中国网络黑客显然会影响到在中国或与中国有业务往来的公司,但越来越明显的是,它也会影响到与中国没有直接业务联系的公司。这篇文章解释了中国政府的网络黑客攻击目标、它是如何进行黑客攻击的,以及为什么外国公司几乎不可能避免被中国政府黑客攻击或对其进行反击。
在《中国政府正通过后门进入你的网络,你仍然无处藏身》一文中,我们介绍了中国的银行如何要求其账户持有人(包括所有在华外国公司)安装恶意软件,让中国政府可以查看所有账户持有人的数据。在《中国恶意软件:对不起,技术宅们,还是无处藏身》一文中,我们介绍了中国 "政府本身就是黑客,它不允许任何外国或国内技术人员提供服务,以挫败黑客的最终目的"。
A.中国政府是黑客
中华人民共和国综合国家安全概念在网络领域的基本目标是,所有网络通信和信息都向中国政府开放和提供,同时禁止国家以外的各方访问。根据这一理念,政府力求确保在中国境内进行的所有网络活动对国家透明。该计划适用于在中华人民共和国(现在包括香港和澳门)境内运营的所有人员(个人或实体)。如果您在中国开展业务,您必须假定您的所有网络数据和通信都会被中国政府捕获。外商投资公司或外国公民不再享有任何特权地位;一旦进入中国境内,其待遇与国内公司和中国公民相同。正如任何中国公民一样,他们无处藏身。
那么,中国政府是如何实施这一计划的呢?关键在于,中国政府就是黑客。当黑客直接参与互联网的创建和管理,并成为实施网络安全的关键代理人时,不言而喻,黑客的网络入侵/数据收集活动将不会受到任何保护。黑客决定了系统的运行方式,当然也就无法防止自己的活动。
B.航信公司
下面讨论的 Golden Spy/Golden Helper 恶意软件程序就说明了这一基本事实。Trustwave 报告称,Golden Spy 软件应用程序由航天信息股份有限公司编写,航天信息股份有限公司是一家专门从事信息安全的上市 IT 公司。航天信息的网站称,他们由国营公司 CASIC(中国航天科工集团公司)所有。参见GoldenSpy 第 4 章:嵌入官方金税软件的 GoldenHelper 恶意软件。
中国航天科技集团公司是中国领先的导弹和相关航空航天设备制造商。它向朝鲜出售导弹系统,并与俄罗斯军方密切合作。作为武器供应商,中国航天科技集团公司是一家直接受中国政府和中国共产党(CCP)控制的国有企业(SOE)。也就是说,它就是政府。最近,作为中国促进本土网络运营和云计算发展计划的一部分,中国航天科技集团公司通过其一直活跃于支付处理和其他会计系统领域的子公司航天信息进入商业网络业务。航天信息起草金盾税务软件并实施相关系统就是这一进程的一部分。
C.黄金间谍/黄金助手恶意软件
航天信息起草了 "黄金间谍 "恶意软件,这意味着该恶意软件是由中国政府起草的。简单地说,中国政府就是黑客,而这个黑客可以免于承担其网络黑客活动所产生的任何责任。这就是为什么航天信息在这款恶意软件中使用了一个简陋且易于识别的木马系统。它没有任何被抓、被处罚或被关闭的风险。
一些人向我们和安全专业人士评论说,如此明显的入侵在某种程度上表明,中国政府不可能是恶意软件程序的幕后黑手。ArsTechnica对此类评论做出了明确回应:
读者的评论"使用木马下载器并不隐蔽"。
来自 ArsTechnica 的回复:至于说它不那么隐蔽......按照你的标准,这样的恶意软件并不隐蔽,所以这种说法很奇怪。另外,你认为中国政府会在意微妙性也有点奇怪,因为我们谈论的是由政府授权在国内分发的软件。比如......中国政府会打击他们吗?
这就是中国的情况。正如 Arstechnica 所明确指出的,当恶意软件或非法收集数据的行为是由政府本身所为时,就没有任何补救和逃避的办法了。中国政府及其相关的黑客组织在中国境内活动时,不需要故弄玄虚或隐藏行踪。
D.强制使用含有恶意软件的政府软件
中国政府要求使用的缴税软件中包含的 Golden Spy/Golden Helper 恶意软件就是这种方法的一个例子。在对这一问题进行初步报告之后,Trustwave 又发布了一系列关于该恶意软件的报告,以及航天信息在处理公众对该软件的揭露时所采取的应对措施。请参阅《GoldenSpy:第二章--卸载程序》、《GoldenSpy第三章:新的和改进的卸载程序》和《GoldenSpy第四章:嵌入官方金税软件的GoldenHelper恶意软件》。任何计划在中国开展业务的外国公司都应必读这些 Trustwave 报告。
Trustwave 的后续报告揭示了以下三个关键问题;
首先,航天信息利用Golden Spy软件的自动更新系统传播卸载程序,删除恶意软件及其存在的任何文件或其他痕迹。然而,他们的卸载软件继续为用户的系统提供了一个入口 ,可随时用于下载恶意软件或其他未经授权的软件。今天还是干净的系统,明天就可能被感染。这意味着该软件是一个持续的风险源。
其次,Trustwave 发现了隐藏在金税软件中的一个相关但独立的恶意软件程序。这个被称为 Golden Helper 的恶意软件在 2018 年和 2019 年非常活跃。由此,Trustwave 有理由得出结论,税务软件恶意软件程序并不是最近才出现的创新,而是至少已经运行了数年。
第三,Trustwave 证实了我们早些时候对中国银行使用的金税软件及其恶意软件有效载荷传输技术的描述:
我们在调查过程中获悉,金税软件可能是作为银行提供的独立系统部署在您的环境中的。有几个人报告说,他们收到了一台预装了金税软件(和 GoldenHelper)并可随时使用的 Windows 7 电脑(家庭版)。这种部署机制是木马的一种有趣的物理表现形式。
请参阅GoldenSpy 第 4 章:嵌入官方金税软件的 GoldenHelper 恶意软件。
Trustwave 的描述与我们之前在博客上的文章基本相同,甚至使用了 Windows 7 操作系统。请参阅《中国政府正通过后门访问您的网络,您仍无处可藏 》和《中国恶意软件》:对不起,技术宅们,仍然无处可藏、
当我们之前写到中国网络黑客盛行且势不可挡时,我们收到的评论是,这一切都不可能是正确的,因为这意味着被入侵计算机系统的扩散。对于不在中国工作的人来说,中国政府要求公司使用不安全的计算机系统似乎很奇怪。但如果考虑到政府的目标,这就不奇怪了。一个被破坏的系统很容易被黑客攻击。政府就是黑客,所以他们让自己更容易得手。银行可能并不知道恶意软件和被入侵系统的细节,银行职员只是奉命行事。
E.使用安装了后门的网络硬件
长期以来,人们一直认为中国制造的网络硬件充满了后门,允许中国政府进行未经授权的入侵,而最近的一份报告证实了这一假设。据 ZDNet 报道,一个研究小组在关键网络光缆连接设备中发现了七种不同的恶意软件/后门。请参阅在中国供应商 C-Data 的 29 个 FTTH 设备中发现的后门账户。ZDNet 对这些蓄意后门描述如下:
两名安全研究人员本周表示,他们在著名厂商 C-Data 的 29 个 FTTH OLT 设备的固件中发现了严重的漏洞和似乎是故意设置的后门。FTTH 是光纤到户(Fiber-To-The-Home)的缩写,而 OLT 则是光线路终端(Optical Line Termination)的缩写。FTTH OLT 指的是允许互联网服务提供商将光纤电缆尽可能靠近终端用户的网络设备。
正如它们的名字所暗示的,这些设备是光纤网络的终端,将数据从光缆线路转换成传统的以太网电缆连接,然后插入消费者的家中、数据中心或商业中心。这些设备遍布互联网服务提供商的网络,由于其关键作用,它们也是当今最广泛的网络设备类型之一,因为它们需要安装在全球各地数以百万计的网络终端上。
对这款恶意软件的简单评价是,它已经糟透了。
这里提到的 C-Data 公司是中国国内此类硬件的主要供应商。这里的启示是,如果这家公司可以随意在其境外销售的产品中加入这种后门系统,那么它在中国境内无疑也可以不受限制地做同样的事情。这就意味着,任何在中国运营的外国公司都应假定,其整个网络系统中的互联网连接已被此类恶意软件/后门完全破坏。如果其办公系统中没有,那么几乎可以肯定在 ISP 或云提供商层面上就有。
该系统由中国政府拥有或控制的电信运营商安装。同样,是黑客--中国政府--建立了这个系统,也是黑客通过这些后门进入了公司网络系统。
F.使用中国规定的杀毒软件
新的《中华人民共和国网络安全法》制度的核心指令之一是要求网络用户使用中国政府提供的杀毒软件。请想一想:中国政府要求企业只能使用它提供的 "杀毒 "软件。这种杀毒软件既为中国政府的黑客进入用户的计算机网络提供了一个方便的平台,但毫无疑问,它的程序也不会泄露中国政府的恶意软件。
黑客攻击杀毒软件的风险在网络安全界众所周知。在《前美国间谍称杀毒软件是完美的间谍活动平台》一文中,Cyberscoop 讨论了杀毒软件如何成为间谍活动的理想工具:
由于大多数杀毒软件供应商设计的产品都是通过直接扫描文件,然后将数据发回服务器进行分析,从而自主搜索用户系统中的计算机病毒,因此这些软件具有很强的侵入性。
除了远程风险,杀毒软件还能扩大主机的攻击面,"美国国家安全局前计算机网络开发分析师布莱克-达尔奇说。"如果攻击者可以访问组织网络中的中央防病毒服务器,那么该中央服务器就可以被用来传播恶意软件。
软件更新可以帮助修补产品中的漏洞或其他问题,增加了另一个攻击载体,因为它们为向全球计算机远程引入代码提供了一个可信的途径。
中国黑客非常熟悉利用杀毒软件达到这一目的。见:研究称 CCLeaner 攻击由与中国有关联的组织实施。
在中国国内,强制使用中国杀毒软件会使中国的网络黑客风险更上一层楼。在中国国内,不需要远程黑客。黑客本身(中国政府)为公司提供的基本上是一个预先被黑的系统。
这种预先破解的系统有两大影响。首先,该系统无法屏蔽中国政府制作的恶意软件。其次,该系统将成为插入由中国政府及其合作伙伴提供的源源不断的恶意软件的载体。
试想一下,在美国,国家安全局和联邦调查局是唯一的杀毒软件供应商。这种软件可能会有效地筛查来自犯罪分子和外国行为者的恶意软件。但没有人会指望这种软件能保护用户免受美国国家安全局或联邦调查局的入侵。这太愚蠢了。相信中华人民共和国及其政府强制使用的杀毒软件更是愚蠢至极。
G. 从电子邮件转向微信
中国政府禁止在中国使用 Gmail 后,中国政府机构开始推动外国公司使用中国批准的电子邮件服务进行通信。这些服务并不好用,而且众所周知不安全。因此,大多数外国公司继续使用美国和欧洲的其他电子邮件提供商。这些服务相对安全,不会被中国截获信息。质子邮件和其他具有端到端加密功能的系统在中国相当安全。
中国政府本可以采取下一步措施,阻止所有外国电子邮件提供商的访问。但中国机构采取了更具创造性的方法。既然中国政府基本上已经完全控制了微信,中国机构就会强迫所有通信都使用微信应用程序。如果你给银行发邮件,银行不会回复。如果你给当地税务局发邮件,税务局不会回复。如果您向当地警察局发送有关您签证状态的电子邮件,它也不会回复。中国的法院也是如此,他们通常只要求我们用微信与他们联系。提交文件时也是如此。中国政府机构几乎总是要求以微信附件而不是电子邮件附件的形式提交文件。
这就意味着从充分安全到完全不安全的转变。大赦国际最近对即时信息应用程序的评级就说明了这一点。大赦国际对 11 款顶级信息应用软件的加密和用户隐私保护情况进行了评分,评分标准从 0 到 100。Facebook 获得了 73 分的最高分。微信的评分为零。换句话说,国际特赦组织的结论是,微信根本不能保护用户免受中国网络黑客的攻击。没有。无。零。零。没有。请参阅《只供你看?11 家科技公司在加密和人权方面的排名。
这种强制转移到完全不安全的通信平台的做法是典型的 CCP 方式。没有任何法律法规规定禁止使用基于国外的电子邮件。没有法律法规规定必须使用完全不安全的微信。这条 "规定 "是在实践中实施的。如果你发送电子邮件,它不会被退回。如果您打电话或到政府机构投诉,得到的答复是:"使用微信:"使用微信。其他人都这么做。你也应该这么做"。就这样,规则被强加于人,而中国政府却没有义务将规则正式化或公布于众。
总结
我们发布中国网络安全文章的目的是描述在中国运营的外国公司的网络安全现状。正如您所看到的,中国政府是黑客,因此它可以完全获取在其境内运营的外国实体的所有信息--大到有关受保护技术的关键信息,小到有关外国公司及其员工日常活动的最普通信息。在我们这个数字化的世界里,这些信息可以从外资实体的计算机系统和网络通信中获取。
中国政府通过使用我们所描述的技术来获取它想要的信息。事实上,我们只是概述了它用来获取信息的各种技术的一个子集。
当然,中国政府鼓励外资企业保护自己免受黑客犯罪和非国有企业竞争对手的入侵。根据新的网络法规,在关键领域运营的企业必须依法进行这种形式的自我保护。
但这一要求的另一面是,中国政府不允许保护自己获取同样的信息。试图阻止中国政府获取信息是徒劳的。在一个感染案例中,一个攻击载体可能会被阻止。但实际上,要抵御使用全套网络黑客渗透技术的中国政府的攻击是不可能的。唯一的问题是中国政府是否感兴趣。如果他们感兴趣,就一定会成功。无处可藏。
