文│ 中國人民公安大學國家安全學院教授 毛欣娟
被曝光的美國“稜鏡計劃”(PRISM)揭示了美國國家安全域性(NSA)自 2007 年以來實施的絕密電子監控專案,即主要透過伺服器監控個人隱私以挖掘情報、獲取資訊的相關情況。該計劃提供給國家安全域性的資料包括電子郵件、影片和語音對話、影片、照片、基於 IP 的語音傳輸(VoIP)內容、檔案傳輸、登入通知刪除和社交網路詳細資訊。這些透過網路秘密開展的間諜行為使各國政府更加深刻意識到,間諜的行為方式不僅侷限於竊聽、監視、重金收買等傳統的行動模式,而是已經紮根於網路,利用網路實施間諜活動,影響國家安全。
一、網路間諜活動的主要方式
現代間諜情報學的觀點認為,凡參加一定的組織,並通常以一定的專業或名義為掩護,進行刺探、竊取他國或對方秘密情報,或進行反間、顛覆、破壞、暗殺等活動的人,統稱為間諜。基於此,網路間諜是指受僱於特定組織並利用網際網路平臺獲取情報危害目標國家安全的人員。他們一般會利用開源渠道、使用間諜軟體等手段,入侵目標計算機系統獲取情報。相較於傳統間諜,網路間諜活動更加隱蔽,危害後果更大且防控成本更高。
(一)非法入侵計算機網路擷取資訊
網路空間成為現代間諜活動的主戰場。網路間諜透過非法入侵目標計算機網路甚至使計機網路癱瘓,擷取資訊以獲得情報。2021 年 7 月 22 日,外交部發言人趙立堅在回答記者提問有關一款名為“飛馬”(Pegasus)的間諜軟體受到國際輿論的廣泛關注時指出,世界上大多數網路攻擊都來自美國,這早已是公開的秘密。公開資料顯示,美國國家安全域性在華盛頓、紐約、舊金山、西雅圖等八大城市秘密建有網路監聽中心,擷取分析全球網際網路通訊流量,監視透過美國本土的大量電子郵件、電話和線上聊天。在大量網路工具和駭客隊伍的支撐下,美國對別國實施的網路攻擊從未停止,或利用漏洞破壞核反應設施裝置,或入侵電網並植入惡意程式碼,或攻擊別國電網導致大面積停電和基礎設施癱瘓。美國還長期對別國重要設施和企業系統性竊取資訊,導致他國遭遇巨大損失。
以美國為例,在“稜鏡計劃”曝光後,有關美國國家安全域性、中央情報局、聯邦調查局使用間諜軟體的情況被逐漸披露。根據刊發在 2014 年第 6 期和2018 年第 10 期《保密與科學技術》上的文章《國外間諜軟體發展應用情況淺析》和《斯諾登事件一週年回顧之網路間諜裝置》,一些美國使用的典型間諜軟體如下表所示。
表 部分美國使用的典型間諜軟體
除使用間諜軟體外,透過攻擊、入侵計算機的方式開展間諜活動的事件也很多。據國家安全機關通報,僅 2018 年我國黨政機關、科研院所、軍工單位就有數百臺電腦被攻擊破壞,數百萬份資料被竊取。境外諜報機關多次實施網路攻擊某服務黨政涉密機關的網路科技公司竊取大量敏感資料資料、竊取某局人事科幹部 QQ 郵箱中傳送的多份涉密地圖、破譯某局工作郵箱密碼竊取駐軍分佈資訊,此類案件層出不窮 。在這些案例中,網路間諜透過 VPN 連線通道、破解涉密單位工作郵箱密碼、遠端控制 IP 地址等方式來竊取檔案。此外,根據 360 公司釋出的《藍寶菇(APT-C-12)核危機行動揭露》報告,從 2011年開始,高階攻擊組織 APT-C-12 對我國政府、軍工、科研、金融等重點單位和部門進行了持續 8 年的網路間諜活動。
(二)在網路空間拉攏策反網民招募間諜
拉攏策反是間諜活動的一種謀略手段。拉攏策反主要是指深入敵對一方的內部,採用政治影響、物質引誘,色情勾引、栽贓陷害、尋求把柄等種種計謀,秘密進行策動,使敵對一方的間諜或工作人員反叛過來,為己所用。在網路空間間諜組織通常也是以此為手段,透過拉攏網民或招募間諜實現為自己竊取情報等目的。發表於 2015 年《保密工作》雜誌作者為鄭祖軒的文章《境外特工設陷阱 單位職員中圈套 四川國家安全機關破獲多起國防軍工單位網路間諜案》披露,在四川省國家安全機關“掃雷”專項行動中破獲的四起案件中,四名就職於同一國防軍工單位的嫌疑人,雖互不相識,但皆在網路上被間諜招募、拉攏為其提供涉密資訊。他們有的透過手機 QQ 尋找兼職,有的在網上投簡歷跳槽,還有的經熟人介紹,分別被境外間諜情報機構發展利用,進而走上了對外偷賣所在單位涉密資訊的不歸路。
利用新媒體平臺社交工具進行策反。例如,利用微信的“搖一搖”功能,雖然微信顯示附近的人,但他們實際上卻是境外間諜機構的情報人員。2020 年,廣東省梅州市的鐘某就是透過微信“附近的人”功能與境外網路間諜相結識並拍攝我國軍用機場照片傳送給境外網路間諜並獲取豐厚報酬。類似這類利用“附近的人”“求職”和“招聘”等噱頭拉攏利誘我國人員竊密的案例近年頻發。網路間諜以“求職找我”或者“招工賺外快”的噱頭廣泛撒網,然後與“上鉤”的人員交流並建立聯絡,將竊取我國秘密披上“求手稿”的外衣,或者利用目標對金錢的渴望進行利誘,直至使招募的目標人員不能自拔。
透過朋友介紹與網路間諜建立聯絡。網路間諜大多會有針對性選擇人員進行搭線聯絡,其中藉助“朋友”就是網路間諜使用的手段之一。2013 年,曾出現“境外朋友尋找目標推薦同學被策反”事件。在某國防軍工單位技術部供職的李某接到大哥電話,稱一個境外朋友(網名 S)想了解一些航空航天方面的知識。起初,李某保密意識很強,便婉言拒絕了,但經不住大哥多次勸說,最終還是與 S 在網上建立了聯絡。S 聲稱所在公司準備進軍航空航天領域,以進行市場調查為由,要求李某利用工作之便協助蒐集關於航空航天方面的期刊、論文等資料,由於單位內部資料管理較嚴,李某多次借閱未果,未能如期完成 S 交代的“任務”。為顧及情面,李某向 S推薦了在某航空航天大學讀研究生的同學程某,最終導致程某被策反,成為境外間諜情報機構的幫兇,並實施了危害我國國家安全的活動。
(三)開展高階可持續威脅攻擊
高階可持續性威脅(APT)攻擊是指具有國家或相關背景的駭客組織基於政治、軍事或商業等重大利益目的,針對如國家、組織或個人等特定目標進行的一系列隱蔽網路攻擊行為。所謂“高階”是指攻擊方法和攻擊工具先進複雜,而“持續性”是指駭客組織連續攻擊目標物件,持續時間較長。
360 公司曾經捕捉到了以印度為背景的網路間諜組織對我國醫療系統運用的高階可持續威脅攻擊。在我國新冠肺炎疫情防控期間,該組織假借散佈關於疫情題材郵件的方式對我國進行網路攻擊。其攻擊方式為廣泛釋出郵件,對郵件進行偽裝,以疫情為素材做的文章為誘餌,騙取我方人員信任,將關鍵資料放在工作表(worksheet)里加密,然後在執行宏命令時對資料進行解密,當執行宏命令時,計算機就被網路間諜攻陷了。
二、網路間諜活動的危害
隨著資訊科技的不斷髮展,網際網路覆蓋範圍日益廣泛,網路的發展給我們的工作生活等均提供了便利的活動空間,但網際網路是一把“雙刃劍”,在網際網路空間進行情報收集等活動,較之於現實空間更加具有隱蔽性好、資訊量豐富、效率高、成本低等特點,網際網路已然成為各國網路間諜活躍的重要場所。當然,這在我國也不例外。
(一)危害國家政治安全
政治安全是指國家主權、政權、政治制度、政治秩序以及意識形態等方面免受威脅、侵犯、顛覆、破壞的客觀狀態。網際網路時代,便捷和風險同在,堅持安全可控和開放創新並重,是行穩致遠之道。
新時期 5G 技術迅猛發展,網際網路平臺被我國政府部門在日常辦公中廣泛運用,便民利民辦公視窗在網上開辦,一些核心資料、政策以及發展戰略也以資料的形式儲存。我國的這種便民網路服務近年也被一些網路間諜垂涎。一些案例顯示,我國一些領域曾遭受境外網路間諜的 APT 攻擊,攻擊領域涵蓋政府、IT、能源等諸多領域。在網際網路上對一個國家開展 APT 攻擊就是對一個國家的網路入侵,已經嚴重影響一個國家的網路空間主權,而網路空間主權和國家主權密切聯絡,由此國家政治安全即受到侵害。
(二)影響國家經濟安全
高階可持續威脅攻擊作為一種集合了多種攻擊手段的綜合攻擊方式,可以對特定攻擊物件展開持續有效的攻擊活動,造成極大的、持續的和有效的威脅。網路間諜對我國進行高階可持續威脅攻擊竊取我國軍事、國防、教育、醫療以及科技前沿資訊,對我國經濟安全造成嚴重破壞。360 公司釋出於 2021 年 2月的《2020 全球高階持續性威脅 APT 研究報告》顯示,2020 年春節復工後,有 3 億多使用者使用遠端辦公,遠端辦公比例在復工 30 天內環比上升了 663%。據中國資訊通訊研究院抽樣調查結果,九成資訊消費企業採取“遠端辦公為主、駐地辦公為輔”的開工模式。這不可避免地為網路間諜活動提供了便利條件。根據卡巴斯基釋出的訊息,2020 年 10 月 27 日,俄羅斯衛生部的兩臺 Windows 伺服器遭到破壞。攻擊者在伺服器上安裝了複雜的惡意軟體模組“wAgent”。它主要在記憶體中工作,並從遠端伺服器獲取有效負載。隨著新冠肺炎疫情的加劇,具有一定政府背景的網路間諜組織正在使用網路間諜軟體透過攻擊獲取與新冠疫苗相關的資訊。
(三)危害國家科技安全
維護我國科技安全是保障我國國家安全的一個重要因素。2014 年 11 月 16 日,《科技日報》刊發的劉躍進文章《科技安全是國家安全戰略的重要內容》指出:“科技和科技安全廣泛滲透於國家安全的各種領域、各個要素和各個因素之中。”科技是體現國家綜合實力科技前沿的直接體現,包括我國軍工企業的戰略武器研發、晶片工程、衛星等尖端科技研發成果以及下一步研發方向,沒有網路安全就沒有國家安全,沒有資訊化就沒有現代化。建設網路強國,要有自己的技術,有過硬的技術,尤其是關鍵的核心技術,對我國科技發展、經濟發展以及保障國家安全都起到了無可替代的作用。因此,我國科技安全依然是重中之重。
三、防控網路間諜活動的幾點思考
近年來,隨著網路技術的快速發展,網路間諜活動帶來的威脅與影響愈加不容小覷,有針對性開展防範控制工作應得到重視,而更重要的是能具體地落到實處。
(一)進一步加強反諜防諜法治教育
2010 年,我國開始實施《保守國家秘密法》;2014 年,我國頒佈實施了《反間諜法》;2015 年,我國頒佈了《國家安全法》;2017 年,我國實施了《網路安全法》。這些法律法規均明確了我國公民有維護國家安全和保守國家秘密的義務與責任。但是,近年來的一些案例顯示,我國公民尤其是大學生被網路間諜策反的案例較多,所以,在全社會,特別是大學校園,宣傳相關法律顯得很有必要。透過法律宣傳,讓全社會了解我國反諜防諜相關的法律規範以及洩密造成後果的嚴重性,提高公民反間諜意識,進而建立堅實的網路人民防線。
(二)加強重點部位的網路裝置管理工作
事實表明,網路間諜大多透過 APT 攻擊我國企業或要害部位,因此,加強重點領域方面的管理工作非常必要。一是物理隔離涉密計算機。將涉密計算機系統進行物理隔離, “上網不涉密,涉密不上網”,可以直接杜絕網路間諜利用網際網路這個渠道對我國進行攻擊;防止移動載體交叉應用感染病毒,不將自己的 U 盤、硬碟等外接裝置接入涉密計算機。二是定期規範檢查網路安全情況。定期更新漏洞,在此基礎上定期規範全面檢測涉密計算機,及時發現是否有惡意程式或者有被境外網路間諜攻擊並竊取情報的記錄。
(三)發展網路科技水平
網路資訊科技是全球研發投入最集中、創新最活躍、應用最廣泛、輻射帶動作用最大的技術創新領域,是全球技術創新的競爭高地。我國應瞄準網路科技前沿,著力培養我國計算機領域高素質人才。尤其應加強基礎教育階段計算機基礎的普及教育,在專業教育方面要加深對計算機網路空間技術的理解。在學校積極組織各種網路競賽,積極引導學生參與網際網路學習,培養創新型人才,在面對未知的網路攻擊時能積極反應,主動對抗。在國內著力組織網路攻防對抗和攻防演練,把被動防禦策略轉化為主動防禦行動,及時更新我國網際網路漏洞,不給網路間諜留有竊密可能。
(本文刊登於《中國資訊保安》雜誌2021年第10期)
