黑客攻擊電腦網路系統示意圖(路透社)
美國安全問題專家星期四(2月17日)在國會公聽會上呼籲對更多中國大學進行制裁,以限制它們幫助中國發展網絡進攻的能力。與此同時,美國網絡安全公司研究發現,中國針對全球網絡安全漏洞發動襲擊的次數在去年大幅增加。
在這場由美國國會下屬的美中經濟與安全審查委員會(USCC)舉辦的公聽會上,美國智庫大西洋理事會客座研究員薇諾娜·德桑普瑞(Winnona DeSombre)說,中國是美國在網絡空間的主要對手。她說,美國情報機構多次強調,中國擁有強大的網絡攻擊能力,能夠對美國關鍵基礎設施造成破壞。
「習近平在網絡力量方面顯著提高了中國的論調和能力。他完成了軍隊的現代化,並將宣傳重點轉移到追求全球信息主導地位。」德桑普瑞說。
在回答USCC成員有關如何回應中國網絡威脅的問題時,傳統基金會高級研究員成斌(Dean Cheng)直言不諱地提出對那些為中國軍工單位出力的大學進行制裁。
成斌說:「中國的大學數量眾多,但其中有一些大學很有意思,它們不屬於教育部,實際上隸屬於工業和資訊化部——這是中國的軍工綜合體監督機構。這其中包括北京航空航天大學、南京航空航天大學、哈爾濱工業大學等,大約有八個。它們為中國軍工綜合體提供直接支援。」
成斌反問:「它們是否應該與美國的學術機構進行聯合研究……他們的學生是否應該被我們的各類機構錄取錄用呢?」
喬治城大學安全與新興技術中心研究分析員雷凱瑞(Dakota Cary)也在公聽會上呼應了成斌的觀點。他說,美國大學與美國政府之間不存在直接的網絡進攻技術的提供渠道,相反,中國安全部門與許多中國大學在這方面的聯繫密切,因此造成雙方網絡能力發展的不對稱性。
雷凱瑞在發言時說:「美國應該考慮將一些大學,列入美國商務部的實體清單。」
他在書面發言稿中提到,美國商務部的實體清單應該包括上海交通大學和東南大學。
「將這些學校列入清單不會阻礙它們為中國政府開展網絡能力方面的工作,也不會改變它們與政府的關係,他們的能力發展也不會放緩。」雷凱瑞強調:「但是,將這些大學列入清單,我們的決策者可以阻止這些大學的其他部門通過合作獲取美國人才和研究所需的高端技術。」
美國商務部目前已經將中國多個實體列入商務部的實體清單,這些實體涉嫌參與侵犯人權的行為、南中國海軍事化、侵犯美國智慧財產權等問題。根據美國法律,向「實體清單」的實體出口、再出口或轉讓受美國《出口管理條例》(EAR)管轄的物項均需向美國商務部工業與安全局(BIS)申請許可證,且許可審查政策為「推定否決」。
與此同時,美國網絡安全公司CrowdStrike最新發表《2022年全球威脅報告》指出,中國利用網絡漏洞進行攻擊的能力世界一流,在過去一年有上升的趨勢。
CrowdStrike情報部門觀察到源自中國行為者利用網絡安全漏洞實施入侵的次數在2021大幅提升,報告說,與中國相關的黑客去年利用了已知的12個漏洞,是2020年的6倍,影響了9個不同的網絡產品。
報告說,2021年標誌了中國黑客進攻方式的轉變。報告指出,中國黑客多年來依靠用戶疏忽,例如打開惡意文檔、下載惡意電郵中的附件、進入存在惡意代碼的網站等方式,對目標進行網絡攻擊;但中國黑客去年開始將攻擊的技術重點升級到利用直接面向網際網路的設備和服務的安全漏洞進行主動快速攻擊。
CrowdStrike情報事務高級副總裁亞當·邁耶斯(Adam Meyers)2月16日在一場網上說明會上說:「他們(中國黑客)越來越多地尋找企業級服務下手,比如VPN集中器、微軟 Exchange伺服器、原始碼存儲庫等等。」
邁耶斯還指出,中國黑客的襲擊目標與中國的政治目的契合。他說:「他們(中國)對(網絡漏洞的)研究所做的投資獲得了回報,他們能夠在相當長的時間內成功地利用這些漏洞,並進入目標,從而使他們能夠針對其間諜活動的目標搜集信息,無論是一帶一路倡議,還是十四五計劃、中國製造2025計劃,從香港民主運動到法輪功、西藏問題等地緣政治問題,都是他們關注的。」
「這對他們來說是一個非常有價值的過程,在過去的一年裡,他們非常有效地利用了這個過程。」
中國政府去年9月通過實施《數據安全法》強制公司在發現自身網絡安全漏洞時首先向北京方面匯報。分析認為,這項規定會增強中國自身的網絡安全防禦能力,同時讓中國黑客輕易獲取發動「零日襲擊」的網絡資源。
