中方发布“伏特台风”黑客组织起源报告:遭美陷害
今天(4月15日)上午,国家计算机病毒应急中心发布了《伏特台风——美国情报机构密谋诈骗美国国会和纳税人》报告。报告揭露,美国情报机构利用毫无根据的事实,以所谓“中国网络攻击威胁”为借口,毫无底线地抹黑中国,换取美国政府资助的巨额丑闻。
今年2月1日,美国众议院就所谓“中国网络攻击威胁”举行听证会。会议主要关注微软2023年5月披露的“伏特台风”黑客组织。微软声称该黑客组织“有中国政府支持的背景”,并称其对美国关键基础设施发起网络攻击,并试图进一步破坏,对美国国家安全构成严重威胁。针对这一指控,中方联合调查技术组进行溯源分析,发现相关指控缺乏证据,纯粹是为了打压中国对外形象和发展而陷害的。
杜振华表示,伏打台风组织的名称来自微软公司
国家计算机病毒应急中心高级工程师 杜振华:伏打台风组织的名称来自于微软。微软对于具有国家背景的所谓黑客组织有自己的命名系统。其中,别名Typhoon实际上是微软所称的一个具有中国国家背景的黑客组织的名称。
据了解,2023年5月24日,微软发布了一份《伏特台风组织利用检测规避技术对美国关键基础设施发起攻击》的技术分析报告,声称“伏特台风”黑客组织“有支持的背景”。中国政府。”紧接着,“五眼联盟”国家网络安全部门公开引用该报道并夸大其词。针对报告中的指控,中国国家计算机病毒应急中心立即联合360数字安全集团成立技术团队开展调查工作,并形成了“伏特台风”溯源报告。
国家计算机病毒应急中心工作画面
国家计算机病毒应急中心高级工程师杜振华:微软在报告中包含了很多所谓的感染指标,感染指标实际上是哈希值。我们可以将这些哈希值想象为恶意程序的编码和唯一编号。通过在公众平台上搜索这些恶意程序的哈希值,我们最终发现有5个IP地址(关联样本)最为集中。的。这5个IP地址也与多起安全事件有关。其中一起安全事件与一份名为“Dark Power”的分析报告有关,该报告是一个所谓的勒索软件团伙。这份分析报告是谁做的?它是美国的ThreatMon,也称为威胁联盟公司。
联合调查技术团队发现,2023年4月11日,美国威胁联盟公司发布的《关于“黑暗力量”勒索软件团伙的研究报告》显示,上述恶意程序样本的技术特征与一个名为“Dark Force”勒索软件的网络犯罪团伙密切相关。该犯罪组织于2023年1月首次被发现。仅2023年3月,全球至少有10个机构遭到该组织的攻击和勒索,其中包括阿尔及利亚、埃及、捷克、土耳其等。 、以色列、秘鲁、法国、美国等
专家接受采访谈病毒溯源过程
360数字安全集团网络安全专家卞亮:除了IP地址的分析之外,我们还对报告中提到的恶意样本进行了分析。该样本主要使用无文件攻击。与传统病毒、木马不同,攻击负载无需写入磁盘,恶意代码在内存中执行,重启、关机后就会消失。该样本的功能仅是加密用户文件和勒索赎金,因此我们认为这些样本及其对应的IP地址指向勒索软件犯罪团伙。
经过溯源分析,联合调查技术团队认为,微软和“五眼联盟”国家报告中提到的病毒程序并没有表现出明显的具有国家背景的黑客组织行为特征,而是与勒索软件网络犯罪关系更为密切。帮派。明显的。本案中,微软和“五眼联盟”国家仅凭借受害单位、攻击者的攻击技战术等模糊的归因因素,给“伏特台风”贴上了所谓“中国政府支持的黑客组织”的标签。呵呵,这种做法非常不严谨、不专业,背后一定有更深层次的原因。
网络攻击归因是一个需要协调管理的国际问题
据网络安全专家介绍,美国不同安全公司对“伏特台风”组织的归属分析有不同的看法。一些安全厂商认为这是一个僵尸网络,而另一些安全厂商则认为这是一个APT(国家黑客)组织。有人认为这是一个勒索软件犯罪团伙。网络攻击的归因分析一直是一个国际难题。然而,美国政府却利用别国网络攻击的归属,将自己塑造成所谓网络攻击的“受害者”,获取国际舆论的支持。同时,将其作为政治筹码,在国际争端中向其他国家施压,从而谋取超额利益。
网络安全专家表示,黑客组织的归属是一个非常复杂的过程。攻击者会使用各种手段来隐藏自己的真实身份和地理位置,例如使用虚拟专用网络(VPN)、跳板、劫持受害者等。受感染的计算机充当发起攻击的中继点,使得追踪攻击的原始来源变得极其困难。
黑客攻击计算机的概念图
360数字安全集团网络安全专家卞亮:另一个挑战是攻击者可能会故意留下一些误导性的线索。他们可能会使用其他国家的语言、符号和时间戳作为伪装成其他黑客组织的特定身份。行为模式会误导调查人员,因此APT(国家支持的黑客)团体的归因通常是在收集大量数据后,基于权衡数据的概率而进行的,而归因通常只能达到一定程度相信。想要获得绝对的确定性是非常困难的。
美国棱镜事件相关报道提到,美国国家安全局会入侵和渗透外国资产,利用中间劫持技术,窃取其他国家的工具来达到干扰目的;美国中央情报局报告提到,利用干扰和陷害来躲避外国敌对情报组织、执法、事件响应、逆向工程; “五眼联盟”中的加拿大通信局在安全架构设计中提到,通过相关欺骗技术,利用虚假旗帜操作制造动荡局势,改变对手认知,干扰指责别国;因此,APT组织的归属通常是基于权衡证据的概率,而不是绝对的黑白分明。
近年来,中国公安机关连续侦破国家安全局、中央情报局对西北工业大学、武汉地震监测中心等机构的网络攻击,证明美国才是真正的“黑客帝国”和“黑客帝国”。窃密帝国。”
国家计算机病毒应急中心办公区
国家计算机病毒应急中心高级工程师杜振华:美国NSA(国家安全局)包括CIA(中央情报局)都发生过多起网络武器泄露事件,导致出现了当前网络空间攻击能力不断增强的网络武器。现状。这种现状导致很多网络犯罪团伙实际上拥有非常强的攻击能力。
网络安全专家表示,当前网络攻击主要是跨境犯罪。各国需要在国际刑警组织框架内加强合作,共同共享情报信息、协同治理网络犯罪、共同应对网络安全威胁,而不是少数。国家管理小圈子。
外交部网络事务协调员独家专访
针对国家计算机病毒应急中心发布的报告,央视记者对外交部网络事务协调员王雷进行了专访。王雷指出,这份报告揭露了一个只要无底线抹黑中国就可以换取美国政府资助的巨大丑闻。
根据溯源报告显示,2024年1月31日这个时间节点非常关键。根据美国相关法律,总统必须在每年2月的第一个星期一,即2024年2月5日之前提交联邦政府下一财年的预算申请。在拜登公布的2025财年预算申请文件中自2024年3月11日起,美国联邦政府网络安全预算总额和相关情报机构的网络安全预算大幅增加。因此,报道认为,“伏特台风”是美国情报机构和反华政客的阴谋,旨在欺骗美国国会和纳税人。即一方面操纵微软等网络安全公司制造虚假叙事,另一方面利用行政权力夸大“中国网络攻击威胁”,欺骗美国国会不断加大力度网络安全预算。
外交部网络事务协调员讨论“伏特台风”黑客组织行动背后的目的
外交部网络事务协调员王雷:美国高官坚决声称中国支持的黑客组织对关岛关键基础设施进行网络攻击。针对这一指控,报告揭示了一个重要真相,得出了重要结论。这个所谓“伏特台风”的真面目是一个国际勒索软件组织。然而,美国网络安全机构和企业却相互勾结腐败,陷害中国。他们在获得部门和经济利益的同时,也给美中关系增添非理性因素。
王雷强调,网络安全一直是中美关系中重要而特殊的问题。
外交部网络事务协调员王雷:全世界都在想,美国这个最大的“黑客帝国”为何不时炒作“中国黑客威胁论”。今天发布的报告为我们揭开问题真相提供了重要依据和参考。更令人担忧的是,在炒作“台风伏特”期间,美国首次将网络安全与台海局势挂钩。我们的立场非常明确。我们反对美方利用网络安全问题干涉中国内政。我们对美方先制造问题后利用问题的真实意图保持警惕。在台湾问题上,一切打牌的努力都是徒劳的。
王雷表示,保护关键基础设施是各国共同关心的问题,维护网络空间和平稳定符合中美及世界各国的共同利益。
外交部网络事务协调员王雷:作为大国,我们希望美方能够采取更加认真负责的态度,不要高估自己任意单方面制定规则的“实力”低估了中国在平等基础上制定规则的能力。维护中美网络关系的决心。
(央视记者 张刚 朱若萌)
微信客服
微信公众号
