In first massive cyberattack, China targets Israel *****TStG5cgMLx
— Haaretz.com (@haaretzcom) August 10, 2021
Hackers that attacked computers across Israel’s government and tech companies left fairly blunt attempts to suggest they were Iranian spies... except they weren't. They were Chinese hackers posing as a team from Tehran. *****gdiwdqwdQo
— MIT Technology Review (@techreview) August 12, 2021
2021年8月16日
美国一项最新研究发现,疑似北京支持的网络黑客利用网络伪装技术,对以色列实施网络攻击并嫁祸于伊朗。分析人士说,如证实的确系北京所为,说明中国可能是为其一带一路项目和贸易协议谋求利益,并试图从政治上离间伊朗与以色列的关系。
美国网络安全公司“火眼”(FireEye)8月10日发布消息称,该公司与以色列军方合作进行的最新研究发现,怀疑是来自中国的某间谍集团“UNC215”利用远程桌面协议(RDP),从受信任的第三方窃取信任凭据后侵入以色列的政府网络。
火眼公司旗下的“曼迪安特”(Mandiant)分析了从遥测中收集的数据,以及以色列实体与政府当局合作共享的信息。数据显示,从 2019 年 1 月开始,间谍集团“UNC215”针对以色列政府机构、IT供应商和电信实体,发动了多次并发攻击行动。
“曼迪安特”:中国黑客假扮伊朗人袭击以色列
该研究还发现,间谍集团“UNC215 ”以中东、欧洲、亚洲和北美的私营公司、政府和各种组织为主要攻击目标。在2019年和2020年期间,当这些黑客侵入以色列政府和科技公司的电脑时,调查人员寻找线索,查找出了网络攻击的责任者。最初的证据直接指向了伊朗,而伊朗是以色列最具争议的地缘政治对手。黑客使用了通常与伊朗人相关的工具,并且以波斯语书写。
但是,在调查人员对已掌握证据,以及从中东地区其它网络间谍案件中收集到的信息进行进一步审查之后,他们意识到这不是伊朗的行动,而是由中国特工冒充来自德黑兰的黑客团队进行的。
“火眼”公司负责威胁情报的副总裁约翰·霍尔特奎斯特(John Hultquist)对美国之音说:“曼迪安特的研究将这一活动归咎于来自中国的间谍组织,代表中国政府所运营的间谍破坏活动。”
“火眼”旗下公司的研究指出:黑客所使用的许多策略,都相当直率地试图暗示他们是伊朗间谍,比如使用包含“伊朗”一词的文件路径。同时,袭击者也竭尽努力保护他们自己的真实身份,最大限度地减少了他们在受袭击计算机上留下的痕迹证据,并隐藏了他们用来侵入以色列机器的基础设施。
霍尔特奎斯特说, 如果只是通过一个狭窄的眼光来看待这一事件,这种欺诈手段可能会非常有效。然而,即使单个的攻击行为可以成功地掩盖攻击者的身份;如果实施多次网络袭击的话,维持保护身份的戏法就会变得越来越困难。
不过,华盛顿研究机构中东研究所(Middle East Institute)网络项目主任克里斯·库贝卡(Chris Kubecka)对美国之音表示,“火眼”公司的研究关于中国政府支持的黑客实施攻击,并且嫁祸给伊朗的结论可能还过于草率。
“对以色列政府网站的攻击,是否是由中国政府所支持的,其实不应该由火眼公司来证明,而是应该由政府部门经过适当调查之后才能作出决定,”她说。
库贝卡同时指出,一个国家在实施网络攻击时,的确往往会刻意让其攻击看起来像是其它国家或政权所为;通常的做法是通过代码评论语言显示为不同的国家或地区,或使用来自其它恶意软件的代码来转移责任。
如证实系北京支持,中国政府意欲何为?
如果火眼公司研究报告的结论最终被证明是真实可信,北京的确支持某中国的网络间谍公司,蓄意对以色列政府和实体实施网络攻击;北京这样做的目的是什么?
中东研究所网络项目主任库贝卡认为,如果真的是中国政府所为,这可能是北京为了各种基础设施项目和贸易协议的目的,试图从政治上分裂中东漫长博弈的一部分。中国政府对信息以及如何复制和批准技术表现出了浓厚的兴趣。这样做可以通过降低开发成本,提高投资回报,从而使中国企业受益。
“目前,大多数中东国家,特别是海湾合作委员会(Gulf Cooperation Council)国家,都不希望卷入美国和中国的政治博弈。而装扮成为一个众所周知的破坏稳定的国家,去实施对另外一个国家的网络攻击,中国政府可以在该地区实现其长期目标, ” 库贝卡说。
美国“东西方中心”(East-West Center)高级研究员饶义(Denny Roy)博士对美国之音表示,这项研究表明中国致力于网络间谍和盗窃活动,已经成为中国国家发展战略的一部分:尽管这种做法有可能会冒犯其重要贸易或者政治伙伴,这次是以色列。
“这表明中国的傲慢和自负:北京认为中国对世界经济的重要性使得中国几乎可以逃脱任何责任。中国越是渴望成为全球大国,就越会在外交政策中遇到相互矛盾的压力:例如,试图同时把自己描绘成以色列和伊朗的朋友,”饶义说。
“火眼”公司副总裁霍尔特奎斯特也认为,北京收集敏感的政府数据和注册保护的知识产权信息的目的,与北京的金融、外交和战略目标息息相关。中国的网络间谍活动,与其“一带一路”计划相关的数十亿美元投资项目,以及中国对以色列强大的科技部门的兴趣有关。
“中国企业已经向以色列技术初创公司投资了数十亿美元,进行合作或收购半导体和人工智能等战略性行业的公司的活动。随着中国的一带一路行动的向西移动,中国在以色列最重要的建设项目是埃拉特(Eilat)和阿什杜德(Ashdod)之间的铁路、阿什杜德的一个私人港口,以及海法港(The Port of Haifa),” 他说。
中国同时与伊朗和以色列保持良好的双边关系。随着中国在世界舞台上日益咄咄逼人和自信,以及在国际事务中的经济和外交影响力提升,北京的中东政策是否会发生变化?
华盛顿智库哈德逊研究所(Hudson Institute)政治军事分析中心主任理查德·魏茨(Richard Weitz)对美国之音表示,中国的确是世界上少数几个与以色列、伊朗和沙特阿拉伯都保持良好关系的国家之一。这一地位是中国经济实力的增长,以及在区域政治斗争中保持低调外交立场的结果;因此北京大概会尽一切可能继续维持自身这一有利地位。
“在类似最近的网络黑客攻击这样的间歇性事件中,这些良好的关系应该能够幸存下来。但中国无法控制的一个变数是美国的立场。如果华盛顿迫使以色列这样的伙伴做出选择,那么中国的平衡动作可能就不再奏效了,”魏茨说。
(美国之音中文网)