2024年2月1日,美国众议院中国问题特别委员会围绕2023年5月被美国微软公司披露的名为“伏特台风”(Volt Typhoon)且所谓“具有中国政府支持背景”的黑客组织展开讨论,称其对美国关键基础设施发动了网络攻击并试图进一步实施破坏,给美国国家安全造成严重威胁。
实际上,早在2023年5月相关“披露”出现时,中国国家计算机病毒应急处理中心已第一时间联合360数字安全集团成立技术团队开展调查工作,全程参与此案技术分析。技术团队通过对相关报告的恶意程序样本技术特征进行分析后发现,样本并无表现出明确的国家背景黑客组织行为特征,而是与勒索病毒等网络犯罪团伙的关联程度明显。“伏特台风”黑客组织具有“中国政府支持背景”纯属栽赃陷害,此举意图以不实归因打压中国对外形象与发展。
归因分析指向“暗黑力量”
一直以来,网络攻击活动的归因分析都是国际性难题。“伏特台风”这一名称和归因都源自美国微软公司的技术分析报告和五眼联盟发布的联合预警通报,但上述报告并没有给出详细的归因分析过程和根据,且报告中也提及,黑客使用逃避检测技术为取证和溯源工作带来较大困难。
360数字安全集团联合中国国家计算机病毒应急处理中心克服重重困难,通过对报告给出的相关攻击活动技术特征(IoC)进行溯源分析,发现相关恶意程序样本关联多个IP地址。这些IP地址与很多的网络攻击事件相关,并且也存在多个IP地址与同一攻击事件或网络安全风险存在关联的现象。其中与上述5个IP地址都有关联的网络攻击事件报告是美国威胁盟(ThreatMon)公司于2023年4月11日发布的《关于“暗黑力量”(Dark Power)勒索病毒团伙研究报告》。
拨开层层障眼法,上述恶意程序样本技术特征与这一名为“暗黑力量”的勒索病毒网络犯罪团伙关联程度密切。报告显示,“暗黑力量”首次被发现攻击活动时间为2023年1月,仅2023年3月就至少有10个以上的全球范围内机构遭到该组织攻击并被勒索。受害机构所在国家包括阿尔及利亚、埃及、捷克、土耳其、以色列、秘鲁、法国、美国等。
该组织使用典型的“双重勒索”方式,即:先入侵受害单位的内网,进行数据窃取,窃取到重要数据后,再最后进行加密勒索,同时威胁用户如果不按时缴纳赎金,将在网络上公开泄露受害单位的敏感内部数据。最为关键的是,该组织同样在攻击中部分使用了“无文件攻击”技术,即使用Windows操作系统自带的管理工具(WMI)关闭系统进程,并在攻击结束前对攻击过程中产生的相关系统日志信息进行清理,最后留下一个勒索信告知受害单位。
暗黑力量组织的勒索信
另外,通过对美国流明科技公司发布报告中包含的恶意程序样本和IP地址等技术特征进行检索,并未找到其与微软公司和五眼联盟预警通报中所述技术特征之间的关联关系。
至此,技术团队判定来自“伏特台风”的恶意程序样本并未表现出明确的国家背景黑客组织行为特征,反是与“暗黑力量”勒索病毒等网络犯罪团伙的关联程度明显。在此情况下,仅凭受害单位和攻击者的攻击技战术这些模糊的归因因素就将“伏特台风”扣上所谓“中国政府黑客”的帽子未免过于牵强。
以安全大模型为核心构建 360安全云防勒索解决方案
近年,随着网络武器泄露和攻防技术快速扩散导致网络犯罪分子的技术水平显著提高。部分勒索病毒组织和僵尸网络运营者拥有的资源和技术能力已经超过一般国家,甚至已经能够达到网络战水平。同时,勒索病毒组织与僵尸网络运营者早已建立了成熟的地下黑色产业合作模式,在利益的驱使下,这些网络犯罪团伙活动日益猖獗,成为全球各国面临的共同威胁。
面对当前复杂的网络威胁,360基于多年攻防实战经验和能力推出以安全大模型为核心的360安全云防勒索解决方案,通过云化数据、探针、专家、平台和大模型能力,开放共享给广大政企机构,构建了高效预防、自动监测、智能处置的勒索病毒防御体系,实现多方位、全流程、体系化的勒索防护。
未来,360将持续发挥自身技术优势和能力优势,持续完善以安全大模型为核心的安全云解决方案,守护国家网络安全和基础设施安全,筑牢数字安全屏障。