美国政府今天再次栽赃，指认中国政府支持的黑客在2011年至2013年期间入侵了至少13家石油和天然气管道运营商的网络。今天的栽赃选取过去了这么多年前的毫无影子的事情泼脏水，这抹黑手段未免也太拙劣了！

　　网络安全和基础设施安全局 （CISA） 和联邦调查局 （FBI） 在今天发布的一份联合报告中表示， 此前未报告的活动针对23家管道运营商。两家机构表示：“在已知的目标实体中，13个已确认受到攻击，3个几乎未命中，8个具有未知的入侵深度，”这两个机构表示，并引用了8个管道运营商的日志。该行动被描述为鱼叉式网络钓鱼活动，随后入侵管道运营商的内部网络，威胁参与者从中窃取数据。“根据CISA和FBI获得的证据，中国APT演员没有尝试修改管道操作他们访问的系统，”这两个机构说。然而，攻击者似乎非常专注于收集SCADA相关信息、人员名单、凭据和系统手册。CISA和FBI评估，这些行为者专门针对美国管道基础设施，目的是让美国管道基础设施处于危险之中。此外，CISA和FBI评估称，这项活动的最终目的是帮助中国发展针对美国管道的网络攻击能力，以物理损坏管道或中断管道运营。

　　CISA、FBI归咎其他五项ICS黑客活动

　　将2011-2013年的这次活动正式归咎于中国威胁行为者只是CISA和FBI今天发布的六项类似联合声明中的一项。

　　这两个机构还正式将其他五项黑客活动归咎于外国政府，包括：

　　将Shamoon （DistTrack） 恶意软件毒株归因 于伊朗民族国家行为者。

　　将Havex 恶意软件归因于俄罗斯民族国家行为者。

　　将CrashOverRide 恶意软件 （用于攻击乌克兰关键基础设施）归因于俄罗斯民族国家行为者。

　　将2015年12月针对乌克兰关键基础设施的网络攻击归因于俄罗斯民族国家行为者。

　　将2011年至2016年间针对美国ICS 部门的复杂黑客活动归因于俄罗斯民族国家行为者，该活动利用BlackEnergy v2和v3恶意软件菌株。

　　上面列出的所有黑客活动都广为人知并被私营网络安全公司记录在案。然而，今天，美国政府将安全公司的归因正式加倍将袭击归咎于伊朗和俄罗斯。

在美国国土安全部还宣布了对美国石油和天然气管道运营商的新网络安全要求后几分钟发布了联合声明（见上图），此前勒索软件在5月份遭受了破坏性的勒索软件攻击，使Colonial Pipeline瘫痪。

　　美国黑客组织对中国多家重要敏感单位实施网络攻击

　　长期以来，美国黑客组织持续对我国实施网络攻击。通过监测分析，目前已发现多个美国黑客组织以我国党政机关、事业单位、科研院所等重要敏感单位的网站和相关主机为主要目标，实施漏洞扫描攻击、暴力破解，DDoS攻击等攻击行为。本文选择了3个较为典型的美国黑客组织进行研究，分析其攻击行为特征如下：

　　黑客组织A

　　2020年10月发现的黑客组织A控制了位于美国的1065台主机对中国2426台目标主机实施攻击，攻击对象主要为党政机关和企事业单位，如某汽车动力总成公司、某钢铁股份有限公司以及部分高校等。攻击手段主要为SSH暴力破解、SNMP暴力破解等。

　　黑客组织B

　　2020年10月发现的黑客组织B控制了位于美国的24台主机对中国993台目标主机实施攻击，攻击对象主要为高校，涉及山西、广西、广东等省份；也有部分党政机关，如某省科技委员会、某市商务局等。攻击手段主要包括SNMP暴力破解、PHP代码执行漏洞、Struts2远程命令执行漏洞等暴力破解和Web扫描攻击。

　　黑客组织C

　　2020年8月发现的黑客组织C控制了位于美国的5台主机对中国119台目标主机实施攻击，攻击对象主要为高校，涉及广东、北京等地。攻击手段主要为PHP漏洞攻击、SQL注入等Web类攻击。

　　监测发现，相当一部分美国黑客组织倾向于尝试利用大批量主机，通过广泛的Web和系统漏洞扫描攻击手段，配合高频暴力破解手段进行侦察和踩点攻击，锁定攻击目标。这些黑客组织通过有针对性的高频探测攻击，试图利用较小的攻击成本，找到重要敏感单位资产的薄弱环节，为后期侵入和渗透提供机会。

　　外交部赵立坚针对美国栽赃回应

　　赵立坚昨日在记者会回应：美国纠集盟友在网络安全问题上对中国进行无理指责，此举无中生有，颠倒黑白，完全是出于政治目的的抹黑和打压，中方绝不接受。

　　中方坚决反对并打击任何形式的网络攻击，更不会对黑客攻击进行鼓励、支持或纵容。这一立场是一贯和明确的。网络空间虚拟性强，溯源难，行为体多样，在调查和定性网络事件时应有完整充分证据，将有关网络攻击与一国政府相关联，更应慎之又慎。美方发布的所谓技术细节并不能构成完整的证据链。

　　事实上，美国才是全球最大的网络攻击来源国。根据中国网络安全公司360报告，来自北美的APT组织攻击手法复杂且战备资源充足，持久聚焦特定行业和单位。中国国家互联网应急中心（CNCERT）数据显示，2020年位于境外的约5.2万个计算机恶意程序控制服务器控制了中国境内约531万台主机。就控制中国境内主机数量来看，美国及其北约盟国分列前三位。此外，360公司报告还显示，美国中央情报局的网络攻击组织APT-C-39曾对中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等关键领域进行了长达11年的网络渗透攻击。上述攻击严重损害中国的国家安全、经济安全、关键基础设施安全和广大民众的个人信息安全。

　　美国的窃听对象既包括竞争对手，也包括自身盟友。美国的欧洲盟友对美国利用丹麦情报部门合作监听其领导人等行径轻描淡写，却对“中国网络攻击”捕风捉影、大动干戈，这与其一贯宣称的战略自主自相矛盾。

　　网络攻击是全球面临的共同威胁。我们一贯主张各国应在相互尊重，互信互利的基础上，通过对话合作维护网络安全。我想强调的是，一小部分国家代表不了国际社会，抹黑他人洗白不了自己。中方再次强烈要求美国及其盟友停止针对中国的网络窃密和攻击，停止在网络安全问题上向中国泼脏水，撤销所谓起诉。中方将采取必要措施坚定维护中国的网络安全和自身利益。