重磅报告揭露美国网络攻击

今年4月15日、7月8日，中国国家计算机病毒应急处理中心等机构连续发布了两次专题报告，揭露了美方利用所谓“伏特台风”虚假叙事行动计划对我国抹黑的真实意图。

10月14日，我国网络安全机构第三次发布专题报告，进一步公开美国政府机构和“五眼联盟”国家针对中国和德国等其他国家，以及全球互联网用户实施网络间谍窃听、窃密活动，并掌握了美国政府机构通过各种手段嫁祸他国的相关证据，另外还有他们采取“供应链”攻击，在互联网设备产品中植入后门等事实，彻底揭穿所谓“伏特台风”这场由美国联邦政府自导自演的政治闹剧。

报告显示，长期以来，美国在网络空间积极推行“防御前置”战略，并实施“前出狩猎”战术行动，也就是在对手国家周边地区部署网络战部队，对这些国家的网上目标进行抵近侦察和网络渗透。为适应这种战术需要，美国情报机构专门研发了掩盖自身恶意网络攻击行为、嫁祸他国的隐身“工具包”，代号“大理石”。

国家计算机病毒应急处理中心高级工程师杜振华介绍，“大理石”的主要功能是对这种网络武器，也就是像间谍软件或者恶意程序代码中的可识别特征进行混淆，甚至是擦除。就像是把开发者的指纹给擦除了，也相当于像把枪械武器的膛线改变了，所以导致从技术上对这种武器的溯源变得非常困难。

技术团队调查发现，根据“大理石”工具框架源代码及其注释显示，它被确定为一个机密级（且不可向国外透露）的武器研发计划，起始时间不晚于2015年。“大理石”工具框架可以使用超过100种混淆算法，它能将源代码文件中可读的变量名、字符串等替换为不可读（不可识别）内容，并且可以插入特定的干扰字符串。

杜振华说：“我们可以看到，这里边有阿拉伯语、中文、俄语、朝鲜语、波斯语，那么他在缓冲区做好混淆的数据之后，会把缓冲区的数据写入到指定的位置，或者是相应程序的文件当中，实现对这种网络武器痕迹的故意植入。”

安天科技集团技术委员会副主任李柏松介绍：“这是一种在网络攻击中比较常见的手段，比如说a组织把自己伪装成了b组织，而这种伪装可以在好多个不同的环节出现。比如他在架设命令控制服务器的过程中，或是在他窃密的木马开发过程中，好多个阶段都可以用这样的一些手法。而这就使得他的攻击变得很难去溯源。”

通过这些栽赃、虚构的手段，美国网络战部队和情报机构的黑客就能任意变换身份、变更形象，通过冒充其他国家的身份在全球实施网络攻击窃密活动，然后将这些行为栽赃给被冒充的非美国 “盟友”的国家。

技术团队通过掌握的证据发现，“伏特台风”行动就是一个典型的、精心设计的、符合美国资本集团利益的虚假信息行动，也就是所谓的“假旗”行动，其技战术与美国和“五眼联盟”国家情报机构所采用技战术完全吻合。

报告显示，为了满足情报需要，针对监听系统“盲区”的特定目标，美国国家安全局下属的“特定入侵行动办公室”会发动网络秘密入侵行动，受害目标主要集中在亚洲、东欧、非洲、中东和南美等地区，据技术团队掌握的证据显示，特定目标已经被植入的间谍程序超过5万个。

技术团队调查发现，在美国国家安全局的内部文件中显示，中国境内的主要城市几乎都在其网络秘密入侵行动范围内，大量的互联网资产已经遭到入侵，其中包括西北工业大学和武汉市地震监测中心所在地区。

李柏松表示：“美方对间谍软件的控制有很多种不同的方式，比较易于理解的是网络远程控制。另外他们有一个代号为‘水蝮蛇’的装备，看起来就像是个USB的接头一样，然后可以伪装成类似于键盘、鼠标的接口，他把这个装备接入到物理隔离网络的设备上去，然后把窃取的数据通过信号的方式发送出来，甚至实现对它的一个控制。”

专家介绍，除了直接实施网络入侵行动窃取数据之外，针对一些防范等级高且入侵难度大的高价值目标，特别入侵行动办公室还会采取“供应链”攻击的方式，也就是在美国大型互联网企业或设备供应商的配合下，从物流环节拦截攻击目标，另外还会对攻击目标所采购的美国网络设备进行拆解并植入后门，然后重新打包发货给攻击目标。

李柏松介绍：“这种被做了手脚的设备得到使用之后，就会成为攻击者的一个突破口。攻击者可以利用它的漏洞、后门，在我们不知道的情况下进入到我们的内网。”

杜振华介绍：“它主要是针对这种防御能力比较强、攻击难度比较大的目标，特别是一些保密等级很高的目标，包括单位、个人和群体。它的隐蔽性非常强，所以能够实现长期潜伏的窃密活动。因为它有可能造成网络瘫痪，所以它的危害无论是从泄密度，还是安全隐患的角度，都是非常严重的。”

通过“702条款”的授权，美国情报机构建立了规模庞大的全球化互联网监听网络，向美国政府机构提供了大量高价值情报，使美国政府屡屡在外交、军事、经济、科技等领域占得先机，“702条款”以及与之相配套的互联网监听系统成为现阶段美国维持其霸权地位的“秘密武器”。

报告显示，在拥有强大的先发技术优势条件下，任何目标都有可能被美国联邦政府及其情报机构列入“重点监控名单”，其中包括一些美国的“盟友”国家法国、德国、日本，甚至普通美国公民。

杜振华介绍：“这样无差别、无底线的监听，其实来源于美国的对外情报监视法案第‘702条款’，又被称为‘无证监视法案’。它的权力是非常大的，而且很少受到制约，所以实际上是美国对外肆无忌惮开展这种网络监听活动的一个根源。”

专家介绍，为了维持庞大的监听计划，美国政府机构每年所需的经费预算也是相当惊人，而这正是美国联邦政府及其情报机构合谋策划、推动“伏特台风”计划的主要动力。

杜振华介绍：“‘伏特台风’这种虚假叙事，实际上就是为了骗取国会为这些竞争项目投入更多的资金。同时，美国还必须通过这种虚假事实去保住‘702条款’这样一个无证监视的权利，还可以达到抹黑和诋毁中国的目的。”

报告指出，多年来，美国政府机构出于自身一己私利，不断将网络攻击溯源问题政治化，而微软等公司则为了迎合美国政客、政府机构和情报机构，出于提高自身商业利益考虑，打着“中国网络威胁论”的旗号，为“702条款”源源不断地输送情报。

中国一向反对政治操弄网络安全事件的技术调查，反对将网络攻击溯源归因问题政治化。报告再次呼吁，网络安全需要广泛的国际协作，广大网络安全企业和研究机构也应该专注于对网络安全威胁对抗技术的研究以及如何为用户提供更高质量的产品和服务。

来源：央视新闻客户端

原文始发于微信公众号（蚁景网安）：重磅报告揭露美国网络攻击