今天上午，中国国家计算机病毒应急处理中心发布了“伏特台风——美国情报机构针对美国国会和纳税人的合谋欺诈行动”报告，报告中揭露了美国情报机构利用毫无事实依据的，所谓“中国网络攻击威胁”的借口无底线抹黑中国，以此换取美国政府拨款的巨大丑闻。

　　今年2月1日，美国众议院举行了一场所谓“中国网络攻击威胁”的听证会，该会议主要围绕2023年5月被美国微软公司披露的“伏特台风”黑客组织展开讨论，微软公司声称该黑客组织“具有中国政府支持背景”，并称其对美国关键基础设施发动了网络攻击并试图进一步实施破坏，给美国国家安全造成严重威胁。针对这一指控，中国的联合调查技术团队进行了溯源分析后发现，相关指控缺乏证据，纯属栽赃陷害，目的就是为了打压中国对外形象与发展。


　　国家计算机病毒应急处理中心高级工程师杜振华：伏特台风组织的名称来自于微软公司，微软公司对所谓的具有国家支持背景的黑客组织，有一套自己的命名体系。其中台风这个别名，实际上就是微软公司所谓的具有中国国家支持背景的黑客组织的一个命名。

　　据了解，2023年5月24日，微软公司发布《伏特台风组织利用逃避检测技术针对美国关键基础设施发动攻击》的技术分析报告，声称“伏特台风”黑客组织为“具有中国政府支持背景”，紧接着“五眼联盟”国家网络安全主管部门公开援引该报告，并进行大肆渲染。针对报告中的指控，中国国家计算机病毒应急处理中心第一时间联合360数字安全集团成立技术团队开展调查工作，并形成“伏特台风”溯源报告。

　　国家计算机病毒应急处理中心高级工程师杜振华：微软公司在报告里面附带了很多的所谓感染指标，感染指标其实就是哈希值。这些哈希值我们可以想象成是一个恶意程序的编码、唯一的编号，通过对这些恶意程序的哈希值，在公开的平台上检索最后发现，有5个IP地址（关联样本）是最集中的。这5个IP地址也与很多的安全事件有关系，这些安全事件中就有一个（关于）叫Darkpower，一个所谓的勒索病毒团伙一个分析报告有关系，这个分析报告是谁做？就是美国的ThreatMon，也叫威胁盟公司。

　　联合调查技术团队发现，2023年4月11日，在美国威胁盟公司发布的《关于“暗黑力量”勒索病毒团伙研究报告》中显示，上述恶意程序样本技术特征与一个名为“暗黑力量”的勒索病毒网络犯罪团伙关联程度密切，这个犯罪团伙首次被发现攻击活动时间为2023年1月，仅2023年3月全球范围内就至少有10个以上的机构遭到该组织攻击并被勒索，所在国家包括阿尔及利亚、埃及、捷克、土耳其、以色列、秘鲁、法国、美国等。

　　360数字安全集团网络安全专家边亮：除了对IP地址的分析之外，我们对报告提到的恶意样本也进行了分析，该样本主要使用了无文件攻击，与传统的病毒木马不同，攻击载荷不需要写入磁盘，恶意代码在内存当中执行，重启和关机就会消失。样本的功能只是针对用户的文档进行加密、勒索索要赎金，所以我们认为这些样本和对应的IP地址都指向了勒索病毒犯罪团伙。

　　联合调查技术团队经过溯源分析认为，微软公司和“五眼联盟”国家报告中提到的病毒程序并没有表现出明确的国家背景黑客组织行为特征，反而与勒索病毒网络犯罪团伙的关联程度更为明显。在这种情况下，微软公司和“五眼联盟”国家仅凭受害单位和攻击者的攻击技战术这些模糊的归因因素，就把“伏特台风”扣上所谓“中国政府支持背景黑客组织”的帽子，这样的做法是非常不严谨和不专业的，其背后必然有更深层次的原因。

　　网络攻击归因是国际性难题需协同治理

　　据网络安全专家介绍，针对“伏特台风”组织的归因分析，美国的不同安全公司也有不同的观点，有的安全厂商认为它是一个僵尸网络，有的认为是APT（国家级黑客）组织，有的则认为是勒索病毒犯罪团伙。一直以来，网络攻击活动的归因分析都是国际性难题，但是美国政府却利用对他国网络攻击活动的归因，将自己塑造成被网络攻击的所谓“受害者”形象，在博取国际舆论支持的同时，将其作为政治筹码在国际争端中向他国施压，进而谋求超额利益。

　　据网络安全专家介绍，针对黑客组织的归因是一个非常复杂的过程，攻击者会通过各种手段隐藏自己的真实身份和地理位置，比如使用虚拟私人网络（VPN）、跳板机以及通过劫持受感染的计算机作为中继点来发起攻击，这些都使得追踪原始攻击源变得极其困难。

　　360数字安全集团网络安全专家边亮：另一个挑战是，攻击者可能会故意留下一些具有误导性的线索，他们可能会使用别国的语言、符号、时间戳作为伪装成其他黑客组织的特定行为模式，以误导调查人员，因此对APT（国家背景黑客）组织的归因，通常是在收集了大量数据之后，基于权衡数据的可能性，归因通常也只是能达到一定程度的信任水平，想要做到绝对的确定性是非常困难的。

　　美国棱镜门事件相关报告提到，美国NSA会入侵渗透国外资产，使用中间人劫持技术，窃取他国工具，实现干扰目的；美国CIA报告提到，通过干扰嫁祸的方式，以避免外国敌对情报组织、执法、事件响应、逆向工程；“五眼联盟”中的加拿大通信局在安全架构设计中提到，通过相关欺骗技术，使用假旗行动制造动荡局面，改变对手感知，干扰嫁祸给其他国家；因此，对APT组织的归因通常是基于权衡证据的可能性，而不是绝对的黑白分明。

　　近年来，中国公安机关侦破西北工业大学、武汉地震监测中心等多个机构被美国家安全局、中央情报局网络攻击案件中表明，美国才是真正的"黑客帝国″、″窃密帝国″。

　　国家计算机病毒应急处理中心高级工程师杜振华：美国的NSA（美国国家安全局）包括CIA（美国中央情报局）都有过很多的网络武器泄露事件，导致现在的网络空间上出现了攻击能力不断增强的现状。这样的现状导致很多的网络犯罪团伙实际上具备的攻击能力是很强的。

　　网络安全专家介绍，目前网络攻击基本以跨境犯罪为主，各国需要在国际刑警组织的框架下加强合作，共同分享网络犯罪的情报信息和协同治理，共同对抗网络安全威胁，而不是个别几个国家搞小圈子。

　　专访外交部网络事务协调员

　　针对国家计算机病毒应急处理中心发布的报告，总台央视记者专访了外交部网络事务协调员王磊。王磊指出，这份报告揭露了一个只要无底线抹黑中国，就能换取美国政府拨款的巨大丑闻。

　　据溯源报告显示，2024年1月31日这个时间节点非常关键。按照美国相关法律，总统必须在每年2月第一个周一，也就是2024年2月5日前提交联邦政府下一财年预算申请。在2024年3月11日拜登政府公布的2025财年预算申请文件中，美国联邦政府的网络安全总预算和相关情报机构的网络安全预算都得到了显著增加。由此，报告认为，“伏特台风”就是美国情报机构和反华政客针对美国国会和纳税人的一次合谋欺诈。即：一方面通过操弄微软等网络安全企业捕风捉影，虚假叙事，另一方面利用手中的行政权力大肆渲染“中国网络攻击威胁”，欺骗美国国会不断增加网络安全预算。

　　外交部网络事务协调员王磊：美国的高官信誓旦旦地宣称，中国支持的黑客组织对关岛的关键基础设施进行了网络攻击。针对这一指控，报告揭露了一个重要的真相，得出了重要的结论。这个所谓“伏特台风”的真实面目是国际勒索软件组织。但是美方的网络安全机构和企业勾连腐败，对中国进行栽赃陷害，在获得部门和经济利益的同时，也为美国对华关系增添了非理性因素。

　　王磊强调，在中美关系中，网络安全一直是一个重要且特殊的议题。

　　外交部网络事务协调员王磊：全世界都很奇怪，为什么最大的“黑客帝国”美国会隔三差五地炒作“中国黑客威胁论”。今天发布的报告，就为我们解开问题的真相提供了重要依据和参考。更令人关注的是，在炒作“伏特台风”期间，美方首次把网络安全与台海局势相联系。我们的立场十分清楚，我们反对美方利用网络安全问题干涉中国内政，对美方这种先制造议题，再借题发挥的真实意图，会保持警惕。在台湾问题上，打什么牌都是白费力气。

　　王磊表示，保护关键基础设施是各国共同关切，维护网络空间的和平与稳定符合中美和全球各国的共同利益。

　　外交部网络事务协调员王磊：作为一个大国，希望美方能采取更严肃、更负责任的态度，不要高估自己任意妄为单方面制定规则的“实力”，更不应低估中方在平等的基础上维护中美网络关系的决心。（总台央视记者 张岗 朱若梦）

　　  操弄网络攻击溯源栽赃陷害中国——揭开“伏特台风”真相

　　  2024年2月1日，美国国会众议院“中国问题特别委员会”举行了“中国对美国国土和国家安全的网络威胁”听证会。会议围绕2023年5月被美国微软公司披露的名为“伏特台风”（Volt Typhoon）且所谓“具有中国政府支持背景的黑客组织”展开讨论，称其对美国关键基础设施发动了网络攻击并试图进一步实施破坏，给美国国家安全造成严重威胁。

　　  “伏特台风”是何方神圣？其与中国政府的关联证据何在？既然去年5月就已经披露了攻击活动，美国政客为何时隔8个月旧事重提，再次向中国发难？

　　  何为“伏特台风”？

　　  2023年5月24日，“五眼联盟”国家（美国、英国、加拿大、澳大利亚、新西兰）的网络安全主管部门联合发布了名为《中华人民共和国国家支持背景的黑客正在使用逃避检测技术》的预警通报。预警通报称名为“伏特台风”的黑客组织针对美国关键基础设施单位实施了网络间谍活动。

　　  该预警通报直接引用了微软公司于同日发布的《“伏特台风”组织利用逃避检测技术针对美国关键基础设施发动攻击》的技术分析报告和溯源分析结果。微软公司技术分析报告中将攻击者按照微软公司的内部规则命名为“伏特台风”，并直接指出该组织是所谓“总部位于中国且由国家政府支持的网络攻击行为主体”。

　　  虽然“五眼联盟”的预警通报和微软公司的技术报告详细介绍了攻击者的技战术特征和感染指标等，但没有给出具体的溯源分析过程，而是直接给“伏特台风”打上了“具有中国政府支持背景的黑客组织”标签。

　　  该预警通报一经发布就被路透社、华尔街日报、纽约时报等新闻媒体大量转载，纽约时报还报道称美国情报机构在2023年2月发现关岛和美国部分地区的电信网络遭到入侵，并将上述攻击与相关预警通报联系起来。

　　  不难看出，关于“伏特台风”组织以及该组织的归属，美国政府、网络安全企业和新闻媒体的最主要参考依据就是微软公司的技术分析报告和“五眼联盟”发布的联合预警通报。

　　  “伏特台风”真的具有国家支持背景吗？

　　  一直以来，网络攻击活动的归因分析都是国际性难题。“伏特台风”这一名称和归因都源自美国微软公司的技术分析报告和“五眼联盟”发布的联合预警通报，但微软公司并没有给出详细的归因分析过程和根据，且报告中也提及，黑客使用逃避检测技术为取证和溯源工作带来较大困难。

　　  中国国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室联合360数字安全集团通过对报告给出的相关攻击活动技术特征进行溯源分析，发现能够被查找到的13个恶意程序样本关联多个IP地址。这些IP地址与很多的网络攻击事件相关，并且也存在多个IP地址与同一攻击事件或网络安全风险存在关联的现象，其中与13个恶意程序样本关联程度最高的有5个IP地址。

　　  而与这5个IP地址都有关联的网络攻击事件报告是美国威胁盟公司于2023年4月11日发布的《关于“暗黑力量”勒索病毒团伙研究报告》。报告显示，“暗黑力量”首次被发现攻击活动时间为2023年1月，仅2023年3月全球范围内就至少有10个机构遭到该组织攻击并被勒索。受害机构所在国家包括阿尔及利亚、埃及、捷克、土耳其、以色列、秘鲁、法国、美国等。

　　  另外，通过对美国流明科技公司2023年12月发布报告中包含的恶意程序样本和IP地址等技术特征进行检索，并未找到其与微软公司和“五眼联盟”预警通报中所述技术特征之间的关联关系。

　　  技术团队判定，来自“伏特台风”的恶意程序样本并未表现出明确的国家背景黑客组织行为特征，而是与“暗黑力量”勒索病毒等网络犯罪团伙的关联程度明显。在此情况下，微软公司及“五眼联盟”国家仅凭受害单位和攻击者的攻击技战术这些模糊的归因因素就将“伏特台风”扣上所谓“中国政府黑客”的帽子未免过于牵强。

　　  “伏特台风”的真相

　　  2024年1月31日对于美国国会、美国政府网络安全主管部门和美国网络安全企业来说是一个重要的时间节点。在同一天，美国国会、美国司法部、美国国土安全部共同针对“伏特台风”打出了一套“组合拳”。

　　  首先，参加听证会的美国国会议员以及美国国家安全局、美国网络安全与基础设施安全局、美国联邦调查局和美国国家网络总监办公室的一把手们大肆鼓吹“中国威胁论”，要求国会在网络安全方面进一步加大人、财、物投入。其次，2024年美国总统大选，共和、民主两党自然都不想在中国问题上“丢选票”，通过公开“讨伐”中国，国会议员们还可以提高自身曝光率，收获不错的政治资本。

　　  美国网络安全企业当然希望美国联邦政府的钱包越鼓越好，而且“中国威胁论”也成为这些企业开拓欧美市场最好的营销广告。最终，在2024年3月11日，拜登政府公布的2025财年预算申请文件中，联邦政府在民事行政部门和机构的网络安全预算达到了创纪录的130亿美元，较2024财年又提高了10%。

　　  就在微软公司发布报告的前两个月，也就是2023年3月24日，微软公司获得了美国国防部联合作战云项目的第一批任务订单。在美国流明科技公司发布有关KV僵尸网络与“伏特台风”存在关联的分析报告的前一个月，2023年11月7日，美国流明科技公司刚刚赢得了美国国防信息系统局价值1.1亿美元的五年期合同订单。

　　  美国政客、高官和企业家因“伏特台风”虚假叙事赚得盆满钵满，而且也达到在国际社会抹黑中国形象、离间中国与他国关系、遏制中国经济发展的目的。

　　  美国政府搞小圈子、小院高墙，甚至操弄微软等公司开展虚假叙事，把网络攻击溯源当成政治游戏、当成打压中国的工具、当成攫取资本为自身谋利的抓手，彻底暴露了美“歇斯底里”和“无底线”的对华政策，以及美国政客、高官和企业家勾连腐败真相，这样只会破坏国际公共网络空间的正常秩序，破坏中美关系，影响美国政府在全球的声誉。

　　  近年来，中国公安机关侦破西北工业大学、武汉市地震监测中心等多个机构被美国家安全局、中央情报局网络攻击案件表明，美国才是真正的“黑客帝国”“窃密帝国”。（新华社记者）

　　美驻华使馆对中方调查“伏特台风”报告保持沉默专家：中国网络技术越来越有自证力

　　针对美国一段时间以来多次指责中国政府支持“伏特台风”发动网络攻击，中国网络安全机构在15日用一份详尽的调查报告证明，“伏特台风”是美国一些机构拼凑“证据”诬蔑中国，报告引发高度关注。《环球时报》记者向美国驻华大使馆和微软公司进行询问，截至发稿时均未获得回应。接受《环球时报》记者采访的专家16日表示，证据最有说服力，对于中方公布的技术调查报告，美方相关部门理应对此做出回应，而且美方应该明白，中国网络防御技术越来越具有自证和反击能力，以后少肆意捏造证据来诬陷中国。

　　4月15日，中国国家计算机病毒处理中心与360公司共同发布了《“伏特台风”——美国情报机构针对美国国会和纳税人的合谋欺诈行动》报告。报告显示“伏特台风”黑客组织实际上是没有国家和地区支持背景的、勒索病毒的网络犯罪团伙、暗黑力量。


　　《“伏特台风”——美国情报机构针对美国国会和纳税人的合谋欺诈行动》报告封面

　　随后，就报告中提到的“团队通过对相关报告的恶意程序样本技术特征进行分析后发现，样本并未表现出明确的国家背景黑客组织行为特征，而是与勒索病毒等网络犯罪团伙的关联程度更为明显。”等内容，《环球时报》记者分别向美国驻华大使馆和微软公司进行询问。“伏特台风”组织的名称来自于微软公司，并且微软公司定义将该组织描述为“所谓的具有中国国家支持背景的黑客组织”。截止本报发稿时间，两家均未给予回应。此外，中方报告中提及的美国相关机构也未在公开报道中做出回应，集体保持沉默。

　　15日下午，外交部发言人林剑在例行记者会上评论称，种种迹象显示，美国情报机构、网络安全企业为获取国会预算拨款、政府合同，合谋拼凑所谓的“证据”，散布中国政府支持对美网络攻击的虚假信息，“众所周知，美国才是最大的网络攻击的来源地，是网络空间安全的最大威胁。”林剑表示，一段时间以来，美国一些人贼喊捉贼，把网络攻击溯源当成打压中国的工具，将网络安全问题政治化，严重侵害了中方的合法权益。中方敦促美方立即停止对中国的网络攻击，停止对中国的污蔑抹黑。

　　北京外国语大学国际关系学院国际问题专家卓华16日接受《环球时报》记者采访时分析说，“伏特台风”是美国政府情报和执法部门、情报业务承包商、国会等默契配合编织的一个“涉华故事”，去年以来曾多次炒作，现在中方拿出了可靠的技术调查报告，证明这确是一起彻头彻尾针对中国的国际虚假叙事，美方相关部门理应对此做出回应。

　　卓华表示，近年来美国政府大搞对华“竞争”，在美国政府特殊的运作模式下，各部门把国家战略当作商机从中渔利，一定程度上形成了官商合谋的反华“产业链”，相关部门和企业为了争取部门权力、预算和经济收益，不惜肆意捏造证据，任何议题都要以所谓“中国威胁”做背书。美国各部门实际上对涉华虚假叙事的生产流程心照不宣，也很清楚这些虚假叙事站不住脚，经不起推敲，“但是，美方一些利益集团应该明白，近年来中国网络防御技术快速进步，不仅对美国的‘欲加之罪’越来越具有自证能力，对美国这个黑客帝国的网络攻击也越来越具有防御和反击能力，美国依托舆论和技术霸权肆意抹黑中国形象、危害国际网络安全的老路不再持久。”（环球时报 记者 郭媛丹 刘欣）