中美网络攻击协议的演变

关键内容概述

2015年，美国与中国达成了一项历史性协议，旨在结束针对美国企业的网络攻击，以保护商业机密和知识产权。然而，八年过去了，尽管有协议，针对美国企业的网络攻击并未停止，并且中国黑客的技术和策略发生了显著变化，变得更加具有攻击性和创新性。

八年前，美国和中国签署了一项历史性条约，部分目的在于结束针对美国企业的网络攻击，这些攻击意在窃取其商业机密和知识产权。当时，美国总统奥巴马在与中国国家主席习近平的联合新闻发布会上称赞该协议，表示这标志着两国在“美国和中国政府都不会进行或知情支持基于网络的知识产权盗窃”的共同理解。

然而，八年后的今天，这种共识仿佛已然失效。

根据谷歌安全专家的说法，中国黑客并未停止对美国企业的攻击，但他们的攻击方式在这些年中变得更加激进和创新。

谷歌Mandiant首席技术官查尔斯卡玛卡尔在2023年RSA大会上表示：“今天调查中国威胁行为者的入侵，与2015年奥巴马和习近平达成协议之前的状况非常不同。”

点击这里查看SC媒体对RSA 2023大会的所有报道

在协议签署之前，黑客通常范围广泛且缺乏目标性，他们攻击的企业不一。如今，中国境内的各种威胁组织，则以更具针对性的方式，以精准的目光锁定防务承包商、电信公司、政府机构和科技公司。这些行业通常管理、拥有或运营大规模的IT基础设施，为成千上万的客户提供服务，暗含着攻击后续客户的潜在路径，正如中国黑客在2021年Microsoft Exchange攻击中所展现的。

自2015年协议以来，中国威胁组织的策略与战术变化

随着时间的推移，这些组织的策略和战术也发生了改变，越来越多地瞄准边缘设备，如虚拟专用网络VPN和其他远程访问解决方案、防火墙和虚拟机监控程序，以及一些零日漏洞。由于这些设备通常不支持较新的安全技术，如端点检测与响应EDR，许多公司很难察觉其已被攻破。

卡玛卡尔表示，Mandiant每个月都会发布一到两项针对边缘设备漏洞或利用的威胁情报研究。当研究人员发现网络设备上出现恶意流量时，他们会主动联系相关厂商，要求提供硬盘镜像以进行进一步分析。此前，他们“很快就能识别出这些设备上存在非常新颖的恶意软件，而其他人则无法发现，因为没有人在这些设备上进行取证。”

“我们发现这些行为者在不支持EDR解决方案的设备上部署了更多恶意软件比如VMware虚拟机监控程序和Fortinet防火墙，因为很难让公司意识到其设备上确实存在问题，确实存在恶意软件。”卡玛卡尔补充道。

谷歌云的Mandiant威胁情报负责人约翰霍尔特奎斯特表示，中国黑客还变得更加巧妙，能够隐藏和多样化他们进行攻击所使用的基础设施。

研究人员曾经能够追踪中国的攻击，找到特定地区的技术侦察局及其他从事黑客和信