網絡攻防中國策

萬鳴宇

基辛格說，“一個人只要有足夠的計算能力，就能進入網絡領域，在一個無人知曉的角落，讓重要基礎設施陷入癱瘓或徹底毀壞?！?/p>

中國一家海事機構的辦公室里，工作人員發現一臺電腦忽然出現異常情況：運行緩慢，CPU、內存占用率極高。

這引起安全人員的警惕。360公司為該單位提供安全服務，相關負責人汪列軍第一時間參與調查。這是來自海外的一場網絡攻擊。技術人員當即展開有效防御，但后續攻擊沿著網線持續涌來。

對方顯然不僅想竊取電腦里的機密文件。他們大量發送與工作人員看似相關的郵件——比如工資報告單。一旦該部門員工將附件打開，可以控制服務器的木馬就會運行，到時候，千萬里之外，這些黑客也能控制該機構的所有計算機。

“從它資源的可得程度來看，這個黑客組織肯定是有國家支持，專門進行類似間諜活動的網絡攻擊?！蓖袅熊娬f。360和這個黑客組織已經交手多次，他們還給對方起個名字：“海蓮花”。截至2015年，“海蓮花”的襲擊遍布全世界范圍內的36個國家，中國感染者占到92.3%，遍布國內29個省級行政區。

美國網絡司令部司令曾預言：“下一次戰爭，將在網絡空間打響?！边@個斷言，現在看來并不遙遠。針對政府和敏感部門的攻擊，正越來越頻繁。大國的網絡部隊，也已現身，蠢蠢欲動。這時候，中國代表在聯合國，提出了新的應對之策。

誰是敵人？

前不久，中國某對外涉密單位內網發現了一起攻擊行動。同“海蓮花”事件類似，黑客試圖通過木馬入侵系統。安全部門截獲這起攻擊后，迅速開始分析病毒構成，尋找攻擊來源。

植入木馬的方式，并不復雜。漁叉攻擊和水坑攻擊是常見的攻擊方式之一。前者是黑客通常將木馬程序包裝成郵件附件，并給附件取一個極具誘惑的文件名——如“公務員工資收入改革方案”——誘使使用者點擊，進而感染木馬。水坑攻擊則是黑客通過分析目標的上網習慣，找到其經常訪問的網站，通過該網站漏洞，植入攻擊代碼，一旦攻擊目標訪問該網站，就會像掉進水坑陷阱一樣中招。

也有的利用U盤擺渡。網絡安全公司中睿天下CTO魏海宇說，他們曾遇到過一個案例，有黑客在某政府部門丟了U盤，有個不懂技術的文職員工恰好撿到，她好奇U盤中的內容，插到電腦，結果U盤中植入的木馬病毒開始竊取內網里的機密信息。

“其實光盤也可以”，魏海宇說，“有的U盤里甚至可能會植入一種小芯片，本身可以發網絡信號，所以它不需要借助互聯網，只要插入電腦，我離你可能幾公里，或者是幾百米之內，利用專門的設備可以接收到這個信號。”

與現實中的戰爭不同，網絡攻擊來源藏匿于陰影之中，對方可能通過分散在數個國家的服務器展開攻擊，要想追溯到明確源頭，非常困難。但技術人員仍然可以通過對攻擊習慣、病毒代碼的分析，找到一些蛛絲馬跡。

截獲針對上述涉密單位攻擊的病毒后，與安全部門有合作的中睿天下，開始分析這次攻擊的木馬病毒?！霸谶M行木馬分析時”，魏海宇解釋道，他們發現，這個病毒語言庫里，有一個隱藏的地方，默認語言是英文，只有一個地方，用了另一種特殊地區使用的文字。分析出這個線索，再結合IP地址真實定位技術，基本就可以斷定攻擊者是來自使用該種文字的地區。

“當一個攻擊者對我們進行攻擊的時候，他有很多攻擊手段，還可能利用很多攻擊工具”，魏海宇說，他們搜集了大量黑客攻擊指紋，遇到攻擊時，就可以通過樣本對比，進行溯源追蹤，“比如我們收集到一個美國論壇里面的一個黑客工具，這個工具只有美國一個組織用過，如果我們發現攻擊者使用的是這個工具時，哪怕他們的IP來自日本或者韓國，但我們也會初步斷定攻擊是來自美國。”

但這種溯源也帶有很多推斷成分，很難有足夠精確的證據。“現在的做法，一般是通過代碼里的指紋，攻擊手段的指紋來溯源”，清華大學網絡科學與網絡空間研究院副教授張超說，如果黑客可以偽造一些關鍵信息，就很難追蹤了?！昂诳涂梢允褂酶鞣N匿名IP，不斷地跳”，經常追蹤到某個節點，可能就會中斷了。

“當隸屬關系不清的個人也能實施極具野心和侵入性的行動時，國家行動這個概念可能也變得模糊了……”美國政治家基辛格談到這個問題時說，“更加危險的是，實施這些行為的嫌疑人可以合理推諉，而且也沒有相關國際協議。”

網絡軍火庫

5月12日上午，23歲的李中文正在搬家，突然接到公司領導的電話，要他趕緊來公司指揮中心，“當時感覺控制不住局面了”。

再過兩天，“一帶一路”國際合作高峰論壇就要開幕了。恰恰這個時候，勒索病毒開始在全球泛濫，中國也未能幸免，不斷有銀行、加油站等基礎設施的電腦罷工。

李中文瘦高，戴一副黑框眼鏡，供職于360公司。接到公司安排后，他先去一些公安部門協助解決問題，等這邊工作告一段落，他又接到電話，“連夜去了‘一帶一路會場那邊”。

晚上10點多，他趕到國家會議中心。剛進辦公區域，就發現一臺電腦中招了。他當即斷網檢查，好在服務器并未受到感染。之后的一天，他一直待在會議中心，隨時防備可能出現的問題。

據互聯網應急中心提供的數據，5月13日中午，中心檢測的全網攻擊總數已經超過100萬次，被感染的機器接近1萬臺。

因為使用的一些系統版本老舊，中國政府部門、高校、公安局等單位成了此次病毒的重災區。而國外的銀行、醫院系統，也受到很大沖擊，一些手術不得不取消。據安全公司卡巴斯基發布的報告，全球74個國家和地區遭受了攻擊，實際范圍可能更廣。在受攻擊最多的20個國家和地區中，俄羅斯遠超過其他受害者，中國大陸排在第五。endprint