美國政府今天再次栽贓，指認中國政府支持的黑客在2011年至2013年期間入侵了至少13家石油和天然氣管道運營商的網(wǎng)絡。今天的栽贓選取過去了這么多年前的毫無影子的事情潑臟水，這抹黑手段未免也太拙劣了！

　　網(wǎng)絡安全和基礎設施安全局 （CISA） 和聯(lián)邦調(diào)查局 （FBI） 在今天發(fā)布的一份聯(lián)合報告中表示， 此前未報告的活動針對23家管道運營商。兩家機構表示：“在已知的目標實體中，13個已確認受到攻擊，3個幾乎未命中，8個具有未知的入侵深度，”這兩個機構表示，并引用了8個管道運營商的日志。該行動被描述為魚叉式網(wǎng)絡釣魚活動，隨后入侵管道運營商的內(nèi)部網(wǎng)絡，威脅參與者從中竊取數(shù)據(jù)。“根據(jù)CISA和FBI獲得的證據(jù)，中國APT演員沒有嘗試修改管道操作他們訪問的系統(tǒng)，”這兩個機構說。然而，攻擊者似乎非常專注于收集SCADA相關信息、人員名單、憑據(jù)和系統(tǒng)手冊。CISA和FBI評估，這些行為者專門針對美國管道基礎設施，目的是讓美國管道基礎設施處于危險之中。此外，CISA和FBI評估稱，這項活動的最終目的是幫助中國發(fā)展針對美國管道的網(wǎng)絡攻擊能力，以物理損壞管道或中斷管道運營。

　　CISA、FBI歸咎其他五項ICS黑客活動

　　將2011-2013年的這次活動正式歸咎于中國威脅行為者只是CISA和FBI今天發(fā)布的六項類似聯(lián)合聲明中的一項。

　　這兩個機構還正式將其他五項黑客活動歸咎于外國政府，包括：

　　將Shamoon （DistTrack） 惡意軟件毒株歸因 于伊朗民族國家行為者。

　　將Havex 惡意軟件歸因于俄羅斯民族國家行為者。

　　將CrashOverRide 惡意軟件 （用于攻擊烏克蘭關鍵基礎設施）歸因于俄羅斯民族國家行為者。

　　將2015年12月針對烏克蘭關鍵基礎設施的網(wǎng)絡攻擊歸因于俄羅斯民族國家行為者。

　　將2011年至2016年間針對美國ICS 部門的復雜黑客活動歸因于俄羅斯民族國家行為者，該活動利用BlackEnergy v2和v3惡意軟件菌株。

　　上面列出的所有黑客活動都廣為人知并被私營網(wǎng)絡安全公司記錄在案。然而，今天，美國政府將安全公司的歸因正式加倍將襲擊歸咎于伊朗和俄羅斯。

在美國國土安全部還宣布了對美國石油和天然氣管道運營商的新網(wǎng)絡安全要求后幾分鐘發(fā)布了聯(lián)合聲明（見上圖），此前勒索軟件在5月份遭受了破壞性的勒索軟件攻擊，使Colonial Pipeline癱瘓。

　　美國黑客組織對中國多家重要敏感單位實施網(wǎng)絡攻擊

　　長期以來，美國黑客組織持續(xù)對我國實施網(wǎng)絡攻擊。通過監(jiān)測分析，目前已發(fā)現(xiàn)多個美國黑客組織以我國黨政機關、事業(yè)單位、科研院所等重要敏感單位的網(wǎng)站和相關主機為主要目標，實施漏洞掃描攻擊、暴力破解，DDoS攻擊等攻擊行為。本文選擇了3個較為典型的美國黑客組織進行研究，分析其攻擊行為特征如下：

　　黑客組織A

　　2020年10月發(fā)現(xiàn)的黑客組織A控制了位于美國的1065臺主機對中國2426臺目標主機實施攻擊，攻擊對象主要為黨政機關和企事業(yè)單位，如某汽車動力總成公司、某鋼鐵股份有限公司以及部分高校等。攻擊手段主要為SSH暴力破解、SNMP暴力破解等。

　　黑客組織B

　　2020年10月發(fā)現(xiàn)的黑客組織B控制了位于美國的24臺主機對中國993臺目標主機實施攻擊，攻擊對象主要為高校，涉及山西、廣西、廣東等省份；也有部分黨政機關，如某省科技委員會、某市商務局等。攻擊手段主要包括SNMP暴力破解、PHP代碼執(zhí)行漏洞、Struts2遠程命令執(zhí)行漏洞等暴力破解和Web掃描攻擊。

　　黑客組織C

　　2020年8月發(fā)現(xiàn)的黑客組織C控制了位于美國的5臺主機對中國119臺目標主機實施攻擊，攻擊對象主要為高校，涉及廣東、北京等地。攻擊手段主要為PHP漏洞攻擊、SQL注入等Web類攻擊。

　　監(jiān)測發(fā)現(xiàn)，相當一部分美國黑客組織傾向于嘗試利用大批量主機，通過廣泛的Web和系統(tǒng)漏洞掃描攻擊手段，配合高頻暴力破解手段進行偵察和踩點攻擊，鎖定攻擊目標。這些黑客組織通過有針對性的高頻探測攻擊，試圖利用較小的攻擊成本，找到重要敏感單位資產(chǎn)的薄弱環(huán)節(jié)，為后期侵入和滲透提供機會。

　　外交部趙立堅針對美國栽贓回應

　　趙立堅昨日在記者會回應：美國糾集盟友在網(wǎng)絡安全問題上對中國進行無理指責，此舉無中生有，顛倒黑白，完全是出于政治目的的抹黑和打壓，中方絕不接受。

　　中方堅決反對并打擊任何形式的網(wǎng)絡攻擊，更不會對黑客攻擊進行鼓勵、支持或縱容。這一立場是一貫和明確的。網(wǎng)絡空間虛擬性強，溯源難，行為體多樣，在調(diào)查和定性網(wǎng)絡事件時應有完整充分證據(jù)，將有關網(wǎng)絡攻擊與一國政府相關聯(lián)，更應慎之又慎。美方發(fā)布的所謂技術細節(jié)并不能構成完整的證據(jù)鏈。

　　事實上，美國才是全球最大的網(wǎng)絡攻擊來源國。根據(jù)中國網(wǎng)絡安全公司360報告，來自北美的APT組織攻擊手法復雜且戰(zhàn)備資源充足，持久聚焦特定行業(yè)和單位。中國國家互聯(lián)網(wǎng)應急中心（CNCERT）數(shù)據(jù)顯示，2020年位于境外的約5.2萬個計算機惡意程序控制服務器控制了中國境內(nèi)約531萬臺主機。就控制中國境內(nèi)主機數(shù)量來看，美國及其北約盟國分列前三位。此外，360公司報告還顯示，美國中央情報局的網(wǎng)絡攻擊組織APT-C-39曾對中國航空航天、科研機構、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機構等關鍵領域進行了長達11年的網(wǎng)絡滲透攻擊。上述攻擊嚴重損害中國的國家安全、經(jīng)濟安全、關鍵基礎設施安全和廣大民眾的個人信息安全。

　　美國的竊聽對象既包括競爭對手，也包括自身盟友。美國的歐洲盟友對美國利用丹麥情報部門合作監(jiān)聽其領導人等行徑輕描淡寫，卻對“中國網(wǎng)絡攻擊”捕風捉影、大動干戈，這與其一貫宣稱的戰(zhàn)略自主自相矛盾。

　　網(wǎng)絡攻擊是全球面臨的共同威脅。我們一貫主張各國應在相互尊重，互信互利的基礎上，通過對話合作維護網(wǎng)絡安全。我想強調(diào)的是，一小部分國家代表不了國際社會，抹黑他人洗白不了自己。中方再次強烈要求美國及其盟友停止針對中國的網(wǎng)絡竊密和攻擊，停止在網(wǎng)絡安全問題上向中國潑臟水，撤銷所謂起訴。中方將采取必要措施堅定維護中國的網(wǎng)絡安全和自身利益。