谁在黑中国

　　--- 境外对华网络攻击报告

　　境外对华网络攻击报告

　　国际上通常认为发起这种攻击的源头具有更高、更复杂的背景

　　尽管故意炒作的“中国黑客威胁论”甚嚣尘上，但数字表明，中国恰恰是网络攻击的最大受害国之一。

　　来自中国国家计算机网络应急技术处理协调中心(CNCERT/CC)的报告显示，在中国遭受的境外网络攻击中，无论木马或僵尸网络控制服务器控制境内主机数量，还是网站后门、网络钓鱼等，来自美国地址的攻击均名列第一。

　　作为国家公共互联网网络安全应急体系的核心技术协调机构，CNCERT/CC最近发布的《2012年中国互联网网络安全报告》认为，针对中国网络基础设施的探测、渗透和攻击事件时有发生，虽尚未造成大规模严重危害，但高水平、有组织的网络攻击，给中国的网络基础设施安全保障带来严峻挑战。

　　仅2013年上半年，CNCERT/CC共向国际网络安全应急组织和其他相关组织投诉1760起，其中向美国相关组织投诉1110起。

　　CNCERT/CC运行部主任、《2012年中国互联网网络安全报告》编委会执行委员王明华在接受《瞭望东方周刊》采访时表示，互信是进一步推进国际网络安全合作的关键环节。避免用“有色眼镜”看待网络安全问题，是促进国际合作、缓解各国网络安全威胁的前提。

　　千万台境内电脑“失陷”

　　根据《2012年中国互联网网络安全报告》，2012年中国境内有1419.7万余台主机受到境外木马或僵尸网络控制，较2011年增长59.6%。

　　其中，被来自美国IP地址的木马或僵尸网络控制的服务器和主机数量，占全部的17.6%和74%，均名列第一。

　　僵尸网络是指攻击者通过各种途径传播“僵尸”程序，感染互联网上的大量主机，而被感染的主机将通过接收攻击者的指令，组成一个僵尸网络。

　　如果从中国境内服务器被控制的比例来看，来自日本和中国台湾的IP地址紧随美国之后，分列第二、三位，分别占9.6%和7.6%；从控制的中国境内主机数量来看，来自韩国和德国的IP地址分列第二、三位，分别控制78.5万和77.8万台主机。

　　在网站后门攻击方面，境外有3.2万台主机通过植入后门，对境内3.8万个网站实施远程控制，美国、韩国和中国香港位于前三位。

　　在网络钓鱼攻击方面，针对中国的钓鱼站点有96.2%位于境外。其中位于美国的占83.2%，仍然位居第一。

　　王明华告诉本刊记者，截至2013年6月30日的数据表明，从控制服务器所占比例来看，美国继续排名第一，中国香港变成了第二位，韩国位列第三；从所控制的中国境内主机数量来看，美国第一，葡萄牙和中国香港分列第二、三位。

　　中国香港虽然IP地址、主机、人口数量都不多，但是“现在互联网跳板非常多，香港的排列次序变化，只能说与其网络安全形势、政策、策略、防护机制等有一定关系”。他解释说，国家和地区次序的变化，与当地互联网管理的策略有多种关系。

　　比如韩国互联网比较发达，人均带宽位居世界第一，并且存在互联网近邻效应。它与中国的交流多、流量大，网络安全事件就可能多一些。

　　“美国IP地址最多、机器也多，排第一位，我们不感到意外。”他认为。

　　根据CNCERT/CC数据，自2010年以来，来自美国、日本、韩国的攻击始终对中国境内的网络安全造成较大威胁，印度、土耳其等也成为重要的攻击源头。3年来，对中国境内实施网页挂马、网络钓鱼等不法行为，所利用的恶意域名半数以上在境外注册，而且境外注册比例不断提高。

　　CNCERT/CC工程师、《2012年中国互联网网络安全报告》编委会委员徐原对《瞭望东方周刊》说，CNCERT/CC只能监测到大部分发起攻击的IP地址位于美国，但并不能确认其来自政府还是民间。同时，发起攻击的IP地址可能受别人控制。而追究这些根源，都需要外国政府和相关机构、企业的配合。

　　“冷战思维”的国际黑客

　　虽然确定攻击源头存在一定难度，但“匿名者”、“反共黑客”、“阿尔及利亚Barbaros-DZ”等境外黑客组织已经浮出水面。

　　徐原向本刊详细介绍说，CNCERT/CC 从2010年就开始重点关注“匿名者”。这是一个比较松散的黑客组织，理念是“互联网自由”，只要认可这一理念的黑客，都可以“匿名者”的名义从事黑客活动。

　　由于这种组织架构，据称其成员高达数百万人，遍及世界各地。他们主要在网上论坛集结，经常对各个国家政府网站发动攻击，篡改网页内容。

　　也有信息显示，“匿名者”目前已成为全球最大的黑客组织。它于2003年成立，由一个网络信息论坛里喜欢恶作剧的黑客和游戏玩家发展而成。

　　自2008年开始，“匿名者”表现出比较明显的政治倾向，对“自由之敌”开战：参与中东动荡、“占领华尔街”、“维基解密”、阿桑奇等事件。甚至当网络支付平台PayPal拒绝为“维基解密”提供转账服务时，也受到了“匿名者”的攻击。

　　“匿名者”明显表现出西方精英阶层某部分人惯有的歧视和偏见。目前被美国联邦调查局逮捕的“匿名者”负责人也都符合西方黑客的典型特征：年轻、白人、男性。

　　“匿名者”在政治事件上最著名的案例是，他们对2011年突尼斯的国内政治动荡起到一定助推作用。“匿名者”当时不仅攻破了突尼斯证券交易所和众多政府网站，而且还教授不同政见者如何摆脱政府的网络管理。

　　CNCERT/CC发现，“匿名者”针对中国的攻击者主要来自自称为“Anonymous China”的ID。

　　它主要关注中国境内政府网站以及一些存储有大量用户信息的重要行业网站，通常利用文件上传等漏洞进行渗透，窃取大量网站用户账号和私密信息。据不完全统计，其关注的中国境内目标网站超过600个，其中包括上百个政府部门网站。

　　根据“匿名者”的传统，在攻击中国境内网站成功后，该组织成员会通过网络社交工具、网络聊天室等网络媒介展示其攻击成果。

　　2012年3月、4月、11月，“匿名者”多次宣称攻击了中国政府和大型企业网站。4月至7月，CNCERT/CC监测发现并报告了“匿名者”对最高人民法院、国家自然科学基金委、水利部、商务部等网站的攻击事件。

　　另一个经常对中国境内网络进行攻击的典型组织是“反共黑客”，它具有很强的意识形态色彩和“冷战思维”。

　　王明华说，该组织的攻击主要针对党务系统的网站，以及部分高校与社会组织网站。攻击成功后，它篡改网页，在网页上显示一些反共口号，发布的言论经常与当前一些时事热点结合，有较强的煽动性。同时，它也会在谷歌地图上做标记，注明攻陷网站名称和具体时间，然后通过网络媒介迅速扩大影响。

　　截至2012年12月31日，CNCERT/CC共监测到涉及90个部门的142个网站被该组织篡改。

　　王明华进一步介绍，“反共黑客”的活动很有周期性，每周都要攻击两三个网站。根据初步研判，“反共黑客”能持续发布攻击案例，说明其已经掌握了中国境内大量网站的漏洞，可能采用了预先植入后门等手段，控制了一些网站服务器以备使用。

　　而自2012年3月到12月31日，中国境内超过1250个政府网站页面被“阿尔及利亚Barbaros-DZ”篡改。

　　王明华说，至2013年三四月，他们通过搜集“阿尔及利亚Barbaros-DZ”在网络上建立的账号、帖子、博客，以及在各处的留言，分析出他其实就是具有较强宗教倾向的个人。

　　“是一个黑客，而不是一个组织。”徐原说，CNCERT/CC还找到了他的照片。