德国联邦测绘局“被黑”，除了赖中国也不敢赖谁了【弓道是非】

7月31日，德国方面召见中国驻德国大使，以所谓的中国对德国联邦测绘局（BKG）进行网络入侵为理由，公开对中方进行无端指责。中国驻德国使馆已对此予以坚决驳回，并且已经向德国方面，提出了严正交涉。

这个所谓的“网络入侵”是怎么回事呢？德国联邦测绘局隶属于德国内政部，负责收集德国全境的高精地图数据，其中包括了许多德国重要的国家基础设施数据。2021年的时候，德国安全部门发现有恶意软件植入了测绘局的系统，经过“独立安全专家”调查之后，声称找到两个黑客组织APT15和APT31的痕迹。这两个组织，据说背后是中国的政府部门。这个帽子就这么扣上了。

那么这个独立专家是谁？这个APT15和APT31，怎么就成了中国政府支持的呢？反正德国人是没说。我倒是找到了一些资料。

我们的老熟人，刚刚用“蓝屏”震撼世界的微软公司，从2005年开始，每年都要发布一些“安全情报报告”，主要汇总一些它的安全团队从全世界追踪到的网络攻击数据。以往呢，它最多也就分析一下这些攻击的发起地。但是2020年美国大选，两党疯狂炒作外国政府利用网络手段来干预选情。巧了，也是从这个时候开始，微软用一个新概念，叫“民族国家型网络攻击”（Nation-State Cyperattacks），并且在年度报告里，专门开辟了一个版块，来分析这些“民族国家的威胁”。攻击发起地是某个国家，和攻击由某个国家发起，完全是两个概念。后者的意思是这些网络攻击的就是一国政府搞的。而且其中，中国、俄罗斯、朝鲜、伊朗都值得单列一小节。微软还给这些黑客组织起代号，比如中国的几个，叫锰、锆、铪（hā）、镍、铬、钆（gá）——凑元素周期表呢。其中的镍和锆，就是APT15和APT31。

其中，APT15镍，是微软公司2016年发现的。2021年，微软发布消息，与美国的司法部门合作，对APT15实施了针对性打击，控制了一部分由这个组织运行的网站。有个很有意思的细节：无论是微软自己，还是它在欧洲的合作伙伴——世界知名软件安全公司ESET，从他们获得的数据中，都只能判断APT15主要在中国活动，但没有任何证据表明，它和中国政府有关系。

那微软是怎么硬扯上中国政府的呢？它是这么说的：

APT15的攻击目标，通常与中国的地缘政治利益高度相关。由于中国的全球影响力持续增长，并且借由“一带一路”倡议，与更多的国家建立了双边关系，我们认为，这些以中国为基地的威胁主体，将持续对政府、外交和NGO组织的目标客户展开攻击。

稍微细想一下，咱们国家这个体量，利益遍布全世界，你要找出一个跟中国利益没关系的目标都很难。不管黑客攻击谁，那必定是和中国利益相关啊。由此推论说黑客就是中国政府指使的，我只能说微软的安全团队，新闻学水平可能比他们的技术还高。

当然，上边这些讨论的前提，是这个APT15真的存在。目前，它只存在于微软和小伙伴们的报告里和美国政府的文件里。还有一位主角APT31，最近更是受到了美国政府的“宠幸”。今年3月，美国司法部对APT31及其成员提出指控，称他们针对跑到中国境外的“异见人士”，以及美国及其盟国的政客、官员、企业实施了网络攻击。

美国财政部同步对该组织及其成员实施制裁，美国国务院悬赏，提供其成员情报的，最高奖励1000万美元。这还不够，英国政府也同一天宣布对APT31进行制裁，理由是他们“几乎肯定”APT31也攻击了英国国会议员的账户，受到打击的对象，大多数都力挺某些分离主义运动。新西兰情报部门也在同一天，声称新西兰也遭到另一个中国黑客组织APT40的攻击。

大家都说好了一起来是吧？

这还只是3月份的。

4月，荷兰跳出来说中国黑客攻击了他们的半导体部门。

5月，英国国防部称，运行他们工资系统的承包商被黑客入侵了。英国天空新闻台是这么报道的：

政府不会说这个事是哪个国家干的，但我们理解，这肯定是中国所为。

6月，美国的主流媒体开始集中炒作一个叫“伏特台风”（Volt Typhoon）的中国黑客组织。这个组织不偷数据，专门攻击美国的基础设施，最近的成绩是黑了一个堪萨斯小镇的水表。我是想不太明白，为啥中国政府要派黑客到美国小镇去查水表。

而7月，就轮到德国这边，来“旧事重提”了。经过西方政府和媒体的“捕风捉影”，中国政府派出的黑客，那是无所不在，无所不能啊。

这不是美西方第一次搞这种集体“APT溯源”了。

为什么把黑客组织，叫APTXXX呢？APT这个词，全称叫“高级持续性威胁”（Advanced Persistent Threat），也是美国人发明的。更具体地说，是2007年，由美国军方分析师基于“国防需求”创造出来的。它指的是一种网络攻击形式。高级，指的是技术高级、手段多样；持续性，指的是这种攻击不会一蹴而就，而是长期隐蔽在目标系统中，通过持续访问来获取数据或干扰系统，或者通过长期潜伏和探索，来确保最后一击即中。实施APT攻击，需要全方位的情报、设备、人才和资金支撑，不是一般人可以干的。所以，很容易就能把APT攻击和政府绑定起来。

确实有相当一部分APT攻击，是由一国政府发起的。比如说，中国西北工业大学遭受的APT攻击，就是美国国家安全局下属的“特定入侵行动办公室”（TAO）所为。多年来，我国一直是美国APT的重点攻击对象。光这个TAO，就对我国境内目标实施了上万次的APT攻击，控制了数以万计的网络设备，窃取了超过140GB的高价值数据。然而，美国却一直是“贼喊捉贼”。反正APT的定义是它家发明的，APT技术也是它家最强，各种APT溯源标准和指南，也是它建立的，它要说发现了APT，是谁谁谁指示的，别人也很难去反驳。所以，在很长一段时间内，美国利用所谓的“APT溯源”，来向他国政府扣帽子、泼脏水，在国际舆论场上大加鞭笞，一直是无往不利的。

有学者专门归纳过美国搞“APT溯源”的步骤。第一步，由网络安全企业担当主力打手。他们以“保护客户”的名义实施监测，然后定期发布一些报告，展示他们发现的APT攻击和APT背后的主使者。老熟人微软和谷歌，安全厂商迈克菲（McAee）、曼迪昂特（Mandiant），都是“御用打手”，战功赫赫。

第二步是由美国的司法机构给这些报告“盖章”，增加可信度。比如说2014年5月，棱镜门刚过不久，美国司法部就以曼迪昂特在2012年发布的一份报告为依据，起诉了5名“中国黑客”。

第三步，是拉上盟友，群起而攻之。从2018年起，加拿大、捷克、斯洛伐克、法国、德国等更多国家的政府、企业或组织，开始加入溯源“中国黑客”的行动。而它们曝光的团体，很少超越美国此前提供的范围，基本上都是在美国已经溯源的APT团体的基础上，进行再次曝光。同时，它们还会在美国采取行动之后，配合造势，用自身的“遭遇”，来强化美国指责的可信度。

看看针对APT15和APT31的这轮“溯源”和“谴责”，是不是和这三步都对上了？据不完全统计，截至2022年，美西方政府、企业、媒体在互联网上发起针对中国APT团队的溯源和指控，超过了300起。

好在，近年来，我们国家针对美国的这个套路，已经有了防御和反击的手段。我国的信息安全企业多次发布了APT报告，将全球范围内，到底有哪些APT组织在活动，它们发动了哪些袭击，谁是受害者，谁是幕后主使，写得一清二楚。在数字时代，大国网络安全博弈，不单是技术博弈，还是理念博弈、话语权博弈。我们既要集成关键基础设施、业界及学界的力量，提升对APT攻击的防御和溯源能力，保护我们的网络安全，也要打破美国在网络空间的“一言堂”，决不能让它干了坏事，还把脏水往我们身上泼。