今年4月15日、7月8日,中国国家计算机病毒应急处理中心等机构连续发布了两次专题报告,揭露了美方利用所谓“伏特台风”虚假叙事行动计划对我国抹黑的线日,我国网络安全机构第三次发布专题报告,
并掌握了美国政府机构通过种种手段嫁祸他国的相关证据,其他的还有他们采取“供应链”攻击,在互联网设备产品中植入后门等事实,彻底揭穿所谓“伏特台风”这场由美国联邦政府自导自演的政治闹剧。
报告显示,长期以来,美国在互联网空间积极推行“防御前置”战略,并实施“前出狩猎”战术行动,也就是在对手国家周边地区部署网络战部队,对这些国家的网上目标进行抵近侦察和网络渗透。为适应这种战术需要,
国家计算机病毒应急处理中心高级工程师杜振华介绍,“大理石”的基本功能是对这种网络武器,也就是像间谍软件或者恶意程序代码中的可识别特征进行混淆,甚至是擦除。就像是把开发者的指纹给擦除了,也相当于像把枪械武器的膛线改变了,所以导致从技术上对这种武器的溯源变得很困难。
“大理石”工具框架能够正常的使用超过100种混淆算法,它能将源代码文件中可读的变量名、字符串等替换为不可读(不可识别)内容,并能插入特定的干扰字符串。杜振华说:“我们大家可以看到,这里边有阿拉伯语、中文、俄语、朝鲜语、波斯语,那么他在缓冲区做好混淆的数据之后,会把缓冲区的数据写入到指定的位置,或者是相应程序的文件当中,实现对这种网络武器痕迹的故意植入。”
安天科技集团技术委员会副主任李柏松介绍:“这是一种在网络攻击中很常见的手段,比如说a组织把自己伪装成了b组织,而这种伪装可以在好多个不同的环节出现。比如他在架设命令控制服务器的过程中,或是在他窃密的木马开发过程中,好多个阶段都可以用这样的一些手法。而这就使得他的攻击变得很难去溯源。”
然后将这些行为栽赃给被冒充的非美国 “盟友”的国家。技术团队通过掌握的证据发现,
也就是所谓的“假旗”行动,其技战术与美国和“五眼联盟”国家情报机构所采用技战术完全吻合。
我国网络安全机构发布的报告数据显示,美国政府机构之所以虚构出所谓中国背景的“伏特台风”网络攻击组织,目的是为了继续把持《涉外情报监视法案》第“702条款”所赋予的“无证”监视权,以维持其庞大的“无差别”“无底线”监听计划。而正是有了“702条款”的相关权限,美国政府机构才能持续对全球互联网用户实施无差别监听,甚至直接从美国各大互联网企业的服务器上获取用户数据,是名副其实的网络空间“窥探者”。
技术团队调查发现,据美国国家安全局的内部绝密级资料显示,美国依托其在互联网布局建设中先天掌握的技术优势和地理位置优势,牢牢把持全球最重要的大西洋海底光缆和太平洋海底光缆等互联网“关键节点”,
美国政府机构与英国国家网络安全中心紧密合作,对光缆中传输的数据进行解析和数据窃取,实现对全球互联网用户的无差别监听。杜振华说:“通过对这些光缆中的数字信号进行提取、汇聚、还原、解码、解密,就可以得到光缆通信数据当中的
这些情报的受益方很多,主要是两个方面,一方面是美国自己,当然包括美国的军方情报机构,另一方面是美国的情报合作伙伴,特别是像‘五眼联盟’国家。”报告显示,
美国国家安全局实施了两个重点工程项目,分别是“上游”(UpStream)项目和“棱镜”(Prism)项目,这两个项目分别承担数据存储和数据还原分析的功能。杜振华介绍:“‘上游’项目顾名思义,就是从海底光缆中把原始数据提取出来,汇聚形成一个巨大的数据水库,供后续进行深度分析。‘棱镜’计划就是在‘上游’项目的基础上,对数据水库当中的流量进行深度的分析分类,
”据网络安全专家介绍,为了解决“上游”项目中加密数据破解和网络通信流量路径覆盖不全等突出问题,美国政府还会通过“棱镜”项目
。而“上游”和“棱镜”两个项目正是在《涉外情报监视法案》第“702条款”的授权下建设实施的,因此第“702条款”成为美国情报机构代表美国联邦政府合法、公开、持续窃取全球互联网链路数据的官方依据,也成为美国“窃密帝国”的扎实证据。
美国国家安全局下属的“特定入侵行动办公室”会发动网络秘密入侵行动,受害目标主要集中在亚洲、东欧、非洲、中东和南美等地区,据技术团队掌握的证据显示,特定目标已经被植入的间谍程序超过5万个。技术团队调查发现,在美国国家安全局的内部文件中显示,
大量的互联网资产已经遭到入侵,其中包括西北工业大学和武汉市地震监测中心所在地区。李柏松表示:“美方对间谍软件的控制有很多种不同的方式,比较易于理解的是网络远程控制。另外他们有一个代号为
的装备,看起来就像是个USB的接头一样,然后可以伪装成类似于键盘、鼠标的接口,他把这个装备接入到物理隔离网络的设备上去,然后把窃取的数据通过信号的方式发送出来,甚至实现对它的一个控制。”专家介绍,除了直接实施网络入侵行动窃取数据之外,针对一些防范等级高且入侵难度大的高价值目标,特别入侵行动办公室还会采取“供应链”攻击的方式,也就是在美国大型互联网企业或设备供应商的配合下,
另外还会对攻击目标所采购的美国网络设备进行拆解并植入后门,然后重新打包发货给攻击目标。李柏松介绍:“这种被做了手脚的设备得到使用之后,就会成为攻击者的一个突破口。攻击者可以利用它的漏洞、后门,在我们不知道的情况下进入到我们的内网。”
杜振华介绍:“它主要是针对这种防御能力比较强、攻击难度比较大的目标,特别是一些保密等级很高的目标,包括单位、个人和群体。它的隐蔽性非常强,所以能够实现长期潜伏的窃密活动。因为它有可能造成网络瘫痪,所以它的危害无论是从泄密度,还是安全隐患的角度,都是非常严重的。”
通过“702条款”的授权,美国情报机构建立了规模庞大的全球化互联网监听网络,向美国政府机构提供了大量高价值情报,使美国政府屡屡在外交、军事、经济、科技等领域占得先机,
其中包括一些美国的“盟友”国家法国、德国、日本,甚至普通美国公民。杜振华介绍:“这样无差别、无底线的监听,其实来源于
,又被称为‘无证监视法案’。它的权力是非常大的,而且很少受到制约,所以实际上是美国对外肆无忌惮开展这种网络监听活动的一个根源。”专家介绍,
而这正是美国联邦政府及其情报机构合谋策划、推动“伏特台风”计划的主要动力。杜振华介绍:“‘伏特台风’这种虚假叙事,实际上就为了骗取国会为这些竞争项目投入更多的资金。同时,美国还必须通过这种虚假事实去保住‘702条款’这样一个无证监视的权利,还可以达到抹黑和诋毁中国的目的。”
而微软等公司则为了迎合美国政客、政府机构和情报机构,出于提高自身商业利益考虑,打着“中国网络”的旗号,为“702条款”源源不断地输送情报。中国一向反对政治操弄网络安全事件的技术调查,反对将网络攻击溯源归因问题政治化。报告再次呼吁,网络安全需要广泛的国际协作,广大网络安全企业和研究机构也应该专注于对网络安全威胁对抗技术的研究以及如何为用户更好的提供更高质量的产品和服务。