警惕来自大洋彼岸的网络不安全因素

长期以来，美国及其部分盟友连篇累牍利用各种平台、形式，试图将中国塑造成“网络攻击威胁”。如2023年起由时任联邦调查局（FBI）局长雷（Christopher Asher Wray）领衔、美国联邦调查局（FBI）、美国网络安全与基础设施安全局（CISA）和美国国家安全局（NSA）等机构联手发难的所谓“伏特台风”（Volt Typhoon）黑客事件，声称此次“入侵”长达5年之久；2024年3月25日美英政府指责并起诉制裁所谓“与中国政府有关联的黑客组织”APT31“严重危害其民主机构和选举系统”事件和随后澳大利亚、新西兰两国政府的附和；2024年7月美国官员和微软宣称，“与中国政府有关联的黑客”侵入美国超过25家机构的电邮账户，至少数十万封美国政府内部个人邮件在这次攻击中外泄；2025年1月，时任美国总统国家安全事务助理沙利文（Jake Sullivan））称“对美国关键基础设施进行破坏性网络攻击将遭致‘严重后果‘”；2025年1月上旬《华盛顿邮报》、路透社等美英媒体无端声称“中国黑客”突破美国财政部的计算机安全护栏并窃取文件和随后美国财政部以此为由，对一家总部位于北京的网络安全公司实施制裁，称该公司“帮助中国黑客渗透美国通信系统并进行监视”，等等。

但即便许多国际信源也指出，美国政府背景和其它背景的网络攻击，才是包括中国在内，全球网络不安全因素的最主要来源。德国国际政治和安全事务研究所（SWP）称，随着数字技术的发展，网络攻击在全球范围内呈上升趋势。SWP 的数据显示，网络攻击从2014 年的 107 次增加到 2023 年的 723 次。web3 协议 Saga 联合创始人兼首席执行官、曾先后在希拉里.克林顿（Hillary Clinton）和拜登（Joe Biden）竞选团队充当有关中国、技术和亚洲经济政策咨询顾问的瑞贝卡（Rebecca Liao）承认，“美国一直有利用网络攻防手段实现国家安全目标的历史”，这些“国家支持的行为者”经常被指控对从国家机构到政客和活动人士的对手发动网络攻击。他们的目的是未经授权获取机密数据和商业机密，或破坏经济和关键基础设施。于此同时，网络攻击也由想要窃取数据和金钱的个人或有组织的团体进行，而美国同样是这类网络攻击来源最多的所在，这无疑也加剧了全球网络安全问题的复杂性。

近几年陆续发生并在国内外被公开披露的、可明确溯源自美国有背景机构和组织的网络攻击案例不胜枚举，令人触目惊心。

2020年3月2日，360公司披露发现发起高级长期威胁（APT）的黑客团体APT-C-39，称有证据显示这些定向攻击由美国中央情报局的国家级黑客组织实施，从2008年9月到2019年6月，CIA使用网络攻击武器“Vault7”持续对中国政府机构、航空航天、科研机构、石油行业、大型互联网公司等实施网络攻击。中国外交部发言人就此指出，美国是全球最大的网络攻击者，中国一直是美方网络窃密和攻击的严重受害者，强烈敦促美方作出清楚解释，立即停止此类活动。相关报道称，CIA背景的黑客组织长期以来持续针对中国大陆航空航天、科研机构、石油行业、大型互联网公司以及政府机构进行网络定向攻击。

2020年7月，《华盛顿邮报》披露，特朗普（Donald Trump）政府在2018年签署了“通知备忘录”，授权美国中央情报局不经国会批准即可对中国发动网络攻击，不但将媒体、金融机构、商业公司等纳入网络攻击授权范围，还授权“干扰”“破坏”“摧毁”电力、石油等关键基础设施。

2021年1月，《华盛顿邮报》披露，美国国家安全局曾成功入侵华为公司的设备，并制定了秘密网络攻击计划“Shotgiant”，对华为在中国的电信设施实施网络窃密。

2022年3月，中国遭遇一系列规模巨大、来势汹涌的网络攻击，据中国国家计算机网络应急技术处理协调中心 (CNCERT/CC)称，其中大部分可溯源至美国网址，少数可溯源至荷兰、德国等地。

同年3月，中国国家计算机攻击应急处理中心结露了名为NOPEN、由美国国家安全局（NSA）开发部署的网络间谍工具，NOPEN是一种远程木马病毒，一旦安装在计算器系统中，攻击者就可以自由移动，进行间谍操作、窃取数据或造成破坏。相关报道称，这款木马病毒已控制全球各地海量的互联网设备，窃取了规模庞大的用户隐私数据。

2024年4月15日，中国国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室和360数字安全集团联合发布的《伏特台风——美国情报机构针对美国国会和纳税人的合谋欺诈行动》调查报告指出，仅自2023年5月起的1年间，美国政府机构背景的黑客组织对中国政府、高校、科研机构、大型企业和关键基础设施的网络攻击活动总数超过4500万次，已被明确攻击受害单位超过140家，从这些受害单位系统中发现的攻击武器样本指向了美国中央情报局（CIA）、国家安全局（NSA）和联邦调查局（FBI）等部门。

2024年12月18日，中国国家计算机网络应急技术处理协调中心 (CNCERT/CC) 发布声明称，自 2023 年 5 月以来，美国发生了两次网络攻击，试图“窃取”中国科技公司的商业机密。

2025年4月16日，哈尔滨市公安局发布公告，指出3名美国特工涉嫌在中国主办的第九届亚冬会期间针对赛事信息系统和黑龙江省内关键信息基础设施开展网络攻击，并对其发出通缉令，同日中国外交部发言人表示，美国政府针对赛事信息系统和黑龙江省内关键信息基础设施开展网络攻击，对中国关键信息基础设施、国防、金融、社会、生产以及公民个人信息安全造成严重危害，性质十分恶劣。中方谴责美国政府的上述恶意网络行为。中方已通过各种方式就美网络攻击中国关键基础设施向美方表明关切。我们敦促美方在网络安全问题上采取负责任的态度，停止对中方实施网络攻击，停止对中方无端抹黑和攻击。中方将继续采取一切必要措施保护自身的网络安全。

2024年12月，国家互联网应急中心公布了两起美对华大型科技企业机构网络攻击事件，这两起案件分别涉及我国某先进材料设计研究单位和我国某智慧能源和数字信息大型高科技企业，并且遭窃取的，都是商业秘密信息。同时公布的另一起事件涉及能源和数字信息领域，它们属于关键信息基础设施领域。此批公布的事件有一个共同点，攻击者都是利用电脑软件或系统的漏洞，入侵公司的服务器投放木马，控制公司的设备，完成窃取。中国科学技术大学网络空间安全学院教授左晓栋指出，数据显示仅当年第一季度，全球范围内来自美国本土及其海外军事基地的网络攻击高达2000余次，攻击的对象是包括中国在内的多个国家，主要也是针对关键信息基础设施等目标。事件反映出国家安全依然是美国对华网络攻击的重点，这一点长期以来没有变化，该专家总结发现，长期以来美国对包括中国在内外国目标发动网络攻击的主体溯源，主要指向情报机构，如CIA、FBI、美国国家安全情报局（ONSI），以及美国财政部、能源部、国务院等业务部门各自下属的情报机构，但近年来美军开始成为更多跨国网络攻击的主体，隶属于五角大楼的美国网络司令部（USCYBERCOM）愈益活跃，在美国今年新发布的《国家网络安全战略实施计划》中，“美国国防部”出现的次数相比去年增加了30%左右，此前，美国网络司令部已经在全球20个国家开展了37次“前出狩猎”行动，专家们指出，随着中国在高科技领域和全球产业链中地位不断提高，这类针对中国经济、科研等特定目标展开的网络攻击有愈演愈烈之势。有报道援引美国国防大学的一句话，“一名高中生不可能花几个晚上伏在键盘前制造出一架F-22战斗机，但足以制造出破坏大型企业和军事网络的网络攻击武器”，揭示了美国军方背景机构加大网络攻击密度的思维模式所在。

2025年4月28日，中国网络空间安全协会发布《美情报机构利用网络攻击中国大型商用密码产品提供商事件调查报告》，揭示了2024年国家互联网应急中心CNCERT发现处置一起美情报机构对中国大型商用密码产品提供商网络攻击事件的细节。攻击者以客户公司的“抬头”为掩护，同年3月5日在客户关系管理系统植入了特种木马程序，路径为/crm/WxxxxApp/xxxxxx/xxx.php。攻击者可以通过该木马程序，执行任意的网络攻击命令。为防止被监测发现，木马程序通信数据全过程加密，并进行特征字符串编码、加密、压缩等一系列复杂处理。2024年5月20日，攻击者通过横向移动，开始攻击该公司用于产品及项目代码管理的系统。2024年3月至9月，攻击者用14个境外跳板IP连接特种木马程序并窃取客户关系管理系统中的数据，累计窃取数据量达950MB。客户关系管理系统中有用户600余个，存储客户档案列表8000余条，合同订单1万余条，合同客户包括我相关政府部门等多个重要单位。攻击者可以查看合同的名称、采购内容、金额等详细信息。2024年5月至7月，攻击者用3个境外跳板IP攻击该公司的代码管理系统，累计窃取数据量达6.2GB。代码管理系统中有用户44个，存储了3个密码研发项目的代码等重要信息。通过对xxx.php特种木马程序的逆向分析，发现其与美情报机构前期使用的攻击武器具有明确同源关系。分析发现，攻击时间主要集中在北京时间22时至次日8时，相对于美国东部时间为10时至20时。攻击时间主要分布在美国时间的星期一至星期五，在美国主要节假日未出现攻击行为。攻击者使用的17个攻击IP完全不重复，同时可秒级切换攻击IP。攻击IP位于美国、新加坡、荷兰、德国和韩国等地，反映出其高度的反溯源意识和丰富的攻击资源储备，其共计手法的特点，一是善于利用开源或通用工具伪装躲避溯源，例如在客户关系管理系统中还发现了攻击者临时植入的2个常见的网页木马。二是攻击者善于通过删除日志和木马程序，隐藏自身的攻击行为。

专家指出，当今国际上有两套关于网络空间国际规则的主张：美国主张网络攻击要分合法和非法，出于国家安全、军事、情报等理由的网络攻击是合法的，只有商业窃密是非法的。所以美国从来都是将自己发起的攻击披上合法的外衣，而指责其他国家搞商业窃密。以中国为代表的国家则主张网络主权理论，提出任何形式的网络攻击都是非法的。美国之所以要这样二元划分，是为了方便自己随时捏造“安全”的理由对其他国家发起网络攻击，因为美国采取的是一种“有罪推定”的方式——谭主梳理美国发起网络攻击的流程后发现，只要它认为对方“可能”对美国形成安全威胁，就会单方面发起网络攻击。

观察家指出，美国官方长期以来一直借助其国内立法对跨国网络攻击实施“双标”，一方面竭力为本方对外发动网络攻击寻找“法律依据”和拨款来源，另一方面则借此污蔑他国“制造网络威胁”。1978年，美国颁布《涉外情报监视法》（Foreign Intelligence Surveillance Act, FISA），其中的“702条款”为美国政府机构实施上述跨国网络战行为，在全球和国内实施互联网监控提供最重要法律依据。由于“702条款”2023年底到期，为延续和升级该条款，美国有关方面才会在此前一段时间密集采取行动，包括臆造和夸大“中国网络攻击威胁”。竭力营造网络安全领域的“中国威胁论”，并最终达到了令“702条款”这一即便在美国国内也饱受诟病的“口袋条款”2024年1月在美国两院获得长期延续修正案通过，期冀借此实现对中国互联网企业的长期打压。

诸多事实证明，美国政府、军队背景的，针对中国和世界其它国家目标的网络攻击，和与之相辅相成，旨在抹黑对手，并为本方发动网络战寻找口实的“网络污名化”行为，是长期的、有系统的针对性网络战略行为，对中国和世界各国各行各业的网络安全构成直接、严重和长期威胁，对此必须保持清醒认识。美国是计算机和互联网技术的发源地，同时也是全球网络安全的最大来源地，因此，我们必须警惕来自大洋彼岸的网络不安全因素