雖然沒有炮火硝煙，但戰(zhàn)斗其實(shí)從未停止過。

在和平的年代，最讓人惡心的攻擊手段，莫過于挑動(dòng)輿情、擾亂認(rèn)知——讓你內(nèi)部不穩(wěn)，讓你自己人仇視自己人。

對于中國大陸的網(wǎng)民來說，最讓我們惡心的一伙兒，當(dāng)屬海峽對岸臺(tái)灣當(dāng)局操控的“網(wǎng)軍”——比如之前泰國某明星涉嫌辱華，被大陸網(wǎng)友批評后。這幫人立刻就開始帶節(jié)奏，冒充大陸網(wǎng)民在泰國網(wǎng)絡(luò)上大放厥詞，敗壞中國的國際形象。

我們平時(shí)上網(wǎng)，有時(shí)候就會(huì)碰到他們——雖然看著像是普通網(wǎng)民，但卻哪兒哪兒都不對勁。

這些“網(wǎng)軍”，并不是自帶干糧的散兵游勇，而是有組織有編制的“正規(guī)部隊(duì)”——臺(tái)灣當(dāng)局的“資通電軍”——他們利用技術(shù)手段，豢養(yǎng)了大量“機(jī)器人”賬號(hào)，一有社會(huì)事件，就開始散布虛假消息，操縱輿情走向，誤導(dǎo)大陸和中國臺(tái)灣地區(qū)普通網(wǎng)民的認(rèn)知。

中國大陸的互聯(lián)網(wǎng)本沒有那么多亂七八糟的東西，“臺(tái)灣網(wǎng)軍”多了，破事兒也就來了。尤其是那些“精日”言論，更是他們的特色。

你在網(wǎng)上看到的那些奇葩言論和逆天發(fā)言，

你在微信群里看到的各種所謂“爆料”“真相”的小圖片，

很可能都是臺(tái)灣當(dāng)局“資通電軍”精心制作的認(rèn)知戰(zhàn)武器。

更驚悚的是，“資通電軍”的背后，站著美國NSA（國土安全局）、CIA（中央情報(bào)局）這樣的情報(bào)機(jī)構(gòu)——他們給臺(tái)灣當(dāng)局的網(wǎng)軍黑客提供了不少裝備和技術(shù)支持，最近被廣州警方通緝的20名“臺(tái)灣網(wǎng)軍”里，有幾位就曾在2018年7月到美國參加過相關(guān)培訓(xùn)，甚至還在2019年夏天的香港搞過事情。

今天，我們就來聊聊這群像夏天的蒼蠅蚊子一樣惡心人的“網(wǎng)軍黑客”。

賽博斗法：魔高一尺，道高十丈

說起“臺(tái)灣網(wǎng)軍”的攻擊方式，就不得不提APT。不是前段時(shí)間網(wǎng)上很火的那個(gè)洗腦歌，而是Advanced Persistent Threat（高級持續(xù)性威脅）。

簡單來說，所謂的APT就是一群有組織的黑客，利用復(fù)雜精密的網(wǎng)絡(luò)攻擊武器，長期潛伏布局，不斷盜取機(jī)密，最后等待合適時(shí)機(jī)，給出最重的一擊。

具體到攻擊方式，APT組織的“起手式”往往是先對目標(biāo)進(jìn)行極為細(xì)致的研究——包羅萬象，無所不有，包括但不限于地址、人員構(gòu)成、郵箱、上下游合作伙伴、業(yè)務(wù)范圍、產(chǎn)品信息等等。

一旦完成了對目標(biāo)的充分研究，黑客們就會(huì)根據(jù)目標(biāo)資料，有針對性地通過發(fā)送“釣魚郵件”——如果目標(biāo)是高等院校，就發(fā)送虛假的“社科基金申請”文檔；如果目標(biāo)是企業(yè)，那你打開“個(gè)人所得稅匯算清繳”文檔前就可得掂量掂量。

總而言之，攻擊的套路特別多，但最終目的只有一個(gè)——騙你點(diǎn)擊相關(guān)鏈接，讓你感染病毒或開啟后門。

顯然，APT并不是單槍匹馬的黑客或者小團(tuán)伙能玩的東西。當(dāng)代APT組織的背后，或多或少都有官方的力量在參與——以曾經(jīng)對我國多個(gè)關(guān)鍵行業(yè)進(jìn)行過網(wǎng)絡(luò)攻擊的“APT-C-39”組織來說，經(jīng)過一系列溯源和查證，我們最后證實(shí)了該組織隸屬于美國中央情報(bào)局CIA。

這個(gè)領(lǐng)域里，目前已知最完美的一次攻擊發(fā)生在2015年12月23日，受攻擊目標(biāo)是烏克蘭西部伊萬諾-弗蘭科夫斯克的一座供電站——在那天的某個(gè)時(shí)刻，工作人員發(fā)現(xiàn)屏幕上的光標(biāo)開始自己移動(dòng)，無論他怎么操作也無法干預(yù)，最后只能眼睜睜看著鼠標(biāo)點(diǎn)擊了斷路器的開關(guān)。140萬戶居民的供電被瞬間切斷，整個(gè)烏克蘭都陷入了恐慌之中。

事后的分析調(diào)查，透露出了這群黑客的超強(qiáng)戰(zhàn)力。

黑客們通過前期調(diào)查，搞定了供電系統(tǒng)內(nèi)工作人員的個(gè)人信息。然后向工作人員們?nèi)喊l(fā)了一則名為《烏克蘭總統(tǒng)部分動(dòng)員令》的釣魚郵件，郵件里附帶了一份excel表格，打開后會(huì)要求安裝宏程序。

而不論你點(diǎn)擊同意或拒絕，在你點(diǎn)開excel的時(shí)候，它都會(huì)向系統(tǒng)灌注一個(gè)名為“黑色能量”的病毒，使黑客獲得訪問權(quán)限。

然后，黑客們會(huì)趁機(jī)黑入電網(wǎng)控制系統(tǒng)，破壞各種功能，使得監(jiān)控功能失效、備用電源無法啟動(dòng)、遠(yuǎn)程控制失靈——最終控制電腦關(guān)閉了電廠的斷路器。

甚至，在發(fā)動(dòng)進(jìn)攻之前，黑客們還對電力公司的客服系統(tǒng)進(jìn)行了DDoS攻擊——在襲擊發(fā)起前，呼叫中心接到了大量騷擾電話，而當(dāng)真正用戶報(bào)告停電的時(shí)候，他們聽到的卻是一句冷冰冰的“占線”。

更絕的是，在攻擊得手后，黑客們則執(zhí)行了kill disk，擦除了一切攻擊痕跡。

所以，關(guān)于這次襲擊，至今都沒有實(shí)質(zhì)性證據(jù)究竟是何人所為，一切都只能靠推理和猜測。

從這里我們也能看出，網(wǎng)絡(luò)攻擊的溯源是非常困難的。特別是針對APT組織的溯源，需要防守方掌握大量的安全數(shù)據(jù)，且還要求強(qiáng)大的知識(shí)儲(chǔ)備和豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)。

但我們是幸運(yùn)的——中國的網(wǎng)絡(luò)安全工作者們，就具備這樣的素質(zhì)。

看看國家計(jì)算機(jī)病毒應(yīng)急處理中心、計(jì)算機(jī)病毒防治技術(shù)國家工程實(shí)驗(yàn)室和360數(shù)字安全集團(tuán)三家機(jī)構(gòu)共同推出的《“蚍蜉撼樹”——臺(tái)民進(jìn)黨當(dāng)局“資通電軍”黑客組織網(wǎng)絡(luò)攻擊活動(dòng)調(diào)查報(bào)告》就知道了，在這份報(bào)告里，國家有關(guān)機(jī)構(gòu)和360集團(tuán)起底了臺(tái)灣網(wǎng)軍組織和旗下的五大黑客團(tuán)隊(duì)，清晰掌握了他們的行動(dòng)方式和特征指標(biāo)。

這是個(gè)什么概念？

搞APT是吧？想利用各種技術(shù)掩護(hù)偷襲是吧？

你算是踢到鐵板啦！

我不僅可以挖出來是哪個(gè)組織、用什么手段干的。

我甚至還能把你精確到個(gè)人的身份信息都給抖出來。

最近被廣州警方通緝的那20個(gè)“資通電軍”黑客，他們每一個(gè)人的姓名、照片、身份證號(hào)都已經(jīng)被我們掌握并公布了。

別人搞APT是“事了拂衣去，深藏功與名”；他們倒好，身為黑客，自己的個(gè)人身份信息被搞了個(gè)底兒掉而不自知——恐怕在被我們曝光之前，他們還覺得自己天衣無縫吧。

一句話概括就是：臺(tái)灣“資通電軍”在我們面前就和裸奔一樣，沒有任何秘密可言。

我們?nèi)绾巫R(shí)破這些“賽博特務(wù)”？

之所以我們具有凌駕于臺(tái)灣當(dāng)局“資通電軍”的戰(zhàn)斗力，是因?yàn)樵诨ヂ?lián)網(wǎng)安全方面，中國大陸的實(shí)力非常強(qiáng)悍——官方、民間、學(xué)術(shù)領(lǐng)域都有不俗的戰(zhàn)斗力。

國家安全部門在這一塊的實(shí)力就不多說了，實(shí)際上，在國家安全部門之外，我們還有國家計(jì)算機(jī)病毒應(yīng)急處理中心、計(jì)算機(jī)病毒防治技術(shù)國家工程實(shí)驗(yàn)室和360數(shù)字安全集團(tuán)這些重量級參與者。

比如那20個(gè)被廣州警方通緝的黑客，對他們的追蹤溯源其實(shí)就是國家相關(guān)部門和360合作完成的。上個(gè)月，這群黑客非法攻擊了廣州一家科技企業(yè)，360的安全專家團(tuán)隊(duì)在提取惡意代碼樣本后，很短時(shí)間內(nèi)就完成了溯源分析，鎖定了幕后黑手——隸屬于臺(tái)灣“資通電軍”的APT組織“烏蘇拉”。

是的，就是那個(gè)總被調(diào)侃的360——關(guān)起門來，360確實(shí)是讓人又愛又恨；但在外面，人家老周有事兒可是真的上啊。

為啥能這么快溯源呢？

因?yàn)椤爸褐耍賾?zhàn)不殆”嘛。

根據(jù)360創(chuàng)始人周鴻祎的介紹，360最近這十年來每年都要投入二三十億元做研發(fā)，累積下來將近300億投入，超過安全行業(yè)里第二名到第十名的總和。

這些真金白銀的研發(fā)投入，換來了全球最大的網(wǎng)絡(luò)安全大數(shù)據(jù)——根據(jù)《中國日報(bào)》的一則報(bào)道，2021年第九屆互聯(lián)網(wǎng)安全大會(huì)上，周鴻祎就透露過“360還積累了全球獨(dú)有的攻擊知識(shí)庫和知識(shí)樣本庫，樣本文件數(shù)總量已達(dá)到300億，每日新增1000萬，并煉就全球頂尖的網(wǎng)絡(luò)攻防專家團(tuán)隊(duì)。”

很多國家的網(wǎng)絡(luò)安全工作者，遭遇APT攻擊后不知所措，就像被人從后面套上麻袋打了一悶棍，搞不清楚是誰干的。

但在中國網(wǎng)絡(luò)安全工作者眼里，APT組織不出手則已，一出手，我們就能像查字典一樣把他們的手段、特征全都找出來。

畢竟，以360為代表的中國網(wǎng)絡(luò)安全行業(yè)，已經(jīng)跟境外APT組織斗爭了快20年了。2007年的時(shí)候，360就披露了首個(gè)來自臺(tái)灣省的APT組織“毒云藤”，隨后又揪出了“三色堇”“烏蘇拉”“匿名者”“金葉蘿”等APT組織——對臺(tái)灣省黑客這塊，360基本沒有對手。

沒辦法，交手都快20年了，太熟悉了。對面使用的各種武器、武器的各種特征各種戰(zhàn)術(shù)，早就已經(jīng)被情報(bào)知識(shí)庫給總結(jié)歸納了。

因此，我們的網(wǎng)絡(luò)安全工作者看臺(tái)灣省黑客，就好像老刑警看小混混一樣。

你知道360對臺(tái)灣省APT組織的評價(jià)是什么嗎？

“三流水平”

“反溯源能力比較弱”

“極其不專業(yè)”

舉個(gè)例子吧，臺(tái)灣來的這些黑客啊，不僅水平不咋地，作風(fēng)上也有大問題，主打一個(gè)氣急敗壞。一般有點(diǎn)段位的黑客組織，黑入系統(tǒng)后如果沒竊取什么有用的數(shù)據(jù)也不會(huì)聲張，而是靜靜潛伏下來等待時(shí)機(jī)。臺(tái)灣當(dāng)局的“網(wǎng)軍”就不一樣了，沒竊取到什么東西，就開始搞破壞，要么刪除系統(tǒng)數(shù)據(jù)，要么就格式化服務(wù)器。

且不說人家有沒有備份，也不說你這種操作其實(shí)帶來的損失極其有限。單純就沖著他們“用APT干這種事兒”一點(diǎn)，就非常上不得臺(tái)面。

另外，臺(tái)灣當(dāng)局手下的這些“網(wǎng)軍”，有時(shí)候明明只是黑進(jìn)了某個(gè)小網(wǎng)站，但是對外宣傳時(shí)候就說這是“大勝”；為了應(yīng)付上面的檢查，甚至都開始騙自己人了——編造一些虛假網(wǎng)站濫竽充數(shù)，自己攻擊自己，只要寫報(bào)告的時(shí)候有內(nèi)容糊弄上面就算贏。

“殺良冒功”這一塊，給他們學(xué)到精髓了屬于是。

其實(shí)都別說發(fā)動(dòng)攻擊了，有一些臺(tái)灣省黑客在前期調(diào)查研究階段就已經(jīng)暴露了。

另外，被看透的，又何止只有臺(tái)灣當(dāng)局的黑客呢？最近十年360捕獲了58個(gè)APT組織，占國內(nèi)發(fā)現(xiàn)APT組織總數(shù)的98%。其中包括了曾經(jīng)對西北工業(yè)大學(xué)和武漢市地震局進(jìn)行網(wǎng)絡(luò)攻擊的美國國土安全局和中情局的下屬團(tuán)隊(duì)。

只不過，“木秀于林，風(fēng)必摧之”，由于對美國黑客的阻擊，360毫不意外地成為了唯一一個(gè)被美國商務(wù)部和國防部雙重制裁的互聯(lián)網(wǎng)和安全企業(yè)——美國國會(huì)的一份年度報(bào)告里，在分析中國網(wǎng)絡(luò)安全現(xiàn)狀和實(shí)力的時(shí)候更是點(diǎn)了360十二次，將它視為中國最具威脅的網(wǎng)絡(luò)安全企業(yè)。

原因無他，360把美國人曾經(jīng)引以為傲的“情報(bào)單向透明”優(yōu)勢給打碎了，NSA和CIA，再也沒辦法像欺負(fù)別人那樣在我們這里來無影去無蹤了。

應(yīng)對來自AI時(shí)代的新挑戰(zhàn)

今年二月份，就在哈爾濱舉辦第九屆亞冬會(huì)期間，有關(guān)部門發(fā)現(xiàn)：包括亞冬會(huì)的賽事信息系統(tǒng)在內(nèi)，黑龍江省內(nèi)能源、交通、水利、通信、國防科研院校等敏感部門的關(guān)鍵信息基礎(chǔ)設(shè)施，都接二連三地遭到了來自境外的網(wǎng)絡(luò)攻擊。甚至多個(gè)基于Windows操作系統(tǒng)的特定設(shè)備，也接收到了來自境外的加密信息，對方似乎是打算喚醒Windows系統(tǒng)里提前預(yù)留的后門。

偵測到相關(guān)攻擊后，哈爾濱市公安局立刻組織了國家計(jì)算機(jī)病毒應(yīng)急處理中心和360等網(wǎng)絡(luò)安全機(jī)構(gòu)技術(shù)專家進(jìn)行追查。

結(jié)果不查不知道，一查嚇一跳。

這一次針對哈爾濱亞冬會(huì)的網(wǎng)絡(luò)攻擊，幕后的黑手居然來自美國國家安全局信息情報(bào)部數(shù)據(jù)偵察局的特定入侵行動(dòng)辦公室，甚至還有加州大學(xué)、弗吉尼亞理工大學(xué)等美國高等院校的參與。

在獲得確鑿的證據(jù)之后，4月15日，哈爾濱市公安局發(fā)布了一份非常罕見的懸賞通告——通緝凱瑟琳·威爾遜（Katheryn A. Wilson）、羅伯特·思內(nèi)爾（Robert J. Snelling）、斯蒂芬·約翰遜（Stephen W. Johnson）三名美國特工。

而在這場斗爭的背后，其實(shí)意味著我們正在面臨全新的挑戰(zhàn)——AI智能體黑客的攻擊，已經(jīng)到來了。

按照APT的基本套路，人類黑客組織需要長期調(diào)查研究后才能制定作戰(zhàn)方案、打造適合的黑客工具，因此攻擊范圍往往也比較小。但這一次不同，范圍巨大，不僅攻擊了賽事系統(tǒng)，甚至連許多基礎(chǔ)設(shè)施也被攻擊——AI智能體放大了黑客的殺傷力，創(chuàng)造出了不眠不休、全自動(dòng)攻擊、應(yīng)對速度遠(yuǎn)超人類的“超級黑客”。

根據(jù)360創(chuàng)始人周鴻祎所說，“有充分理由懷疑此次是人類首次利用AI智能體發(fā)起網(wǎng)絡(luò)攻擊”。

那么，面對這樣的對手，我們顯然也需要用AI來保衛(wèi)網(wǎng)絡(luò)安全。

實(shí)際上，現(xiàn)在的360也已經(jīng)開發(fā)出了相應(yīng)的安全專家智能體“AI紅客”——同樣的不眠不休、同樣的反應(yīng)迅速、同樣可以無限復(fù)制。

可以預(yù)見的是：AI時(shí)代的到來，不僅方便了我們的生活，讓我們感受到了科技的神奇。同時(shí)也帶來了前所未有的安全風(fēng)險(xiǎn)，對中國的網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)。

和平年代，也有激蕩的風(fēng)云啊。