誰在黑中國
--- 境外對華網(wǎng)絡(luò)攻擊報告
境外對華網(wǎng)絡(luò)攻擊報告
國際上通常認(rèn)為發(fā)起這種攻擊的源頭具有更高、更復(fù)雜的背景
盡管故意炒作的“中國黑客威脅論”甚囂塵上�,但數(shù)字表明�,中國恰恰是網(wǎng)絡(luò)攻擊的最大受害國之一�。
來自中國國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)的報告顯示�,在中國遭受的境外網(wǎng)絡(luò)攻擊中�,無論木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器控制境內(nèi)主機數(shù)量�,還是網(wǎng)站后門、網(wǎng)絡(luò)釣魚等�,來自美國地址的攻擊均名列第一。
作為國家公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急體系的核心技術(shù)協(xié)調(diào)機構(gòu)�,CNCERT/CC最近發(fā)布的《2012年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》認(rèn)為,針對中國網(wǎng)絡(luò)基礎(chǔ)設(shè)施的探測�、滲透和攻擊事件時有發(fā)生,雖尚未造成大規(guī)模嚴(yán)重危害�,但高水平、有組織的網(wǎng)絡(luò)攻擊�,給中國的網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全保障帶來嚴(yán)峻挑戰(zhàn)。
僅2013年上半年�,CNCERT/CC共向國際網(wǎng)絡(luò)安全應(yīng)急組織和其他相關(guān)組織投訴1760起,其中向美國相關(guān)組織投訴1110起�。
CNCERT/CC運行部主任、《2012年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》編委會執(zhí)行委員王明華在接受《瞭望東方周刊》采訪時表示,互信是進一步推進國際網(wǎng)絡(luò)安全合作的關(guān)鍵環(huán)節(jié)�。避免用“有色眼鏡”看待網(wǎng)絡(luò)安全問題,是促進國際合作�、緩解各國網(wǎng)絡(luò)安全威脅的前提。
千萬臺境內(nèi)電腦“失陷”
根據(jù)《2012年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》�,2012年中國境內(nèi)有1419.7萬余臺主機受到境外木馬或僵尸網(wǎng)絡(luò)控制,較2011年增長59.6%�。
其中,被來自美國IP地址的木馬或僵尸網(wǎng)絡(luò)控制的服務(wù)器和主機數(shù)量�,占全部的17.6%和74%,均名列第一�。
僵尸網(wǎng)絡(luò)是指攻擊者通過各種途徑傳播“僵尸”程序,感染互聯(lián)網(wǎng)上的大量主機�,而被感染的主機將通過接收攻擊者的指令,組成一個僵尸網(wǎng)絡(luò)�。
如果從中國境內(nèi)服務(wù)器被控制的比例來看,來自日本和中國臺灣的IP地址緊隨美國之后�,分列第二、三位�,分別占9.6%和7.6%;從控制的中國境內(nèi)主機數(shù)量來看�,來自韓國和德國的IP地址分列第二、三位�,分別控制78.5萬和77.8萬臺主機。
在網(wǎng)站后門攻擊方面�,境外有3.2萬臺主機通過植入后門�,對境內(nèi)3.8萬個網(wǎng)站實施遠程控制�,美國、韓國和中國香港位于前三位�。
在網(wǎng)絡(luò)釣魚攻擊方面,針對中國的釣魚站點有96.2%位于境外�。其中位于美國的占83.2%,仍然位居第一�。
王明華告訴本刊記者,截至2013年6月30日的數(shù)據(jù)表明�,從控制服務(wù)器所占比例來看,美國繼續(xù)排名第一�,中國香港變成了第二位,韓國位列第三�;從所控制的中國境內(nèi)主機數(shù)量來看�,美國第一,葡萄牙和中國香港分列第二�、三位。
中國香港雖然IP地址�、主機、人口數(shù)量都不多�,但是“現(xiàn)在互聯(lián)網(wǎng)跳板非常多,香港的排列次序變化�,只能說與其網(wǎng)絡(luò)安全形勢、政策�、策略�、防護機制等有一定關(guān)系”�。他解釋說,國家和地區(qū)次序的變化�,與當(dāng)?shù)鼗ヂ?lián)網(wǎng)管理的策略有多種關(guān)系。
比如韓國互聯(lián)網(wǎng)比較發(fā)達�,人均帶寬位居世界第一,并且存在互聯(lián)網(wǎng)近鄰效應(yīng)�。它與中國的交流多、流量大�,網(wǎng)絡(luò)安全事件就可能多一些。
“美國IP地址最多�、機器也多,排第一位�,我們不感到意外?!彼J(rèn)為。
根據(jù)CNCERT/CC數(shù)據(jù)�,自2010年以來,來自美國�、日本、韓國的攻擊始終對中國境內(nèi)的網(wǎng)絡(luò)安全造成較大威脅�,印度、土耳其等也成為重要的攻擊源頭�。3年來,對中國境內(nèi)實施網(wǎng)頁掛馬�、網(wǎng)絡(luò)釣魚等不法行為�,所利用的惡意域名半數(shù)以上在境外注冊�,而且境外注冊比例不斷提高。
CNCERT/CC工程師�、《2012年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》編委會委員徐原對《瞭望東方周刊》說,CNCERT/CC只能監(jiān)測到大部分發(fā)起攻擊的IP地址位于美國�,但并不能確認(rèn)其來自政府還是民間。同時�,發(fā)起攻擊的IP地址可能受別人控制。而追究這些根源�,都需要外國政府和相關(guān)機構(gòu)、企業(yè)的配合�。
“冷戰(zhàn)思維”的國際黑客
雖然確定攻擊源頭存在一定難度,但“匿名者”�、“反共黑客”、“阿爾及利亞Barbaros-DZ”等境外黑客組織已經(jīng)浮出水面�。
徐原向本刊詳細介紹說,CNCERT/CC 從2010年就開始重點關(guān)注“匿名者”�。這是一個比較松散的黑客組織�,理念是“互聯(lián)網(wǎng)自由”,只要認(rèn)可這一理念的黑客�,都可以“匿名者”的名義從事黑客活動。
由于這種組織架構(gòu)�,據(jù)稱其成員高達數(shù)百萬人,遍及世界各地�。他們主要在網(wǎng)上論壇集結(jié)�,經(jīng)常對各個國家政府網(wǎng)站發(fā)動攻擊�,篡改網(wǎng)頁內(nèi)容。
也有信息顯示�,“匿名者”目前已成為全球最大的黑客組織。它于2003年成立�,由一個網(wǎng)絡(luò)信息論壇里喜歡惡作劇的黑客和游戲玩家發(fā)展而成。
自2008年開始�,“匿名者”表現(xiàn)出比較明顯的政治傾向,對“自由之?dāng)场遍_戰(zhàn):參與中東動蕩�、“占領(lǐng)華爾街”、“維基解密”�、阿桑奇等事件。甚至當(dāng)網(wǎng)絡(luò)支付平臺PayPal拒絕為“維基解密”提供轉(zhuǎn)賬服務(wù)時�,也受到了“匿名者”的攻擊。
“匿名者”明顯表現(xiàn)出西方精英階層某部分人慣有的歧視和偏見�。目前被美國聯(lián)邦調(diào)查局逮捕的“匿名者”負責(zé)人也都符合西方黑客的典型特征:年輕、白人�、男性。
“匿名者”在政治事件上最著名的案例是�,他們對2011年突尼斯的國內(nèi)政治動蕩起到一定助推作用?!澳涿摺碑?dāng)時不僅攻破了突尼斯證券交易所和眾多政府網(wǎng)站,而且還教授不同政見者如何擺脫政府的網(wǎng)絡(luò)管理�。
CNCERT/CC發(fā)現(xiàn),“匿名者”針對中國的攻擊者主要來自自稱為“Anonymous China”的ID�。
它主要關(guān)注中國境內(nèi)政府網(wǎng)站以及一些存儲有大量用戶信息的重要行業(yè)網(wǎng)站�,通常利用文件上傳等漏洞進行滲透�,竊取大量網(wǎng)站用戶賬號和私密信息。據(jù)不完全統(tǒng)計�,其關(guān)注的中國境內(nèi)目標(biāo)網(wǎng)站超過600個,其中包括上百個政府部門網(wǎng)站�。
根據(jù)“匿名者”的傳統(tǒng),在攻擊中國境內(nèi)網(wǎng)站成功后�,該組織成員會通過網(wǎng)絡(luò)社交工具、網(wǎng)絡(luò)聊天室等網(wǎng)絡(luò)媒介展示其攻擊成果�。
2012年3月、4月�、11月,“匿名者”多次宣稱攻擊了中國政府和大型企業(yè)網(wǎng)站�。4月至7月,CNCERT/CC監(jiān)測發(fā)現(xiàn)并報告了“匿名者”對最高人民法院�、國家自然科學(xué)基金委、水利部�、商務(wù)部等網(wǎng)站的攻擊事件。
另一個經(jīng)常對中國境內(nèi)網(wǎng)絡(luò)進行攻擊的典型組織是“反共黑客”�,它具有很強的意識形態(tài)色彩和“冷戰(zhàn)思維”。
王明華說�,該組織的攻擊主要針對黨務(wù)系統(tǒng)的網(wǎng)站�,以及部分高校與社會組織網(wǎng)站。攻擊成功后�,它篡改網(wǎng)頁�,在網(wǎng)頁上顯示一些反共口號�,發(fā)布的言論經(jīng)常與當(dāng)前一些時事熱點結(jié)合,有較強的煽動性�。同時,它也會在谷歌地圖上做標(biāo)記�,注明攻陷網(wǎng)站名稱和具體時間,然后通過網(wǎng)絡(luò)媒介迅速擴大影響�。
截至2012年12月31日,CNCERT/CC共監(jiān)測到涉及90個部門的142個網(wǎng)站被該組織篡改�。
王明華進一步介紹,“反共黑客”的活動很有周期性�,每周都要攻擊兩三個網(wǎng)站。根據(jù)初步研判�,“反共黑客”能持續(xù)發(fā)布攻擊案例,說明其已經(jīng)掌握了中國境內(nèi)大量網(wǎng)站的漏洞�,可能采用了預(yù)先植入后門等手段,控制了一些網(wǎng)站服務(wù)器以備使用�。
而自2012年3月到12月31日,中國境內(nèi)超過1250個政府網(wǎng)站頁面被“阿爾及利亞Barbaros-DZ”篡改�。
王明華說,至2013年三四月�,他們通過搜集“阿爾及利亞Barbaros-DZ”在網(wǎng)絡(luò)上建立的賬號、帖子�、博客,以及在各處的留言,分析出他其實就是具有較強宗教傾向的個人�。
“是一個黑客,而不是一個組織�。”徐原說�,CNCERT/CC還找到了他的照片。
