中国网安能力不能识别美国攻击?这份新报告“打脸”此类谬论
【环球时报-环球网报道 记者郭媛丹】21日,《环球时报》从中国网络安全公司安天科技集团获悉,该公司即将发布一份报告,其中列举了一系列证据以反驳美方所谓“中国网络安全能力不足以指控美国攻击”的说法。该公司负责人当日接受《环球时报》采访时表示,美方的指控表明中方对美方网络攻击活动的揭露已经打到美方“痛点”,对手不得已采用这种诡辩逻辑对中方进行抹黑。
此前,美国网络安全公司SentinelOne在其官网上发布题为《中国的网络报复——中国为何无法支撑其对西方间谍活动的指控》的报告。报告宣称,2021年7月美国、英国和欧盟发布联合声明,攻击中国在网络空间的所谓“不负责行为”。随后,中国启动了一项“攻击性”战略,即一些中国网络安全公司与政府机构和官方媒体协作对外发布报告,描述美国所采取的网络攻击行动,但中国的指控缺乏关键性技术分析来佐证其结论。SentinelOne声称,直到2023年,这些报告都在重复使用陈旧的、已被泄露的美国情报文件。
SentinelOne发布的报告梳理了近年来中方揭露美方网络攻击行为的情况,以时间线的方式企图证明中国网络安全厂商主要沿袭其他国际厂商成果,自身却缺乏发现美方安全威胁的技术能力。被点名的中国网络安全企业包括360、奇安信和安天科技集团,SentinelOne还指责这些中国企业报告中引用的依据均来自公开报道。
安天科技集团公司及其负责人肖新光也在被点名之列。肖新光接受《环球时报》采访时表示,SentinelOne报告主要观点包括:中方报告仅是对国际其他厂商信息披露的重复,滞后性严重;中方的信息发布来源严重依赖美方自身的信息泄露,比如从斯诺登对外公开的美“棱镜”计划中获取信息。
据悉,在此背景下,安天科技集团将发布报告,提供一系列证据给予反驳。最直接的证据之一就是复盘了对隶属于美国国安局(NSA)的“方程式组织”的分析曝光过程。报告表示,“我们依靠自身的捕获能力,先后捕获了其在Windows、iOS等平台的攻击样本,破解了样本加密机制,和国际产业界协同完成了其全操作系统平台覆盖能力的分析,并最终使其全面曝光。”
报告按照时间顺序,清晰呈现出全球安全业界破解“方程式”的过程:2015年初,卡巴斯基率先发布报告,公布了“方程式组织”对硬盘固件的攻击能力,安天则跟进发布报告,披露了“方程式组织”样本的组件结构、通信指令代码和控制结构。2015年5月,安天再次发布报告,分析了“方程式组织”样本内置的数据加密和通信加密算法,公布了秘钥和解密方法。2016年,安天的报告首度曝光了“方程式组织”针对Linux和Solaris(SPARC架构)系统的攻击样本,分析了样本的主要功能、通信模式和指令特点,和国际安全厂商一起证实了“方程式组织”的攻击样本覆盖所有操作系统平台。2023年6月,安天在卡巴斯基报告“三角测量行动”发布后,迅速公开了“方程式组织”iOS平台的样本分析报告。这两份报告虽然均涉及以苹果手机为目标的攻击,但其实是美方两个不同的攻击行动。安天报告披露的是通过“量子”系统劫持流量实施的攻击,卡巴斯基报告披露的是基于iMessage服务漏洞投放的攻击。安天报告中还发布了对“量子”系统的攻击能力和美方运营攻击资源运行体系的图谱分析。
“作为一个企业级别的安全分析团队,分析美国情报机构这种超级网空威胁行为体的网络攻击活动和支撑体系,是非常艰苦的工作。”安天科技集团即将发布的报告表示,美方情报机构的网络攻击不是孤立的行动,而是基于0day漏洞、高级恶意代码持久化和基于人力、电磁和网空混合作业的长期布局,并有庞大的工程体系作为支撑,这使得国际网络安全业界的分析曝光工作看起来像一场工作接力。中国像世界上很多国家一样,都是A2PT(即“高级的”高级持续性威胁)的受害者,中国的网络安全工作者和揭露过A2PT攻击的全球业界人士一样,都是为了世界网络安全而斗争的战士。
肖新光说,对世界各国来说,防御A2PT攻击都非常困难,而深入分析曝光A2PT攻击同样是巨大的挑战。中国不只是网络攻击的受害者,在西方所把持的国际舆论场中,中国也是一个弱势方。比如当中国网络安全企业在行业中率先发布分析报告的时候,并不会引发任何关注。“2014年前,我们的分析成果遭遇莫不是如此,因此中国安全企业在取得分析成果后,一般不选择立即公开,而是等待国际研究者发布相关成果时再进行跟进。正是依靠常年的沉淀和积累,2015年后我们的分析报告才能与国际同行保持步伐一致。”
值得注意的是,发布报告的美国网络安全公司SentinelOne与美国政府关系密切,是美国联合网络防御协作组织(JCDC)的成员,该组织隶属于美国网络安全与基础设施安全局。SentinelOne帮助美官方收集、分析和共享有关网络威胁的信息,具有鲜明的美国情报机构“旋转门”企业的特点。
肖新光表示,此次报告是自2010年以来美方首次就世界各国指责其网络攻击问题的详细分析做出直接回应,表明中国安全企业和行业组织此前发布的分析成果已起到了作用。“美报告刻意回避了中国网络安全厂商的首发成果,也无视中国跟进国际同行发布的技术报告都有其原创的贡献,只是选择性的选取部分报告通过时间轴连接在一起,从而得出中方‘指控无效’的结论。美方采用这种混淆视听的方式恰恰表明中方对美方网络间谍活动的揭露是行之有效的,于是对手不得已试图对中国网络安全企业污名化,扰乱视听,并干扰打压中国网络安全企业的运营。”
业内人士也表示,报告的套路是一贯的,采取先预设观点,再拼凑证明的方式,用低质量的证据和推理来支撑“中国厂商没有独立发现能力”的结论,再以此洗白美国的网络攻击行动。报告丝毫没有提及美方对世界各国进行的网络攻击以及产生的危害,对美方情报机构自身泄露的危害性信息或样本选择无视,却对中国安全企业针对这些信息和样本展开分析作为能力不足的佐证,这是鲜明的强盗逻辑。
“美方建设了全球最庞大的网络攻击基础设施,研发了覆盖全场景、全平台的网络攻击武器、构建了规模最大的网络攻击团队,不仅持续发动了一系列网络攻击,也实施了多起滥用供应链上游优势,削弱加密标准等恶意活动。美方应该做的是,主动承诺约束其网络空间攻击行为和监听行动,承诺不滥用供应链上游优势和数据采集能力,对其他国家做出安全保证,而不是自恃手段高明可规避受害方的发现来维护其持久的网络霸权。”肖新光表示。