新华社北京4月15日电题:操纵网络攻击源头栽赃陷害中国——揭开台风“伏特”真相。
新华社记者
2024年2月1日,美国众议院“中国问题特别委员会”就“中国对美国国土和国家安全的网络威胁”举行听证会。会议讨论了美国微软公司2023年5月披露的所谓“伏特台风”,称其对美国关键基础设施发动网络攻击并试图进一步破坏,对美国国家安全构成严重威胁。
谁是台风伏特?有什么证据表明它与中国政府有联系?自去年5月攻击事件被披露以来,美国政客为何旧事重提,再次攻击中国?
什么是伏特台风?
2023年5月24日,“五眼联盟”国家(美国、英国、加拿大、澳大利亚和新西兰)的网络安全部门联合发布了一份题为“中华人民共和国(PRC)国家支持的后台黑客正在使用规避检测技术”的预警通知。预警报告称,名为“台风伏特”的黑客组织对美国关键基础设施单位进行了网络间谍活动。
这份预警通报直接引用了微软当天发布的台风“伏特”利用规避检测技术攻击美国关键基础设施的技术分析报告和溯源分析结果。微软的技术分析报告根据微软内部规则将攻击者命名为“台风伏特”,并直接指出该组织是所谓的“总部设在中国并得到国家政府支持的网络攻击主体”。
虽然“五眼联盟”的预警通报和微软的技术报告详细介绍了攻击者的技战术特征和感染指标,但并未给出具体的溯源分析过程,而是直接给台风Volt贴上了“有中国政府支持背景的黑客组织”的标签。
该警告通知一经发布就被路透社、华尔街日报、纽约时报和其他新闻媒体广泛转载。《纽约时报》还报道称,2023年2月,美国情报机构发现关岛和美国部分地区的电信网络遭到入侵,并将上述袭击与相关警告通知联系起来。
不难看出,关于台风“伏特”及其归属问题,美国政府、网络安全企业和新闻媒体最重要的参考依据是微软的技术分析报告和“五眼联盟”发布的联合预警通知。
台风“伏特”真的有国家支持背景吗?
网络攻击的归因分析一直是一个国际难题。“台风伏特”的名称及其归属来源于微软的技术分析报告和“五眼联盟”发布的联合预警通知,但微软没有给出详细的归属分析过程和依据,报告还提到黑客使用规避检测技术给取证和溯源带来了很大困难。
中国国家计算机病毒应急处理中心和计算机病毒防控技术国家工程实验室与360数字安全集团一起追踪了报告中给出的相关攻击的技术特征,发现可以找到的13个恶意程序样本与多个IP地址相关联。这些IP地址与许多网络攻击事件有关,并且还存在多个IP地址与同一攻击事件或网络安全风险有关的现象。其中,与13个恶意程序样本关联度最高的IP地址有5个。
与这五个IP地址相关的网络攻击报告是美国威胁联盟公司于2023年4月11日发布的《关于“黑暗势力”勒索病毒团伙的研究报告》。报道称,“黑暗力量”于2023年1月首次被发现。仅在2023年3月,全球至少有10个组织遭到该组织的攻击和勒索。受害者所在的国家包括阿尔及利亚、埃及、捷克共和国、土耳其、以色列、秘鲁、法国和美国。
此外,通过搜索美国Lumen技术公司2023年12月发布的报告中包含的恶意程序样本和IP地址等技术特征,未发现它们与微软公司和“五眼联盟”的预警通知中描述的技术特征之间的关系。
技术团队确定,来自台风“伏特”的恶意程序样本在国家背景下没有显示出黑客组织的明确行为特征,但显然与勒索等网络犯罪团伙有关。在这种情况下,微软和“五眼联盟”国家仅通过受害单位和攻击者的攻击技能和战术的模糊归因因素就将台风“伏特”定性为所谓的“中国政府黑客”过于牵强。
台风伏的真相
2024年1月31日是美国国会、美国政府网络安全主管部门和美国网络安全企业的重要时间节点。当天,美国国会、美国司法部和美国国土安全部联合打出一套抗击台风“伏特”的“组合拳”。
首先,出席听证会的美国国会议员,以及美国国家安全局、美国网络安全和基础设施安全局、美国联邦调查局和美国国家网络总监办公室的高层大肆鼓吹“中国威胁论”,要求国会进一步加大网络安全投入。其次,在2024年的美国总统大选中,共和党和民主党自然都不希望在中国问题上“失票”。通过公开“打压”中国,国会议员还可以提高曝光率,获得良好的政治资本。
美国网络安全公司当然希望美国联邦政府的钱包越来越大,“中国威胁论”成为这些公司开拓欧美市场的最佳营销广告。终于在2024年3月11日,在拜登政府公布的2025财年预算申请文件中,联邦政府在民政部门和机构的网络安全预算达到创纪录的130亿美元,比2024财年高出10%。
就在微软发布报告的两个月前,也就是2023年3月24日,微软获得了美国国防部联合作战云项目的首批任务订单。2023年11月7日,在美国Lumen技术公司发布KV僵尸网络与台风Volt关系的分析报告前一个月,美国Lumen技术公司刚刚从美国国防信息系统局获得了一份价值1.1亿美元的五年合同订单。
美国政客、高官和企业家因为“伏特”台风的虚假叙述赚了一大笔钱,他们也达到了在国际社会抹黑中国形象、疏远中国与其他国家关系、遏制中国经济发展的目的。
美国政府搞小圈子、小庭院和高墙,甚至操纵微软等公司进行虚假叙事。它将网络攻击的起源视为一场政治游戏,将其视为压制中国的工具,并将其视为攫取资本为自己谋利的起点,这完全暴露了美国“歇斯底里”和“无底线”的对华政策,以及美国政客、高级官员和企业家与腐败挂钩的事实,这只会破坏国际公共网络/[/k0。
近年来,中国公安机关侦破了美国国家安全局和情报局对西北工业大学、武汉地震监测中心等机构的网络攻击,可见美国才是真正的“黑客帝国”和“窃密帝国”。
