德国联邦测绘局“被黑”,除了赖中国也不敢赖谁了【弓道是非】

7月31日,德国方面召见中国驻德国大使,以所谓的中国对德国联邦测绘局(BKG)进行网络入侵为理由,公开对中方进行无端指责。中国驻德国使馆已对此予以坚决驳回,并且已经向德国方面,提出了严正交涉。

500

这个所谓的“网络入侵”是怎么回事呢?德国联邦测绘局隶属于德国内政部,负责收集德国全境的高精地图数据,其中包括了许多德国重要的国家基础设施数据。2021年的时候,德国安全部门发现有恶意软件植入了测绘局的系统,经过“独立安全专家”调查之后,声称找到两个黑客组织APT15和APT31的痕迹。这两个组织,据说背后是中国的政府部门。这个帽子就这么扣上了。

那么这个独立专家是谁?这个APT15和APT31,怎么就成了中国政府支持的呢?反正德国人是没说。我倒是找到了一些资料。

我们的老熟人,刚刚用“蓝屏”震撼世界的微软公司,从2005年开始,每年都要发布一些“安全情报报告”,主要汇总一些它的安全团队从全世界追踪到的网络攻击数据。以往呢,它最多也就分析一下这些攻击的发起地。但是2020年美国大选,两党疯狂炒作外国政府利用网络手段来干预选情。巧了,也是从这个时候开始,微软用一个新概念,叫“民族国家型网络攻击”(Nation-State Cyperattacks),并且在年度报告里,专门开辟了一个版块,来分析这些“民族国家的威胁”。攻击发起地是某个国家,和攻击由某个国家发起,完全是两个概念。后者的意思是这些网络攻击的就是一国政府搞的。而且其中,中国、俄罗斯、朝鲜、伊朗都值得单列一小节。微软还给这些黑客组织起代号,比如中国的几个,叫锰、锆、铪(hā)、镍、铬、钆(gá)——凑元素周期表呢。其中的镍和锆,就是APT15和APT31。

500

其中,APT15镍,是微软公司2016年发现的。2021年,微软发布消息,与美国的司法部门合作,对APT15实施了针对性打击,控制了一部分由这个组织运行的网站。有个很有意思的细节:无论是微软自己,还是它在欧洲的合作伙伴——世界知名软件安全公司ESET,从他们获得的数据中,都只能判断APT15主要在中国活动,但没有任何证据表明,它和中国政府有关系。

那微软是怎么硬扯上中国政府的呢?它是这么说的:

APT15的攻击目标,通常与中国的地缘政治利益高度相关。由于中国的全球影响力持续增长,并且借由“一带一路”倡议,与更多的国家建立了双边关系,我们认为,这些以中国为基地的威胁主体,将持续对政府、外交和NGO组织的目标客户展开攻击。

稍微细想一下,咱们国家这个体量,利益遍布全世界,你要找出一个跟中国利益没关系的目标都很难。不管黑客攻击谁,那必定是和中国利益相关啊。由此推论说黑客就是中国政府指使的,我只能说微软的安全团队,新闻学水平可能比他们的技术还高。

当然,上边这些讨论的前提,是这个APT15真的存在。目前,它只存在于微软和小伙伴们的报告里和美国政府的文件里。还有一位主角APT31,最近更是受到了美国政府的“宠幸”。今年3月,美国司法部对APT31及其成员提出指控,称他们针对跑到中国境外的“异见人士”,以及美国及其盟国的政客、官员、企业实施了网络攻击。

美国财政部同步对该组织及其成员实施制裁,美国国务院悬赏,提供其成员情报的,最高奖励1000万美元。这还不够,英国政府也同一天宣布对APT31进行制裁,理由是他们“几乎肯定”APT31也攻击了英国国会议员的账户,受到打击的对象,大多数都力挺某些分离主义运动。新西兰情报部门也在同一天,声称新西兰也遭到另一个中国黑客组织APT40的攻击。

大家都说好了一起来是吧?

这还只是3月份的。

4月,荷兰跳出来说中国黑客攻击了他们的半导体部门。

5月,英国国防部称,运行他们工资系统的承包商被黑客入侵了。英国天空新闻台是这么报道的:

政府不会说这个事是哪个国家干的,但我们理解,这肯定是中国所为。

6月,美国的主流媒体开始集中炒作一个叫“伏特台风”(Volt Typhoon)的中国黑客组织。这个组织不偷数据,专门攻击美国的基础设施,最近的成绩是黑了一个堪萨斯小镇的水表。我是想不太明白,为啥中国政府要派黑客到美国小镇去查水表。

500

而7月,就轮到德国这边,来“旧事重提”了。经过西方政府和媒体的“捕风捉影”,中国政府派出的黑客,那是无所不在,无所不能啊。

这不是美西方第一次搞这种集体“APT溯源”了。

为什么把黑客组织,叫APTXXX呢?APT这个词,全称叫“高级持续性威胁”(Advanced Persistent Threat),也是美国人发明的。更具体地说,是2007年,由美国军方分析师基于“国防需求”创造出来的。它指的是一种网络攻击形式。高级,指的是技术高级、手段多样;持续性,指的是这种攻击不会一蹴而就,而是长期隐蔽在目标系统中,通过持续访问来获取数据或干扰系统,或者通过长期潜伏和探索,来确保最后一击即中。实施APT攻击,需要全方位的情报、设备、人才和资金支撑,不是一般人可以干的。所以,很容易就能把APT攻击和政府绑定起来。

500

确实有相当一部分APT攻击,是由一国政府发起的。比如说,中国西北工业大学遭受的APT攻击,就是美国国家安全局下属的“特定入侵行动办公室”(TAO)所为。多年来,我国一直是美国APT的重点攻击对象。光这个TAO,就对我国境内目标实施了上万次的APT攻击,控制了数以万计的网络设备,窃取了超过140GB的高价值数据。然而,美国却一直是“贼喊捉贼”。反正APT的定义是它家发明的,APT技术也是它家最强,各种APT溯源标准和指南,也是它建立的,它要说发现了APT,是谁谁谁指示的,别人也很难去反驳。所以,在很长一段时间内,美国利用所谓的“APT溯源”,来向他国政府扣帽子、泼脏水,在国际舆论场上大加鞭笞,一直是无往不利的。

500

有学者专门归纳过美国搞“APT溯源”的步骤。第一步,由网络安全企业担当主力打手。他们以“保护客户”的名义实施监测,然后定期发布一些报告,展示他们发现的APT攻击和APT背后的主使者。老熟人微软和谷歌,安全厂商迈克菲(McAee)、曼迪昂特(Mandiant),都是“御用打手”,战功赫赫。

第二步是由美国的司法机构给这些报告“盖章”,增加可信度。比如说2014年5月,棱镜门刚过不久,美国司法部就以曼迪昂特在2012年发布的一份报告为依据,起诉了5名“中国黑客”。

第三步,是拉上盟友,群起而攻之。从2018年起,加拿大、捷克、斯洛伐克、法国、德国等更多国家的政府、企业或组织,开始加入溯源“中国黑客”的行动。而它们曝光的团体,很少超越美国此前提供的范围,基本上都是在美国已经溯源的APT团体的基础上,进行再次曝光。同时,它们还会在美国采取行动之后,配合造势,用自身的“遭遇”,来强化美国指责的可信度。

看看针对APT15和APT31的这轮“溯源”和“谴责”,是不是和这三步都对上了?据不完全统计,截至2022年,美西方政府、企业、媒体在互联网上发起针对中国APT团队的溯源和指控,超过了300起。

500

好在,近年来,我们国家针对美国的这个套路,已经有了防御和反击的手段。我国的信息安全企业多次发布了APT报告,将全球范围内,到底有哪些APT组织在活动,它们发动了哪些袭击,谁是受害者,谁是幕后主使,写得一清二楚。在数字时代,大国网络安全博弈,不单是技术博弈,还是理念博弈、话语权博弈。我们既要集成关键基础设施、业界及学界的力量,提升对APT攻击的防御和溯源能力,保护我们的网络安全,也要打破美国在网络空间的“一言堂”,决不能让它干了坏事,还把脏水往我们身上泼。

全部专栏