誰在黑中國

　　--- 境外對華網絡攻擊報告

　　境外對華網絡攻擊報告

　　國際上通常認為發起這種攻擊的源頭具有更高、更復雜的背景

　　盡管故意炒作的“中國黑客威脅論”甚囂塵上，但數字表明，中國恰恰是網絡攻擊的最大受害國之一。

　　來自中國國家計算機網絡應急技術處理協調中心(CNCERT/CC)的報告顯示，在中國遭受的境外網絡攻擊中，無論木馬或僵尸網絡控制服務器控制境內主機數量，還是網站后門、網絡釣魚等，來自美國地址的攻擊均名列第一。

　　作為國家公共互聯網網絡安全應急體系的核心技術協調機構，CNCERT/CC最近發布的《2012年中國互聯網網絡安全報告》認為，針對中國網絡基礎設施的探測、滲透和攻擊事件時有發生，雖尚未造成大規模嚴重危害，但高水平、有組織的網絡攻擊，給中國的網絡基礎設施安全保障帶來嚴峻挑戰。

　　僅2013年上半年，CNCERT/CC共向國際網絡安全應急組織和其他相關組織投訴1760起，其中向美國相關組織投訴1110起。

　　CNCERT/CC運行部主任、《2012年中國互聯網網絡安全報告》編委會執行委員王明華在接受《瞭望東方周刊》采訪時表示，互信是進一步推進國際網絡安全合作的關鍵環節。避免用“有色眼鏡”看待網絡安全問題，是促進國際合作、緩解各國網絡安全威脅的前提。

　　千萬臺境內電腦“失陷”

　　根據《2012年中國互聯網網絡安全報告》，2012年中國境內有1419.7萬余臺主機受到境外木馬或僵尸網絡控制，較2011年增長59.6%。

　　其中，被來自美國IP地址的木馬或僵尸網絡控制的服務器和主機數量，占全部的17.6%和74%，均名列第一。

　　僵尸網絡是指攻擊者通過各種途徑傳播“僵尸”程序，感染互聯網上的大量主機，而被感染的主機將通過接收攻擊者的指令，組成一個僵尸網絡。

　　如果從中國境內服務器被控制的比例來看，來自日本和中國臺灣的IP地址緊隨美國之后，分列第二、三位，分別占9.6%和7.6%；從控制的中國境內主機數量來看，來自韓國和德國的IP地址分列第二、三位，分別控制78.5萬和77.8萬臺主機。

　　在網站后門攻擊方面，境外有3.2萬臺主機通過植入后門，對境內3.8萬個網站實施遠程控制，美國、韓國和中國香港位于前三位。

　　在網絡釣魚攻擊方面，針對中國的釣魚站點有96.2%位于境外。其中位于美國的占83.2%，仍然位居第一。

　　王明華告訴本刊記者，截至2013年6月30日的數據表明，從控制服務器所占比例來看，美國繼續排名第一，中國香港變成了第二位，韓國位列第三；從所控制的中國境內主機數量來看，美國第一，葡萄牙和中國香港分列第二、三位。

　　中國香港雖然IP地址、主機、人口數量都不多，但是“現在互聯網跳板非常多，香港的排列次序變化，只能說與其網絡安全形勢、政策、策略、防護機制等有一定關系”。他解釋說，國家和地區次序的變化，與當地互聯網管理的策略有多種關系。

　　比如韓國互聯網比較發達，人均帶寬位居世界第一，并且存在互聯網近鄰效應。它與中國的交流多、流量大，網絡安全事件就可能多一些。

　　“美國IP地址最多、機器也多，排第一位，我們不感到意外。”他認為。

　　根據CNCERT/CC數據，自2010年以來，來自美國、日本、韓國的攻擊始終對中國境內的網絡安全造成較大威脅，印度、土耳其等也成為重要的攻擊源頭。3年來，對中國境內實施網頁掛馬、網絡釣魚等不法行為，所利用的惡意域名半數以上在境外注冊，而且境外注冊比例不斷提高。

　　CNCERT/CC工程師、《2012年中國互聯網網絡安全報告》編委會委員徐原對《瞭望東方周刊》說，CNCERT/CC只能監測到大部分發起攻擊的IP地址位于美國，但并不能確認其來自政府還是民間。同時，發起攻擊的IP地址可能受別人控制。而追究這些根源，都需要外國政府和相關機構、企業的配合。

　　“冷戰思維”的國際黑客

　　雖然確定攻擊源頭存在一定難度，但“匿名者”、“反共黑客”、“阿爾及利亞Barbaros-DZ”等境外黑客組織已經浮出水面。

　　徐原向本刊詳細介紹說，CNCERT/CC 從2010年就開始重點關注“匿名者”。這是一個比較松散的黑客組織，理念是“互聯網自由”，只要認可這一理念的黑客，都可以“匿名者”的名義從事黑客活動。

　　由于這種組織架構，據稱其成員高達數百萬人，遍及世界各地。他們主要在網上論壇集結，經常對各個國家政府網站發動攻擊，篡改網頁內容。

　　也有信息顯示，“匿名者”目前已成為全球最大的黑客組織。它于2003年成立，由一個網絡信息論壇里喜歡惡作劇的黑客和游戲玩家發展而成。

　　自2008年開始，“匿名者”表現出比較明顯的政治傾向，對“自由之敵”開戰：參與中東動蕩、“占領華爾街”、“維基解密”、阿桑奇等事件。甚至當網絡支付平臺PayPal拒絕為“維基解密”提供轉賬服務時，也受到了“匿名者”的攻擊。

　　“匿名者”明顯表現出西方精英階層某部分人慣有的歧視和偏見。目前被美國聯邦調查局逮捕的“匿名者”負責人也都符合西方黑客的典型特征：年輕、白人、男性。

　　“匿名者”在政治事件上最著名的案例是，他們對2011年突尼斯的國內政治動蕩起到一定助推作用。“匿名者”當時不僅攻破了突尼斯證券交易所和眾多政府網站，而且還教授不同政見者如何擺脫政府的網絡管理。

　　CNCERT/CC發現，“匿名者”針對中國的攻擊者主要來自自稱為“Anonymous China”的ID。

　　它主要關注中國境內政府網站以及一些存儲有大量用戶信息的重要行業網站，通常利用文件上傳等漏洞進行滲透，竊取大量網站用戶賬號和私密信息。據不完全統計，其關注的中國境內目標網站超過600個，其中包括上百個政府部門網站。

　　根據“匿名者”的傳統，在攻擊中國境內網站成功后，該組織成員會通過網絡社交工具、網絡聊天室等網絡媒介展示其攻擊成果。

　　2012年3月、4月、11月，“匿名者”多次宣稱攻擊了中國政府和大型企業網站。4月至7月，CNCERT/CC監測發現并報告了“匿名者”對最高人民法院、國家自然科學基金委、水利部、商務部等網站的攻擊事件。

　　另一個經常對中國境內網絡進行攻擊的典型組織是“反共黑客”，它具有很強的意識形態色彩和“冷戰思維”。

　　王明華說，該組織的攻擊主要針對黨務系統的網站，以及部分高校與社會組織網站。攻擊成功后，它篡改網頁，在網頁上顯示一些反共口號，發布的言論經常與當前一些時事熱點結合，有較強的煽動性。同時，它也會在谷歌地圖上做標記，注明攻陷網站名稱和具體時間，然后通過網絡媒介迅速擴大影響。

　　截至2012年12月31日，CNCERT/CC共監測到涉及90個部門的142個網站被該組織篡改。

　　王明華進一步介紹，“反共黑客”的活動很有周期性，每周都要攻擊兩三個網站。根據初步研判，“反共黑客”能持續發布攻擊案例，說明其已經掌握了中國境內大量網站的漏洞，可能采用了預先植入后門等手段，控制了一些網站服務器以備使用。

　　而自2012年3月到12月31日，中國境內超過1250個政府網站頁面被“阿爾及利亞Barbaros-DZ”篡改。

　　王明華說，至2013年三四月，他們通過搜集“阿爾及利亞Barbaros-DZ”在網絡上建立的賬號、帖子、博客，以及在各處的留言，分析出他其實就是具有較強宗教傾向的個人。

　　“是一個黑客，而不是一個組織。”徐原說，CNCERT/CC還找到了他的照片。