人菜瘾大，“台湾网军”是怎么被锁定的？

虽然没有炮火硝烟，但战斗其实从未停止过。

在和平的年代，最让人恶心的攻击手段，莫过于挑动舆情、扰乱认知——让你内部不稳，让你自己人仇视自己人。

对于中国大陆的网民来说，最让我们恶心的一伙儿，当属海峡对岸台湾当局操控的“网军”——比如之前泰国某明星涉嫌辱华，被大陆网友批评后。这帮人立刻就开始带节奏，冒充大陆网民在泰国网络上大放厥词，败坏中国的国际形象。

我们平时上网，有时候就会碰到他们——虽然看着像是普通网民，但却哪儿哪儿都不对劲。

这些“网军”，并不是自带干粮的散兵游勇，而是有组织有编制的“正规部队”——台湾当局的“资通电军”——他们利用技术手段，豢养了大量“机器人”账号，一有社会事件，就开始散布虚假消息，操纵舆情走向，误导大陆和中国台湾地区普通网民的认知。

中国大陆的互联网本没有那么多乱七八糟的东西，“台湾网军”多了，破事儿也就来了。尤其是那些“精日”言论，更是他们的特色。

你在网上看到的那些奇葩言论和逆天发言，

你在微信群里看到的各种所谓“爆料”“真相”的小图片，

很可能都是台湾当局“资通电军”精心制作的认知战武器。

更惊悚的是，“资通电军”的背后，站着美国NSA（国土安全局）、CIA（中央情报局）这样的情报机构——他们给台湾当局的网军黑客提供了不少装备和技术支持，最近被广州警方通缉的20名“台湾网军”里，有几位就曾在2018年7月到美国参加过相关培训，甚至还在2019年夏天的香港搞过事情。

今天，我们就来聊聊这群像夏天的苍蝇蚊子一样恶心人的“网军黑客”。

赛博斗法：魔高一尺，道高十丈

说起“台湾网军”的攻击方式，就不得不提APT。不是前段时间网上很火的那个洗脑歌，而是Advanced Persistent Threat（高级持续性威胁）。

简单来说，所谓的APT就是一群有组织的黑客，利用复杂精密的网络攻击武器，长期潜伏布局，不断盗取机密，最后等待合适时机，给出最重的一击。

具体到攻击方式，APT组织的“起手式”往往是先对目标进行极为细致的研究——包罗万象，无所不有，包括但不限于地址、人员构成、邮箱、上下游合作伙伴、业务范围、产品信息等等。

一旦完成了对目标的充分研究，黑客们就会根据目标资料，有针对性地通过发送“钓鱼邮件”——如果目标是高等院校，就发送虚假的“社科基金申请”文档；如果目标是企业，那你打开“个人所得税汇算清缴”文档前就可得掂量掂量。

总而言之，攻击的套路特别多，但最终目的只有一个——骗你点击相关链接，让你感染病毒或开启后门。

显然，APT并不是单枪匹马的黑客或者小团伙能玩的东西。当代APT组织的背后，或多或少都有官方的力量在参与——以曾经对我国多个关键行业进行过网络攻击的“APT-C-39”组织来说，经过一系列溯源和查证，我们最后证实了该组织隶属于美国中央情报局CIA。

这个领域里，目前已知最完美的一次攻击发生在2015年12月23日，受攻击目标是乌克兰西部伊万诺-弗兰科夫斯克的一座供电站——在那天的某个时刻，工作人员发现屏幕上的光标开始自己移动，无论他怎么操作也无法干预，最后只能眼睁睁看着鼠标点击了断路器的开关。140万户居民的供电被瞬间切断，整个乌克兰都陷入了恐慌之中。

事后的分析调查，透露出了这群黑客的超强战力。

黑客们通过前期调查，搞定了供电系统内工作人员的个人信息。然后向工作人员们群发了一则名为《乌克兰总统部分动员令》的钓鱼邮件，邮件里附带了一份excel表格，打开后会要求安装宏程序。

而不论你点击同意或拒绝，在你点开excel的时候，它都会向系统灌注一个名为“黑色能量”的病毒，使黑客获得访问权限。

然后，黑客们会趁机黑入电网控制系统，破坏各种功能，使得监控功能失效、备用电源无法启动、远程控制失灵——最终控制电脑关闭了电厂的断路器。

甚至，在发动进攻之前，黑客们还对电力公司的客服系统进行了DDoS攻击——在袭击发起前，呼叫中心接到了大量骚扰电话，而当真正用户报告停电的时候，他们听到的却是一句冷冰冰的“占线”。

更绝的是，在攻击得手后，黑客们则执行了kill disk，擦除了一切攻击痕迹。

所以，关于这次袭击，至今都没有实质性证据究竟是何人所为，一切都只能靠推理和猜测。

从这里我们也能看出，网络攻击的溯源是非常困难的。特别是针对APT组织的溯源，需要防守方掌握大量的安全数据，且还要求强大的知识储备和丰富的实战经验。

但我们是幸运的——中国的网络安全工作者们，就具备这样的素质。

看看国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室和360数字安全集团三家机构共同推出的《“蚍蜉撼树”—— 台民进党当局“资通电军”黑客组织网络攻击活动调查报告》就知道了，在这份报告里，国家有关机构和360集团起底了台湾网军组织和旗下的五大黑客团队，清晰掌握了他们的行动方式和特征指标。

这是个什么概念？

搞APT是吧？想利用各种技术掩护偷袭是吧？

你算是踢到铁板啦！

我不仅可以挖出来是哪个组织、用什么手段干的。

我甚至还能把你精确到个人的身份信息都给抖出来。

最近被广州警方通缉的那20个“资通电军”黑客，他们每一个人的姓名、照片、身份证号都已经被我们掌握并公布了。

别人搞APT是“事了拂衣去，深藏功与名”；他们倒好，身为黑客，自己的个人身份信息被搞了个底儿掉而不自知——恐怕在被我们曝光之前，他们还觉得自己天衣无缝吧。

一句话概括就是：台湾“资通电军”在我们面前就和裸奔一样，没有任何秘密可言。

我们如何识破这些“赛博特务”？

之所以我们具有凌驾于台湾当局“资通电军”的战斗力，是因为在互联网安全方面，中国大陆的实力非常强悍——官方、民间、学术领域都有不俗的战斗力。

国家安全部门在这一块的实力就不多说了，实际上，在国家安全部门之外，我们还有国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室和360数字安全集团这些重量级参与者。

比如那20个被广州警方通缉的黑客，对他们的追踪溯源其实就是国家相关部门和360合作完成的。上个月，这群黑客非法攻击了广州一家科技企业，360的安全专家团队在提取恶意代码样本后，很短时间内就完成了溯源分析，锁定了幕后黑手——隶属于台湾“资通电军”的APT组织“乌苏拉”。

是的，就是那个总被调侃的360——关起门来，360确实是让人又爱又恨；但在外面，人家老周有事儿可是真的上啊。

为啥能这么快溯源呢？

因为“知己知彼，百战不殆”嘛。

根据360创始人周鸿祎的介绍，360最近这十年来每年都要投入二三十亿元做研发，累积下来将近300亿投入，超过安全行业里第二名到第十名的总和。

这些真金白银的研发投入，换来了全球最大的网络安全大数据——根据《中国日报》的一则报道，2021年第九届互联网安全大会上，周鸿祎就透露过“360还积累了全球独有的攻击知识库和知识样本库，样本文件数总量已达到300亿，每日新增1000万，并炼就全球顶尖的网络攻防专家团队。”

很多国家的网络安全工作者，遭遇APT攻击后不知所措，就像被人从后面套上麻袋打了一闷棍，搞不清楚是谁干的。

但在中国网络安全工作者眼里，APT组织不出手则已，一出手，我们就能像查字典一样把他们的手段、特征全都找出来。

毕竟，以360为代表的中国网络安全行业，已经跟境外APT组织斗争了快20年了。2007年的时候，360就披露了首个来自台湾省的APT组织“毒云藤”，随后又揪出了“三色堇”“乌苏拉”“匿名者”“金叶萝”等APT组织——对台湾省黑客这块，360基本没有对手。

没办法，交手都快20年了，太熟悉了。对面使用的各种武器、武器的各种特征各种战术，早就已经被情报知识库给总结归纳了。

因此，我们的网络安全工作者看台湾省黑客，就好像老刑警看小混混一样。

你知道360对台湾省APT组织的评价是什么吗？

“三流水平”

“反溯源能力比较弱”

“极其不专业”

......

举个例子吧，台湾来的这些黑客啊，不仅水平不咋地，作风上也有大问题，主打一个气急败坏。一般有点段位的黑客组织，黑入系统后如果没窃取什么有用的数据也不会声张，而是静静潜伏下来等待时机。台湾当局的“网军”就不一样了，没窃取到什么东西，就开始搞破坏，要么删除系统数据，要么就格式化服务器。

且不说人家有没有备份，也不说你这种操作其实带来的损失极其有限。单纯就冲着他们“用APT干这种事儿”一点，就非常上不得台面。

另外，台湾当局手下的这些“网军”，有时候明明只是黑进了某个小网站，但是对外宣传时候就说这是“大胜”；为了应付上面的检查，甚至都开始骗自己人了——编造一些虚假网站滥竽充数，自己攻击自己，只要写报告的时候有内容糊弄上面就算赢。

“杀良冒功”这一块，给他们学到精髓了属于是。

其实都别说发动攻击了，有一些台湾省黑客在前期调查研究阶段就已经暴露了。

另外，被看透的，又何止只有台湾当局的黑客呢？最近十年360捕获了58个APT组织，占国内发现APT组织总数的98%。其中包括了曾经对西北工业大学和武汉市地震局进行网络攻击的美国国土安全局和中情局的下属团队。

只不过，“木秀于林，风必摧之”，由于对美国黑客的阻击，360毫不意外地成为了唯一一个被美国商务部和国防部双重制裁的互联网和安全企业——美国国会的一份年度报告里，在分析中国网络安全现状和实力的时候更是点了360十二次，将它视为中国最具威胁的网络安全企业。

原因无他，360把美国人曾经引以为傲的“情报单向透明”优势给打碎了，NSA和CIA，再也没办法像欺负别人那样在我们这里来无影去无踪了。

应对来自AI时代的新挑战

今年二月份，就在哈尔滨举办第九届亚冬会期间，有关部门发现：包括亚冬会的赛事信息系统在内，黑龙江省内能源、交通、水利、通信、国防科研院校等敏感部门的关键信息基础设施，都接二连三地遭到了来自境外的网络攻击。甚至多个基于Windows操作系统的特定设备，也接收到了来自境外的加密信息，对方似乎是打算唤醒Windows系统里提前预留的后门。

侦测到相关攻击后，哈尔滨市公安局立刻组织了国家计算机病毒应急处理中心和360等网络安全机构技术专家进行追查。

结果不查不知道，一查吓一跳。

这一次针对哈尔滨亚冬会的网络攻击，幕后的黑手居然来自美国国家安全局信息情报部数据侦察局的特定入侵行动办公室，甚至还有加州大学、弗吉尼亚理工大学等美国高等院校的参与。

在获得确凿的证据之后，4月15日，哈尔滨市公安局发布了一份非常罕见的悬赏通告——通缉凯瑟琳·威尔逊（Katheryn A. Wilson）、罗伯特·思内尔（Robert J. Snelling）、斯蒂芬·约翰逊（Stephen W. Johnson）三名美国特工。

而在这场斗争的背后，其实意味着我们正在面临全新的挑战——AI智能体黑客的攻击，已经到来了。

按照APT的基本套路，人类黑客组织需要长期调查研究后才能制定作战方案、打造适合的黑客工具，因此攻击范围往往也比较小。但这一次不同，范围巨大，不仅攻击了赛事系统，甚至连许多基础设施也被攻击——AI智能体放大了黑客的杀伤力，创造出了不眠不休、全自动攻击、应对速度远超人类的“超级黑客”。

根据360创始人周鸿祎所说，“有充分理由怀疑此次是人类首次利用AI智能体发起网络攻击”。

那么，面对这样的对手，我们显然也需要用AI来保卫网络安全。

实际上，现在的360也已经开发出了相应的安全专家智能体“AI红客”——同样的不眠不休、同样的反应迅速、同样可以无限复制。

可以预见的是：AI时代的到来，不仅方便了我们的生活，让我们感受到了科技的神奇。同时也带来了前所未有的安全风险，对中国的网络安全提出了新的挑战。

和平年代，也有激荡的风云啊。