢地加強的現狀。這樣的現狀導致很多的網(wǎng)絡(luò )犯罪團伙實(shí)際上具備的攻擊能力是很強的。
網(wǎng)絡(luò )安全專(zhuān)業(yè)的人介紹,目前網(wǎng)絡(luò )攻擊基本以跨境犯罪為主,各國需要在國際刑警組織的框架下加強合作,共同分享網(wǎng)絡(luò )犯罪的情報信息和協(xié)同治理,共同對抗網(wǎng)絡(luò )安全威脅,而不是個(gè)別幾個(gè)國家搞小圈子。
針對國家計算機病毒應急處理中心發(fā)布的報告,總臺央視記者專(zhuān)訪(fǎng)了外交部網(wǎng)絡(luò )事務(wù)協(xié)調員王磊。王磊指出,這份報告揭露了一個(gè)只要無(wú)底線(xiàn)抹黑中國,就能換取美國政府撥款的巨大丑聞。
據溯源報告數據顯示,2024年1月31日這一段時(shí)間節點(diǎn)最重要。按照美國有關(guān)規定法律,總統必須在每年2月第一個(gè)周一,也就是2024年2月5日前提交聯(lián)邦政府下一財年預算申請。在2024年3月11日拜登政府公布的2025財年預算申請文件中,美國聯(lián)邦政府的網(wǎng)絡(luò )安全總預算和相關(guān)情報機構的網(wǎng)絡(luò )安全預算都得到了顯著(zhù)增加。由此,報告認為,“伏特臺風(fēng)”就是美國情報機構和政客針對美國國會(huì )和納稅人的一次合謀欺詐。即:一方面通過(guò)操弄微軟等網(wǎng)絡(luò )安全企業(yè)捕風(fēng)捉影,虛假敘事,另一方面利用手中的行政權力大肆渲染“中國網(wǎng)絡(luò )攻擊威脅”,欺騙美國國會(huì )持續不斷的增加網(wǎng)絡(luò )安全預算。
外交部網(wǎng)絡(luò )事務(wù)協(xié)調員 王磊:美國的高官信誓旦旦地宣稱(chēng),中國支持的黑客組織對關(guān)島的關(guān)鍵基礎設施進(jìn)行了網(wǎng)絡(luò )攻擊。針對這一指控,報告揭露了一個(gè)重要的真相,得出了重要的結論。這個(gè)所謂“伏特臺風(fēng)”的真實(shí)面目是國際勒索軟件組織。但是美方的網(wǎng)絡(luò )安全機構和企業(yè)勾連腐敗,對中國進(jìn)行栽贓陷害,在獲得部門(mén)和經(jīng)濟利益的同時(shí),也為美國對華關(guān)系增添了非理性因素。
外交部網(wǎng)絡(luò )事務(wù)協(xié)調員 王磊:全世界都很奇怪,為什么最大的“黑客帝國”美國會(huì )隔三差五地炒作“中國黑客”。今天發(fā)布的報告,就為我們解開(kāi)問(wèn)題的真相提供了重要依據和參考。更令人關(guān)注的是,在炒作“伏特臺風(fēng)”期間,美方首次把網(wǎng)絡(luò )安全與相聯(lián)系。我們的立場(chǎng)十分清楚,我們反對美方利用網(wǎng)絡(luò )安全問(wèn)題干涉中國內政,對美方這種先制造議題,再借題發(fā)揮的真實(shí)意圖,會(huì )保持警惕。在上,打什么牌都是白費力氣。
王磊表示,保護關(guān)鍵基礎設施是各國共同關(guān)切,維護互聯(lián)網(wǎng)空間的和平與穩定符合中美和全球各國的共同利益。
外交部網(wǎng)絡(luò )事務(wù)協(xié)調員 王磊:作為一個(gè)大國,希望美方能采取更嚴肅、更負責任的態(tài)度,不要高估自己任意妄為單方面制定規則的“實(shí)力”,更不應低估中方在平等的基礎上維護中美網(wǎng)絡(luò )關(guān)系的決心。