操弄網絡攻擊溯源 栽贓陷害中國——揭開“伏特台風”真相

　　2024年2月1日，美國國會(hui) 眾(zhong) 議院“中國問題特別委員會(hui) ”舉(ju) 行了“中國對美國國土和國家安全的網絡威脅”聽證會(hui) 。會(hui) 議圍繞2023年5月被美國微軟公司披露的名為(wei) “伏特台風”（Volt Typhoon）且所謂“具有中國政府支持背景的黑客組織”展開討論，稱其對美國關(guan) 鍵基礎設施發動了網絡攻擊並試圖進一步實施破壞，給美國國家安全造成嚴(yan) 重威脅。

　　“伏特台風”是何方神聖？其與(yu) 中國政府的關(guan) 聯證據何在？既然去年5月就已經披露了攻擊活動，美國政客為(wei) 何時隔8個(ge) 月舊事重提，再次向中國發難？

　　何為(wei) “伏特台風”？

　　2023年5月24日，“五眼聯盟”國家（美國、英國、加拿大、澳大利亞(ya) 、新西蘭(lan) ）的網絡安全主管部門聯合發布了名為(wei) 《中華人民共和國國家支持背景的黑客正在使用逃避檢測技術》的預警通報。預警通報稱名為(wei) “伏特台風”的黑客組織針對美國關(guan) 鍵基礎設施單位實施了網絡間諜活動。

　　該預警通報直接引用了微軟公司於(yu) 同日發布的《“伏特台風”組織利用逃避檢測技術針對美國關(guan) 鍵基礎設施發動攻擊》的技術分析報告和溯源分析結果。微軟公司技術分析報告中將攻擊者按照微軟公司的內(nei) 部規則命名為(wei) “伏特台風”，並直接指出該組織是所謂“總部位於(yu) 中國且由國家政府支持的網絡攻擊行為(wei) 主體(ti) ”。

　　雖然“五眼聯盟”的預警通報和微軟公司的技術報告詳細介紹了攻擊者的技戰術特征和感染指標等，但沒有給出具體(ti) 的溯源分析過程，而是直接給“伏特台風”打上了“具有中國政府支持背景的黑客組織”標簽。

　　該預警通報一經發布就被路透社、華爾街日報、紐約時報等新聞媒體(ti) 大量轉載，紐約時報還報道稱美國情報機構在2023年2月發現關(guan) 島和美國部分地區的電信網絡遭到入侵，並將上述攻擊與(yu) 相關(guan) 預警通報聯係起來。

　　不難看出，關(guan) 於(yu) “伏特台風”組織以及該組織的歸屬，美國政府、網絡安全企業(ye) 和新聞媒體(ti) 的最主要參考依據就是微軟公司的技術分析報告和“五眼聯盟”發布的聯合預警通報。

　　“伏特台風”真的具有國家支持背景嗎？

　　一直以來，網絡攻擊活動的歸因分析都是國際性難題。“伏特台風”這一名稱和歸因都源自美國微軟公司的技術分析報告和“五眼聯盟”發布的聯合預警通報，但微軟公司並沒有給出詳細的歸因分析過程和根據，且報告中也提及，黑客使用逃避檢測技術為(wei) 取證和溯源工作帶來較大困難。

　　中國國家計算機病毒應急處理中心和計算機病毒防治技術國家工程實驗室聯合360數字安全集團通過對報告給出的相關(guan) 攻擊活動技術特征進行溯源分析，發現能夠被查找到的13個(ge) 惡意程序樣本關(guan) 聯多個(ge) IP地址。這些IP地址與(yu) 很多的網絡攻擊事件相關(guan) ，並且也存在多個(ge) IP地址與(yu) 同一攻擊事件或網絡安全風險存在關(guan) 聯的現象，其中與(yu) 13個(ge) 惡意程序樣本關(guan) 聯程度最高的有5個(ge) IP地址。

　　而與(yu) 這5個(ge) IP地址都有關(guan) 聯的網絡攻擊事件報告是美國威脅盟公司於(yu) 2023年4月11日發布的《關(guan) 於(yu) “暗黑力量”勒索病毒團夥(huo) 研究報告》。報告顯示，“暗黑力量”首次被發現攻擊活動時間為(wei) 2023年1月，僅(jin) 2023年3月全球範圍內(nei) 就至少有10個(ge) 機構遭到該組織攻擊並被勒索。受害機構所在國家包括阿爾及利亞(ya) 、埃及、捷克、土耳其、以色列、秘魯、法國、美國等。

　　另外，通過對美國流明科技公司2023年12月發布報告中包含的惡意程序樣本和IP地址等技術特征進行檢索，並未找到其與(yu) 微軟公司和“五眼聯盟”預警通報中所述技術特征之間的關(guan) 聯關(guan) 係。

　　技術團隊判定，來自“伏特台風”的惡意程序樣本並未表現出明確的國家背景黑客組織行為(wei) 特征，而是與(yu) “暗黑力量”勒索病毒等網絡犯罪團夥(huo) 的關(guan) 聯程度明顯。在此情況下，微軟公司及“五眼聯盟”國家僅(jin) 憑受害單位和攻擊者的攻擊技戰術這些模糊的歸因因素就將“伏特台風”扣上所謂“中國政府黑客”的帽子未免過於(yu) 牽強。

　　“伏特台風”的真相

　　2024年1月31日對於(yu) 美國國會(hui) 、美國政府網絡安全主管部門和美國網絡安全企業(ye) 來說是一個(ge) 重要的時間節點。在同一天，美國國會(hui) 、美國司法部、美國國土安全部共同針對“伏特台風”打出了一套“組合拳”。

　　首先，參加聽證會(hui) 的美國國會(hui) 議員以及美國國家安全局、美國網絡安全與(yu) 基礎設施安全局、美國聯邦調查局和美國國家網絡總監辦公室的一把手們(men) 大肆鼓吹“中國威脅論”，要求國會(hui) 在網絡安全方麵進一步加大人、財、物投入。其次，2024年美國總統大選，共和、民主兩(liang) 黨(dang) 自然都不想在中國問題上“丟(diu) 選票”，通過公開“討伐”中國，國會(hui) 議員們(men) 還可以提高自身曝光率，收獲不錯的政治資本。

　　美國網絡安全企業(ye) 當然希望美國聯邦政府的錢包越鼓越好，而且“中國威脅論”也成為(wei) 這些企業(ye) 開拓歐美市場最好的營銷廣告。最終，在2024年3月11日，拜登政府公布的2025財年預算申請文件中，聯邦政府在民事行政部門和機構的網絡安全預算達到了創紀錄的130億(yi) 美元，較2024財年又提高了10%。

　　就在微軟公司發布報告的前兩(liang) 個(ge) 月，也就是2023年3月24日，微軟公司獲得了美國國防部聯合作戰雲(yun) 項目的第一批任務訂單。在美國流明科技公司發布有關(guan) KV僵屍網絡與(yu) “伏特台風”存在關(guan) 聯的分析報告的前一個(ge) 月，2023年11月7日，美國流明科技公司剛剛贏得了美國國防信息係統局價(jia) 值1.1億(yi) 美元的五年期合同訂單。

　　美國政客、高官和企業(ye) 家因“伏特台風”虛假敘事賺得盆滿缽滿，而且也達到在國際社會(hui) 抹黑中國形象、離間中國與(yu) 他國關(guan) 係、遏製中國經濟發展的目的。

　　美國政府搞小圈子、小院高牆，甚至操弄微軟等公司開展虛假敘事，把網絡攻擊溯源當成政治遊戲、當成打壓中國的工具、當成攫取資本為(wei) 自身謀利的抓手，徹底暴露了美“歇斯底裏”和“無底線”的對華政策，以及美國政客、高官和企業(ye) 家勾連腐敗真相，這樣隻會(hui) 破壞國際公共網絡空間的正常秩序，破壞中美關(guan) 係，影響美國政府在全球的聲譽。

　　近年來，中國公安機關(guan) 偵(zhen) 破西北工業(ye) 大學、武漢市地震監測中心等多個(ge) 機構被美國家安全局、中央情報局網絡攻擊案件表明，美國才是真正的“黑客帝國”“竊密帝國”。