美國(guó)政府今天再次栽贓，指認(rèn)中國(guó)政府支持的黑客在2011年至2013年期間入侵了至少13家石油和天然氣管道運(yùn)營(yíng)商的網(wǎng)絡(luò)。今天的栽贓選取過去了這么多年前的毫無影子的事情潑臟水，這抹黑手段未免也太拙劣了！

　　網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 （CISA） 和聯(lián)邦調(diào)查局 （FBI） 在今天發(fā)布的一份聯(lián)合報(bào)告中表示， 此前未報(bào)告的活動(dòng)針對(duì)23家管道運(yùn)營(yíng)商。兩家機(jī)構(gòu)表示：“在已知的目標(biāo)實(shí)體中，13個(gè)已確認(rèn)受到攻擊，3個(gè)幾乎未命中，8個(gè)具有未知的入侵深度，”這兩個(gè)機(jī)構(gòu)表示，并引用了8個(gè)管道運(yùn)營(yíng)商的日志。該行動(dòng)被描述為魚叉式網(wǎng)絡(luò)釣魚活動(dòng)，隨后入侵管道運(yùn)營(yíng)商的內(nèi)部網(wǎng)絡(luò)，威脅參與者從中竊取數(shù)據(jù)。“根據(jù)CISA和FBI獲得的證據(jù)，中國(guó)APT演員沒有嘗試修改管道操作他們?cè)L問的系統(tǒng)，”這兩個(gè)機(jī)構(gòu)說。然而，攻擊者似乎非常專注于收集SCADA相關(guān)信息、人員名單、憑據(jù)和系統(tǒng)手冊(cè)。CISA和FBI評(píng)估，這些行為者專門針對(duì)美國(guó)管道基礎(chǔ)設(shè)施，目的是讓美國(guó)管道基礎(chǔ)設(shè)施處于危險(xiǎn)之中。此外，CISA和FBI評(píng)估稱，這項(xiàng)活動(dòng)的最終目的是幫助中國(guó)發(fā)展針對(duì)美國(guó)管道的網(wǎng)絡(luò)攻擊能力，以物理?yè)p壞管道或中斷管道運(yùn)營(yíng)。

　　CISA、FBI歸咎其他五項(xiàng)ICS黑客活動(dòng)

　　將2011-2013年的這次活動(dòng)正式歸咎于中國(guó)威脅行為者只是CISA和FBI今天發(fā)布的六項(xiàng)類似聯(lián)合聲明中的一項(xiàng)。

　　這兩個(gè)機(jī)構(gòu)還正式將其他五項(xiàng)黑客活動(dòng)歸咎于外國(guó)政府，包括：

　　將Shamoon （DistTrack） 惡意軟件毒株歸因 于伊朗民族國(guó)家行為者。

　　將Havex 惡意軟件歸因于俄羅斯民族國(guó)家行為者。

　　將CrashOverRide 惡意軟件 （用于攻擊烏克蘭關(guān)鍵基礎(chǔ)設(shè)施）歸因于俄羅斯民族國(guó)家行為者。

　　將2015年12月針對(duì)烏克蘭關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊歸因于俄羅斯民族國(guó)家行為者。

　　將2011年至2016年間針對(duì)美國(guó)ICS 部門的復(fù)雜黑客活動(dòng)歸因于俄羅斯民族國(guó)家行為者，該活動(dòng)利用BlackEnergy v2和v3惡意軟件菌株。

　　上面列出的所有黑客活動(dòng)都廣為人知并被私營(yíng)網(wǎng)絡(luò)安全公司記錄在案。然而，今天，美國(guó)政府將安全公司的歸因正式加倍將襲擊歸咎于伊朗和俄羅斯。

在美國(guó)國(guó)土安全部還宣布了對(duì)美國(guó)石油和天然氣管道運(yùn)營(yíng)商的新網(wǎng)絡(luò)安全要求后幾分鐘發(fā)布了聯(lián)合聲明（見上圖），此前勒索軟件在5月份遭受了破壞性的勒索軟件攻擊，使Colonial Pipeline癱瘓。

　　美國(guó)黑客組織對(duì)中國(guó)多家重要敏感單位實(shí)施網(wǎng)絡(luò)攻擊

　　長(zhǎng)期以來，美國(guó)黑客組織持續(xù)對(duì)我國(guó)實(shí)施網(wǎng)絡(luò)攻擊。通過監(jiān)測(cè)分析，目前已發(fā)現(xiàn)多個(gè)美國(guó)黑客組織以我國(guó)黨政機(jī)關(guān)、事業(yè)單位、科研院所等重要敏感單位的網(wǎng)站和相關(guān)主機(jī)為主要目標(biāo)，實(shí)施漏洞掃描攻擊、暴力破解，DDoS攻擊等攻擊行為。本文選擇了3個(gè)較為典型的美國(guó)黑客組織進(jìn)行研究，分析其攻擊行為特征如下：

　　黑客組織A

　　2020年10月發(fā)現(xiàn)的黑客組織A控制了位于美國(guó)的1065臺(tái)主機(jī)對(duì)中國(guó)2426臺(tái)目標(biāo)主機(jī)實(shí)施攻擊，攻擊對(duì)象主要為黨政機(jī)關(guān)和企事業(yè)單位，如某汽車動(dòng)力總成公司、某鋼鐵股份有限公司以及部分高校等。攻擊手段主要為SSH暴力破解、SNMP暴力破解等。

　　黑客組織B

　　2020年10月發(fā)現(xiàn)的黑客組織B控制了位于美國(guó)的24臺(tái)主機(jī)對(duì)中國(guó)993臺(tái)目標(biāo)主機(jī)實(shí)施攻擊，攻擊對(duì)象主要為高校，涉及山西、廣西、廣東等省份；也有部分黨政機(jī)關(guān)，如某省科技委員會(huì)、某市商務(wù)局等。攻擊手段主要包括SNMP暴力破解、PHP代碼執(zhí)行漏洞、Struts2遠(yuǎn)程命令執(zhí)行漏洞等暴力破解和Web掃描攻擊。

　　黑客組織C

　　2020年8月發(fā)現(xiàn)的黑客組織C控制了位于美國(guó)的5臺(tái)主機(jī)對(duì)中國(guó)119臺(tái)目標(biāo)主機(jī)實(shí)施攻擊，攻擊對(duì)象主要為高校，涉及廣東、北京等地。攻擊手段主要為PHP漏洞攻擊、SQL注入等Web類攻擊。

　　監(jiān)測(cè)發(fā)現(xiàn)，相當(dāng)一部分美國(guó)黑客組織傾向于嘗試?yán)么笈恐鳈C(jī)，通過廣泛的Web和系統(tǒng)漏洞掃描攻擊手段，配合高頻暴力破解手段進(jìn)行偵察和踩點(diǎn)攻擊，鎖定攻擊目標(biāo)。這些黑客組織通過有針對(duì)性的高頻探測(cè)攻擊，試圖利用較小的攻擊成本，找到重要敏感單位資產(chǎn)的薄弱環(huán)節(jié)，為后期侵入和滲透提供機(jī)會(huì)。

　　外交部趙立堅(jiān)針對(duì)美國(guó)栽贓回應(yīng)

　　趙立堅(jiān)昨日在記者會(huì)回應(yīng)：美國(guó)糾集盟友在網(wǎng)絡(luò)安全問題上對(duì)中國(guó)進(jìn)行無理指責(zé)，此舉無中生有，顛倒黑白，完全是出于政治目的的抹黑和打壓，中方絕不接受。

　　中方堅(jiān)決反對(duì)并打擊任何形式的網(wǎng)絡(luò)攻擊，更不會(huì)對(duì)黑客攻擊進(jìn)行鼓勵(lì)、支持或縱容。這一立場(chǎng)是一貫和明確的。網(wǎng)絡(luò)空間虛擬性強(qiáng)，溯源難，行為體多樣，在調(diào)查和定性網(wǎng)絡(luò)事件時(shí)應(yīng)有完整充分證據(jù)，將有關(guān)網(wǎng)絡(luò)攻擊與一國(guó)政府相關(guān)聯(lián)，更應(yīng)慎之又慎。美方發(fā)布的所謂技術(shù)細(xì)節(jié)并不能構(gòu)成完整的證據(jù)鏈。

　　事實(shí)上，美國(guó)才是全球最大的網(wǎng)絡(luò)攻擊來源國(guó)。根據(jù)中國(guó)網(wǎng)絡(luò)安全公司360報(bào)告，來自北美的APT組織攻擊手法復(fù)雜且戰(zhàn)備資源充足，持久聚焦特定行業(yè)和單位。中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）數(shù)據(jù)顯示，2020年位于境外的約5.2萬個(gè)計(jì)算機(jī)惡意程序控制服務(wù)器控制了中國(guó)境內(nèi)約531萬臺(tái)主機(jī)。就控制中國(guó)境內(nèi)主機(jī)數(shù)量來看，美國(guó)及其北約盟國(guó)分列前三位。此外，360公司報(bào)告還顯示，美國(guó)中央情報(bào)局的網(wǎng)絡(luò)攻擊組織APT-C-39曾對(duì)中國(guó)航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等關(guān)鍵領(lǐng)域進(jìn)行了長(zhǎng)達(dá)11年的網(wǎng)絡(luò)滲透攻擊。上述攻擊嚴(yán)重?fù)p害中國(guó)的國(guó)家安全、經(jīng)濟(jì)安全、關(guān)鍵基礎(chǔ)設(shè)施安全和廣大民眾的個(gè)人信息安全。

　　美國(guó)的竊聽對(duì)象既包括競(jìng)爭(zhēng)對(duì)手，也包括自身盟友。美國(guó)的歐洲盟友對(duì)美國(guó)利用丹麥情報(bào)部門合作監(jiān)聽其領(lǐng)導(dǎo)人等行徑輕描淡寫，卻對(duì)“中國(guó)網(wǎng)絡(luò)攻擊”捕風(fēng)捉影、大動(dòng)干戈，這與其一貫宣稱的戰(zhàn)略自主自相矛盾。

　　網(wǎng)絡(luò)攻擊是全球面臨的共同威脅。我們一貫主張各國(guó)應(yīng)在相互尊重，互信互利的基礎(chǔ)上，通過對(duì)話合作維護(hù)網(wǎng)絡(luò)安全。我想強(qiáng)調(diào)的是，一小部分國(guó)家代表不了國(guó)際社會(huì)，抹黑他人洗白不了自己。中方再次強(qiáng)烈要求美國(guó)及其盟友停止針對(duì)中國(guó)的網(wǎng)絡(luò)竊密和攻擊，停止在網(wǎng)絡(luò)安全問題上向中國(guó)潑臟水，撤銷所謂起訴。中方將采取必要措施堅(jiān)定維護(hù)中國(guó)的網(wǎng)絡(luò)安全和自身利益。