2024年4月15日,中国国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室和360数字安全集团联合发布了《伏特台风——美国情报机构针对美国国会和纳税人的合谋欺诈行动》专题报告,首度对美方炒作所谓“伏特台风”组织的真实来源进行了溯源分析,揭示了该组织勒索病毒犯罪团伙的真实面目和美方借此对华炒作的幕后真相。
报告发布后,多家知名媒体向美国驻华大使馆多次进行询问,均未获得正面回应。近期,中国国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室联合360数字安全集团组成的联合技术团队对“伏特台风”行动进行分析,全面分析各方协同掌握的“实锤”数据,并结合最新调查结果对该对华抹黑行动进行全场景还原,发现:
美国炮制“伏特台风”计划的起始时间不晚于2023年初,是由美国国家安全局(NSA)、联邦调查局(FBI)等美国情报机构幕后策划,美国国会反华议员,美国白宫、司法部、国防部、能源部、国土安全部等多个联邦政府行政单位以及“五眼联盟”国家网络安全主管部门共同参与的,针对美国纳税人、美国国会和以美国前总统特朗普为代表的美国国内反对派的一场虚假信息和舆论操控行动,符合美式网络营销的典型特征,属于彻头彻尾的、基于精准广告投送的“认知域”作战。
三大疑点掀开炮制预警内幕
事实上,为达成不可告人的目的,美国情报机构策划了本次虚假信息和舆论操控活动,但由于牵涉面过大,难免出现疏漏和基层抵触情绪,从而给技术团队调查工作提供了突破口和机会。通过进一步列举和分析美方机构发布的报告、美政府行政部门采取的行动和美国重要政治人物的言论,发现美方所谓证据和相关言论的自相矛盾,其中主要存在三大疑点:
【疑点一】
篡改已有证据
上演了现实版的“掩耳盗铃”
早前我方联合技术团队披露报告中对“伏特台风”溯源分析发现,其与美国威胁盟(ThreatMon)公司披露的名为“暗黑力量”的勒索病毒犯罪团伙关系密切。而在我方发布报告后,美方为了掩盖证据,竟然指使威胁盟公司将已经发布的报告内容进行篡改,上演了现实版的“掩耳盗铃”。据威胁盟公司不具名人士提供的消息称,威胁盟公司是受到了美国政府相关部门的施压后,对报告进行了修改。由此我们也可以推断,美国网络安全企业广泛存在被美国情报机构操纵的情况。
图 1
原威胁盟报告封底
图 2 移动封底图片后
威胁盟报告
【疑点二】
美国官方与网络安全企业尚未“对齐口径”
“五眼联盟”国家的预警通报中声称,“伏特台风”组织入侵了美国网件(Netgear)公司等供应商生产的网络设备,并将其作为跳板(进一步实施攻击)。翻阅美国网件公司发布针对“伏特台风”组织攻击的安全公告,其公开表示尚未发现所谓“伏特台风”组织针对该公司产品的任何漏洞攻击活动。
图 3 美国网件公司安全公告
无独有偶,技术团队不止一次发现类似公开打脸事件,足以证明“五眼联盟”国家炮制的预警通报并未得到美国国内相关网络安全企业的一致认同,且参与“调查”的美国网络安全主管部门也明显没有向相关企业分享具体的攻击案例和技术细节。
【疑点三】
美国网络安全主管部门行为前后矛盾
2024年1月31日,美国司法部网站公开发布相关通报称,已于2023年12月开展专项行动,从美国全国数百台路由器上成功清除了KV僵尸网络程序,成功破坏了所谓的“中国国家支持的黑客”入侵美国关键基础设施的努力。
然而,2024年4月18日,美国联邦调查局局长公开讲话时却声称“与中国政府有关的黑客组织已经潜入美国关键基础设施,并正在等待适当的时机实施毁灭性打击”。时隔两个多月,美国政府机构在挫败所谓“中国网络攻击”的话题上出现了严重的前后矛盾。
“伏特台风行动”暗藏两大阴谋
在如此疑点重重、模糊不清的情况下,美国网络安全主管部门仍然坚持杜撰了一个看似丰满其实却是千疮百孔的所谓“国家支持背景的”黑客组织。这不得不让人怀疑背后更深层目的。
经过持续跟踪分析,技术团队清晰捕捉到了美国情报机构滥用自身行政权力,操纵网络安全企业和其他行政机构,通过制作传播虚假信息,制造和渲染“中国网络威胁论”,背后实际隐藏的两大阴谋。
其一是,恐吓美国纳税人、国会议员,打压美国国内反对声音,侵害中国企业合法权益,力推被称为“无证监视法案”的美国《外国情报监视法案》(FISA)702条款获批延续,并争取国会批准更大规模的预算投入,进一步巩固和强化美国情报机构的网络渗透能力,特别是加强对外攻击和威慑竞争对手和对内监视和控制民众的能力。
“702条款”授权美国政府机构对身居美国境外的外国人有针对性地实施情报监视,并强迫谷歌、苹果、脸谱等互联网科技公司交出公司运营中采集到的全部非美国公民个人数据。爱德华·斯诺登在2013年披露的美国国家安全局(NSA)臭名昭著的互联网监控项目“棱镜计划”就是在该法律条款授权下进行的,由此可见“702条款”对于美国情报机构的重要性。
其二是,与迫害中国企业有关,随着中国互联网企业的产品和服务在全世界注册用户量持续升高,对美国情报机构来说简直是不可容忍的重大隐患,必须早做打算。
在此背景下,美国情报机构联合推出“伏特台风计划”,以此应对上述两个燃眉之急。据技术团队分析发现,“伏特台风”计划至少起始于2023年初,很可能更早。策划组织实施这样一个涉及多部门、多国家和众多私营企业的计划必定需要花费大量时间,根据后续该计划的实际执行情况,可以将其大致划分为三个阶段。
【准备阶段】
2023年1月至2023年5月
该阶段的主要任务是捏造一个“中国政府支持”的黑客组织针对美国的网络攻击的事件,并且找一个“出头鸟”,把这件事情捅出去。
【攻坚阶段】
2023年6月至2024年1月
第二阶段的重点任务有两个,一是确保“702条款”获得延期,二是并争取在2025财年增加预算。在此期间,美国谷歌公司 、黑莓公司 、CrowdStrike公司、Dragos公司 、飞塔公司等纷纷跟进炒作“伏特台风”,持续掀起“中国威胁论”。在这一阶段,“伏特台风”计划的目标初步达成,但“702条款”的授权期限仅仅延长到了2024年4月19日,远未达到预期。
【成果巩固阶段】
2024年2月至2024年4月
在这一阶段,美国各情报机构则按照既定计划持续不断地以所谓“伏特台风”组织渲染中国网络安全威胁,并再次利用“五眼联盟”情报协作机制,给“702条款”续期营造有利的舆论氛围。
最终,在“702条款”授权的最后期限,2024年4月19日,美国国会参议院以60票对34票通过了该法案,并在4月20日提交美国总统拜登后迅速获得签署批准。至此,尽管过程艰难曲折,美国情报机构终于志得意满,迎来了“伏特台风”计划的全面胜利。在未来的两年里,美国情报机构不但保住了手中的权力,获得了更高的预算,扩大了监控范围,还有望将中国互联网企业挤出美国市场。
从现有数据分析,在从2023年5月至今的1年时间里,美国政府机构支持背景的黑客组织对中国政府、高校、科研机构、大型企业和关键基础设施的网络攻击活动总数超过4500万次,已被明确攻击受害单位超过140家,从这些受害单位系统中发现的攻击武器样本指向了美国中央情报局(CIA)、国家安全局(NSA)和联邦调查局(FBI)等部门,这些攻击行动的背后都是“702条款”的授权。
结 语
“伏特台风”计划再一次向世人展示了美国“金钱政治”的本质,是美国国内不断加剧的“政治斗争”和“利益斗争”以及美国竭力维持的国际霸权的必然产物。美国政客这种为了自身利益向外转移内部矛盾,严重损害中国利益的行为是全体中国人民不能容忍的。
未来,很可能美国网络安全企业将在美国情报机构的操控下炮制更多虚假“外国政府支持的网络攻击活动”的叙事,不断欺骗美国国会批复更多预算并增加美国纳税人的债务负担。事实上,美国情报机构和军事机构经常以国家安全为由,通过与有关供应商勾结,明目张胆的编制虚假预算,使用来自美国纳税人的政府资金大量购买质次价高的产品实现利益输送。
既然美国自诩为国际“法治标杆”、“人权灯塔”,就应该追究这些参与合谋欺诈的政客、官员和私营企业的法律责任。同时,我们也在此奉劝美国政客在处理美国国内政治问题时管好自己的事,不要总拿中国当“挡箭牌”,也不要妄想孤立中国和遏制中国的发展。
最后,我们也要向全世界警示,美国的“702条款”是美国构建“黑客帝国”的重要法律基础,不仅对美国人民,也是对包括中国在内的全世界所有国家主权安全和公民个人隐私权的严重威胁。我们呼吁各国政府和人民坚决反对和抵制美国利用网络技术优势侵犯他国主权和人民合法利益的恶劣行径。
随着大模型的发展,美国政府机构的大规模监听行动已进入“AI时代”,面对国家级背景强大对手攻击手段的升级,我国政府、各大中小企业、科研机构以及重要基础设施单位等,如何拥抱智能化,以人工智能对抗人工智能,快速看见并处置尤为重要。为此,我们建议,尽快组织开展APT攻击自检自查工作,并逐步建立长效的防御体系,同时,发展实战应用的安全大模型,赋能高级威胁猎杀各个环节,实现全面系统化、智能化防治,抵御AI时代的高级威胁攻击。
往期推荐
01
● ISC2023周鸿祎发布战略级产品360安全云,首提安全即服务
► 点击阅读
02
● 东半球网络安全顶赛开幕在即,“矩阵杯”这些内容值得关注
► 点击阅读
03
● 开启!全球AI应用招募
► 点击阅读
04
● 攻防演练正当时,360 AI军团已就位!
► 点击阅读
