今年4月15日,是第九个全民国家安全教育日

全民国家安全教育日:是为了增强全民国家安全意识,维护国家安全而设立的节日。2015年7月1日,第十二届全国人民代表大会常务委员会第十五次会议通过《中华人民共和国国家安全法》,其中规定每年4月15日为全民国家安全教育日。

打开网易新闻 查看更多图片

4月15日上午,中国国家计算机病毒应急处理中心,发布了“伏特台风——美国情报机构针对美国国会和纳税人的合谋欺诈行动”报告,报告中揭露了美国情报机构利用毫无事实依据的,所谓“中国网络攻击威胁”的借口无底线抹黑中国,以此换取美国政府拨款的巨大丑闻。

“伏特台风”这波脏水

是怎么来的?

今年2月1日,美国众议院举行了一场所谓“中国网络攻击威胁”的听证会,该会议主要围绕2023年5月被美国微软公司披露的“伏特台风”黑客组织展开讨论,微软公司声称该黑客组织“具有中国政府支持背景”,并称其对美国关键基础设施发动了网络攻击并试图进一步实施破坏,给美国国家安全造成严重威胁。

2023年5月24日,“五眼联盟”国家(美国、英国、加拿大、澳大利亚、新西兰)的网络安全主管部门联合发布了名为《中华人民共和国国家支持背景的黑客正在使用逃避检测技术》的预警通报。预警通报称名为“伏特台风”的黑客组织针对美国关键基础设施单位实施了网络间谍活动。

图片来源:环球网

该预警通报直接引用了微软公司于同日发布的《“伏特台风”组织利用逃避检测技术针对美国关键基础设施发动攻击》的技术分析报告和溯源分析结果。微软公司技术分析报告中将攻击者按照微软公司的内部规则命名为“伏特台风”,并直接指出该组织是所谓“总部位于中国且由国家政府支持的网络攻击行为主体”。

虽然“五眼联盟”的预警通报和微软公司的技术报告详细介绍了攻击者的技战术特征和感染指标等,但没有给出具体的溯源分析过程,而是直接给“伏特台风”打上了“具有中国政府支持背景的黑客组织”标签。

然而,针对这一指控,中国的联合调查技术团队进行了溯源分析后发现,相关指控缺乏证据,纯属栽赃陷害,目的就是为了打压中国对外形象与发展。

“伏特台风”到底

是什么背景?

众所周知,网络攻击活动因其隐蔽性,一直以来其行为的归因分析都是国际性难题。据网络安全专家介绍,针对黑客组织的归因是一个非常复杂的过程,攻击者会通过各种手段隐藏自己的真实身份和地理位置,比如使用虚拟私人网络(VPN)、跳板机以及通过劫持受感染的计算机作为中继点来发起攻击,这些都使得追踪原始攻击源变得极其困难。

“伏特台风”这一名称和归因都源自美国微软公司的技术分析报告和“五眼联盟”发布的联合预警通报,但微软公司并没有给出详细的归因分析过程和依据,且报告中也提及,黑客使用逃避检测技术为取证和溯源工作带来较大困难。

此次,我国联合调查技术团队经过溯源分析认为,微软公司和“五眼联盟”国家报告中提到的病毒程序并没有表现出明确的国家背景黑客组织行为特征,反而与勒索病毒网络犯罪团伙的关联程度更为明显。在这种情况下,微软公司和“五眼联盟”国家仅凭受害单位和攻击者的攻击技战术这些模糊的归因因素,就把“伏特台风”扣上所谓“中国政府支持背景黑客组织”的帽子,这样的做法是非常不严谨和不专业的,其背后必然有更深层次的原因。

打开网易新闻 查看更多图片

中国国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室联合360数字安全集团通过对报告给出的相关攻击活动技术特征进行溯源分析,发现能够被查找到的13个恶意程序样本关联多个IP地址。这些IP地址与很多的网络攻击事件相关,并且也存在多个IP地址与同一攻击事件或网络安全风险存在关联的现象,其中与13个恶意程序样本关联程度最高的有5个IP地址。

而与这5个IP地址都有关联的网络攻击事件报告是美国威胁联盟公司于2023年4月11日发布的《关于“暗黑力量”勒索病毒团伙研究报告》。报告显示,“暗黑力量”首次被发现攻击活动时间为2023年1月,仅2023年3月全球范围内就至少有10个机构遭到该组织攻击并被勒索。受害机构所在国家包括阿尔及利亚、埃及、捷克、土耳其、以色列、秘鲁、法国、美国等。

暗黑力量组织的勒索信。图片来源:Dark Power

暗黑力量组织的勒索信。图片来源:Dark Power

值得一提的是,我方技术人员本着客观和严谨的原则,对相关事件进行了持续跟踪调查分析,“在追踪溯源过程中,发现美国流明科技(Lumen Technologies, Inc)公司(美国第三大固网电信公司)旗下网络安全研究机构‘黑莲花实验室’,在2023年12月13日发布的一份报告中再度提及‘伏特台风’组织,并认为该组织在攻击活动中利用物联网僵尸网络作为跳板发起网络攻击。然而,通过对美国流明科技公司发布报告中包含的恶意程序样本和IP地址等技术特征进行检索,技术人员并未找到其与微软公司和‘五眼联盟’预警通报中所述技术特征之间的关联关系。”

据溯源报告显示,2024年1月31日这个时间节点非常关键。按照美国相关法律,总统必须在每年2月第一个周一,也就是2024年2月5日前提交联邦政府下一财年预算申请。在2024年3月11日拜登政府公布的2025财年预算申请文件中,美国联邦政府的网络安全总预算和相关情报机构的网络安全预算都得到了显著增加。

由此,报告认为,“伏特台风”就是美国情报机构和反华政客针对美国国会和纳税人的一次合谋欺诈。

即:一方面通过操纵微软等网络安全企业捕风捉影,虚假叙事,另一方面利用手中的行政权力大肆渲染“中国网络攻击威胁”,欺骗美国国会不断增加网络安全预算。

自此技术团队判定,来自“伏特台风”的恶意程序样本并未表现出明确的国家背景黑客组织行为特征,而是与“暗黑力量”勒索病毒等网络犯罪团伙的关联程度明显。在此情况下,微软公司及“五眼联盟”国家仅凭受害单位和攻击者的攻击技战术这些模糊的归因因素,就将“伏特台风”扣上所谓“中国政府黑客”的帽子未免过于牵强。

国家计算机病毒应急处理中心发布的报告表示,美国政客、高官和企业家因“伏特台风”虚假叙事赚得盆满钵满,而且也达到在国际社会抹黑中国形象、离间中国与盟友关系,遏制中国经济发展的目的。事实上,近年来中国公安机关先后侦破西北工业大学、武汉地震监测中心等多个机构被美国家安全局、中央情报局网络攻击案件表明,美国才是真正的“黑客帝国”“窃密帝国”。

美国政府通过搞“小圈子”“小院高墙”,甚至操弄微软等公司开展虚假叙事,把网络攻击溯源当成政治游戏、当成打压中国的工具、当成攫取资本为自身谋利的抓手,彻底暴露美国政客、高官和企业家勾连腐败的真相。美这样的做法只会破坏国际公共网络空间的正常秩序,破坏中美关系,影响美国政府在全球的声誉。

外交部发言人汪文斌,资料图。图片来源:外交部网站

对此,中国外交部发言人汪文斌回应,中国坚决反对并依法打击任何形式的网络攻击。美方在缺乏有效证据的情况下妄下结论,对中国无端指责抹黑极其不负责任,纯属混淆是非,中方对此坚决反对。