360数字安全集团-数字安全的领导者

独家揭秘！“伏特台风”全球首度归因，溯源关联勒索病毒团伙

2024-04-15

2024年2月1日，美国众议院中国问题特别委员会举行了“中国对美国国土和国家安全的网络威胁”听证会。会议围绕2023年5月被美国微软公司披露的名为“伏特台风”（Volt Typhoon）且所谓“具有中国政府支持背景”的黑客组织展开讨论，称其对美国关键基础设施发动了网络攻击并试图进一步实施破坏，给美国国家安全造成严重威胁。

实际上，早在2023年5月24日微软公司发布《伏特台风组织利用逃避检测技术针对美国关键基础设施发动攻击》的技术分析报告，并被 “五眼联盟”国家网络安全主管部门公开引援时，中国国家计算机病毒应急处理中心已第一时间联合360数字安全集团成立技术团队开展调查工作，全程参与此案技术分析。技术团队通过对相关报告的恶意程序样本技术特征进行分析后发现，样本并无表现出明确的国家背景黑客组织行为特征，而是与勒索病毒等网络犯罪团伙的关联程度明显。“伏特台风”黑客组织具有“中国政府支持背景”纯属栽赃陷害，此举意图以不实归因打压中国对外形象与发展。

undefined

两份报告模糊溯源重点

支持上述听证会言论的重要“证据”主要来源于两份报告。首份报告即2023年5月份微软公司发布的技术报告，其中重点介绍了该组织的攻击技战术，即首先通过入侵小型商用或家用路由器、防火墙等网络设备进入目标内部网络，然后采用“无文件攻击”逃避检测技术进一步渗透窃密。在这种攻击战术中，攻击者主要使用非定制化恶意程序或攻击工具。

第二份报告由美国流明科技（Lumen Technologies, Inc）公司（美国仅次于AT&T和Verizon的第三大固网电信公司）旗下网络安全研究机构“黑莲花实验室”（BLACKLOTUS Labs），在2023年12月13日发布，报告中提及伏特台风组织，并认为该组织在攻击活动中利用物联网僵尸网络作为跳板发起网络攻击。

尽管上述技术报告对攻击者的技战术特征和感染指标（IoC）等进行了介绍，但没有给出具体的溯源分析过程，而是直接给伏特台风打上了“中国政府支持背景黑客组织”的标签，并成为后续美国政府、网络安全企业和新闻媒体做文章的“证据”。

归因分析指向“暗黑力量”

一直以来，网络攻击活动的归因分析都是国际性难题。“伏特台风”这一名称和归因都源自美国微软公司的技术分析报告和五眼联盟发布的联合预警通报，但上述报告并没有给出详细的归因分析过程和根据，且报告中也提及，黑客使用逃避检测技术为取证和溯源工作带来较大困难。

360数字安全集团联合中国国家计算机病毒应急处理中心克服重重困难，通过对报告给出的相关攻击活动技术特征（IoC）进行溯源分析，发现相关恶意程序样本关联多个IP地址。这些IP地址与很多的网络攻击事件相关，并且也存在多个IP地址与同一攻击事件或网络安全风险存在关联的现象。其中与上述5个IP地址都有关联的网络攻击事件报告是美国威胁盟（ThreatMon）公司于2023年4月11日发布的《关于“暗黑力量”（Dark Power）勒索病毒团伙研究报告》。

拨开层层障眼法，上述恶意程序样本技术特征与这一名为“暗黑力量”的勒索病毒网络犯罪团伙关联程度密切。报告显示，“暗黑力量”首次被发现攻击活动时间为2023年1月，仅2023年3月就至少有10个以上的全球范围内机构遭到该组织攻击并被勒索。受害机构所在国家包括阿尔及利亚、埃及、捷克、土耳其、以色列、秘鲁、法国、美国等。

该组织使用典型的“双重勒索”方式，即：先入侵受害单位的内网，进行数据窃取，窃取到重要数据后，再最后进行加密勒索，同时威胁用户如果不按时缴纳赎金，将在网络上公开泄露受害单位的敏感内部数据。最为关键的是，该组织同样在攻击中部分使用了“无文件攻击”技术，即使用Windows操作系统自带的管理工具（WMI）关闭系统进程，并在攻击结束前对攻击过程中产生的相关系统日志信息进行清理，最后留下一个勒索信告知受害单位。

undefined

暗黑力量组织的勒索信

另外，通过对美国流明科技公司发布报告中包含的恶意程序样本和IP地址等技术特征进行检索，并未找到其与微软公司和五眼联盟预警通报中所述技术特征之间的关联关系。

至此，技术团队判定来自“伏特台风”的恶意程序样本并未表现出明确的国家背景黑客组织行为特征，反是与“暗黑力量”勒索病毒等网络犯罪团伙的关联程度明显。在此情况下，仅凭受害单位和攻击者的攻击技战术这些模糊的归因因素就将“伏特台风”扣上所谓“中国政府黑客”的帽子未免过于牵强。

以安全大模型为核心构建

360安全云防勒索解决方案

近年，随着网络武器泄露和攻防技术快速扩散导致网络犯罪分子的技术水平显著提高。部分勒索病毒组织和僵尸网络运营者拥有的资源和技术能力已经超过一般国家，甚至已经能够达到网络战水平。同时，勒索病毒组织与僵尸网络运营者早已建立了成熟的地下黑色产业合作模式，在利益的驱使下，这些网络犯罪团伙活动日益猖獗，成为全球各国面临的共同威胁。

面对当前复杂的网络威胁，360基于多年攻防实战经验和能力推出以安全大模型为核心的360安全云防勒索解决方案，通过云化数据、探针、专家、平台和大模型能力，开放共享给广大政企机构，构建了高效预防、自动监测、智能处置的勒索病毒防御体系，实现多方位、全流程、体系化的勒索防护。

未来，360将持续发挥自身技术优势和能力优势，完善以安全大模型为核心的安全云解决方案，守护国家网络安全和基础设施安全，筑牢数字安全屏障。

结语

通过分析事件的时间线，我们发现2024年1月31日这个时间节点非常关键。因为，按照美国相关法律，总统必须在每年2月第一个周一，也就是2024年2月5日前提交联邦政府下一财年预算申请。而且在2024年3月11日拜登政府公布的2025财年预算申请文件中，美国联邦政府的网络安全总预算和相关情报机构的网络安全预算都得到了显著增加。综上，我们完全有理由认为，“伏特台风”就是美国情报机构和反华政客针对美国国会和纳税人的一次合谋欺诈。

即：一方面通过操弄网络安全企业捕风捉影，虚假叙事，另一方面利用手中的行政权力大肆渲染“中国网络攻击威胁”，欺骗美国国会不断增加网络安全预算，加剧美国纳税人的债务负担。

“伏特台风”彻底暴露了美国“歇斯底里”和“无底线”的对华政策，以及美国政客、高官和企业家勾连腐败的真相，美国此举只会破坏国际公共网络空间的正常秩序，破坏中美关系正常化，影响美国政府在全球的声誉。引用中国谚语“多行不义必自毙，子姑待之”。