美国如何指控别国进行网络攻击?
美国热衷指控别国尤其是中国发动网络攻击,这种做法拥有长期的“传统”。从2010年1月谷歌公司以所谓黑客攻击为借口退出中国大陆市场,到2013年2月曼迪安特网络安全公司发布《曼迪安特报告》,到2021年7月美国政府联合英国、澳大利亚等国指控中国对微软Exchange进行网络攻击,再到2022年3月俄乌冲突爆发之后美国媒体指控中国攻击俄罗斯实体,再到2022年6月美国网络安全机构污蔑“中国政府支持的黑客”利用路由器及其他网络设备的相关漏洞入侵美国“主要的电信公司”,都可以看到这条清晰连贯的线索。
这些报告和报道的细节很丰富,但是使用的证据很贫瘠。近两年来,美国官方和非官方的涉华指控主要起源于“微软威胁情报中心”(Microsoft Threat Intelligence Center)发布的两份报告:《微软防御报告2021》和《新的国家行为主体网络攻击》。以前一份报告为例,该报告至少存在两方面的硬伤。第一,报告巧妙利用研究设计和研究方法,将美国、英国、以色列、德国等国设定为网络攻击受害国,即不统计汇报这些国家对别国的网络攻击行为,而将俄罗斯、朝鲜、伊朗、中国假定为网络攻击发起国,沿着这条地缘政治路线进行溯源。以此,报告得出结论认为,在国家行为主体支持的网络攻击行为中,俄罗斯占比58%,朝鲜占比23%,伊朗占比11%,中国占比8%。
第二,在占比8%的涉华指控中,该报告认为主要和所谓“Hafnium”微软Exchange攻击事件有关,但是该指控有利用中国来为微软公司及其信息分享体系开脱责任的嫌疑。微软公司早在2021年1月5日就获知该漏洞的存在,但该公司在长达两个月时间里并没有采取任何修复行动。期间,“微软主动保护计划”(MAPP)向全世界大约80家安全公司主动分享过关于该漏洞的信息。在这个背景下,发生了网络攻击事件,第一责任人是微软公司,第二责任人是这些网络安全公司,为什么被归罪到中国政府身上?
罪名之所以能够被安置到中国政府身上,主要与美国的政治需求和媒体操作有关系。网络攻击溯源问题不仅仅是个技术问题、硬实力问题,涉及到各国网络溯源能力的强弱,还是一个媒体实力、国际传播能力的软实力问题。谁是攻击者,谁是受害者,谁是好人,谁是坏人,不仅仅取决于溯源能力,而是经常取决于各国的信息传播实力。本来已经充满偏颇和偏见的溯源证据,还要进一步经过政客、智库、咨询公司、新闻媒体按照自身所属意识形态光谱、利益集团阵营、盈利模式等因素进行进一步筛选、加工、强化、过滤,因此得出了更为荒谬的看法。
网络攻击报告发布者、智库、咨询公司、新闻媒体、政客等行为主体构成了一个完整的链条,公开地生产捕风捉影的虚假信息,推广“中国网络攻击威胁论”,把观点最终输入到商业媒体和社交媒体平台,淹没在这个领域里客观真实的声音。在这条线索的起点上,第一份报告在一些情况下会提供一些似是而非的证据,甚至也有可能是并非出于恶意的较为客观的报告,但是这条生产线上接下来的所有环节和节点都有可能拥有承包商和供应商,它们从来不验证第一份报告的真伪,只负责加工推广里面的内容,毕竟各式各样的“中国威胁论”已经成为美国凝聚两党共识的关键手段,并且网络攻击作为一个抽象议题和物价上涨等具体议题存在较大区别,抽象议题比具体议题在大多数情况下更容易被政客和媒体操控。
从这个角度来说,美国大多数行为主体根本不在乎是否存在中国网络攻击的证据或者这些证据是否可靠,只在乎能否从其中加工提炼出来“中国网络攻击威胁论”。网络攻击的指控和事实没有关系,而主要是和美国选定中国作为假想敌有关系。美国国务卿布林肯明确指出美国处处针对中国的真实原因:“中国是唯一一个既有重塑国际秩序的意图,又有越来越多的经济、外交、军事和技术力量来这样做的国家。”十年前,美国国会发布的华为/中兴企业调查报告这样描述美国制裁中国企业的原因:“中国有能力、有机会且有动机为恶意之目的利用电信企业。”布林肯的话和美国国会的报告有一点完全相似:不讲证据,只谈美国通过主观臆测推断出来的中国动机。
及至2022年3月俄乌冲突爆发之后,美国的对华指控又出现新的变种,嵌入了新的地缘政治因素,开始栽赃陷害指控中国对俄罗斯实体进行黑客攻击。这类指控符合本年度网络安全形势的新特征:北约将混合式战争手段大规模地用于实战。在当下仍在持续的俄乌冲突中,俄罗斯希望利用传统军事手段来遏制北约扩张,而北约不愿在正面战场面对俄罗斯,选择利用网络战、舆论战、信息战等非传统混合式战争手段来动员国际舆论,发动制裁,削弱俄罗斯。自2017年北约国家和欧盟国家在赫尔辛基以防御的名义成立“反制混合威胁欧洲卓越中心”(Hybrid CoE)以来,混合作战概念正式被应用于实战,“攻心”和“离间”成为可见的斗争手段,栽赃中国攻击俄罗斯实体符合这种战争新趋势。
我们于是看到了当前的这种荒诞的景观:本来明明是美国在对全世界进行网络攻击,却被扭曲为中国对别国进行网络攻击。正是在这个背景下,中国网络安全公司罕见发布回应报告,公布跨国网络攻击的真相。2022年2月,北京奇安盘古实验室科技有限公司发布报告,披露来自美国的Linux平台后门“电幕行动”(Bvp47)的完整技术细节和攻击组织关联,指出该后门已侵害全球45个国家和地区。2022年3月,360公司发布《网络战序幕:美国国安局NSA(APT-C-40)对全球发起长达十余年无差别攻击》报告,发现美国大规模地、长期地、系统地对全球和中国关键基础设施进行网络攻击和渗透。2022年6月,国家计算机病毒应急处理中心和360公司分别发布专题研究报告,披露美国国家安全局使用的名为“酸狐狸平台”的网络攻击武器。(作者徐培喜是中国传媒大学教授)