警惕來自大洋彼岸的網(wǎng)絡(luò)不安全因素

長(zhǎng)期以來，美國(guó)及其部分盟友連篇累牘利用各種平臺(tái)、形式，試圖將中國(guó)塑造成“網(wǎng)絡(luò)攻擊威脅”。如2023年起由時(shí)任聯(lián)邦調(diào)查局（FBI）局長(zhǎng)雷（Christopher Asher Wray）領(lǐng)銜、美國(guó)聯(lián)邦調(diào)查局（FBI）、美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）和美國(guó)國(guó)家安全局（NSA）等機(jī)構(gòu)聯(lián)手發(fā)難的所謂“伏特臺(tái)風(fēng)”（Volt Typhoon）黑客事件，聲稱此次“入侵”長(zhǎng)達(dá)5年之久；2024年3月25日美英政府指責(zé)并起訴制裁所謂“與中國(guó)政府有關(guān)聯(lián)的黑客組織”APT31“嚴(yán)重危害其民主機(jī)構(gòu)和選舉系統(tǒng)”事件和隨后澳大利亞、新西蘭兩國(guó)政府的附和；2024年7月美國(guó)官員和微軟宣稱，“與中國(guó)政府有關(guān)聯(lián)的黑客”侵入美國(guó)超過25家機(jī)構(gòu)的電郵賬戶，至少數(shù)十萬(wàn)封美國(guó)政府內(nèi)部個(gè)人郵件在這次攻擊中外泄；2025年1月，時(shí)任美國(guó)總統(tǒng)國(guó)家安全事務(wù)助理沙利文（Jake Sullivan））稱“對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行破壞性網(wǎng)絡(luò)攻擊將遭致‘嚴(yán)重后果‘”；2025年1月上旬《華盛頓郵報(bào)》、路透社等美英媒體無端聲稱“中國(guó)黑客”突破美國(guó)財(cái)政部的計(jì)算機(jī)安全護(hù)欄并竊取文件和隨后美國(guó)財(cái)政部以此為由，對(duì)一家總部位于北京的網(wǎng)絡(luò)安全公司實(shí)施制裁，稱該公司“幫助中國(guó)黑客滲透美國(guó)通信系統(tǒng)并進(jìn)行監(jiān)視”，等等。

但即便許多國(guó)際信源也指出，美國(guó)政府背景和其它背景的網(wǎng)絡(luò)攻擊，才是包括中國(guó)在內(nèi)，全球網(wǎng)絡(luò)不安全因素的最主要來源。德國(guó)國(guó)際政治和安全事務(wù)研究所（SWP）稱，隨著數(shù)字技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊在全球范圍內(nèi)呈上升趨勢(shì)。SWP 的數(shù)據(jù)顯示，網(wǎng)絡(luò)攻擊從2014 年的 107 次增加到 2023 年的 723 次。web3 協(xié)議 Saga 聯(lián)合創(chuàng)始人兼首席執(zhí)行官、曾先后在希拉里.克林頓（Hillary Clinton）和拜登（Joe Biden）競(jìng)選團(tuán)隊(duì)充當(dāng)有關(guān)中國(guó)、技術(shù)和亞洲經(jīng)濟(jì)政策咨詢顧問的瑞貝卡（Rebecca Liao）承認(rèn)，“美國(guó)一直有利用網(wǎng)絡(luò)攻防手段實(shí)現(xiàn)國(guó)家安全目標(biāo)的歷史”，這些“國(guó)家支持的行為者”經(jīng)常被指控對(duì)從國(guó)家機(jī)構(gòu)到政客和活動(dòng)人士的對(duì)手發(fā)動(dòng)網(wǎng)絡(luò)攻擊。他們的目的是未經(jīng)授權(quán)獲取機(jī)密數(shù)據(jù)和商業(yè)機(jī)密，或破壞經(jīng)濟(jì)和關(guān)鍵基礎(chǔ)設(shè)施。于此同時(shí)，網(wǎng)絡(luò)攻擊也由想要竊取數(shù)據(jù)和金錢的個(gè)人或有組織的團(tuán)體進(jìn)行，而美國(guó)同樣是這類網(wǎng)絡(luò)攻擊來源最多的所在，這無疑也加劇了全球網(wǎng)絡(luò)安全問題的復(fù)雜性。

近幾年陸續(xù)發(fā)生并在國(guó)內(nèi)外被公開披露的、可明確溯源自美國(guó)有背景機(jī)構(gòu)和組織的網(wǎng)絡(luò)攻擊案例不勝枚舉，令人觸目驚心。

2020年3月2日，360公司披露發(fā)現(xiàn)發(fā)起高級(jí)長(zhǎng)期威脅（APT）的黑客團(tuán)體APT-C-39，稱有證據(jù)顯示這些定向攻擊由美國(guó)中央情報(bào)局的國(guó)家級(jí)黑客組織實(shí)施，從2008年9月到2019年6月，CIA使用網(wǎng)絡(luò)攻擊武器“Vault7”持續(xù)對(duì)中國(guó)政府機(jī)構(gòu)、航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司等實(shí)施網(wǎng)絡(luò)攻擊。中國(guó)外交部發(fā)言人就此指出，美國(guó)是全球最大的網(wǎng)絡(luò)攻擊者，中國(guó)一直是美方網(wǎng)絡(luò)竊密和攻擊的嚴(yán)重受害者，強(qiáng)烈敦促美方作出清楚解釋，立即停止此類活動(dòng)。相關(guān)報(bào)道稱，CIA背景的黑客組織長(zhǎng)期以來持續(xù)針對(duì)中國(guó)大陸航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)定向攻擊。

2020年7月，《華盛頓郵報(bào)》披露，特朗普（Donald Trump）政府在2018年簽署了“通知備忘錄”，授權(quán)美國(guó)中央情報(bào)局不經(jīng)國(guó)會(huì)批準(zhǔn)即可對(duì)中國(guó)發(fā)動(dòng)網(wǎng)絡(luò)攻擊，不但將媒體、金融機(jī)構(gòu)、商業(yè)公司等納入網(wǎng)絡(luò)攻擊授權(quán)范圍，還授權(quán)“干擾”“破壞”“摧毀”電力、石油等關(guān)鍵基礎(chǔ)設(shè)施。

2021年1月，《華盛頓郵報(bào)》披露，美國(guó)國(guó)家安全局曾成功入侵華為公司的設(shè)備，并制定了秘密網(wǎng)絡(luò)攻擊計(jì)劃“Shotgiant”，對(duì)華為在中國(guó)的電信設(shè)施實(shí)施網(wǎng)絡(luò)竊密。

2022年3月，中國(guó)遭遇一系列規(guī)模巨大、來勢(shì)洶涌的網(wǎng)絡(luò)攻擊，據(jù)中國(guó)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 (CNCERT/CC)稱，其中大部分可溯源至美國(guó)網(wǎng)址，少數(shù)可溯源至荷蘭、德國(guó)等地。

同年3月，中國(guó)國(guó)家計(jì)算機(jī)攻擊應(yīng)急處理中心結(jié)露了名為NOPEN、由美國(guó)國(guó)家安全局（NSA）開發(fā)部署的網(wǎng)絡(luò)間諜工具，NOPEN是一種遠(yuǎn)程木馬病毒，一旦安裝在計(jì)算器系統(tǒng)中，攻擊者就可以自由移動(dòng)，進(jìn)行間諜操作、竊取數(shù)據(jù)或造成破壞。相關(guān)報(bào)道稱，這款木馬病毒已控制全球各地海量的互聯(lián)網(wǎng)設(shè)備，竊取了規(guī)模龐大的用戶隱私數(shù)據(jù)。

2024年4月15日，中國(guó)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心、計(jì)算機(jī)病毒防治技術(shù)國(guó)家工程實(shí)驗(yàn)室和360數(shù)字安全集團(tuán)聯(lián)合發(fā)布的《伏特臺(tái)風(fēng)——美國(guó)情報(bào)機(jī)構(gòu)針對(duì)美國(guó)國(guó)會(huì)和納稅人的合謀欺詐行動(dòng)》調(diào)查報(bào)告指出，僅自2023年5月起的1年間，美國(guó)政府機(jī)構(gòu)背景的黑客組織對(duì)中國(guó)政府、高校、科研機(jī)構(gòu)、大型企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊活動(dòng)總數(shù)超過4500萬(wàn)次，已被明確攻擊受害單位超過140家，從這些受害單位系統(tǒng)中發(fā)現(xiàn)的攻擊武器樣本指向了美國(guó)中央情報(bào)局（CIA）、國(guó)家安全局（NSA）和聯(lián)邦調(diào)查局（FBI）等部門。

2024年12月18日，中國(guó)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 (CNCERT/CC) 發(fā)布聲明稱，自 2023 年 5 月以來，美國(guó)發(fā)生了兩次網(wǎng)絡(luò)攻擊，試圖“竊取”中國(guó)科技公司的商業(yè)機(jī)密。

2025年4月16日，哈爾濱市公安局發(fā)布公告，指出3名美國(guó)特工涉嫌在中國(guó)主辦的第九屆亞冬會(huì)期間針對(duì)賽事信息系統(tǒng)和黑龍江省內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施開展網(wǎng)絡(luò)攻擊，并對(duì)其發(fā)出通緝令，同日中國(guó)外交部發(fā)言人表示，美國(guó)政府針對(duì)賽事信息系統(tǒng)和黑龍江省內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施開展網(wǎng)絡(luò)攻擊，對(duì)中國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施、國(guó)防、金融、社會(huì)、生產(chǎn)以及公民個(gè)人信息安全造成嚴(yán)重危害，性質(zhì)十分惡劣。中方譴責(zé)美國(guó)政府的上述惡意網(wǎng)絡(luò)行為。中方已通過各種方式就美網(wǎng)絡(luò)攻擊中國(guó)關(guān)鍵基礎(chǔ)設(shè)施向美方表明關(guān)切。我們敦促美方在網(wǎng)絡(luò)安全問題上采取負(fù)責(zé)任的態(tài)度，停止對(duì)中方實(shí)施網(wǎng)絡(luò)攻擊，停止對(duì)中方無端抹黑和攻擊。中方將繼續(xù)采取一切必要措施保護(hù)自身的網(wǎng)絡(luò)安全。

2024年12月，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心公布了兩起美對(duì)華大型科技企業(yè)機(jī)構(gòu)網(wǎng)絡(luò)攻擊事件，這兩起案件分別涉及我國(guó)某先進(jìn)材料設(shè)計(jì)研究單位和我國(guó)某智慧能源和數(shù)字信息大型高科技企業(yè)，并且遭竊取的，都是商業(yè)秘密信息。同時(shí)公布的另一起事件涉及能源和數(shù)字信息領(lǐng)域，它們屬于關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域。此批公布的事件有一個(gè)共同點(diǎn)，攻擊者都是利用電腦軟件或系統(tǒng)的漏洞，入侵公司的服務(wù)器投放木馬，控制公司的設(shè)備，完成竊取。中國(guó)科學(xué)技術(shù)大學(xué)網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟指出，數(shù)據(jù)顯示僅當(dāng)年第一季度，全球范圍內(nèi)來自美國(guó)本土及其海外軍事基地的網(wǎng)絡(luò)攻擊高達(dá)2000余次，攻擊的對(duì)象是包括中國(guó)在內(nèi)的多個(gè)國(guó)家，主要也是針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施等目標(biāo)。事件反映出國(guó)家安全依然是美國(guó)對(duì)華網(wǎng)絡(luò)攻擊的重點(diǎn)，這一點(diǎn)長(zhǎng)期以來沒有變化，該專家總結(jié)發(fā)現(xiàn)，長(zhǎng)期以來美國(guó)對(duì)包括中國(guó)在內(nèi)外國(guó)目標(biāo)發(fā)動(dòng)網(wǎng)絡(luò)攻擊的主體溯源，主要指向情報(bào)機(jī)構(gòu)，如CIA、FBI、美國(guó)國(guó)家安全情報(bào)局（ONSI），以及美國(guó)財(cái)政部、能源部、國(guó)務(wù)院等業(yè)務(wù)部門各自下屬的情報(bào)機(jī)構(gòu)，但近年來美軍開始成為更多跨國(guó)網(wǎng)絡(luò)攻擊的主體，隸屬于五角大樓的美國(guó)網(wǎng)絡(luò)司令部（USCYBERCOM）愈益活躍，在美國(guó)今年新發(fā)布的《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略實(shí)施計(jì)劃》中，“美國(guó)國(guó)防部”出現(xiàn)的次數(shù)相比去年增加了30%左右，此前，美國(guó)網(wǎng)絡(luò)司令部已經(jīng)在全球20個(gè)國(guó)家開展了37次“前出狩獵”行動(dòng)，專家們指出，隨著中國(guó)在高科技領(lǐng)域和全球產(chǎn)業(yè)鏈中地位不斷提高，這類針對(duì)中國(guó)經(jīng)濟(jì)、科研等特定目標(biāo)展開的網(wǎng)絡(luò)攻擊有愈演愈烈之勢(shì)。有報(bào)道援引美國(guó)國(guó)防大學(xué)的一句話，“一名高中生不可能花幾個(gè)晚上伏在鍵盤前制造出一架F-22戰(zhàn)斗機(jī)，但足以制造出破壞大型企業(yè)和軍事網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊武器”，揭示了美國(guó)軍方背景機(jī)構(gòu)加大網(wǎng)絡(luò)攻擊密度的思維模式所在。

2025年4月28日，中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)發(fā)布《美情報(bào)機(jī)構(gòu)利用網(wǎng)絡(luò)攻擊中國(guó)大型商用密碼產(chǎn)品提供商事件調(diào)查報(bào)告》，揭示了2024年國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)現(xiàn)處置一起美情報(bào)機(jī)構(gòu)對(duì)中國(guó)大型商用密碼產(chǎn)品提供商網(wǎng)絡(luò)攻擊事件的細(xì)節(jié)。攻擊者以客戶公司的“抬頭”為掩護(hù)，同年3月5日在客戶關(guān)系管理系統(tǒng)植入了特種木馬程序，路徑為/crm/WxxxxApp/xxxxxx/xxx.php。攻擊者可以通過該木馬程序，執(zhí)行任意的網(wǎng)絡(luò)攻擊命令。為防止被監(jiān)測(cè)發(fā)現(xiàn)，木馬程序通信數(shù)據(jù)全過程加密，并進(jìn)行特征字符串編碼、加密、壓縮等一系列復(fù)雜處理。2024年5月20日，攻擊者通過橫向移動(dòng)，開始攻擊該公司用于產(chǎn)品及項(xiàng)目代碼管理的系統(tǒng)。2024年3月至9月，攻擊者用14個(gè)境外跳板IP連接特種木馬程序并竊取客戶關(guān)系管理系統(tǒng)中的數(shù)據(jù)，累計(jì)竊取數(shù)據(jù)量達(dá)950MB。客戶關(guān)系管理系統(tǒng)中有用戶600余個(gè)，存儲(chǔ)客戶檔案列表8000余條，合同訂單1萬(wàn)余條，合同客戶包括我相關(guān)政府部門等多個(gè)重要單位。攻擊者可以查看合同的名稱、采購(gòu)內(nèi)容、金額等詳細(xì)信息。2024年5月至7月，攻擊者用3個(gè)境外跳板IP攻擊該公司的代碼管理系統(tǒng)，累計(jì)竊取數(shù)據(jù)量達(dá)6.2GB。代碼管理系統(tǒng)中有用戶44個(gè)，存儲(chǔ)了3個(gè)密碼研發(fā)項(xiàng)目的代碼等重要信息。通過對(duì)xxx.php特種木馬程序的逆向分析，發(fā)現(xiàn)其與美情報(bào)機(jī)構(gòu)前期使用的攻擊武器具有明確同源關(guān)系。分析發(fā)現(xiàn)，攻擊時(shí)間主要集中在北京時(shí)間22時(shí)至次日8時(shí)，相對(duì)于美國(guó)東部時(shí)間為10時(shí)至20時(shí)。攻擊時(shí)間主要分布在美國(guó)時(shí)間的星期一至星期五，在美國(guó)主要節(jié)假日未出現(xiàn)攻擊行為。攻擊者使用的17個(gè)攻擊IP完全不重復(fù)，同時(shí)可秒級(jí)切換攻擊IP。攻擊IP位于美國(guó)、新加坡、荷蘭、德國(guó)和韓國(guó)等地，反映出其高度的反溯源意識(shí)和豐富的攻擊資源儲(chǔ)備，其共計(jì)手法的特點(diǎn)，一是善于利用開源或通用工具偽裝躲避溯源，例如在客戶關(guān)系管理系統(tǒng)中還發(fā)現(xiàn)了攻擊者臨時(shí)植入的2個(gè)常見的網(wǎng)頁(yè)木馬。二是攻擊者善于通過刪除日志和木馬程序，隱藏自身的攻擊行為。

專家指出，當(dāng)今國(guó)際上有兩套關(guān)于網(wǎng)絡(luò)空間國(guó)際規(guī)則的主張：美國(guó)主張網(wǎng)絡(luò)攻擊要分合法和非法，出于國(guó)家安全、軍事、情報(bào)等理由的網(wǎng)絡(luò)攻擊是合法的，只有商業(yè)竊密是非法的。所以美國(guó)從來都是將自己發(fā)起的攻擊披上合法的外衣，而指責(zé)其他國(guó)家搞商業(yè)竊密。以中國(guó)為代表的國(guó)家則主張網(wǎng)絡(luò)主權(quán)理論，提出任何形式的網(wǎng)絡(luò)攻擊都是非法的。美國(guó)之所以要這樣二元?jiǎng)澐郑菫榱朔奖阕约弘S時(shí)捏造“安全”的理由對(duì)其他國(guó)家發(fā)起網(wǎng)絡(luò)攻擊，因?yàn)槊绹?guó)采取的是一種“有罪推定”的方式——譚主梳理美國(guó)發(fā)起網(wǎng)絡(luò)攻擊的流程后發(fā)現(xiàn)，只要它認(rèn)為對(duì)方“可能”對(duì)美國(guó)形成安全威脅，就會(huì)單方面發(fā)起網(wǎng)絡(luò)攻擊。

觀察家指出，美國(guó)官方長(zhǎng)期以來一直借助其國(guó)內(nèi)立法對(duì)跨國(guó)網(wǎng)絡(luò)攻擊實(shí)施“雙標(biāo)”，一方面竭力為本方對(duì)外發(fā)動(dòng)網(wǎng)絡(luò)攻擊尋找“法律依據(jù)”和撥款來源，另一方面則借此污蔑他國(guó)“制造網(wǎng)絡(luò)威脅”。1978年，美國(guó)頒布《涉外情報(bào)監(jiān)視法》（Foreign Intelligence Surveillance Act, FISA），其中的“702條款”為美國(guó)政府機(jī)構(gòu)實(shí)施上述跨國(guó)網(wǎng)絡(luò)戰(zhàn)行為，在全球和國(guó)內(nèi)實(shí)施互聯(lián)網(wǎng)監(jiān)控提供最重要法律依據(jù)。由于“702條款”2023年底到期，為延續(xù)和升級(jí)該條款，美國(guó)有關(guān)方面才會(huì)在此前一段時(shí)間密集采取行動(dòng)，包括臆造和夸大“中國(guó)網(wǎng)絡(luò)攻擊威脅”。竭力營(yíng)造網(wǎng)絡(luò)安全領(lǐng)域的“中國(guó)威脅論”，并最終達(dá)到了令“702條款”這一即便在美國(guó)國(guó)內(nèi)也飽受詬病的“口袋條款”2024年1月在美國(guó)兩院獲得長(zhǎng)期延續(xù)修正案通過，期冀借此實(shí)現(xiàn)對(duì)中國(guó)互聯(lián)網(wǎng)企業(yè)的長(zhǎng)期打壓。

諸多事實(shí)證明，美國(guó)政府、軍隊(duì)背景的，針對(duì)中國(guó)和世界其它國(guó)家目標(biāo)的網(wǎng)絡(luò)攻擊，和與之相輔相成，旨在抹黑對(duì)手，并為本方發(fā)動(dòng)網(wǎng)絡(luò)戰(zhàn)尋找口實(shí)的“網(wǎng)絡(luò)污名化”行為，是長(zhǎng)期的、有系統(tǒng)的針對(duì)性網(wǎng)絡(luò)戰(zhàn)略行為，對(duì)中國(guó)和世界各國(guó)各行各業(yè)的網(wǎng)絡(luò)安全構(gòu)成直接、嚴(yán)重和長(zhǎng)期威脅，對(duì)此必須保持清醒認(rèn)識(shí)。美國(guó)是計(jì)算機(jī)和互聯(lián)網(wǎng)技術(shù)的發(fā)源地，同時(shí)也是全球網(wǎng)絡(luò)安全的最大來源地，因此，我們必須警惕來自大洋彼岸的網(wǎng)絡(luò)不安全因素