“伏特台风”III——解密美政府实施网络间谍和虚假信息行动

1. 引言

2024年4月15日和7月8日，中国国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室和360数字安全集团先后发布了题为《伏特台风——美国情报机构针对美国国会和纳税人的合谋欺诈行动》和《伏特台风 II——揭密美国政府机构针对美国国会和纳税人的虚假信息行动》的专题报告。这些报告全面揭露了美国联邦政府、情报机构及“五眼联盟”国家针对中国、德国等国家及全球互联网用户实施的网络间谍窃听窃密活动，并通过“假旗行动”掩盖自身恶意网络攻击行为，嫁祸他国。

报告发布后，尽管一些美国前任和现任情报机构官员、網路安全企业及媒体试图狡辩，但未能有效反驳前两篇报告中公布的证据。这进一步暴露了其“做贼心虚”的真实面目。

2. 网络空间的“变色龙”

2.1 美国的网络武器库

美国作为全球最大的军火供应商，其庞大的军事工业体系和强大的军工复合体构成了其政治、经济及军事政策的重要基石。美国在网络空间拥有规模庞大、形式多样、功能复杂的网络武器库。中国国家计算机病毒应急处理中心此前已公开披露多款由美国国家安全局（NSA）和中央情报局（CIA）开发的网络武器，这些仅是美国“駭客帝国”网络武器库的“冰山一角”。

2.2 “大理石”工具包框架

美国情报机构研发了“隐身工具包”——“大理石”（Marble），用于掩盖网络攻击行为、嫁祸他国及误导溯源分析。该工具框架能够与其它网络武器项目集成，通过混淆程序代码中的可识别特征，擦除开发者的“指纹”，并插入多种语言的字符串，以迷惑调查人员，栽赃陷害中国、俄罗斯、朝鲜、伊朗及阿拉伯国家。

图1：“大理石”计划源代码

图2：混淆函数

图3：混淆算法

图4：文件处理功能函数

图5：文件处理功能函数（续）

图6：在文件中插入“外语”

“大理石”工具包框架显示，美国情报机构在全球范围内进行无差别、无底线的网络间谍活动，并通过“假旗行动”误导调查人员，将网络攻击的责任嫁祸于他国。

3. 网络空间的“窥探者”

3.1 扼住互联网的“咽喉”

美国依托其在互联网基础设施中的技术和地理优势，控制了全球最重要的海底光缆。美国国家安全局（NSA）建立了7个国家级全量监听站，与美国联邦调查局（FBI）和英国国家網路安全中心（NCSC）合作，对全球互联网用户进行无差别监听。

图9：美国国家安全局（NSA）建立运营的海底光缆监听站

图10：美国国家安全局（NSA）情报的“客户”列表

3.2 控制互联网数据的“水库”

NSA通过“上游”（UpStream）项目和“棱镜”（Prism）项目，将拦截的海底光缆通信数据全量留存并进行分类分析。特别是在加密流量增加的背景下，这些项目使得NSA能够从美国各大互联网企业获取用户数据，进一步扩大其监听能力。

图11：美国国家安全局（NSA）实施全球互联网监听的两大重点工程项目

3.3 潜入互联网数据的“源头”

NSA的“特定入侵行动办公室”（TAO）在全球范围内发动网络秘密入侵行动，植入超过5万个间谍程序，主要目标集中在亚洲、东欧、非洲、中东及南美等地区。这些间谍程序的控制中心多位于美国以外的军事基地，如日本、韩国、关岛和夏威夷。

图12：美国国家安全局（NSA）“特别入侵行动办公室”（TAO）的全球网络入侵行动示意图

图13：美国国家安全局（NSA）“特别行动办公室”（TAO）对中国网络实施入侵的示意图

图14：美国国家安全局（NSA）“特别行动办公室”（TAO）技术人员植入后门的图片

3.4 互联网情报的“予取予求”

通过《涉外情报监视法案》（FISA）第702条款的授权，NSA建立了全球化的互联网监听网络，向美国政府提供大量高价值情报。这些情报涵盖外交、军事、经济、科技等多个领域，使美国在国际事务中占据先机。

图15：美国国家安全局（NSA）针对前法国总统萨科齐的监听记录

表1：美国国家安全局（NSA）针对法国时任政府官员的部分情报监听记录

日期	情报类别	情报内容
2004年	法国驻华盛顿大使	法国驻华盛顿大使计划公布从Oil-for-Food计划中获利的美国公司名单。
2006年	法国政府高层通信	法国时任总统希拉克和外交部长讨论联合国任命相关事宜。
2008年	法国政府高层通信	法国财政和经济政策局长对总统萨科齐在世贸组织谈判中的不满态度。
2008年	法国政府高层通信	法国总统萨科齐将世界经济危机归咎于美国政府，表示法国将带头追求世界金融体系的变革。
2010年3月24日	法国政府高层通信	法国驻华盛顿大使与总统外交顾问讨论美国退出双边情报合作协议等敏感话题。
2011年6月10日	法国政府高层通信	法国总统萨科齐对以色列和巴勒斯坦问题发表强硬言论。
2011年8月2日	法国政府高层通信	驻华盛顿的法国和欧盟官员批评美国贸易政策，称TPP是针对中国的对抗。
2012年5月22日	法国政府高层通信	法国内部对欧元区危机的担忧，特别是希腊退出欧元区的问题。
2012年7月31日	法国政府高层通信	法国财政部长和参议员讨论法国经济困境及未来展望。
2012年	美国针对法国的间谍命令	要求针对法国进行经济间谍活动，收集涉及电信、能源、环境等领域的销售和融资信息。
2012年	美国针对法国的经济间谍令	指示收集法国与电信、发电、天然气等领域重大项目的销售和融资信息，拦截价值超过2亿美元的合同和交易。
2012年	法国政府官员会议议程情报	法国财政部为G7和G20会议起草谈话要点，包括敦促美国银行业改革等。

图16：美国情报机构在德国设立的秘密情报站

图17：美国国家安全局（NSA）对德国政府领导人的监听记录

图18：美国国家安全局针对德国国防部的监听记录

图19：美国国家安全局（NSA）对日本领导人的监听记录

图20：美国外国情报监视法院公开文件中违反“702条款”的案例

图21：美国情报机构关于“702条款”合规性要求的培训材料

4. 事出反常必有妖

在发布第二份“伏特台风”调查报告后，尽管美国官方机构及其主流媒体保持沉默，但部分前任和现任美国政府官员及网络安全公司通过社交媒体和独立新闻媒体对调查报告提出质疑，声称报告“歪曲”或“滥用”美国相关公司的研究成果。这些公司试图撇清与报告的关系，表现出明显的防御姿态。

微软公司威胁情报战略总监德格里波在2024年8月11日的黑帽大会上表示，“伏特台风”组织仍在活跃，但未提供与中国政府支持相关的确凿证据。此外，微软公司在2024年5月7日为美国情报机构部署了离线版本的人工智能大模型和助手程序，用于绝密级情报信息的辅助分析。同时，微软公司发布的“Copilot + PC”及“Recall”功能引发用户对隐私泄露的担忧。

网络安全企业CrowdStrike公司也在7月19日发生产品更新错误，导致全球数百万台安装Windows操作系统的计算机“蓝屏”停止工作，影响了多个国家的关键基础设施。然而，美国网络安全与基础设施安全局（CISA）对这一事件表现出异常宽容，局长简·伊斯特丽在黑帽大会上将此次事故称为“伏特台风”组织攻击的“预演”，为相关公司进行解围。

5. 结语

多年来，美国联邦政府机构出于自身利益，不断将网络攻击溯源问题政治化。一些美国网络安全公司如微软和CrowdStrike在缺乏足够证据的情况下，热衷于将黑客组织命名为带有地缘政治色彩的名字，如“台风”、“熊猫”和“龙”，以显示其所谓的技术和文化底蕴，但实际上却忽视了基本的产品质量问题，破坏了行业风气。

中国一贯反对将网络攻击溯源归因问题政治化，主张通过技术调查解决网络安全问题。美国联邦政府机构通过编造虚假网络攻击威胁，获取国会预算，推动“伏特台风”计划，最终可能因自身的野心而自食其果。美国政客如克里斯托弗·雷因多起事件中因掩盖事实真相而受到质疑，最终可能面临正义的审判。

在当前地缘政治冲突加剧的背景下，国际间的正常交流对网络安全行业尤为重要。我们呼吁广泛的国际协作，网络安全企业和研究机构应专注于网络安全威胁对抗技术的研究，提升产品和服务质量，确保互联网在促进人类社会共同发展中发挥稳定作用。

---

附录

附录A：相关术语解释

• APT（高级持续性威胁）：有组织、有目标的网络攻击，旨在长期潜伏和持续获取信息。
• 假旗行动（False Flag）：指通过制造虚假攻击，嫁祸他国或他方的行动。
• 供应链攻击：通过攻击供应链中的环节，植入后门或恶意软件，实现对目标系统的控制和信息窃取。
• “4D”原则：否认（Deny）、干扰（Disturb）、抹黑（Darken）、欺骗（Deceive），用于实施影响力行动的主要策略。

附录B：参考文献

1. 中国国家计算机病毒应急处理中心. 《伏特台风——美国情报机构针对美国国会和纳税人的合谋欺诈行动》.
2. 中国国家计算机病毒应急处理中心. 《伏特台风 II——揭密美国政府机构针对美国国会和纳税人的虚假信息行动》.
3. 李明. 《网络安全与情报分析》. 2023年出版.
4. 张华. 《信息战与社会稳定》. 2022年出版.
5. Spiegel. 德国情报工作与NSA合作报道.
6. The Guardian. Crypto AG与CIA、BND合作报道.
7. 美国外国情报监视法院公开文件. 链接.
8. The Hill. FBI滥用监听工具报道.
9. New York Post. FBI局长克里斯托弗·雷撒谎报道.
10. New York Post. FBI局长克里斯托弗·雷虚假备忘录报道.
11. NBC News. 克里斯托弗·雷关于特朗普枪击案的伪证报道.
12. Bloomberg. 微软为美国情报机构部署AI模型报道.
13. 澳大利亚专家. 《网络间谍活动的地缘政治》. 链接.