新時期網絡間諜活動方式、危害及其防控思考
被曝光的美國“棱鏡計劃”(PRISM)揭示了美國國家安全局(NSA)自 2007 年以來實施的絕密電子監控項目,即主要通過服務器監控個人隱私以挖掘情報、獲取信息的相關情況。該計劃提供給國家安全局的數據包括電子郵件、視頻和語音對話、視頻、照片、基于 IP 的語音傳輸(VoIP)內容、文件傳輸、登錄通知刪除和社交網絡詳細信息。這些通過網絡秘密開展的間諜行為使各國政府更加深刻意識到,間諜的行為方式不僅局限于竊聽、監視、重金收買等傳統的行動模式,而是已經扎根于網絡,利用網絡實施間諜活動,影響國家安全。
一、網絡間諜活動的主要方式
現代間諜情報學的觀點認為,凡參加一定的組織,并通常以一定的專業或名義為掩護,進行刺探、竊取他國或對方秘密情報,或進行反間、顛覆、破壞、暗殺等活動的人,統稱為間諜。基于此,網絡間諜是指受雇于特定組織并利用互聯網平臺獲取情報危害目標國家安全的人員。他們一般會利用開源渠道、使用間諜軟件等手段,入侵目標計算機系統獲取情報。相較于傳統間諜,網絡間諜活動更加隱蔽,危害后果更大且防控成本更高。
(一)非法入侵計算機網絡截取信息
網絡空間成為現代間諜活動的主戰場。網絡間諜通過非法入侵目標計算機網絡甚至使計機網絡癱瘓,截取信息以獲得情報。2021 年 7 月 22 日,外交部發言人趙立堅在回答記者提問有關一款名為“飛馬”(Pegasus)的間諜軟件受到國際輿論的廣泛關注時指出,世界上大多數網絡攻擊都來自美國,這早已是公開的秘密。公開資料顯示,美國國家安全局在華盛頓、紐約、舊金山、西雅圖等八大城市秘密建有網絡監聽中心,截取分析全球互聯網通信流量,監視通過美國本土的大量電子郵件、電話和在線聊天。在大量網絡工具和黑客隊伍的支撐下,美國對別國實施的網絡攻擊從未停止,或利用漏洞破壞核反應設施設備,或入侵電網并植入惡意代碼,或攻擊別國電網導致大面積停電和基礎設施癱瘓。美國還長期對別國重要設施和企業系統性竊取信息,導致他國遭遇巨大損失。
以美國為例,在“棱鏡計劃”曝光后,有關美國國家安全局、中央情報局、聯邦調查局使用間諜軟件的情況被逐漸披露。根據刊發在 2014 年第 6 期和2018 年第 10 期《保密與科學技術》上的文章《國外間諜軟件發展應用情況淺析》和《斯諾登事件一周年回顧之網絡間諜設備》,一些美國使用的典型間諜軟件如下表所示。
表 部分美國使用的典型間諜軟件
除使用間諜軟件外,通過攻擊、入侵計算機的方式開展間諜活動的事件也很多。據國家安全機關通報,僅 2018 年我國黨政機關、科研院所、軍工單位就有數百臺電腦被攻擊破壞,數百萬份資料被竊取。境外諜報機關多次實施網絡攻擊某服務黨政涉密機關的網絡科技公司竊取大量敏感數據資料、竊取某局人事科干部 QQ 郵箱中傳送的多份涉密地圖、破譯某局工作郵箱密碼竊取駐軍分布信息,此類案件層出不窮 。在這些案例中,網絡間諜通過 VPN 連接通道、破解涉密單位工作郵箱密碼、遠程控制 IP 地址等方式來竊取文件。此外,根據 360 公司發布的《藍寶菇(APT-C-12)核危機行動揭露》報告,從 2011年開始,高級攻擊組織 APT-C-12 對我國政府、軍工、科研、金融等重點單位和部門進行了持續 8 年的網絡間諜活動。
(二)在網絡空間拉攏策反網民招募間諜
拉攏策反是間諜活動的一種謀略手段。拉攏策反主要是指深入敵對一方的內部,采用政治影響、物質引誘,色情勾引、栽贓陷害、尋求把柄等種種計謀,秘密進行策動,使敵對一方的間諜或工作人員反叛過來,為己所用。在網絡空間間諜組織通常也是以此為手段,通過拉攏網民或招募間諜實現為自己竊取情報等目的。發表于 2015 年《保密工作》雜志作者為鄭祖軒的文章《境外特工設陷阱 單位職員中圈套 四川國家安全機關破獲多起國防軍工單位網絡間諜案》披露,在四川省國家安全機關“掃雷”專項行動中破獲的四起案件中,四名就職于同一國防軍工單位的嫌疑人,雖互不相識,但皆在網絡上被間諜招募、拉攏為其提供涉密信息。他們有的通過手機 QQ 尋找兼職,有的在網上投簡歷跳槽,還有的經熟人介紹,分別被境外間諜情報機構發展利用,進而走上了對外偷賣所在單位涉密信息的不歸路。
利用新媒體平臺社交工具進行策反。例如,利用微信的“搖一搖”功能,雖然微信顯示附近的人,但他們實際上卻是境外間諜機構的情報人員。2020 年,廣東省梅州市的鐘某就是通過微信“附近的人”功能與境外網絡間諜相結識并拍攝我國軍用機場照片發送給境外網絡間諜并獲取豐厚報酬。類似這類利用“附近的人”“求職”和“招聘”等噱頭拉攏利誘我國人員竊密的案例近年頻發。網絡間諜以“求職找我”或者“招工賺外快”的噱頭廣泛撒網,然后與“上鉤”的人員交流并建立聯系,將竊取我國秘密披上“求手稿”的外衣,或者利用目標對金錢的渴望進行利誘,直至使招募的目標人員不能自拔。
通過朋友介紹與網絡間諜建立聯系。網絡間諜大多會有針對性選擇人員進行搭線聯系,其中借助“朋友”就是網絡間諜使用的手段之一。2013 年,曾出現“境外朋友尋找目標推薦同學被策反”事件。在某國防軍工單位技術部供職的李某接到大哥電話,稱一個境外朋友(網名 S)想了解一些航空航天方面的知識。起初,李某保密意識很強,便婉言拒絕了,但經不住大哥多次勸說,最終還是與 S 在網上建立了聯系。S 聲稱所在公司準備進軍航空航天領域,以進行市場調查為由,要求李某利用工作之便協助搜集關于航空航天方面的期刊、論文等資料,由于單位內部資料管理較嚴,李某多次借閱未果,未能如期完成 S 交代的“任務”。為顧及情面,李某向 S推薦了在某航空航天大學讀研究生的同學程某,最終導致程某被策反,成為境外間諜情報機構的幫兇,并實施了危害我國國家安全的活動。
(三)開展高級可持續威脅攻擊
高級可持續性威脅(APT)攻擊是指具有國家或相關背景的黑客組織基于政治、軍事或商業等重大利益目的,針對如國家、組織或個人等特定目標進行的一系列隱蔽網絡攻擊行為。所謂“高級”是指攻擊方法和攻擊工具先進復雜,而“持續性”是指黑客組織連續攻擊目標對象,持續時間較長。
360 公司曾經捕捉到了以印度為背景的網絡間諜組織對我國醫療系統運用的高級可持續威脅攻擊。在我國新冠肺炎疫情防控期間,該組織假借散布關于疫情題材郵件的方式對我國進行網絡攻擊。其攻擊方式為廣泛發布郵件,對郵件進行偽裝,以疫情為素材做的文章為誘餌,騙取我方人員信任,將關鍵數據放在工作表(worksheet)里加密,然后在執行宏命令時對數據進行解密,當執行宏命令時,計算機就被網絡間諜攻陷了。
二、網絡間諜活動的危害
隨著信息技術的不斷發展,互聯網覆蓋范圍日益廣泛,網絡的發展給我們的工作生活等均提供了便利的活動空間,但互聯網是一把“雙刃劍”,在互聯網空間進行情報收集等活動,較之于現實空間更加具有隱蔽性好、信息量豐富、效率高、成本低等特點,互聯網已然成為各國網絡間諜活躍的重要場所。當然,這在我國也不例外。
(一)危害國家政治安全
政治安全是指國家主權、政權、政治制度、政治秩序以及意識形態等方面免受威脅、侵犯、顛覆、破壞的客觀狀態。互聯網時代,便捷和風險同在,堅持安全可控和開放創新并重,是行穩致遠之道。
新時期 5G 技術迅猛發展,互聯網平臺被我國政府部門在日常辦公中廣泛運用,便民利民辦公窗口在網上開辦,一些核心數據、政策以及發展戰略也以數據的形式存儲。我國的這種便民網絡服務近年也被一些網絡間諜垂涎。一些案例顯示,我國一些領域曾遭受境外網絡間諜的 APT 攻擊,攻擊領域涵蓋政府、IT、能源等諸多領域。在互聯網上對一個國家開展 APT 攻擊就是對一個國家的網絡入侵,已經嚴重影響一個國家的網絡空間主權,而網絡空間主權和國家主權密切聯系,由此國家政治安全即受到侵害。
(二)影響國家經濟安全
高級可持續威脅攻擊作為一種集合了多種攻擊手段的綜合攻擊方式,可以對特定攻擊對象展開持續有效的攻擊活動,造成極大的、持續的和有效的威脅。網絡間諜對我國進行高級可持續威脅攻擊竊取我國軍事、國防、教育、醫療以及科技前沿信息,對我國經濟安全造成嚴重破壞。360 公司發布于 2021 年 2月的《2020 全球高級持續性威脅 APT 研究報告》顯示,2020 年春節復工后,有 3 億多用戶使用遠程辦公,遠程辦公比例在復工 30 天內環比上升了 663%。據中國信息通信研究院抽樣調查結果,九成信息消費企業采取“遠程辦公為主、駐地辦公為輔”的開工模式。這不可避免地為網絡間諜活動提供了便利條件。根據卡巴斯基發布的消息,2020 年 10 月 27 日,俄羅斯衛生部的兩臺 Windows 服務器遭到破壞。攻擊者在服務器上安裝了復雜的惡意軟件模塊“wAgent”。它主要在內存中工作,并從遠程服務器獲取有效負載。隨著新冠肺炎疫情的加劇,具有一定政府背景的網絡間諜組織正在使用網絡間諜軟件通過攻擊獲取與新冠疫苗相關的信息。
(三)危害國家科技安全
維護我國科技安全是保障我國國家安全的一個重要因素。2014 年 11 月 16 日,《科技日報》刊發的劉躍進文章《科技安全是國家安全戰略的重要內容》指出:“科技和科技安全廣泛滲透于國家安全的各種領域、各個要素和各個因素之中。”科技是體現國家綜合實力科技前沿的直接體現,包括我國軍工企業的戰略武器研發、芯片工程、衛星等尖端科技研發成果以及下一步研發方向,沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化。建設網絡強國,要有自己的技術,有過硬的技術,尤其是關鍵的核心技術,對我國科技發展、經濟發展以及保障國家安全都起到了無可替代的作用。因此,我國科技安全依然是重中之重。
三、防控網絡間諜活動的幾點思考
近年來,隨著網絡技術的快速發展,網絡間諜活動帶來的威脅與影響愈加不容小覷,有針對性開展防范控制工作應得到重視,而更重要的是能具體地落到實處。
(一)進一步加強反諜防諜法治教育
2010 年,我國開始實施《保守國家秘密法》;2014 年,我國頒布實施了《反間諜法》;2015 年,我國頒布了《國家安全法》;2017 年,我國實施了《網絡安全法》。這些法律法規均明確了我國公民有維護國家安全和保守國家秘密的義務與責任。但是,近年來的一些案例顯示,我國公民尤其是大學生被網絡間諜策反的案例較多,所以,在全社會,特別是大學校園,宣傳相關法律顯得很有必要。通過法律宣傳,讓全社會了解我國反諜防諜相關的法律規范以及泄密造成后果的嚴重性,提高公民反間諜意識,進而建立堅實的網絡人民防線。
(二)加強重點部位的網絡設備管理工作
事實表明,網絡間諜大多通過 APT 攻擊我國企業或要害部位,因此,加強重點領域方面的管理工作非常必要。一是物理隔離涉密計算機。將涉密計算機系統進行物理隔離, “上網不涉密,涉密不上網”,可以直接杜絕網絡間諜利用互聯網這個渠道對我國進行攻擊;防止移動載體交叉應用感染病毒,不將自己的 U 盤、硬盤等外接設備接入涉密計算機。二是定期規范檢查網絡安全情況。定期更新漏洞,在此基礎上定期規范全面檢測涉密計算機,及時發現是否有惡意程序或者有被境外網絡間諜攻擊并竊取情報的記錄。
(三)發展網絡科技水平
網絡信息技術是全球研發投入最集中、創新最活躍、應用最廣泛、輻射帶動作用最大的技術創新領域,是全球技術創新的競爭高地。我國應瞄準網絡科技前沿,著力培養我國計算機領域高素質人才。尤其應加強基礎教育階段計算機基礎的普及教育,在專業教育方面要加深對計算機網絡空間技術的理解。在學校積極組織各種網絡競賽,積極引導學生參與互聯網學習,培養創新型人才,在面對未知的網絡攻擊時能積極反應,主動對抗。在國內著力組織網絡攻防對抗和攻防演練,把被動防御策略轉化為主動防御行動,及時更新我國互聯網漏洞,不給網絡間諜留有竊密可能。
(本文刊登于《中國信息安全》雜志2021年第10期)
掃碼關注我們
更多信息安全資訊
請關注“中國信息安全”
