谁在黑中国

　　--- 境外对华网络攻击报告

　　境外对华网络攻击报告

　　国际上通常认为发起这种攻击的源头具有更高、更复杂的背景

　　《瞭望东方周刊》记者吴铭 | 北京报道

　　尽管故意炒作的“中国黑客威胁论”甚嚣尘上，但数字表明，中国恰恰是网络攻击的最大受害国之一。

　　来自中国国家计算机网络应急技术处理协调中心(CNCERT/CC)的报告显示，在中国遭受的境外网络攻击中，无论木马或僵尸网络控制服务器控制境内主机数量，还是网站后门、网络钓鱼等，来自美国地址的攻击均名列第一。

　　作为国家公共互联网网络安全应急体系的核心技术协调机构，CNCERT/CC最近发布的《2012年中国互联网网络安全报告》认为，针对中国网络基础设施的探测、渗透和攻击事件时有发生，虽尚未造成大规模严重危害，但高水平、有组织的网络攻击，给中国的网络基础设施安全保障带来严峻挑战。

　　仅2013年上半年，CNCERT/CC共向国际网络安全应急组织和其他相关组织投诉1760起，其中向美国相关组织投诉1110起。

　　CNCERT/CC运行部主任、《2012年中国互联网网络安全报告》编委会执行委员王明华在接受《瞭望东方周刊》采访时表示，互信是进一步推进国际网络安全合作的关键环节。避免用“有色眼镜”看待网络安全问题，是促进国际合作、缓解各国网络安全威胁的前提。

　　千万台境内电脑“失陷”

　　根据《2012年中国互联网网络安全报告》，2012年中国境内有1419.7万余台主机受到境外木马或僵尸网络控制，较2011年增长59.6%。

　　其中，被来自美国IP地址的木马或僵尸网络控制的服务器和主机数量，占全部的17.6%和74%，均名列第一。

　　僵尸网络是指攻击者通过各种途径传播“僵尸”程序，感染互联网上的大量主机，而被感染的主机将通过接收攻击者的指令，组成一个僵尸网络。

　　如果从中国境内服务器被控制的比例来看，来自日本和中国台湾的IP地址紧随美国之后，分列第二、三位，分别占9.6%和7.6%；从控制的中国境内主机数量来看，来自韩国和德国的IP地址分列第二、三位，分别控制78.5万和77.8万台主机。

　　在网站后门攻击方面，境外有3.2万台主机通过植入后门，对境内3.8万个网站实施远程控制，美国、韩国和中国香港位于前三位。

　　在网络钓鱼攻击方面，针对中国的钓鱼站点有96.2%位于境外。其中位于美国的占83.2%，仍然位居第一。

　　王明华告诉本刊记者，截至2013年6月30日的数据表明，从控制服务器所占比例来看，美国继续排名第一，中国香港变成了第二位，韩国位列第三；从所控制的中国境内主机数量来看，美国第一，葡萄牙和中国香港分列第二、三位。

　　中国香港虽然IP地址、主机、人口数量都不多，但是“现在互联网跳板非常多，香港的排列次序变化，只能说与其网络安全形势、政策、策略、防护机制等有一定关系”。他解释说，国家和地区次序的变化，与当地互联网管理的策略有多种关系。

　　比如韩国互联网比较发达，人均带宽位居世界第一，并且存在互联网近邻效应。它与中国的交流多、流量大，网络安全事件就可能多一些。

　　“美国IP地址最多、机器也多，排第一位，我们不感到意外。”他认为。

　　根据CNCERT/CC数据，自2010年以来，来自美国、日本、韩国的攻击始终对中国境内的网络安全造成较大威胁，印度、土耳其等也成为重要的攻击源头。3年来，对中国境内实施网页挂马、网络钓鱼等不法行为，所利用的恶意域名半数以上在境外注册，而且境外注册比例不断提高。

　　CNCERT/CC工程师、《2012年中国互联网网络安全报告》编委会委员徐原对《瞭望东方周刊》说，CNCERT/CC只能监测到大部分发起攻击的IP地址位于美国，但并不能确认其来自政府还是民间。同时，发起攻击的IP地址可能受别人控制。而追究这些根源，都需要外国政府和相关机构、企业的配合。

　　“冷战思维”的国际黑客

　　虽然确定攻击源头存在一定难度，但“匿名者”、“反共黑客”、“阿尔及利亚Barbaros-DZ”等境外黑客组织已经浮出水面。

　　徐原向本刊详细介绍说，CNCERT/CC 从2010年就开始重点关注“匿名者”。这是一个比较松散的黑客组织，理念是“互联网自由”，只要认可这一理念的黑客，都可以“匿名者”的名义从事黑客活动。

　　由于这种组织架构，据称其成员高达数百万人，遍及世界各地。他们主要在网上论坛集结，经常对各个国家政府网站发动攻击，篡改网页内容。

　　也有信息显示，“匿名者”目前已成为全球最大的黑客组织。它于2003年成立，由一个网络信息论坛里喜欢恶作剧的黑客和游戏玩家发展而成。

　　自2008年开始，“匿名者”表现出比较明显的政治倾向，对“自由之敌”开战：参与中东动荡、“占领华尔街”、“维基解密”、阿桑奇等事件。甚至当网络支付平台PayPal拒绝为“维基解密”提供转账服务时，也受到了“匿名者”的攻击。

　　“匿名者”明显表现出西方精英阶层某部分人惯有的歧视和偏见。目前被美国联邦调查局逮捕的“匿名者”负责人也都符合西方黑客的典型特征：年轻、白人、男性。

　　“匿名者”在政治事件上最著名的案例是，他们对2011年突尼斯的国内政治动荡起到一定助推作用。“匿名者”当时不仅攻破了突尼斯证券交易所和众多政府网站，而且还教授不同政见者如何摆脱政府的网络管理。

　　CNCERT/CC发现，“匿名者”针对中国的攻击者主要来自自称为“Anonymous China”的ID。

　　它主要关注中国境内政府网站以及一些存储有大量用户信息的重要行业网站，通常利用文件上传等漏洞进行渗透，窃取大量网站用户账号和私密信息。据不完全统计，其关注的中国境内目标网站超过600个，其中包括上百个政府部门网站。

　　根据“匿名者”的传统，在攻击中国境内网站成功后，该组织成员会通过网络社交工具、网络聊天室等网络媒介展示其攻击成果。

　　2012年3月、4月、11月，“匿名者”多次宣称攻击了中国政府和大型企业网站。4月至7月，CNCERT/CC监测发现并报告了“匿名者”对最高人民法院、国家自然科学基金委、水利部、商务部等网站的攻击事件。

　　另一个经常对中国境内网络进行攻击的典型组织是“反共黑客”，它具有很强的意识形态色彩和“冷战思维”。

　　王明华说，该组织的攻击主要针对党务系统的网站，以及部分高校与社会组织网站。攻击成功后，它篡改网页，在网页上显示一些反共口号，发布的言论经常与当前一些时事热点结合，有较强的煽动性。同时，它也会在谷歌地图上做标记，注明攻陷网站名称和具体时间，然后通过网络媒介迅速扩大影响。

　　截至2012年12月31日，CNCERT/CC共监测到涉及90个部门的142个网站被该组织篡改。

　　王明华进一步介绍，“反共黑客”的活动很有周期性，每周都要攻击两三个网站。根据初步研判，“反共黑客”能持续发布攻击案例，说明其已经掌握了中国境内大量网站的漏洞，可能采用了预先植入后门等手段，控制了一些网站服务器以备使用。

　　而自2012年3月到12月31日，中国境内超过1250个政府网站页面被“阿尔及利亚Barbaros-DZ”篡改。

　　王明华说，至2013年三四月，他们通过搜集“阿尔及利亚Barbaros-DZ”在网络上建立的账号、帖子、博客，以及在各处的留言，分析出他其实就是具有较强宗教倾向的个人。

　　“是一个黑客，而不是一个组织。”徐原说，CNCERT/CC还找到了他的照片。

　　背景复杂的APT攻击

　　2013年1月1日至6月30日，CNCERT/CC共接收并协调处置国际应急组织和其他网络安全组织投诉拒绝服务攻击、恶意程序、网络钓鱼等事件339起，其中来自美国的组织投诉事件191起，来自欧洲的组织投诉事件62起。

　　同期， CNCERT/CC共向国际网络安全应急组织和其他相关组织投诉达1760起，其中向美国相关组织投诉1110起。

　　在此期间，CNCERT/CC还组织开展了3次木马和僵尸网络专项打击行动，成功处置了899个控制规模较大的木马和僵尸网络控制端与恶意程序传播源，切断了黑客对近152万台感染主机的远程操控。

　　对于网络攻击的“工具”---病毒，中国受到攻击较多的是能够实施APT攻击的“火焰”病毒、“高斯”病毒、“红色十月”病毒等。

　　APT即高级持续性威胁，是黑客以窃取核心资料为目的发动的网络攻击和侵袭行为，通常是一种蓄谋已久的网络攻击。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。

　　上述几种APT病毒非常复杂，幕后操作者目的性极强，需要进行前期数据收集，有很长的潜伏期。“有些病毒一直潜伏着，在不断增加它的感染量，版本也在持续更新。”徐原说。

　　据CNCERT/CC监测，2012年中国境内至少有4.1万余台主机感染具有APT特征的木马程序，涉及多个政府机构、重要信息系统部门以及高新技术企事业单位，这类木马的控制服务器绝大多数位于境外。

　　至于以APT为主的病毒，“需要很大的精力和财力，一般黑客不会做这件事情，可能会有政府在幕后操作。做这类病毒的人都很专业，并且坚持不懈，防范是个很大的难题。”王明华说，国际上通常认为发起这种攻击的源头具有更高、更复杂的背景。

　　他建议，个人必须具有防范意识，收到未知邮件、链接、程序不要随便点击。而从企业、网管的角度，要加强安全防护，配置好合适的防火墙。

　　对国家层面来说，政府的网络安全管理部门要提高高危病毒的重视程度，要加大宣传力度，对国家重点企业、重要信息系统进行重点防护。

　　就最近爆发的“棱镜门”事件，王明华认为，国家重要的信息系统尽量不要使用国外厂商的服务器产品。譬如现在中国的骨干网络上，还有一些思科的产品。而斯诺登首先曝光的就是思科与美国政府有相关合作。

　　“可以远程改变路由器配置，获知一些信息。这是很容易做到的。”王明华说。

　　在2012年，中国境内政府网站被篡改数量为1802个，较2011年的1484个增长21.4%。王明华认为，省部级层面对网络安全的认识比较到位，但地市级及以下网站安全防护确实不理想。

　　通常情况下，地方政府只是侧重于建立一个网站，对网站的维护重视程度远远不够。“黑客攻击政府网站，主要是针对应用系统本身的缺陷。网管发现漏洞，要及时修复，如果反应不够快，网站承载的信息就可能很快被黑客窃取。”他说。

　　另一方面，对于个人用户而言，移动互联网的安全威胁日益严重，而安卓手机平台逐渐成为安全重灾区。

　　王明华解释说，安卓系统代码是开放的。另外，安卓系统的用户基数较大，导致受灾较为严重。

　　合作消除误解

　　随着境外对华网络攻击日益严重，推进国际合作成为当务之急。在这方面，中韩两国的网络安全合作可以作为案例。2013年，为了共同维护双方的互联网网络安全，中韩两国还签订了新的合作协议。

　　2012年，来自韩国的木马或僵尸网络控制服务器控制中国境内78.5万台主机，紧随美国之后，位列第二。在网站后门攻击方面，韩国远程控制中国大陆7931个网站，同样位于第二位。

　　2012年2月7日下午，CNCERT/CC接到境内“乌云”网站的求助电话，称其网站正在遭受网络攻击，已不能提供正常的访问服务。

　　CNCERT/CC立即对攻击事件进行技术验证和数据分析，发现该网站位于吉林省的网站服务器从当日早7时开始遭受严重攻击。

　　进一步分析发现，在1800多个攻击源IP地址中有1400多个位于韩国。为此，按照与韩国方面建立的工作机制，CNCERT/CC于7日下午紧急联系了韩国互联网应急中心(KrCERT)，请其协助处理此次攻击事件。

　　KrCERT迅速完成了攻击源IP定位验证、恶意程序分析、攻击源IP处理和防病毒软件病毒库升级等工作。7日晚，“乌云”恢复正常。

　　王明华解释说，根据分析，这起事件的源头是：韩国有一个网站wuyun.com，该国黑客可能本来要攻击这个网站，在输入域名时出现错误，把com输入成了org，转而错误地对“乌云”网站展开攻击。

　　最近一次涉及两国互联网安全的事件发生在2013年3月20日，韩国主要广播电台KBS、MBC、YTN，以及韩国新韩银行、农协银行等部分金融机构遭受大规模网络攻击。

　　黑客通过向这些机构所使用的杀毒软件管理服务器植入恶意程序，使3.2万台电脑出现故障，导致自动取款机无法取款、电视节目无法制作，相关网络与信息系统完全陷入瘫痪。为此，KrCERT上级领导部门、韩国广播电台主管部门、韩国军方联合成立了“民官军联合应对小组”。

　　徐原对本刊记者说，事件发生后，韩国媒体称发起攻击的IP来自中国，而且在文中特别说，“由于朝鲜多次通过中国的互联网对韩国机构进行网络攻击，故此次事件有可能是朝鲜所为。”

　　CNCERT/CC看到这条新闻后，主动联系韩国的KrCERT，获知攻击韩国的IP地址。

　　CNCERT/CC随后从境内运营商了解到，此IP自2012年8月就已经停止使用。CNCERT/CC在22日中午向KrCERT反馈了这个情况，并要求韩国进一步提供分析报告及相关证据线索。

　　随着韩国“民官军联合应对小组”进一步调查，发现是韩国农协银行的网管没有使用预留的标准私有IP，导致其IP地址落入中国的网址范围。

　　到25日，韩国发布消息说，据韩国警察厅调查发现，导致此次网络瘫痪的恶意代码来自美国和欧洲地区的4个国家。

　　与美合作清除僵尸网络

　　中国境内互联网遭受美国攻击最多，双方最近一次重要合作发生在2013年6月24日。当时CNCERT/CC接到美国计算机网络应急技术处理协调中心(US-CERT)投诉，称来自中国境内的8个IP地址对美国实施了APT攻击。

　　CNCERT/CC对美国提供的IP地址进行技术分析，结果显示这些IP地址没有对外发起攻击的迹象，但会定期链接22个境外IP地址。这22个境外IP中有10个IP地址位于美国，它们疑似被其他人控制。

　　CNCERT/CC将技术分析结果反馈给US-CERT，请他们对这10个可疑IP地址进一步核查。截至目前，还没有收到US-CERT的进一步反馈。

　　US-CERT隶属于美国国土安全部。除了和美国政府的下属组织合作，CNCERT/CC与美国公司、欧美网络安全机构也有紧密协作。

　　2013年6月，CNCERT/CC接到微软公司举报，请求协助联合打击名为Citadel的全球大型僵尸网络。

　　Citadel恶意程序会监视并记录受害者的信息，并将信息发给黑客，后者可直接登录受害者的银行账户或其他网上账户，轻松盗取资金、窃取个人身份信息。

　　据监测，全球至少有500万台个人电脑受到Citadel感染。它问世以来，超过90个国家和地区遭受了攻击，共损失了5亿多美元的财富。

　　微软公司请求CNCERT/CC协助清理该僵尸网络在中国境内的IP地址，以及在中国注册的域名。CNCERT/CC协调国内相关企业和域名注册机构，快速处置了微软提供的全部恶意IP地址和域名。

　　自2011年以来，CNCERT/CC与微软公司还联手清除了Rustock、Nitol等多个大型僵尸网络。2010年2月底，CNCERT/CC还参与了中美欧网络安全组织清除Waledac大型僵尸网络的行动。

　　而在官方合作方面，2011年，CNCERT/CC圆满完成了与美国东西方研究所(EWI)开展的为期两年的中美网络安全对话机制反垃圾邮件专题研讨，并在英国伦敦和中国大连举办的国际会议上正式发布了其成果报告“抵御垃圾邮件 建立互信机制”中英两版，增进了中美双方在网络安全问题上的相互了解，为进一步合作打下基础。

　　2012年起，CNCERT/CC正在与美国东西方研究所就“反黑客攻击”专题开展对话，中美双方专家就研究黑客定义、攻击方式、最佳实践、应对措施等问题交流了意见。

　　“通过网络安全事件处理机制，中国发现来自美国IP的攻击，可以向US-CERT投诉，他们会协助处理。他们把来自中国的攻击投诉给CNCERT/CC，我们也会协助处理。”徐原说。

　　信任至关重要

　　徐原介绍，CNCERT/CC的主要工作是对中国互联网进行整体监测。比如，哪里的流量发生异常、哪里的木马或僵尸数量变多、哪里的网页被恶意篡改，等等。“在对黑客的监测方面，他们在对某个网站发起攻击之前我们是不知道的。在我们监测到网页篡改等攻击后，我们会马上协调网站管理员，或者网站所属的运营商，及时弥补漏洞，把影响减至最小。”

　　上世纪80年代末，美国出现了全球最早的互联网应急机构。后来，全世界几十个国家和地区都成立了CERT或类似的组织。

　　1990年11月，一些国家的CERT组织参与成立了“计算机事件响应与安全工作组论坛”，即FIRST，其亚太地区应急响应工作组称为APCERT。

　　CNCERT/CC是FIRST正式成员，也是APCERT的发起人之一。

　　作为中国互联网网络安全应急体系对外合作窗口，CNCERT/CC目前也正在继续实施“国际合作伙伴计划”。

　　到2012年底，CNCERT/CC已与51个国家和地区的91个组织建立联系机制，与其中的12个组织正式签订网络安全合作备忘录或达成一致，进一步完善和加强跨境网络安全事件处置的协作机制。

　　这样，在2012年，CNCERT/CC全年共协调境外安全组织处理涉及境内的网络安全事件4063起，较2011年增长近3倍；协助境外机构处理跨境事件961起，较2011年增长69.2%。

　　王明华说，跨国合作是CNCERT/CC这几年最主要工作内容。其中，重点是增强双边互信，在共同构建互信的基础上，进行网络安全合作。

　　然而，一些国家却总愿意用非“技术”视角来看待这些问题。他说，比如美国总是指责中国，总想在政治上确立一种影响中国的方式，而不是寻找一种力求解决问题的途径，“指责、谩骂，无助于问题的解决。”

　　在王明华看来，国际间共同应对网络安全的问题依然面临很大挑战，其中信任问题至关重要，“建立互信就需要交流，即便发邮件、打电话，这种信任还是非常脆弱。主要途径还是双方的见面交谈。尤其是在双边和多边的组织里面进行交流合作。”

　　另外，还要借助日常事件的处理来加强双方关系，多进行技术上的沟通、保持畅通的联系。“关于事件处置，我们在国内、国际上有三句比较通俗的话：找得到人、说得上话、办得成事。”他说。

　　对于未来国际合作的方向，王明华建议，首先要有一个明确的机制，由政府牵头、在明确的框架下，落实到具体的单位，这样，在处理网络安全问题时会更加畅通。

【看新浪新闻赢iPad mini】