伏特台风 - 中科通讯

简介

2024年4月15日上午，国家计算机病毒应急处理中心发布“伏特台风——美国情报机构针对美国国会和纳税人的合谋欺诈行动”报告，报告指出“伏特台风”的真相是美国把网络攻击溯源当成政治游戏，当成打压中国的工具，当成为自身谋取经济利益的抓手，也彻底暴露了美“歇斯底里”和“无底线”的对华政策，以及美国政客、高官和企业家勾连腐败的真相。

组织溯源

强制贴标签

2023年4月，微软公司公布的该公司黑客组织命名规则，其中将以所谓具有“中国政府支持背景”的黑客组织冠以“台风”作为姓氏，其他部分国家也被分配了相应的姓氏。

2023年5月24日，“五眼联盟”国家（美国、英国、加拿大、澳大利亚、新西兰）的网络安全主管部门联合发布了名为《中华人民共和国国家支持背景的黑客正在使用逃避检测技术》的预警通报，预警通报称名为“伏特台风”的黑客组织针对美国关键基础设施单位实施了网络间谍活动。该预警通报直接引用了微软公司于2023年5月24日发布的《“伏特台风”组织利用逃避检测技术针对美国关键基础设施发动攻击》的技术分析报告和溯源分析结果。微软公司技术分析报告中将攻击者按照微软公司的内部规则命名为“伏特台风”，并直接指出该组织是所谓“总部位于中国且由国家政权支持的网络攻击行为主体”。技术报告详细介绍了攻击者的技战术特征和感染指标（IoC）等，但没有给出具体的溯源分析过程，而是直接给“伏特台风”打上了“中国政府支持背景黑客组织”的标签。纽约时报称，美国情报机构在2023年2月发现关岛和美国部分地区的电信网络遭到入侵，并将上述攻击与相关预警通报联系起来。

2023年12月13日，美国流明科技（LumenTechnologies，Inc）公司（美国仅次于AT&T和Verizon的第三大固网电信公司）旗下网络安全研究机构“黑莲花实验室”（BLACKLOTUS Labs）发布了一篇名为《在开放的防火墙上烧烤路由器：KV 僵尸网络调查》（Routers Roasting On AnOpen Firewall）的报告，报告中再次提及“伏特台风”组织，并认为该组织在攻击活动中利用被命名为“KV 僵尸网络”（KV-Botnet）的物联网僵尸网络作为跳板，其溯源理由是KV 僵尸网络在2022年7月使用了美国网件公司（NetGear）ProSAFE 防火墙作为网络中继节点并与位于关岛的IP地址存在关联。微软公司报告称，“伏特台风”利用包括美国网件公司在内的多个品牌小型商用和家用网络设备作为跳板攻击了关岛的电信运营商。

污名化中国

2024年1月31日，美国政府密集采取了一系列动作，美国司法部网站公开发布名为《美国政府破坏了中华人民共和国用来掩盖针对美国关键基础设施实施网络攻击的僵尸网络》的通报，通报称2023年12月，经法院授权，美国司法部开展专项行动，成功从美国全国数百台路由器上清除了KV僵尸网络程序。同日，美国网络安全与基础设施安全局（CISA）和联邦调查局联合发布关于《改善小型商用和家用网络设备网络安全状况的指导意见》，声称鉴于包括中国政府支持的“伏特台风”组织在内的黑客组织正在针对小型商用和家用网络设备进行攻击，美国政府敦促所有相关设备生产商应加强网络安全设计并及时修复漏洞。

2024年2月1日零时（美国东部时间1月31日12时），美国国会众议院中国问题特别委员会在华盛顿众议院办公楼举行了“中共对美国国土和国家安全的网络威胁”听证会，会议由美国国会众议院中国问题特别委员会主席，共和党人麦克·加拉格尔主持。美国网络安全机构中的网络司令部司令兼美国国家安全局（NSA）局长中曾根、国土安全部下属网络安全与基础设施安全局（CISA）局长简·伊斯特利、联邦调查局（FBI）局长克里斯托弗·雷、国家网络总监办公室（ONCD）主任哈里·库克参加会议并接受了国会议员的质询。此次会议上，麦克·加拉格尔称，2023年5月被美国微软公司披露的名为“伏特台风”且所谓“具有中国政府支持背景”的黑客组织对美国关键基础设施发动了网络攻击并试图进一步实施破坏，给美国国家安全造成严重威胁。随后，四位接受质询的高官进一步表示，中国随时可以通过网络攻击颠覆美国政权甚至通过破坏关键基础设施将美国民众置之于死地。

2024年4月18日，美国联邦调查局局长克里斯托弗·雷在美国田纳西州范德比尔特大学公开表示，由中国政府支持的“伏特台风”组织成功入侵了包括23个管道运输行业运营商在内的众多美国公司。

中国调查

发布调查报告

2024年4月15日，中国国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室和360数字安全集团联合发布了题为《伏特台风——美国情报机构针对美国国会和纳税人的合谋欺诈行动》的调查报告，指出伏特台风是由微软公司根据其黑客组织命名规则命名而来的国际勒索软件组织。报告对美方2023年以来集中炒作所谓“伏特台风”组织的真实来源进行了溯源分析，揭示了该组织勒索病毒犯罪团伙的真实面目和美方借此对华炒作的幕后真相。报告公开发布后，多家知名媒体向美国驻华大使馆和微软公司驻华分支机构多次进行询问，均未获得正面回应。

开展溯源分析

美国微软公司的技术分析报告和“五眼联盟”发布的联合预警通报中都认为“伏特台风”组织有着所谓“中国政府网背景”，但均未给出详细的归因分析过程和根据。根据微软公司在两份报告的末尾部分给出的相关攻击活动的技术特征，中国国家计算机病毒应急处理中心计算机病毒防治技术国家工程实验室联合360数字安全集团对此展开了溯源分析。

技术分析

联合调查技术团队对两份报告的技术特征部分给出的样本信息进行了统计，去除重复项后，最终联合调查技术团队发现13个样本分别与多个IP地址存在关联，而且每个IP地址都关联多个样本。随后，联合调查技术团队再次利用VT平台的威胁情报关联分析工具对上述5个较为集中的IP地址进行了分析，发现这些IP 地址与很多的网络攻击事件相关，并且也存在多个IP地址与同一攻击事件或网络安全风险存在关联的现象，其中与上述5个IP地址都有关联的一个网络攻击事件报告是美国威胁盟（ThreatMon）公司在2023年4月11日发布的《关于“暗黑力量”（Dark Power）勒索病毒团伙研究报告》。联合调查技术团队在报告中找到了相关IP地址列表。

报告研读

报告中，威胁盟公司介绍了一个自称“暗黑力量”的勒索病毒组织。据该公司监测，第一次发现该组织攻击活动是在2023年1月，且仅2023年3月就至少有10个以上的全球范围内机构遭到该组织攻击并被勒索。受害机构所在国家包括阿尔及利亚、埃及、捷克、土耳其、以色列、秘鲁、法国、美国等。2023年3月21日，美国记录未来（Recorded Future）公司旗下网络安全媒体“TheRecord.media”称，关岛最大的电信公司DOCOMO PACIFIC（日本NTTDOCOMO的全资子公司）于2023年3月16日遭到网络攻击并导致服务中断，并指出包括汤加、瓦努阿图等多个太平洋岛国都遭到过勒索病毒组织攻击。DOCOMO PACIFIC 公司也承认了这一事件。

发现疑点

联合调查技术团队对美国流明科技公司发布的关于KV僵尸网络的报告中包含的恶意程序样本和IP地址等技术特征进行了检索（使用 VT 平台），但并未找到其与微软公司和“五眼联盟”预警通报中所述技术特征之间的关联关系，反而与勒索病毒等网络犯罪团伙的关联程度更为明显。在中国发布报告后，美方为了掩盖证据，指使威胁盟公司将已经发布的报告内容进行篡改。联合调查技术团队发现，“五眼联盟”国家炮制的预警通报并没有得到美国国内相关网络安全企业的一致认同，而且相关企业也并未获知具体的攻击案例和技术细节。此外，美国政府机构通报的内容与重要政治人物发表的言论前后矛盾。2024年1月31日，美国司法部网站公开发布相关通报称，已于2023年12月开展专项行动，成功破坏了所谓的“中国国家支持的黑客”入侵美国关键基础设施的努力。然而在4月18日，美国联邦调查局局长公开讲话时却声称“与中国政府有关的黑客组织已经潜入美国关键基础设施”。

揭露幕后真相

复盘计划

中国网络安全机构在研究报告中全面复盘了美国政府机构策划实施的“伏特台风”虚假叙事行动计划，明确指出，整个计划至少起始于2023年初，主要分为三个阶段并在持续进行。美国政府机构策划该行动计划的背景主要是美国情报机构在全球和美国国内实施互联网监控的重要法律依据《涉外情报监视法案》（Foreign Intelligence Surveillance Act, FISA）第702条款将于2023年底到期作废，以及美国情报机构无法全面控制中国互联网企业。在计划的准备阶段（2023年1月至2023年5月），美国政府官员一方面不断呼吁国会延续“702条款”，另一方面在关岛美军基地虚构网络攻击事件，并指使微软公司炮制技术分析报告，并拉上其他五眼联盟国家相关机构，为延续“702条款”全力造势。在攻坚阶段（2023年6月至2024年1月），美国政府机构一方面不断利用虚构的“伏特台风”组织恐吓国会议员，并不惜利用各种“小动作”，使702条款得以暂时延续，同时还与部分反华议员勾结并密谋打压中国互联网企业的计划。在成果巩固阶段（2024年2月-2024年4月），美国政府机构成功通过这一虚假信息行动，推动国会参众两院正式通过法案，并达到702条款长期延续和对打压中国互联网企业的最终目的。

指出目的

美国国会、美国司法部、美国国土安全部共同针对“伏特台风”开展一系列动作，主要是为了提高网络安全预算、为大选造势以及确保美国企业获利。根据1921年颁布的美国《预算与会计法案》，美国总统必须在每年2月的第一个星期一前，向国会提交包括联邦政府下一财年预算申请在内的预算报告。而在听证会上，美国国会议员以及美国负责网络安全的有关部门大肆鼓吹“中国威胁论”，要求国会在网络安全方面进一步加大人、财、物投入。其次，2024年美国总统大选举世瞩目，共和、民主两党不想在中国问题上“丢选票”，通过公开“讨伐”中国，国会议员们可以提高自身曝光率，收获不错的政治资本，部分议员甚至叫嚣对中国进行反击，并封禁TikTok。最后，美国网络安全企业希望美国联邦政府能有更加丰厚的资金，且“中国威胁论”成为了这些企业开拓欧美市场最好的营销广告。

2024年3月11日，拜登政府公布的2025财年预算申请文件中，美国联邦政府在民事行政部门和机构的网络安全预算达到了创纪录的130亿美元，较2024财年又提高了10%。其中，美国网络安全与基础设施安全局预算达到30亿美元，较上一年度增加1.03亿美元。美国司法部和联邦调查局预算增加了2500万美元专门用于“网络和反间谍调查能力”建设。另外，2023年3月24日，微软公司获得了美国国防部总额90亿美元的联合作战云（JWCC）项目的第一批任务订单。2023年11月7日，美国流明科技公司赢得了美国国防信息系统局（DISA）价值1.1亿美元的五年期合同订单。

洗清嫌疑

2024年7月7日，中国国家计算机病毒应急处理中心表示，中国国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室和360数字安全集团的共同调查结果表明，“伏特台风”虚假信息行动的起始时间不晚于2023年初，是由美国国家安全局（NSA）、联邦调查局（FBI）等美国情报机构幕后策划，美国国会反华议员，美国白宫、司法部、国防部、能源部、国土安全部等多个联邦政府行政单位以及“五眼联盟”国家网络安全主管部门共同参与的一场虚假信息和舆论操控行动，符合美式网络营销的典型特征，属于彻头彻尾的、基于精准广告投送的“认知域”作战。在此次行动中，美国情报机构滥用自身行政权力，操纵网络安全企业和其他行政机构，通过制作传播虚假信息，制造和渲染“中国网络威胁论”，欺骗美国纳税人、国会议员，侵害中国企业合法权益，力推被称为“无证监视法案”的美国《外国情报监视法案》（FISA）702条款获批延续，并争取国会批准更大规模的预算投入，进一步巩固和强化美国情报机构的网络渗透能力，特别是加强对外攻击和威慑竞争对手，以及对内监视和控制民众的能力。