长期以来,美国政府和个别安全企业、媒体、专家学者不断炒作“中国网络威胁论”,在没有充分证据的情况下,污蔑中国政府支持APT3、APT10等黑客组织窃取美方商业秘密和敏感数据。但是,美方将APT3、APT10等黑客组织与中国政府进行关联的推论存在诸多漏洞。
whois信息追溯无科学依据。美国在溯源时使用了whois注册信息作为证据,但众所周知,whois注册信息的审核是极其不严格的,申请人可以随意填写姓名、公司、地址、联系方式等信息,域名注册商并不审查核实数据真实性,并且whois信息提供隐私保护功能,因此,刻意暴露出来的姓名几乎不具备参考价值,完全是误导查证方向。
黑客工具广泛使用,APT攻击手法大同小异。很多黑客工具,都是开源放在github分享,意味着任何黑客组织、个人皆可以基于黑客工具进行简单修改后加以利用。不能通过攻击模式、黑客工具以及关联的公开whois信息,就认定某些攻击为同一伙黑客所为。以APT10为例,根据多个安全公司的多名分析师的分析,有未知黑客组织和来自中东的黑客组织,也曾多次利用相同工具开展针对香港、台湾等地的攻击,但是,在认定APT10隶属于中国的时候,有选择地忽视了以上几个黑客组织的行为。
社工数据几乎不具备参考价值。社工数据参考价值较低,得出的结论也就自然无法站住脚。根据Twitter数据分析,Twitter完全无法核实人员真实身份,仅根据Twitter之间的关注关系,以及某些账户从事信息安全相关工作,关注木马相关信息,即认定某人为APT组织成员,显然是不成立的。
栽赃陷害或模仿犯罪可能性极大。无论是APT3,还是APT10,从第一次曝光,到进行到溯源定位,耗时极长。在此期间,不断有安全公司发布威胁情报,剖析黑客组织使用工具、战术战法,致使真正的黑客组织可以用来模仿攻击行为,进行栽赃陷害。至少存在以下两种模仿可能:一是攻击者凭空捏造身份,模拟数据栽赃陷害;二是确实存在此人,攻击者认识其中一两个人,借对方身份窃取数据。以上行为,均会产生如境外威胁分析师所看到的数据特征,但是,均不能直接证明黑客身份,亦无法断定黑客组织关系。
缺失直接证据。众所周知,美国刑事案采用的定罪标准是“超越合理怀疑”,在法庭审判时,检方若要指控被告有罪,一定要提出确凿可信的证据来证明被告的罪行,并且要求证据是合法取得。令人不解的是,不知道为何在处理跨国案件时,反而显得轻率。不知道某安全公司是通过什么方式获得了中国公民的打车数据,也不知道一个无法验证真实性的whois信息,如何能够作为证据指控另一个企业法人。在针对疑似有中文语言背景的黑客组织溯源时,一切的可疑都被忽略,某安全公司给全世界黑客几年的时间去模仿犯罪,却因为一两条无法验证真伪的信息,认定黑客组织与中国政府有关!
总而言之,美方对于APT3、APT10的指控是毫无道理的,美国在处理APT3、APT10的时候,用一些无法称之为证据的线索,串起逻辑漏洞频出的证据链,直接认定存在某个黑客组织,组织内存在某些黑客成员,具备某些身份,并服务于中国政府机构,进而对中国进行指责的行为是毫无道理的,是极其恶意的栽赃陷害。(作者:艾特珍)