在《中国政府正通过后门访问您的网络,且无处可藏》一文中,我阐述了中国银行如何要求其账户持有人——包括所有在华外资企业——安装恶意软件,使中国政府能够查看所有账户持有人的数据。 在《中国恶意软件:抱歉技术极客们,你们依然无处可藏》一文中,我阐明了"在中国,政府本身就是黑客,它绝不允许任何国内外技术人员提供能破坏黑客最终目标的服务"。
中国获取外国公司网络和公司数据的四种基本途径
本文将阐述中国作为国家黑客如何在网络领域实现其目标,具体分析中国政府获取外国公司网络及企业数据的四种基本途径。
1. 强制使用含有恶意软件的政府软件
中国政府要求的纳税软件中包含的"黄金间谍/黄金助手"恶意软件正是此类手法的典型案例。Trustwave在首次披露该问题后,陆续发布了多份报告,详述该恶意软件的特性及航天信息公司(Aisino)针对公众曝光的应对措施。 参见《GoldenSpy:第二章——卸载程序》 《GoldenSpy:第三章——升级版卸载程序》及《GoldenSpy:第四章——官方金税软件内嵌GoldenHelper恶意软件》。任何计划在中国开展业务的外国企业都应将这些Trustwave报告列为必读材料。
Trustwave的后续报告揭示了以下三个关键点:
首先,航天信息公司利用"黄金间谍"软件的自动更新系统传播了卸载程序,该程序不仅清除了恶意软件,还删除了其所有文件及其他存在痕迹。该软件采用标准更新流程,这意味着随时可能被用于下载恶意软件或其他未经授权的程序。今日看似干净的系统,明日便可能遭受感染。这意味着该软件始终是潜在风险的源头。
其次,Trustwave在Golden Tax软件中发现了另一款相关但独立的恶意程序。这款被命名为"Golden helper"的恶意软件在2018年和2019年期间处于活跃状态。由此Trustwave合理推断,该税务软件恶意程序并非近期事件,而是至少已持续存在数年之久。
第三,Trustwave确认了我先前对中方银行部署"黄金税务"软件及其恶意软件有效载荷所用技术手法的描述:
在调查过程中,我们获悉贵行环境中可能部署了由银行提供的独立版"黄金税务"软件。多名用户反馈收到预装该软件(含GoldenHelper辅助程序)的Windows 7家用版电脑,开箱即可使用。此类部署机制堪称特洛伊木马的生动实体化体现。
参见《GoldenSpy第四章:官方金税软件内嵌GoldenHelper恶意软件》。
Trustwave的描述与我此前在此撰写的报告基本一致,甚至包括使用Windows 7操作系统的细节。详见《中国政府正通过后门访问您的网络,且无处可藏》及《 中国恶意软件:抱歉技术极客们,你们依然无处可藏》。
此前我撰文揭露中共普遍且无法阻挡的黑客行为时,收到诸多质疑,认为这些说法绝无可能属实——因为这意味着大量计算机系统遭到入侵。对非中国大陆工作者而言,中国政府要求企业使用不安全的计算机系统似乎难以置信。但若考量政府目标,此事便不难理解。 被攻破的系统更易遭入侵。政府本身就是黑客,自然要为自己创造便利。银行可能根本不清楚恶意软件和系统漏洞的细节——银行职员不过是在执行指令罢了。
2. 使用内置后门的网络硬件
长期以来,业界普遍认为中国制造的网络硬件设备内置大量后门程序,可供中国政府进行未经授权的入侵。近期一份报告证实了这一推测。据ZDNet报道,某研究团队在关键网络光纤连接设备中发现了七处独立的恶意软件/后门程序。详见《中国供应商C-Data旗下29款FTTH设备被发现存在后门账户》一文:
ZDNet将这些蓄意植入的后门描述如下:
本周,两名安全研究人员表示,他们在知名厂商C-Data旗下29款FTTH OLT设备的固件中发现了严重漏洞及疑似故意植入的后门程序。FTTH代表光纤到户(Fiber-To-The-Home),OLT则指光线路终端(Optical Line Termination)。FTTH OLT设备是网络基础设施,可帮助互联网服务提供商将光纤电缆铺设至用户终端附近。
正如其名称所示,这些设备是光纤网络的终端节点,负责将光纤线路的数据转换为经典以太网电缆连接,随后接入用户家庭、数据中心或商业中心。它们遍布互联网服务提供商(ISP)的整个网络,因其关键作用而成为当今最普及的网络设备类型之一——全球数百万网络终端节点都需部署此类设备。
对该恶意软件的简单评估是:它糟糕得无可救药。
本文提及的供应商C-Data是中国境内此类硬件的主要来源。 关键在于:若该企业敢于在其出口产品中植入后门系统,那么在中国本土市场必然同样肆无忌惮。这意味着所有在华外资企业都应假定其整个网络系统已被此类恶意软件/后门彻底渗透——即便办公系统未被植入,互联网服务提供商或云服务商层面也几乎必然存在漏洞。
该系统由中国政府拥有或控制的电信运营商安装。再次强调,正是黑客——中国政府——部署了该系统,而通过这些后门入侵企业网络系统的也是黑客。
3. 使用中国大陆强制安装的杀毒软件
中国新颁布的《网络安全法》的核心要求之一,是强制网络用户使用中国政府提供的杀毒软件。试想一下:中国政府要求企业只能使用其提供的"杀毒"软件。这种杀毒软件不仅为中国政府黑客提供了便捷的入侵用户计算机网络的通道,更无疑被编程为不会检测出中国政府的恶意软件。
被黑客入侵的杀毒软件所带来的风险在网络安全界早已众所周知。在《前美国间谍称杀毒软件堪称完美间谍平台》一文中,Cyberscoop探讨了杀毒软件如何成为绝佳的间谍工具:
由于大多数杀毒软件厂商都设计了其产品,使其能够通过直接扫描文件在用户系统上自主搜索计算机病毒,然后将数据发送回服务器进行分析,因此这类软件本质上具有高度侵入性。
"除了远程风险外,杀毒软件还会扩大主机的攻击面,"美国国家安全局前计算机网络攻击分析师布莱克·达奇表示,"如果攻击者能进入组织网络内的中央杀毒服务器,该服务器就可能被用于传播恶意软件。"
软件更新虽能修复产品中的漏洞或其他问题,却也开辟了新的攻击途径——它为远程向全球计算机植入代码提供了可信通道。
中国黑客深谙利用杀毒软件实施此类攻击的手段。详见:研究称CCleaner攻击系中国关联组织所为。
在中国境内,强制使用中国政府指定的杀毒软件将黑客攻击风险推向更高层次。在中国境内,根本无需远程入侵——黑客本身(即中国政府)直接向企业提供实质上已被预先入侵的系统。
该预先被黑客入侵的系统具有两大主要影响。首先,该系统不会对中华人民共和国政府制造的恶意软件进行拦截。其次,该系统将成为持续注入由中华人民共和国政府及其合作伙伴提供的恶意软件的载体。
试想美国可能出现的类似情形:假设国家安全局(NSA)和联邦调查局(FBI)成为杀毒软件的唯一供应商。这类软件或许能有效拦截犯罪分子和外国势力的恶意软件,但没人会指望它能保护用户免受NSA或FBI的入侵——这未免太天真。而若真相信中国及其政府强制推广的杀毒软件能做到这点,就更显荒谬了。
4. 从电子邮件转向微信
中国政府封禁Gmail后,中国政府机构开始要求外资企业使用经中国批准的电子邮件服务进行通信。这些服务运行不畅且普遍存在安全隐患。因此多数外资企业仍继续使用美国和欧洲的替代性邮件服务商。这些服务相对能避免中国方面对邮件的拦截。Proton Mail等采用端到端加密的系统在中国境内具有较高的安全性。
中国政府本可采取下一步行动,封锁所有境外电子邮件服务商的访问通道。但中国相关机构采取了更具创造性的手段。既然中国政府已实质上完全掌控微信平台,中国机构便强制将所有通讯转移至微信应用。若你向银行发送邮件,银行将不予回应。 若向当地税务局发送邮件,对方不会回应;若向当地警方咨询签证状态,同样石沉大海。中国法院亦是如此——他们通常仅要求我们通过微信沟通,甚至在提交文件时亦是如此。中国政府机构几乎无一例外要求以微信附件形式提交材料,而非邮件附件。
这意味着从足够的安全性转向完全没有安全性。从国际特赦组织最近对即时通讯应用的评级中可以看出这一点。该组织对11款主流通讯应用在加密技术和用户隐私保护方面的表现进行了0到100分的评分。Facebook以73分获得最高评级,而微信则被评为零分。 换言之,国际特赦组织认定微信在防范黑客攻击方面毫无防护能力。零。毫无。毫无。毫无。毫无。毫无。参见《仅限您阅读?》——11家科技公司在加密技术与人权保护方面的排名。
这种被迫迁移至完全不安全的通信平台的做法,正是中共惯用的手段。没有任何法律法规规定禁止使用境外邮箱。 没有任何法律法规要求必须使用完全不安全的微信。这条"规定"实为强制执行:若发送邮件,邮件将被拒收;若致电或前往政府机关投诉,得到的回应是:"用微信。大家都用。你也该用。"如此这般,规定便被强加于人,而中国当局既无义务将此规定正式化,也无需公布于众。
结论
我撰写这些关于中国网络安全的文章,旨在描述外国企业在华运营时面临的实际网络安全状况。正如各位所见,中国政府本身就是黑客,因此能够全面获取在华运营的外国实体的所有信息——从涉及受保护技术的关键情报,到外国公司及其员工日常活动的最琐碎细节。 在这个数字化的世界里,这些信息都存储于外资企业的计算机系统和联网通信设备中。
中国政府通过我所描述的技术手段获取所需信息。事实上,我所概述的仅是其获取信息所用多种技术中的一小部分。
当然,中国政府鼓励外资企业采取措施,防范犯罪黑客以及非国有企业竞争对手发起的入侵行为。根据新的网络安全法规,在关键领域运营的企业必须依法实施此类自我保护措施。
但这一要求的另一面是,中国政府允许其自身获取相同信息时不受任何保护。试图阻止中国政府获取信息的努力都是徒劳的。 某次感染事件中或许能封堵某条攻击路径,但现实中根本无法抵御中国政府运用全套渗透技术发动的攻击。唯一的问题在于中国政府是否有意为之——若其有意为之,必将得逞。无处可藏。
最新进展:华盛顿州斯波坎市联邦大陪审团已正式起诉两名黑客,指控这两名"中国公民及居民"入侵了美国数百家受害企业、政府机构、非政府组织以及个人异见人士、神职人员、民主与人权活动家的计算机系统…… 黑客窃取了数千兆字节的数据,对美国网络构成了复杂且高产的威胁。
该黑客行动持续了十年之久,直到最近才被揪出。这表明即便在拥有顶尖网络安全工具的境外地区,防范中国政府黑客攻击也何其艰难。
