境外對華網絡攻擊報告

盡管故意炒作的“中國黑客威脅論”甚囂塵上，但數字表明，中國恰恰是網絡攻擊的最大受害國之一。

來自中國國家計算機網絡應急技術處理協調中心（CNCERT/ CC）的報告顯示，在中國遭受的境外網絡攻擊中，無論木馬或僵尸網絡控制服務器控制境內主機數量，還是網站后門、網絡釣魚等，來自美國地址的攻擊均名列第一。

作為國家公共互聯網網絡安全應急體系的核心技術協調機構，CNCERT/ CC最近發布的《2012年中國互聯網網絡安全報告》認為，針對中國網絡基礎設施的探測、滲透和攻擊事件時有發生，雖尚未造成大規模嚴重危害，但高水平、有組織的網絡攻擊，給中國的網絡基礎設施安全保障帶來嚴峻挑戰。

僅2013年上半年，CNCERT/ CC共向國際網絡安全應急組織和其他相關組織投訴1760起，其中向美國相關組織投訴1110起。

CNCERT/ CC運行部主任、《2012年中國互聯網網絡安全報告》編委會執行委員王明華在接受《瞭望東方周刊》采訪時表示，互信是進一步推進國際網絡安全合作的關鍵環節。避免用“有色眼鏡”看待網絡安全問題，是促進國際合作、緩解各國網絡安全威脅的前提。

千萬臺境內電腦“失陷”

根據《2012年中國互聯網網絡安全報告》，2012年中國境內有1419. 7萬余臺主機受到境外木馬或僵尸網絡控制，較2011年增長59. 6%。

其中，被來自美國IP地址的木馬或僵尸網絡控制的服務器和主機數量，占全部的17. 6%和74%，均名列第一。

僵尸網絡是指攻擊者通過各種途徑傳播“僵尸”程序，感染互聯網上的大量主機，而被感染的主機將通過接收攻擊者的指令，組成一個僵尸網絡。

如果從中國境內服務器被控制的比例來看，來自日本和中國臺灣的IP地址緊隨美國之后，分列第二、三位，分別占9. 6%和7. 6%；從控制的中國境內主機數量來看，來自韓國和德國的IP地址分列第二、三位，分別控制78. 5萬和77. 8萬臺主機。

在網站后門攻擊方面，境外有3. 2萬臺主機通過植入后門，對境內3. 8萬個網站實施遠程控制，美國、韓國和中國香港位于前三位。

在網絡釣魚攻擊方面，針對中國的釣魚站點有96. 2%位于境外。其中位于美國的占83. 2%，仍然位居第一。

王明華告訴本刊記者，截至2013年6月30日的數據表明，從控制服務器所占比例來看，美國繼續排名第一，中國香港變成了第二位，韓國位列第三；從所控制的中國境內主機數量來看，美國第一，葡萄牙和中國香港分列第二、三位。

中國香港雖然IP地址、主機、人口數量都不多，但是“現在互聯網跳板非常多，香港的排列次序變化，只能說與其網絡安全形勢、政策、策略、防護機制等有一定關系”。他解釋說，國家和地區次序的變化，與當地互聯網管理的策略有多種關系。

比如韓國互聯網比較發達，人均帶寬位居世界第一，并且存在互聯網近鄰效應。它與中國的交流多、流量大，網絡安全事件就可能多一些。

“美國IP地址最多、機器也多，排第一位，我們不感到意外。”他認為。

根據CNCERT/ CC數據，自2010年以來，來自美國、日本、韓國的攻擊始終對中國境內的網絡安全造成較大威脅，印度、土耳其等也成為重要的攻擊源頭。3年來，對中國境內實施網頁掛馬、網絡釣魚等不法行為，所利用的惡意域名半數以上在境外注冊，而且境外注冊比例不斷提高。

CNCERT/ CC工程師、《2012年中國互聯網網絡安全報告》編委會委員徐原對《瞭望東方周刊》說，CNCERT/ CC只能監測到大部分發起攻擊的IP地址位于美國，但并不能確認其來自政府還是民間。同時，發起攻擊的IP地址可能受別人控制。而追究這些根源，都需要外國政府和相關機構、企業的配合。

“冷戰思維”的國際黑客

雖然確定攻擊源頭存在一定難度，但“匿名者”、“反共黑客”、“阿爾及利亞BarbarosDZ”等境外黑客組織已經浮出水面。

徐原向本刊詳細介紹說，CNCERT/ CC從2010年就開始重點關注“匿名者”。這是一個比較松散的黑客組織，理念是“互聯網自由”，只要認可這一理念的黑客，都可以“匿名者”的名義從事黑客活動。

由于這種組織架構，據稱其成員高達數百萬人，遍及世界各地。他們主要在網上論壇集結，經常對各個國家政府網站發動攻擊，篡改網頁內容。

也有信息顯示，“匿名者”目前已成為全球最大的黑客組織。它于2003年成立，由一個網絡信息論壇里喜歡惡作劇的黑客和游戲玩家發展而成。

自2008年開始，“匿名者”表現出比較明顯的政治傾向，對“自由之敵”開戰：參與中東動蕩、“占領華爾街”、“維基解密”、阿桑奇等事件。甚至當網絡支付平臺PayPal拒絕為“維基解密”提供轉賬服務時，也受到了“匿名者”的攻擊。

“匿名者”明顯表現出西方精英階層某部分人慣有的歧視和偏見。目前被美國聯邦調查局逮捕的“匿名者”負責人也都符合西方黑客的典型特征：年輕、白人、男性。

“匿名者”在政治事件上最著名的案例是，他們對2011年突尼斯的國內政治動蕩起到一定助推作用。“匿名者”當時不僅攻破了突尼斯證券交易所和眾多政府網站，而且還教授不同政見者如何擺脫政府的網絡管理。

CNCERT/ CC發現，“匿名者”針對中國的攻擊者主要來自自稱為“Anonymous China”的ID。

它主要關注中國境內政府網站以及一些存儲有大量用戶信息的重要行業網站，通常利用文件上傳等漏洞進行滲透，竊取大量網站用戶賬號和私密信息。據不完全統計，其關注的中國境內目標網站超過600個，其中包括上百個政府部門網站。

根據“匿名者”的傳統，在攻擊中國境內網站成功后，該組織成員會通過網絡社交工具、網絡聊天室等網絡媒介展示其攻擊成果。

2012年3月、4月、11月，“匿名者”多次宣稱攻擊了中國政府和大型企業網站。4月至7月，CNCERT/ CC監測發現并報告了“匿名者”對最高人民法院、國家自然科學基金委、水利部、商務部等網站的攻擊事件。

另一個經常對中國境內網絡進行攻擊的典型組織是“反共黑客”，它具有很強的意識形態色彩和“冷戰思維”。

王明華說，該組織的攻擊主要針對黨務系統的網站，以及部分高校與社會組織網站。攻擊成功后，它篡改網頁，在網頁上顯示一些反共口號，發布的言論經常與當前一些時事熱點結合，有較強的煽動性。同時，它也會在谷歌地圖上做標記，注明攻陷網站名稱和具體時間，然后通過網絡媒介迅速擴大影響。

截至2012年12月31日，CNCERT/ CC共監測到涉及90個部門的142個網站被該組織篡改。

王明華進一步介紹，“反共黑客”的活動很有周期性，每周都要攻擊兩三個網站。根據初步研判，“反共黑客”能持續發布攻擊案例，說明其已經掌握了中國境內大量網站的漏洞，可能采用了預先植入后門等手段，控制了一些網站服務器以備使用。

而自2012年3月到12月31日，中國境內超過1250個政府網站頁面被“阿爾及利亞Barbaros- DZ”篡改。

王明華說，至2013年三四月，他們通過搜集“阿爾及利亞Barbaros- DZ”在網絡上建立的賬號、帖子、博客，以及在各處的留言，分析出他其實就是具有較強宗教傾向的個人。

“是一個黑客，而不是一個組織。”徐原說，CNCERT/ CC還找到了他的照片。

背景復雜的APT攻擊

2013年1月1日至6月30日，CNCERT/ CC共接收并協調處置國際應急組織和其他網絡安全組織投訴拒絕服務攻擊、惡意程序、網絡釣魚等事件339起，其中來自美國的組織投訴事件191起，來自歐洲的組織投訴事件62起。

同期， CNCERT/ CC共向國際網絡安全應急組織和其他相關組織投訴達1760起，其中向美國相關組織投訴1110起。

在此期間，CNCERT/ CC還組織開展了3次木馬和僵尸網絡專項打擊行動，成功處置了899個控制規模較大的木馬和僵尸網絡控制端與惡意程序傳播源，切斷了黑客對近152萬臺感染主機的遠程操控。

對于網絡攻擊的“工具”- - -病毒，中國受到攻擊較多的是能夠實施APT攻擊的“火焰”病毒、“高斯”病毒、“紅色十月”病毒等。

APT即高級持續性威脅，是黑客以竊取核心資料為目的發動的網絡攻擊和侵襲行為，通常是一種蓄謀已久的網絡攻擊。這種行為往往經過長期的經營與策劃，并具備高度的隱蔽性。

上述幾種APT病毒非常復雜，幕后操作者目的性極強，需要進行前期數據收集，有很長的潛伏期。“有些病毒一直潛伏著，在不斷增加它的感染量，版本也在持續更新。”徐原說。

據CNCERT/ CC監測，2012年中國境內至少有4. 1萬余臺主機感染具有APT特征的木馬程序，涉及多個政府機構、重要信息系統部門以及高新技術企事業單位，這類木馬的控制服務器絕大多數位于境外。

至于以APT為主的病毒，“需要很大的精力和財力，一般黑客不會做這件事情，可能會有政府在幕后操作。做這類病毒的人都很專業，并且堅持不懈，防范是個很大的難題。”王明華說，國際上通常認為發起這種攻擊的源頭具有更高、更復雜的背景。

他建議，個人必須具有防范意識，收到未知郵件、鏈接、程序不要隨便點擊。而從企業、網管的角度，要加強安全防護，配置好合適的防火墻。

對國家層面來說，政府的網絡安全管理部門要提高高危病毒的重視程度，要加大宣傳力度，對國家重點企業、重要信息系統進行重點防護。

就最近爆發的“棱鏡門”事件，王明華認為，國家重要的信息系統盡量不要使用國外廠商的服務器產品。譬如現在中國的骨干網絡上，還有一些思科的產品。而斯諾登首先曝光的就是思科與美國政府有相關合作。

“可以遠程改變路由器配置，獲知一些信息。這是很容易做到的。”王明華說。

在2012年，中國境內政府網站被篡改數量為1802個，較2011年的1484個增長21. 4%。王明華認為，省部級層面對網絡安全的認識比較到位，但地市級及以下網站安全防護確實不理想。

通常情況下，地方政府只是側重于建立一個網站，對網站的維護重視程度遠遠不夠。“黑客攻擊政府網站，主要是針對應用系統本身的缺陷。網管發現漏洞，要及時修復，如果反應不夠快，網站承載的信息就可能很快被黑客竊取。”他說。

另一方面，對于個人用戶而言，移動互聯網的安全威脅日益嚴重，而安卓手機平臺逐漸成為安全重災區。

王明華解釋說，安卓系統代碼是開放的。另外，安卓系統的用戶基數較大，導致受災較為嚴重。

合作消除誤解

隨著境外對華網絡攻擊日益嚴重，推進國際合作成為當務之急。在這方面，中韓兩國的網絡安全合作可以作為案例。2013年，為了共同維護雙方的互聯網網絡安全，中韓兩國還簽訂了新的合作協議。

2012年，來自韓國的木馬或僵尸網絡控制服務器控制中國境內78. 5萬臺主機，緊隨美國之后，位列第二。在網站后門攻擊方面，韓國遠程控制中國大陸7931個網站，同樣位于第二位。

2012年2月7日下午，CNCERT/ CC接到境內“烏云”網站的求助電話，稱其網站正在遭受網絡攻擊，已不能提供正常的訪問服務。

CNCERT/ CC立即對攻擊事件進行技術驗證和數據分析，發現該網站位于吉林省的網站服務器從當日早7時開始遭受嚴重攻擊。

進一步分析發現，在1800多個攻擊源IP地址中有1400多個位于韓國。為此，按照與韓國方面建立的工作機制，CNCERT/ CC于7日下午緊急聯系了韓國互聯網應急中心（KrCERT），請其協助處理此次攻擊事件。

KrCERT迅速完成了攻擊源IP定位驗證、惡意程序分析、攻擊源IP處理和防病毒軟件病毒庫升級等工作。7日晚，“烏云”恢復正常。

王明華解釋說，根據分析，這起事件的源頭是：韓國有一個網站wuyun. com，該國黑客可能本來要攻擊這個網站，在輸入域名時出現錯誤，把com輸入成了org，轉而錯誤地對“烏云”網站展開攻擊。

最近一次涉及兩國互聯網安全的事件發生在2013年3月20日，韓國主要廣播電臺KBS、MBC、YTN，以及韓國新韓銀行、農協銀行等部分金融機構遭受大規模網絡攻擊。

黑客通過向這些機構所使用的殺毒軟件管理服務器植入惡意程序，使3. 2萬臺電腦出現故障，導致自動取款機無法取款、電視節目無法制作，相關網絡與信息系統完全陷入癱瘓。為此，KrCERT上級領導部門、韓國廣播電臺主管部門、韓國軍方聯合成立了“民官軍聯合應對小組”。

徐原對本刊記者說，事件發生后，韓國媒體稱發起攻擊的IP來自中國，而且在文中特別說，“由于朝鮮多次通過中國的互聯網對韓國機構進行網絡攻擊，故此次事件有可能是朝鮮所為。”

CNCERT/ CC看到這條新聞后，主動聯系韓國的KrCERT，獲知攻擊韓國的IP地址。

CNCERT/ CC隨后從境內運營商了解到，此IP自2012年8月就已經停止使用。CNCERT/ CC在22日中午向KrCERT反饋了這個情況，并要求韓國進一步提供分析報告及相關證據線索。

隨著韓國“民官軍聯合應對小組”進一步調查，發現是韓國農協銀行的網管沒有使用預留的標準私有IP，導致其IP地址落入中國的網址范圍。

到25日，韓國發布消息說，據韓國警察廳調查發現，導致此次網絡癱瘓的惡意代碼來自美國和歐洲地區的4個國家。

與美合作清除僵尸網絡

中國境內互聯網遭受美國攻擊最多，雙方最近一次重要合作發生在2013年6月24日。當時CNCERT/ CC接到美國計算機網絡應急技術處理協調中心（US- CERT）投訴，稱來自中國境內的8個IP地址對美國實施了APT攻擊。

CNCERT/ CC對美國提供的IP地址進行技術分析，結果顯示這些IP地址沒有對外發起攻擊的跡象，但會定期鏈接22個境外IP地址。這22個境外IP中有10個IP地址位于美國，它們疑似被其他人控制。

CNCERT/ CC將技術分析結果反饋給US- CERT，請他們對這10個可疑IP地址進一步核查。截至目前，還沒有收到USCERT的進一步反饋。

US- CERT隸屬于美國國土安全部。除了和美國政府的下屬組織合作，CNCERT/ CC與美國公司、歐美網絡安全機構也有緊密協作。

2013年6月，CNCERT/ CC接到微軟公司舉報，請求協助聯合打擊名為Citadel的全球大型僵尸網絡。

Citadel惡意程序會監視并記錄受害者的信息，并將信息發給黑客，后者可直接登錄受害者的銀行賬戶或其他網上賬戶，輕松盜取資金、竊取個人身份信息。

據監測，全球至少有500萬臺個人電腦受到Citadel感染。它問世以來，超過90個國家和地區遭受了攻擊，共損失了5億多美元的財富。

微軟公司請求CNCERT/ CC協助清理該僵尸網絡在中國境內的IP地址，以及在中國注冊的域名。CNCERT/ CC協調國內相關企業和域名注冊機構，快速處置了微軟提供的全部惡意IP地址和域名。

自2011年以來，CNCERT/ CC與微軟公司還聯手清除了Rustock、Nitol等多個大型僵尸網絡。2010年2月底，CNCERT/ CC還參與了中美歐網絡安全組織清除Waledac大型僵尸網絡的行動。

而在官方合作方面，2011年，CNCERT/ CC圓滿完成了與美國東西方研究所（EWI）開展的為期兩年的中美網絡安全對話機制反垃圾郵件專題研討，并在英國倫敦和中國大連舉辦的國際會議上正式發布了其成果報告“抵御垃圾郵件 建立互信機制”中英兩版，增進了中美雙方在網絡安全問題上的相互了解，為進一步合作打下基礎。

2012年起，CNCERT/ CC正在與美國東西方研究所就“反黑客攻擊”專題開展對話，中美雙方專家就研究黑客定義、攻擊方式、最佳實踐、應對措施等問題交流了意見。

“通過網絡安全事件處理機制，中國發現來自美國IP的攻擊，可以向US- CERT投訴，他們會協助處理。他們把來自中國的攻擊投訴給CNCERT/ CC，我們也會協助處理。”徐原說。

信任至關重要

徐原介紹，CNCERT/ CC的主要工作是對中國互聯網進行整體監測。比如，哪里的流量發生異常、哪里的木馬或僵尸數量變多、哪里的網頁被惡意篡改，等等。“在對黑客的監測方面，他們在對某個網站發起攻擊之前我們是不知道的。在我們監測到網頁篡改等攻擊后，我們會馬上協調網站管理員，或者網站所屬的運營商，及時彌補漏洞，把影響減至最小。”

上世紀80年代末，美國出現了全球最早的互聯網應急機構。后來，全世界幾十個國家和地區都成立了CERT或類似的組織。

1990年11月，一些國家的CERT組織參與成立了“計算機事件響應與安全工作組論壇”，即FIRST，其亞太地區應急響應工作組稱為APCERT。

CNCERT/ CC是FIRST正式成員，也是APCERT的發起人之一。

作為中國互聯網網絡安全應急體系對外合作窗口，CNCERT/ CC目前也正在繼續實施“國際合作伙伴計劃”。

到2012年底，CNCERT/ CC已與51個國家和地區的91個組織建立聯系機制，與其中的12個組織正式簽訂網絡安全合作備忘錄或達成一致，進一步完善和加強跨境網絡安全事件處置的協作機制。

這樣，在2012年，CNCERT/ CC全年共協調境外安全組織處理涉及境內的網絡安全事件4063起，較2011年增長近3倍；協助境外機構處理跨境事件961起，較2011年增長69. 2%。

王明華說，跨國合作是CNCERT/ CC這幾年最主要工作內容。其中，重點是增強雙邊互信，在共同構建互信的基礎上，進行網絡安全合作。

然而，一些國家卻總愿意用非“技術”視角來看待這些問題。他說，比如美國總是指責中國，總想在政治上確立一種影響中國的方式，而不是尋找一種力求解決問題的途徑，“指責、謾罵，無助于問題的解決。”

在王明華看來，國際間共同應對網絡安全的問題依然面臨很大挑戰，其中信任問題至關重要，“建立互信就需要交流，即便發郵件、打電話，這種信任還是非常脆弱。主要途徑還是雙方的見面交談。尤其是在雙邊和多邊的組織里面進行交流合作。”

另外，還要借助日常事件的處理來加強雙方關系，多進行技術上的溝通、保持暢通的聯系。“關于事件處置，我們在國內、國際上有三句比較通俗的話：找得到人、說得上話、辦得成事。”他說。

對于未來國際合作的方向，王明華建議，首先要有一個明確的機制，由政府牽頭、在明確的框架下，落實到具體的單位，這樣，在處理網絡安全問題時會更加暢通。