发布时间:2024-06-10 20:09:51 来源: sp20240610
新华社北京4月15日电 2024年2月1日,美国国会众议院“中国问题特别委员会”举行了“中国对美国国土和国家安全的网络威胁”听证会。会议围绕2023年5月被美国微软公司披露的名为“伏特台风”(Volt Typhoon)且所谓“具有中国政府支持背景的黑客组织”展开讨论,称其对美国关键基础设施发动了网络攻击并试图进一步实施破坏,给美国国家安全造成严重威胁。
“伏特台风”是何方神圣?其与中国政府的关联证据何在?既然去年5月就已经披露了攻击活动,美国政客为何时隔8个月旧事重提,再次向中国发难?
何为“伏特台风”?
2023年5月24日,“五眼联盟”国家(美国、英国、加拿大、澳大利亚、新西兰)的网络安全主管部门联合发布了名为《中华人民共和国国家支持背景的黑客正在使用逃避检测技术》的预警通报。预警通报称名为“伏特台风”的黑客组织针对美国关键基础设施单位实施了网络间谍活动。
该预警通报直接引用了微软公司于同日发布的《“伏特台风”组织利用逃避检测技术针对美国关键基础设施发动攻击》的技术分析报告和溯源分析结果。微软公司技术分析报告中将攻击者按照微软公司的内部规则命名为“伏特台风”,并直接指出该组织是所谓“总部位于中国且由国家政府支持的网络攻击行为主体”。
虽然“五眼联盟”的预警通报和微软公司的技术报告详细介绍了攻击者的技战术特征和感染指标等,但没有给出具体的溯源分析过程,而是直接给“伏特台风”打上了“具有中国政府支持背景的黑客组织”标签。
该预警通报一经发布就被路透社、华尔街日报、纽约时报等新闻媒体大量转载,纽约时报还报道称美国情报机构在2023年2月发现关岛和美国部分地区的电信网络遭到入侵,并将上述攻击与相关预警通报联系起来。
不难看出,关于“伏特台风”组织以及该组织的归属,美国政府、网络安全企业和新闻媒体的最主要参考依据就是微软公司的技术分析报告和“五眼联盟”发布的联合预警通报。
“伏特台风”真的具有国家支持背景吗?
一直以来,网络攻击活动的归因分析都是国际性难题。“伏特台风”这一名称和归因都源自美国微软公司的技术分析报告和“五眼联盟”发布的联合预警通报,但微软公司并没有给出详细的归因分析过程和根据,且报告中也提及,黑客使用逃避检测技术为取证和溯源工作带来较大困难。
中国国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室联合360数字安全集团通过对报告给出的相关攻击活动技术特征进行溯源分析,发现能够被查找到的13个恶意程序样本关联多个IP地址。这些IP地址与很多的网络攻击事件相关,并且也存在多个IP地址与同一攻击事件或网络安全风险存在关联的现象,其中与13个恶意程序样本关联程度最高的有5个IP地址。
而与这5个IP地址都有关联的网络攻击事件报告是美国威胁