今年4月15日、7月8日,中國國家計算機病毒應急處理中心等機構連續發布了兩次專題報告,揭露了美方利用所謂「伏特颱風」虛假敘事行動計劃對我國抹黑的真實意圖。今天(14日)我國網絡安全機構第三次發布專題報告,進一步公開美國政府機構和「五眼聯盟」國家針對中國和德國等其他國家,以及全球網際網路用戶實施網絡間諜竊聽、竊密活動,並掌握了美國政府機構通過各種手段嫁禍他國的相關證據,另外還有他們採取「供應鏈」攻擊,在網際網路設備產品中植入後門等事實,徹底揭穿所謂「伏特颱風」這場由美國聯邦政府自導自演的政治鬧劇。
美研發嫁禍他國隱身"工具包" 代號"大理石"
報告顯示,長期以來,美國在網絡空間積極推行「防禦前置」戰略,並實施「前出狩獵」戰術行動,也就是在對手國家周邊地區部署網絡戰部隊,對這些國家的網上目標進行抵近偵察和網絡滲透。為適應這種戰術需要,美國情報機構專門研發了掩蓋自身惡意網絡攻擊行為、嫁禍他國的隱身「工具包」,代號「大理石」。
國家計算機病毒應急處理中心高級工程師 杜振華:它的功能主要是對這種網絡武器,也就是像間諜軟體或者這些惡意程序當中的代碼中的這些可識別的特徵進行混淆,甚至是擦除。這樣起到了一個效果,就像是把開發者的指紋給擦除了,也相當於像把槍械武器的膛線改變了,所以這樣就造成從技術上對這種武器的來源的溯源就變得非常困難。
技術團隊調查發現,根據「大理石」工具框架原始碼及其注釋顯示,它被確定為一個機密級(且不可向國外透露)的武器研發計劃,起始時間不晚於2015年。「大理石」工具框架可以使用超過100種混淆算法,它能將原始碼文件中可讀的變量名、字符串等替換為不可讀(不可識別)內容,並且可以插入特定的干擾字符串。
國家計算機病毒應急處理中心高級工程師 杜振華:我們可以看到這裡邊有阿拉伯語,有中文,有俄語,有朝鮮語,還有波斯語,那麼他在緩衝區做好混淆的這種數據之後,那麼會把緩衝區的數據寫入到指定的位置,或者是相應的程序的文件當中,那麼實現對這種網絡武器的痕跡的故意的植入。
安天科技集團技術委員會副主任 李柏松:這是一種在網絡攻擊中比較常見的手段,相當於是,比如說a組織,他把自己偽裝成了b組織,而這種偽裝可以在好多個不同的環節出現。比如說他在架設他的命令控制伺服器的過程中,比如說在他的竊密的木馬開發過程中,好多個階段都可以用這樣的一些手法。而這個就使得他的攻擊變得很難去溯源。
通過這些栽贓、虛構的手段,美國網絡戰部隊和情報機構的黑客就能任意變換身份、變更形象,通過冒充其他國家的身份在全球實施網絡攻擊竊密活動,然後將這些行為栽贓給被冒充的非美國 「盟友」的國家。
技術團隊通過掌握的證據發現,「伏特颱風」行動就是一個典型的、精心設計的、符合美國資本集團利益的虛假信息行動,也就是所謂的「假旗」行動,其技戰術與美國和「五眼聯盟」國家情報機構所採用技戰術完全吻合。
美對全球網際網路用戶實施無差別監聽
我國網絡安全機構發布的報告顯示,美國政府機構之所以虛構出所謂中國背景的「伏特颱風」網絡攻擊組織,目的就是為了繼續把持《涉外情報監視法案》第「702條款」所賦予的「無證」監視權,以維持其龐大的「無差別」「無底線」監聽計劃。而正是有了「702條款」的相關權限,美國政府機構才能持續對全球網際網路用戶實施無差別監聽,甚至直接從美國各大網際網路企業的伺服器上獲取用戶數據,是名副其實的網絡空間「窺探者」。
技術團隊調查發現,據美國國家安全局的內部絕密級資料顯示,美國依託其在網際網路布局建設中先天掌握的技術優勢和地理位置優勢,牢牢把持全球最重要的大西洋海底光纜和太平洋海底光纜等網際網路「關鍵節點」,先後建立了7個國家級的全流量監聽站。美國政府機構與英國國家網絡安全中心緊密合作,對光纜中傳輸的數據進行解析和數據竊取,實現對全球網際網路用戶的無差別監聽。
國家計算機病毒應急處理中心高級工程師 杜振華:通過對這些光纜中的數位訊號進行這種提取、匯聚、還原、解碼、解密,那麼就可以得到光纜通信數據當中的這些語音信息、文字信息、視頻信息,甚至是「用戶名密碼」。那麼這些情報它的受益方很多,主要是兩個方面,一方面是美國自己,當然包括美國的軍方情報機構,那麼另外一方面其實還有一些是美國的情報合作夥伴,特別是像「五眼聯盟」國家。
報告顯示,為了將竊取的數據實時轉化成可閱讀、可檢索的情報信息,美國國家安全局實施了兩個重點工程項目,分別是「上游」(UpStream)項目和「稜鏡」(Prism)項目,這兩個項目分別承擔數據存儲和數據還原分析的功能。
國家計算機病毒應急處理中心高級工程師 杜振華:「上游」項目其實顧名思義,那麼它就是從海底光纜中把原始數據提取出來,匯聚形成一個巨大的數據水庫,那麼以供後續進行這種深度分析。那麼稜鏡計劃就是在上游項目的基礎上,對這個數據水庫當中的這些流量進行深度的分析分類,這兩者實際上是互為補充,那麼同時也都是美國的網絡監聽項目的一個重要的組成部分。
據網絡安全專家介紹,為了解決「上游」項目中加密數據破解和網絡通信流量路徑覆蓋不全等突出問題,美國政府還會通過「稜鏡」項目直接從微軟、雅虎、谷歌、臉書、蘋果等美國各大網際網路企業的伺服器上獲取用戶數據。
而「上游」和「稜鏡」兩個項目正是在《涉外情報監視法案》第「702條款」的授權下建設實施的,因此第「702條款」成為美國情報機構代表美國聯邦政府合法、公開、持續竊取全球網際網路鏈路數據的官方依據,也成為美國「竊密帝國」的紮實證據。
目標國家被植入超過5萬個間諜程序
報告顯示,為了滿足情報需要,針對監聽系統「盲區」的特定目標,美國國家安全局下屬的「特定入侵行動辦公室」會發動網絡秘密入侵行動,受害目標主要集中在亞洲、東歐、非洲、中東和南美等地區,據技術團隊掌握的證據顯示,特定目標已經被植入的間諜程序超過5萬個。
技術團隊調查發現,在美國國家安全局的內部文件中顯示,中國境內的主要城市幾乎都在其網絡秘密入侵行動範圍內,大量的網際網路資產已經遭到入侵,其中包括西北工業大學和武漢市地震監測中心所在地區。
安天科技集團技術委員會副主任 李柏松:美方它是對間諜軟體的控制有很多種不同的方式,比較易於理解的是從這種網絡上的遠程控制。另外他們有一個代號為「水蝮蛇」的這樣的一個裝備,看起來就像是個USB的接頭一樣,然後可以偽裝成類似於鍵盤、滑鼠這樣的接口,他把這個裝備接入到物理隔離網絡的裡面的設備上去,然後他把竊取的數據通過信號的方式發送出來,甚至實現對它的一個控制。
專家介紹,除了直接實施網絡入侵行動竊取數據之外,針對一些防範等級高且入侵難度大的高價值目標,特別入侵行動辦公室還會採取「供應鏈」攻擊的方式,也就是在美國大型網際網路企業或設備供應商的配合下,從物流環節攔截攻擊目標,另外還會對攻擊目標所採購的美國網絡設備進行拆解並植入後門,然後重新打包發貨給攻擊目標。
安天科技集團技術委員會副主任 李柏松:這種被做了手腳的設備得到了使用之後,它就會成為攻擊者的一個突破口。攻擊者可以利用它的漏洞,可以利用它的後門,在我們不知道的情況下進入到我們的內網。
國家計算機病毒應急處理中心高級工程師 杜振華:它主要是針對這種防禦能力比較強,那麼攻擊難度比較大的這些目標,特別是一些保密等級很高的這些目標,包括單位個人群體,那麼因為它的這種隱蔽性非常強,所以它能夠實現這種長期的潛伏的竊密活動。所以它造成的危害應該說是無論是從泄密度,還是說安全隱患的角度,因為它有可能造成這種網絡的癱瘓,那麼都是非常嚴重的。