中国的网络攻击显然影响着在中国境内或与中国开展业务的公司,但越来越明显的是,它也影响着那些与中国没有直接业务往来的公司。本文阐述了中国政府网络攻击的目标、实施方式,以及为何外国公司几乎不可能避免遭受中国政府攻击或对其进行反击。
在《中国政府正通过后门访问您的网络,且无处可藏》一文中,我们揭示了中国银行如何强制账户持有人——包括所有在华外资企业——安装恶意软件,使中国政府得以窥探所有账户数据。 在《中国恶意软件:抱歉技术极客们,你们依然无处可藏》一文中,我们阐明了中国"政府本身就是黑客,且绝不允许任何国内外技术人员提供可能破坏黑客最终目标的服务"。
A. 中国政府就是黑客
中国在网络领域推行总体国家安全概念的基本目标,是确保所有网络通信和信息对政府开放可获取,同时阻止境外主体访问。 遵循这一理念,政府力求确保境内所有网络活动对国家保持透明。该计划适用于在中国境内(现包括香港、澳门)运营的所有主体(个人或实体)。 若在中国境内开展业务,必须认定所有联网数据和通信均可能被中国政府截获。外资企业或外国公民不再享有任何特权地位;一旦进入中国境内,其待遇与本土企业及中国公民完全一致。正如中国公民所面临的情况,这里不存在任何可藏身之处。
那么中国政府如何实施这项计划?关键点在于中国政府本身就是黑客。当黑客直接参与互联网的创建与监管,并成为实施网络安全的关键执行者时,其网络入侵/数据收集活动必然无法被防范——这已是公理。黑客决定着系统的运行方式,而系统自然不会对其自身活动提供任何防护。
B. 航天信息股份有限公司
下文所述的"黄金间谍/黄金助手"恶意软件程序印证了这一基本事实。Trustwave报告指出,"黄金间谍"软件应用程序由航天信息股份有限公司(Aisino Corporation)开发——这是一家专注于信息安全的上市IT企业。航天信息官网声明其母公司为国有企业中国航天科工集团公司(CASIC)。 详见《GoldenSpy》第四章:官方金税软件内嵌GoldenHelper恶意程序。
中国航天科工集团(CASIC)是中国领先的导弹及相关航空航天设备制造商。该集团向朝鲜出售导弹系统,并与俄罗斯军方保持密切合作。作为武器供应商,它是由中国政府和中国共产党(CCP)直接控制的国有企业(SOE)。换言之,它就是政府本身。 近期,为响应中国推动网络运营与云计算自主发展的战略规划,中国航天科工集团通过旗下子公司航天信息进军商业网络领域。航天信息此前主要从事支付处理及财务系统业务。该公司参与编写"金盾"税务软件并实施相关系统,正是该战略布局的重要环节。
C. 金色间谍/金色帮手恶意软件
航天信息公司编写"黄金间谍"恶意软件,意味着中国政府参与了该恶意软件的开发。简言之,中国政府就是黑客,而该黑客在网络攻击活动中享有免责保护。正因如此,航天信息公司才敢采用这种粗糙且易被识破的木马系统。他们完全不必担心被抓获、受惩罚或被取缔。
有人向我们及安全专家表示,如此明显的入侵行为反而证明中国政府不可能是该恶意软件计划的幕后黑手。ArsTechnica对此类评论作出了明确回应:
读者评论:“使用特洛伊木马下载器并不隐蔽。”
ArsTechnica的回应:至于说它不够隐蔽……按你设定的标准,这类恶意软件从一开始就谈不上隐蔽,所以这论点实在离奇。更奇怪的是,你居然认为中国政府会在意隐蔽性——毕竟我们讨论的是由政府强制在国内分发的软件。难道……中国当局会对这类软件采取行动吗?
这就是中国大陆的现状。正如Arstechnica所阐明的那样,当恶意软件或非法数据收集行为由政府自身实施时,受害者既无补救途径也无逃避之法。中国政府及其关联的黑客组织在境内活动时,既无需隐蔽行踪,也无需掩盖痕迹。
D. 强制使用含有恶意软件的政府软件
中国政府要求的纳税软件中包含的"黄金间谍/黄金助手"恶意软件正是此类手法的典型案例。Trustwave在首次披露该问题后,陆续发布了多份报告,详述该恶意软件的运作机制,以及航天信息公司(Aisino)针对公众曝光的软件问题所采取的应对措施。 参见《GoldenSpy:第二章——卸载程序》 《GoldenSpy第三章:升级版卸载程序》及《GoldenSpy第四章:官方金税软件内嵌GoldenHelper恶意软件》。任何计划在中国开展业务的外国企业都应将这些Trustwave报告列为必读材料。
Trustwave的后续报告揭示了以下三个关键点:
首先,航天信息公司利用"黄金间谍"软件的自动更新系统传播了一个卸载程序,该程序可清除恶意软件及其所有文件或存在痕迹。然而,其卸载程序仍持续为用户系统提供入口,可 随时用于下载恶意软件或其他未经授权的软件。 今日看似干净的系统,明日可能再度感染。这意味着该软件始终是风险源头。
其次,Trustwave在Golden Tax软件中发现了另一款相关但独立的恶意程序。这款名为Golden Helper的恶意软件在2018年和2019年期间活跃。由此Trustwave合理推断,该税务软件恶意程序并非近期创新产物,而至少已持续运作数年之久。
第三,Trustwave证实了我们此前对中国银行用于分发"黄金税务"软件及其恶意软件有效载荷的技术描述:
在调查过程中,我们获悉贵行环境中可能部署了由银行提供的独立版"黄金税务"软件。多名用户反馈收到预装该软件(含GoldenHelper辅助程序)的Windows 7家用版电脑,开箱即可使用。此类部署机制堪称特洛伊木马的生动实体化体现。
参见《GoldenSpy》第四章:官方Golden税务软件中嵌入的GoldenHelper恶意软件。
Trustwave的描述与我们此前在博客中撰写的完全一致,甚至连Windows 7操作系统的使用细节都如出一辙。详见《中国政府正通过后门入侵您的网络,而您依然无处可藏》及《 中国恶意软件:抱歉了技术极客们,你们依然无处可藏》。
当我们此前撰文探讨这种普遍且势不可挡的中国网络黑客行为时,收到评论称这些说法绝无可能属实——因为这意味着大量计算机系统遭到入侵。对非中国大陆工作者而言,中国政府要求企业使用不安全的计算机系统似乎难以置信。但若结合政府目标考量,这种做法便不难理解。 被植入后门的系统极易遭受攻击。政府本身就是黑客,自然要为自己创造便利条件。银行可能根本不清楚恶意软件和被入侵系统的具体细节,银行职员只是在执行指令。
E. 使用内置后门的网络硬件
长期以来,业界普遍认为中国制造的网络硬件设备内置大量后门程序,允许中国政府进行未经授权的入侵。近期一份报告证实了这一推测。据ZDNet报道,某研究团队在关键网络光纤连接设备中发现了七处独立的恶意软件/后门程序。详见《中国供应商C-Data旗下29款FTTH设备被发现存在后门账户》。ZDNet对这些蓄意植入的后门程序描述如下:
本周,两名安全研究人员表示,他们在知名厂商C-Data旗下29款FTTH OLT设备的固件中发现了严重漏洞及疑似故意植入的后门程序。FTTH代表光纤到户(Fiber-To-The-Home),OLT则指光线路终端(Optical Line Termination)。FTTH OLT设备是网络基础设施,可帮助互联网服务提供商将光纤电缆铺设至用户终端附近。
正如其名称所示,这些设备是光纤网络的终端节点,负责将光纤线路的数据转换为经典以太网电缆连接,随后接入用户家庭、数据中心或商业中心。它们遍布互联网服务提供商(ISP)的整个网络,因其关键作用而成为当今最普及的网络设备类型之一——全球数百万网络终端节点都需部署此类设备。
对该恶意软件的简单评估是:它糟糕得无可救药。
本文提及的供应商C-Data是中国境内此类硬件的主要来源。 关键在于:若该企业敢于在其出口产品中植入后门系统,那么在中国本土市场必然同样肆无忌惮。这意味着所有在华外资企业都应假定其整个网络系统已被此类恶意软件/后门彻底渗透——即便办公系统未被植入,互联网服务提供商或云服务商层面也几乎必然存在漏洞。
该系统由中国政府拥有或控制的电信运营商安装。再次强调,正是黑客——中国政府——部署了该系统,而通过这些后门入侵企业网络系统的也是黑客。
F. 使用中国大陆强制安装的杀毒软件
中国新颁布的《网络安全法》的核心要求之一,是强制网络用户使用中国政府提供的杀毒软件。试想一下:中国政府要求企业只能使用其提供的"杀毒"软件。这种杀毒软件不仅为中国政府黑客提供了便捷的入侵用户计算机网络的通道,更无疑被编程为不会检测出中国政府的恶意软件。
被黑客入侵的杀毒软件所带来的风险在网络安全界早已众所周知。在《前美国间谍称杀毒软件堪称完美间谍平台》一文中,Cyberscoop探讨了杀毒软件如何成为绝佳的间谍工具:
由于大多数杀毒软件厂商都设计了其产品,使其能够通过直接扫描文件在用户系统上自主搜索计算机病毒,然后将数据发送回服务器进行分析,因此这类软件本质上具有高度侵入性。
"除了远程风险外,杀毒软件还会扩大主机的攻击面,"美国国家安全局前计算机网络攻击分析师布莱克·达奇表示,"如果攻击者能进入组织网络内的中央杀毒服务器,该服务器就可能被用于传播恶意软件。"
软件更新虽能修复产品中的漏洞或其他问题,却也增加了新的攻击途径——因为它们为远程向全球计算机植入代码提供了可信通道。
中国黑客深谙利用杀毒软件实施此类攻击的手段。详见:研究称CCleaner攻击系中国关联组织所为。
在中国境内,强制使用中国杀毒软件将网络入侵风险推向更高层次。在中国境内,根本无需远程入侵——黑客本身(即中国政府)向企业提供的系统本质上已是预先被入侵的系统。
该预先被黑客入侵的系统具有两大主要影响。首先,该系统不会对中华人民共和国政府制造的恶意软件进行拦截。其次,该系统将成为持续注入由中华人民共和国政府及其合作伙伴提供的恶意软件的载体。
试想美国可能出现的类似情形:假设国家安全局(NSA)和联邦调查局(FBI)成为杀毒软件的唯一供应商。这类软件或许能有效拦截犯罪分子和外国势力的恶意软件,但没人会指望它能保护用户免受NSA或FBI的入侵——这未免太天真。而若真相信中国及其政府强制推广的杀毒软件能做到这点,就更显荒谬了。
G. 从电子邮件转向微信
中国政府禁止Gmail在中国使用后,政府机构开始要求外国企业使用经中国批准的电子邮件服务进行通信。这些服务运行不畅且普遍存在安全隐患。因此,多数外国企业仍继续使用欧美替代邮件服务商。这些服务相对能避免中国方面对邮件的拦截。Proton Mail等采用端到端加密的系统在中国境内具有较高的安全性。
中国政府本可采取下一步行动,直接封锁所有外国电子邮件服务商。但中国机构采取了更具创造性的方式。既然中国政府已实质上完全掌控微信,中国机构便强制将所有通信转移至微信平台。若你向银行发送邮件,银行将不予回应。 若向当地税务局发送邮件,不会得到回复;若向当地警方咨询签证状态,同样石沉大海。中国法院亦是如此——他们通常仅要求我们通过微信沟通,甚至在提交文件时亦是如此。中国政府机构几乎无一例外要求以微信附件形式提交材料,而非邮件附件。
这意味着从足够的安全性转向完全没有安全性。从国际特赦组织最近对即时通讯应用的评级中可见一斑。该组织以0到100的评分标准,对11款主流通讯应用的加密使用及用户隐私保护进行评级。Facebook以73分获得最高评分,而微信则获得零分。 换言之,国际特赦组织认定微信对用户完全无法抵御中国网络黑客攻击。毫无保护。零。毫无价值。毫无意义。没有。详见《仅限您阅读?》——11家科技公司加密技术与人权保护评级报告。
这种被迫迁移至完全不安全的通信平台的做法,正是中共惯用的手段。没有任何法律法规规定禁止使用境外邮箱。 没有任何法律法规要求必须使用完全不安全的微信。这条"规定"实为强制执行:若发送邮件,邮件将被拒收;若致电或前往政府机关投诉,得到的回应是:"用微信。大家都用。你也该用。"如此这般,规定便被强加于人,而中国当局既无义务将此规定正式化,也无需公布于众。
结论
我们发布中国网络安全系列文章的宗旨,是向在华运营的外国企业揭示当地网络安全的真实状况。正如您所见,中国政府本身就是黑客,因此能够全面获取在华外国实体的所有信息——从涉及受保护技术的关键情报,到外国公司及其员工日常活动的最琐碎细节。 在这个数字化的世界里,这些信息都存储于外资企业的计算机系统和联网通信设备中。
中国政府通过运用我们所述的技术手段获取所需信息。事实上,我们所概述的仅是其获取信息所用多种技术手段中的一小部分。
当然,中国政府鼓励外资企业防范犯罪黑客以及非国有企业竞争对手的入侵行为。根据新的网络安全法规,对于关键领域的企业而言,这种自我保护已成为法律强制要求。
但这一要求的另一面是,中国政府允许其自身获取相同信息时不受任何保护。试图阻止中国政府获取信息的努力都是徒劳的。 某次感染事件中或许能封堵某条攻击路径,但现实中根本无法抵御中国政府运用全套网络入侵技术发动的攻击。唯一的问题在于中国政府是否有意为之——若其有意为之,必将得逞。无处可藏。






