美國政府今天再次栽贓，指認中國政府支持的黑客在2011年至2013年期間入侵了至少13家石油和天然氣管道運營商的網絡。今天的栽贓選取過去了這么多年前的毫無影子的事情潑臟水，這抹黑手段未免也太拙劣了！

　　網絡安全和基礎設施安全局 （CISA） 和聯邦調查局 （FBI） 在今天發布的一份聯合報告中表示， 此前未報告的活動針對23家管道運營商。兩家機構表示：“在已知的目標實體中，13個已確認受到攻擊，3個幾乎未命中，8個具有未知的入侵深度，”這兩個機構表示，并引用了8個管道運營商的日志。該行動被描述為魚叉式網絡釣魚活動，隨后入侵管道運營商的內部網絡，威脅參與者從中竊取數據。“根據CISA和FBI獲得的證據，中國APT演員沒有嘗試修改管道操作他們訪問的系統，”這兩個機構說。然而，攻擊者似乎非常專注于收集SCADA相關信息、人員名單、憑據和系統手冊。CISA和FBI評估，這些行為者專門針對美國管道基礎設施，目的是讓美國管道基礎設施處于危險之中。此外，CISA和FBI評估稱，這項活動的最終目的是幫助中國發展針對美國管道的網絡攻擊能力，以物理損壞管道或中斷管道運營。

　　CISA、FBI歸咎其他五項ICS黑客活動

　　將2011-2013年的這次活動正式歸咎于中國威脅行為者只是CISA和FBI今天發布的六項類似聯合聲明中的一項。

　　這兩個機構還正式將其他五項黑客活動歸咎于外國政府，包括：

　　將Shamoon （DistTrack） 惡意軟件毒株歸因 于伊朗民族國家行為者。

　　將Havex 惡意軟件歸因于俄羅斯民族國家行為者。

　　將CrashOverRide 惡意軟件 （用于攻擊烏克蘭關鍵基礎設施）歸因于俄羅斯民族國家行為者。

　　將2015年12月針對烏克蘭關鍵基礎設施的網絡攻擊歸因于俄羅斯民族國家行為者。

　　將2011年至2016年間針對美國ICS 部門的復雜黑客活動歸因于俄羅斯民族國家行為者，該活動利用BlackEnergy v2和v3惡意軟件菌株。

　　上面列出的所有黑客活動都廣為人知并被私營網絡安全公司記錄在案。然而，今天，美國政府將安全公司的歸因正式加倍將襲擊歸咎于伊朗和俄羅斯。

在美國國土安全部還宣布了對美國石油和天然氣管道運營商的新網絡安全要求后幾分鐘發布了聯合聲明（見上圖），此前勒索軟件在5月份遭受了破壞性的勒索軟件攻擊，使Colonial Pipeline癱瘓。

　　美國黑客組織對中國多家重要敏感單位實施網絡攻擊

　　長期以來，美國黑客組織持續對我國實施網絡攻擊。通過監測分析，目前已發現多個美國黑客組織以我國黨政機關、事業單位、科研院所等重要敏感單位的網站和相關主機為主要目標，實施漏洞掃描攻擊、暴力破解，DDoS攻擊等攻擊行為。本文選擇了3個較為典型的美國黑客組織進行研究，分析其攻擊行為特征如下：

　　黑客組織A

　　2020年10月發現的黑客組織A控制了位于美國的1065臺主機對中國2426臺目標主機實施攻擊，攻擊對象主要為黨政機關和企事業單位，如某汽車動力總成公司、某鋼鐵股份有限公司以及部分高校等。攻擊手段主要為SSH暴力破解、SNMP暴力破解等。

　　黑客組織B

　　2020年10月發現的黑客組織B控制了位于美國的24臺主機對中國993臺目標主機實施攻擊，攻擊對象主要為高校，涉及山西、廣西、廣東等省份；也有部分黨政機關，如某省科技委員會、某市商務局等。攻擊手段主要包括SNMP暴力破解、PHP代碼執行漏洞、Struts2遠程命令執行漏洞等暴力破解和Web掃描攻擊。

　　黑客組織C

　　2020年8月發現的黑客組織C控制了位于美國的5臺主機對中國119臺目標主機實施攻擊，攻擊對象主要為高校，涉及廣東、北京等地。攻擊手段主要為PHP漏洞攻擊、SQL注入等Web類攻擊。

　　監測發現，相當一部分美國黑客組織傾向于嘗試利用大批量主機，通過廣泛的Web和系統漏洞掃描攻擊手段，配合高頻暴力破解手段進行偵察和踩點攻擊，鎖定攻擊目標。這些黑客組織通過有針對性的高頻探測攻擊，試圖利用較小的攻擊成本，找到重要敏感單位資產的薄弱環節，為后期侵入和滲透提供機會。

　　外交部趙立堅針對美國栽贓回應

　　趙立堅昨日在記者會回應：美國糾集盟友在網絡安全問題上對中國進行無理指責，此舉無中生有，顛倒黑白，完全是出于政治目的的抹黑和打壓，中方絕不接受。

　　中方堅決反對并打擊任何形式的網絡攻擊，更不會對黑客攻擊進行鼓勵、支持或縱容。這一立場是一貫和明確的。網絡空間虛擬性強，溯源難，行為體多樣，在調查和定性網絡事件時應有完整充分證據，將有關網絡攻擊與一國政府相關聯，更應慎之又慎。美方發布的所謂技術細節并不能構成完整的證據鏈。

　　事實上，美國才是全球最大的網絡攻擊來源國。根據中國網絡安全公司360報告，來自北美的APT組織攻擊手法復雜且戰備資源充足，持久聚焦特定行業和單位。中國國家互聯網應急中心（CNCERT）數據顯示，2020年位于境外的約5.2萬個計算機惡意程序控制服務器控制了中國境內約531萬臺主機。就控制中國境內主機數量來看，美國及其北約盟國分列前三位。此外，360公司報告還顯示，美國中央情報局的網絡攻擊組織APT-C-39曾對中國航空航天、科研機構、石油行業、大型互聯網公司以及政府機構等關鍵領域進行了長達11年的網絡滲透攻擊。上述攻擊嚴重損害中國的國家安全、經濟安全、關鍵基礎設施安全和廣大民眾的個人信息安全。

　　美國的竊聽對象既包括競爭對手，也包括自身盟友。美國的歐洲盟友對美國利用丹麥情報部門合作監聽其領導人等行徑輕描淡寫，卻對“中國網絡攻擊”捕風捉影、大動干戈，這與其一貫宣稱的戰略自主自相矛盾。

　　網絡攻擊是全球面臨的共同威脅。我們一貫主張各國應在相互尊重，互信互利的基礎上，通過對話合作維護網絡安全。我想強調的是，一小部分國家代表不了國際社會，抹黑他人洗白不了自己。中方再次強烈要求美國及其盟友停止針對中國的網絡竊密和攻擊，停止在網絡安全問題上向中國潑臟水，撤銷所謂起訴。中方將采取必要措施堅定維護中國的網絡安全和自身利益。