当前位置:首页 > 信息安全 > 正文

新时期网络间谍活动方式、危害及其防控思考

文│ 中国人民公安大学国家安全学院教授 毛欣娟

被曝光的美国“棱镜计划”(PRISM)揭示了美国国家安全局(NSA)自 2007 年以来实施的绝密电子监控项目,即主要通过服务器监控个人隐私以挖掘情报、获取信息的相关情况。该计划提供给国家安全局的数据包括电子邮件、视频和语音对话、视频、照片、基于 IP 的语音传输(VoIP)内容、文件传输、登录通知删除和社交网络详细信息。这些通过网络秘密开展的间谍行为使各国政府更加深刻意识到,间谍的行为方式不仅局限于窃听、监视、重金收买等传统的行动模式,而是已经扎根于网络,利用网络实施间谍活动,影响国家安全。


一、网络间谍活动的主要方式

现代间谍情报学的观点认为,凡参加一定的组织,并通常以一定的专业或名义为掩护,进行刺探、窃取他国或对方秘密情报,或进行反间、颠覆、破坏、暗杀等活动的人,统称为间谍。基于此,网络间谍是指受雇于特定组织并利用互联网平台获取情报危害目标国家安全的人员。他们一般会利用开源渠道、使用间谍软件等手段,入侵目标计算机系统获取情报。相较于传统间谍,网络间谍活动更加隐蔽,危害后果更大且防控成本更高。
(一)非法入侵计算机网络截取信息
网络空间成为现代间谍活动的主战场。网络间谍通过非法入侵目标计算机网络甚至使计机网络瘫痪,截取信息以获得情报。2021 年 7 月 22 日,外交部发言人赵立坚在回答记者提问有关一款名为“飞马”(Pegasus)的间谍软件受到国际舆论的广泛关注时指出,世界上大多数网络攻击都来自美国,这早已是公开的秘密。公开资料显示,美国国家安全局在华盛顿、纽约、旧金山、西雅图等八大城市秘密建有网络监听中心,截取分析全球互联网通信流量,监视通过美国本土的大量电子邮件、电话和在线聊天。在大量网络工具和黑客队伍的支撑下,美国对别国实施的网络攻击从未停止,或利用漏洞破坏核反应设施设备,或入侵电网并植入恶意代码,或攻击别国电网导致大面积停电和基础设施瘫痪。美国还长期对别国重要设施和企业系统性窃取信息,导致他国遭遇巨大损失。
以美国为例,在“棱镜计划”曝光后,有关美国国家安全局、中央情报局、联邦调查局使用间谍软件的情况被逐渐披露。根据刊发在 2014 年第 6 期和2018 年第 10 期《保密与科学技术》上的文章《国外间谍软件发展应用情况浅析》和《斯诺登事件一周年回顾之网络间谍设备》,一些美国使用的典型间谍软件如下表所示。

表 部分美国使用的典型间谍软件

新时期网络间谍活动方式、危害及其防控思考  第1张

除使用间谍软件外,通过攻击、入侵计算机的方式开展间谍活动的事件也很多。据国家安全机关通报,仅 2018 年我国党政机关、科研院所、军工单位就有数百台电脑被攻击破坏,数百万份资料被窃取。境外谍报机关多次实施网络攻击某服务党政涉密机关的网络科技公司窃取大量敏感数据资料、窃取某局人事科干部 QQ 邮箱中传送的多份涉密地图、破译某局工作邮箱密码窃取驻军分布信息,此类案件层出不穷 。在这些案例中,网络间谍通过 VPN 连接通道、破解涉密单位工作邮箱密码、远程控制 IP 地址等方式来窃取文件。此外,根据 360 公司发布的《蓝宝菇(APT-C-12)核危机行动揭露》报告,从 2011年开始,高级攻击组织 APT-C-12 对我国政府、军工、科研、金融等重点单位和部门进行了持续 8 年的网络间谍活动。

(二)在网络空间拉拢策反网民招募间谍
拉拢策反是间谍活动的一种谋略手段。拉拢策反主要是指深入敌对一方的内部,采用政治影响、物质引诱,色情勾引、栽赃陷害、寻求把柄等种种计谋,秘密进行策动,使敌对一方的间谍或工作人员反叛过来,为己所用。在网络空间间谍组织通常也是以此为手段,通过拉拢网民或招募间谍实现为自己窃取情报等目的。发表于 2015 年《保密工作》杂志作者为郑祖轩的文章《境外特工设陷阱 单位职员中圈套 四川国家安全机关破获多起国防军工单位网络间谍案》披露,在四川省国家安全机关“扫雷”专项行动中破获的四起案件中,四名就职于同一国防军工单位的嫌疑人,虽互不相识,但皆在网络上被间谍招募、拉拢为其提供涉密信息。他们有的通过手机 QQ 寻找兼职,有的在网上投简历跳槽,还有的经熟人介绍,分别被境外间谍情报机构发展利用,进而走上了对外偷卖所在单位涉密信息的不归路。
利用新媒体平台社交工具进行策反。例如,利用微信的“摇一摇”功能,虽然微信显示附近的人,但他们实际上却是境外间谍机构的情报人员。2020 年,广东省梅州市的钟某就是通过微信“附近的人”功能与境外网络间谍相结识并拍摄我国军用机场照片发送给境外网络间谍并获取丰厚报酬。类似这类利用“附近的人”“求职”和“招聘”等噱头拉拢利诱我国人员窃密的案例近年频发。网络间谍以“求职找我”或者“招工赚外快”的噱头广泛撒网,然后与“上钩”的人员交流并建立联系,将窃取我国秘密披上“求手稿”的外衣,或者利用目标对金钱的渴望进行利诱,直至使招募的目标人员不能自拔。
通过朋友介绍与网络间谍建立联系。网络间谍大多会有针对性选择人员进行搭线联系,其中借助“朋友”就是网络间谍使用的手段之一。2013 年,曾出现“境外朋友寻找目标推荐同学被策反”事件。在某国防军工单位技术部供职的李某接到大哥电话,称一个境外朋友(网名 S)想了解一些航空航天方面的知识。起初,李某保密意识很强,便婉言拒绝了,但经不住大哥多次劝说,最终还是与 S 在网上建立了联系。S 声称所在公司准备进军航空航天领域,以进行市场调查为由,要求李某利用工作之便协助搜集关于航空航天方面的期刊、论文等资料,由于单位内部资料管理较严,李某多次借阅未果,未能如期完成 S 交代的“任务”。为顾及情面,李某向 S推荐了在某航空航天大学读研究生的同学程某,最终导致程某被策反,成为境外间谍情报机构的帮凶,并实施了危害我国国家安全的活动。
(三)开展高级可持续威胁攻击
高级可持续性威胁(APT)攻击是指具有国家或相关背景的黑客组织基于政治、军事或商业等重大利益目的,针对如国家、组织或个人等特定目标进行的一系列隐蔽网络攻击行为。所谓“高级”是指攻击方法和攻击工具先进复杂,而“持续性”是指黑客组织连续攻击目标对象,持续时间较长。
360 公司曾经捕捉到了以印度为背景的网络间谍组织对我国医疗系统运用的高级可持续威胁攻击。在我国新冠肺炎疫情防控期间,该组织假借散布关于疫情题材邮件的方式对我国进行网络攻击。其攻击方式为广泛发布邮件,对邮件进行伪装,以疫情为素材做的文章为诱饵,骗取我方人员信任,将关键数据放在工作表(worksheet)里加密,然后在执行宏命令时对数据进行解密,当执行宏命令时,计算机就被网络间谍攻陷了。


二、网络间谍活动的危害

随着信息技术的不断发展,互联网覆盖范围日益广泛,网络的发展给我们的工作生活等均提供了便利的活动空间,但互联网是一把“双刃剑”,在互联网空间进行情报收集等活动,较之于现实空间更加具有隐蔽性好、信息量丰富、效率高、成本低等特点,互联网已然成为各国网络间谍活跃的重要场所。当然,这在我国也不例外。
(一)危害国家政治安全
政治安全是指国家主权、政权、政治制度、政治秩序以及意识形态等方面免受威胁、侵犯、颠覆、破坏的客观状态。互联网时代,便捷和风险同在,坚持安全可控和开放创新并重,是行稳致远之道。
新时期 5G 技术迅猛发展,互联网平台被我国政府部门在日常办公中广泛运用,便民利民办公窗口在网上开办,一些核心数据、政策以及发展战略也以数据的形式存储。我国的这种便民网络服务近年也被一些网络间谍垂涎。一些案例显示,我国一些领域曾遭受境外网络间谍的 APT 攻击,攻击领域涵盖政府、IT、能源等诸多领域。在互联网上对一个国家开展 APT 攻击就是对一个国家的网络入侵,已经严重影响一个国家的网络空间主权,而网络空间主权和国家主权密切联系,由此国家政治安全即受到侵害。
(二)影响国家经济安全
高级可持续威胁攻击作为一种集合了多种攻击手段的综合攻击方式,可以对特定攻击对象展开持续有效的攻击活动,造成极大的、持续的和有效的威胁。网络间谍对我国进行高级可持续威胁攻击窃取我国军事、国防、教育、医疗以及科技前沿信息,对我国经济安全造成严重破坏。360 公司发布于 2021 年 2月的《2020 全球高级持续性威胁 APT 研究报告》显示,2020 年春节复工后,有 3 亿多用户使用远程办公,远程办公比例在复工 30 天内环比上升了 663%。据中国信息通信研究院抽样调查结果,九成信息消费企业采取“远程办公为主、驻地办公为辅”的开工模式。这不可避免地为网络间谍活动提供了便利条件。根据卡巴斯基发布的消息,2020 年 10 月 27 日,俄罗斯卫生部的两台 Windows 服务器遭到破坏。攻击者在服务器上安装了复杂的恶意软件模块“wAgent”。它主要在内存中工作,并从远程服务器获取有效负载。随着新冠肺炎疫情的加剧,具有一定政府背景的网络间谍组织正在使用网络间谍软件通过攻击获取与新冠疫苗相关的信息。
(三)危害国家科技安全
维护我国科技安全是保障我国国家安全的一个重要因素。2014 年 11 月 16 日,《科技日报》刊发的刘跃进文章《科技安全是国家安全战略的重要内容》指出:“科技和科技安全广泛渗透于国家安全的各种领域、各个要素和各个因素之中。”科技是体现国家综合实力科技前沿的直接体现,包括我国军工企业的战略武器研发、芯片工程、卫星等尖端科技研发成果以及下一步研发方向,没有网络安全就没有国家安全,没有信息化就没有现代化。建设网络强国,要有自己的技术,有过硬的技术,尤其是关键的核心技术,对我国科技发展、经济发展以及保障国家安全都起到了无可替代的作用。因此,我国科技安全依然是重中之重。


三、防控网络间谍活动的几点思考

近年来,随着网络技术的快速发展,网络间谍活动带来的威胁与影响愈加不容小觑,有针对性开展防范控制工作应得到重视,而更重要的是能具体地落到实处。
(一)进一步加强反谍防谍法治教育
2010 年,我国开始实施《保守国家秘密法》;2014 年,我国颁布实施了《反间谍法》;2015 年,我国颁布了《国家安全法》;2017 年,我国实施了《网络安全法》。这些法律法规均明确了我国公民有维护国家安全和保守国家秘密的义务与责任。但是,近年来的一些案例显示,我国公民尤其是大学生被网络间谍策反的案例较多,所以,在全社会,特别是大学校园,宣传相关法律显得很有必要。通过法律宣传,让全社会了解我国反谍防谍相关的法律规范以及泄密造成后果的严重性,提高公民反间谍意识,进而建立坚实的网络人民防线。
(二)加强重点部位的网络设备管理工作
事实表明,网络间谍大多通过 APT 攻击我国企业或要害部位,因此,加强重点领域方面的管理工作非常必要。一是物理隔离涉密计算机。将涉密计算机系统进行物理隔离, “上网不涉密,涉密不上网”,可以直接杜绝网络间谍利用互联网这个渠道对我国进行攻击;防止移动载体交叉应用感染病毒,不将自己的 U 盘、硬盘等外接设备接入涉密计算机。二是定期规范检查网络安全情况。定期更新漏洞,在此基础上定期规范全面检测涉密计算机,及时发现是否有恶意程序或者有被境外网络间谍攻击并窃取情报的记录。
(三)发展网络科技水平
网络信息技术是全球研发投入最集中、创新最活跃、应用最广泛、辐射带动作用最大的技术创新领域,是全球技术创新的竞争高地。我国应瞄准网络科技前沿,着力培养我国计算机领域高素质人才。尤其应加强基础教育阶段计算机基础的普及教育,在专业教育方面要加深对计算机网络空间技术的理解。在学校积极组织各种网络竞赛,积极引导学生参与互联网学习,培养创新型人才,在面对未知的网络攻击时能积极反应,主动对抗。在国内着力组织网络攻防对抗和攻防演练,把被动防御策略转化为主动防御行动,及时更新我国互联网漏洞,不给网络间谍留有窃密可能。

(本文刊登于《中国信息安全》杂志2021年第10期)