中國網絡安全產業聯盟(CCIA)發布最新報告,公開美國如何通過SIM卡、操作系統漏洞及商業間諜軟件,對全球手機用戶實施無差別監聽。中國外交部表示,美方多年來慣於在供應鏈安全問題上「賊喊捉賊」,操弄雙重標準,不遺餘力炒作所謂「5G供應鏈安全問題」,敦促美國停止利用全球供應鏈實施惡意網絡活動,給全世界一個交代。
這份3月25日發布的《美情報機構針對全球移動智能終端實施的監聽竊密活動》萬字報告,由全球30餘家安全機構聯合研究,證實美方監控行動已形成「供應鏈滲透-數據截獲-二次利用」的完整黑色產業鏈,成為全球最主要的通過供應鏈和移動運營商實施網絡攻擊的國家,嚴重危害各國網絡安全和國家安全。
美國「數字鷹爪」無差別攻擊全球手機用戶。
借SIM卡漏洞跨手機品牌攻擊
報告詳述美方構建的「三層攻擊網絡」。包括硬件層面:入侵SIM卡製造商竊取加密密鑰,破解全球78%手機用戶的通訊數據;系統層面:利用iOS和Android系統漏洞,通過iMessage等應用植入「零點擊」木馬;生態層面:控制「量子系統」截獲蘋果Safari瀏覽器流量,甚至綁架中國熱門瀏覽器上傳用戶數據。
全球10歲及以上人口中手機擁有率為78%,3G及以上的移動寬帶在全球總人口的覆蓋率為95%。相比傳統PC端,手機等移動智能終端有更多的網絡安全暴露面和可攻擊面,也是美方情報機構覬覦的環節和重點攻擊的目標。
中國網絡安全產業聯盟理事長肖新光指出,美方甚至能通過供應鏈前置攻擊,直接破解SIM卡加密邏輯,換言之,其攻擊可以跨越手機系統和品牌,使得任何品牌手機都存在被「一網打盡」的風險。
美方還依託攻擊運營商網絡設備,構建攻擊陣地,美方構建了攻擊手機、PC等上網設備的「量子系統」,可以在重點人員上網過程中,通過植入臨時流量,實現木馬注入。根據安全廠商安天分析的報告,美方基於「量子」系統,利用了safari瀏覽器漏洞,將木馬投放到特定人員蘋果手機上。
報告認為,無論是終端設備還是骨幹線路,無論是政府官員、技術專家等高價值目標還是普通民眾,都有可能成為美情報機構開展情報活動的目標。
用戶「零點擊」都會被植入木馬
網絡安全公司卡巴斯基實驗室披露,美情報機構已掌握先進的「零點擊」攻擊技術。在整個攻擊過程中,不需要用戶點擊某個鏈接或打開某個文件,只要手機用戶收到相關內容,惡意程序就能自動植入手機。
報告特別指出,蘋果手機iOS平台的iMessage服務已成為美方重點突破口。通過向特定號碼發送帶惡意代碼的彩信,即便用戶未開啟任何鏈接,系統仍會自動解碼並安裝後門程序,以達到長期竊取手機數據的目的。
除此之外,美情報機構通過利用和控制商業間諜軟件,進一步強化在移動網絡領域的監控和情報獲取能力。比如美通過對以色列間諜軟件「飛馬」的運用,對包括法國、巴基斯坦等多個國家元首和政界要員實施監聽。
報告還揭露美方龐大的網絡情報作業體系工程中的一環:「怒角」計劃,支撐其針對全球移動智能終端的竊密監聽活動。尤其是「五眼聯盟」情報機構組成的「網絡情報技術推進小組」(NTAT)在尋找進入移動應用商店服務器的方法時,還針對中國APP軟件或互聯網平台採集的用戶數據,實現二次獲取。例如某中國國內廣泛使用的手機瀏覽器,會將將用戶的電話號碼、SIM卡號和設備信息上傳到服務器上。而這就為「怒角」計劃竊取中國用戶信息提供便利。
肖新光形容,「美方情報機構如同一隻窺視全球的巨型鷹鷲」。他指出,美方擁有大量建制化的網絡攻擊團隊、龐大的支撐工程體系與制式化的攻擊裝備庫,依託系統化的作業規程和手冊展開作業,這只鷹鷲還在不斷強化演進中。捕獲其攻擊活動和樣本,分析其作業機理,才能有針對性的提升防護能力。長期起來,全球研究者、學術機構、都為揭開這只巨型鷹鷲的真面目,做了大量的工作。本篇報告和聯盟在2023年發佈的報告《美國情報機構網絡攻擊的歷史回顧》初衷類似,有必要讓全球網民都能全面了解美方情報機構給世界帶來的威脅。
供應鏈安全問題「賊喊捉賊」
在3月25日外交部例行記者會上,中國外交部發言人郭嘉昆表示,根據這份報告,美國政府濫用其在信息技術和產供鏈上游的壟斷優勢地位,在全球範圍內針對手機乃至整個移動產業生態體系開展大規模、長時間惡意網絡活動,可謂無孔不入、無所不在。
值得注意的是,報告揭露出,美國是全球最主要的通過供應鏈和移動運營商實施網絡攻擊的國家。多年來,美方慣於在供應鏈安全問題上「賊喊捉賊」,操弄雙重標準,不遺餘力炒作所謂「5G供應鏈安全問題」,同時在自己國家大型互聯網企業或設備供應商配合下,在全球信息設備產品中預設後門,服務於自身網絡攻擊行為。相信這份報告有助於國際社會認清美國的真實面目。
郭嘉昆表示,我們對報告曝光的美方惡意網絡活動表示嚴重關切,敦促美方立即停止有關行為,特別是停止利用全球供應鏈實施惡意網絡活動,以負責任的態度,給全世界一個交代。
深喉
** 博客文章文責自負,不代表本公司立場 **
備受Signal群組洩密醜聞困擾的美國防長赫格塞思,再被爆亂下軍事指令,甚至連美國總統特朗普也毫不知情,不單凸顯其難以控制,也反映白宮尤其五角大樓內部政策及指揮極其混亂,甚至內訌加劇。
路透社5月6日報道,以「赫格塞斯下令取消烏克蘭武器令白宮措手不及」為題,爆出在特朗普展開第二任期約一星期後,美國軍方向三家以特拉華州多佛空軍基地和卡塔爾美國基地為基地的貨運航空公司發出指令,停止 11 個滿載砲彈和其他武器飛往烏克蘭的航班。
路透社披露,美防長赫格塞思突下令停運援烏武器,而特朗普毫不知情。
幾小時內,來自基輔的烏克蘭人和負責協調物資運送的波蘭官員就,向美方提出大量疑問,究竟誰命令美運輸司令部(簡稱 TRANSCOM)停止飛行?是否永久停止所有援助?但此刻,美國白宮、五角大樓和國務院的高級國安官員竟無法提供答案。一星期之內,航班恢復飛行。
據路透社查閱運輸司令部記錄顯示,口頭命令來自國防部長赫格塞斯(Pete Hegseth)的辦公室。運輸司令部發言人表示,是透過五角大樓參謀長聯席會議收到命令。
路透社引述3位知情人士透露,特朗普於 1 月 30 日結束在橢圓形辦公室舉行的烏克蘭問題會議,與會的包括赫格塞斯、國務卿魯比奧和其他高級國安官員,但之後特朗普取消了會議。兩位了解會議情況的人士稱,會談中提出了停止對烏克蘭援助的想法,但總統並未下達停止對烏援助的指示。據兩位了解白宮私人討論的消息人士和另一位直接了解此事的消息人士透露,總統和與會的其他高級國安官員都不知道赫格塞斯的命令。
據報,特朗普於 1 月 30 日在橢圓形辦公室舉行烏克蘭問題會議,與會的包括赫格塞斯、國務卿魯比奧和其他高級國安官員。AP資料圖片
當時白宮告訴路透社,赫格塞斯遵循特朗普指示,暫停了對烏克蘭的援助,並指這是政府立場,惟當時白宮沒解釋為何該項命令被迅速撤銷。白宮發言人萊維特說,結束俄烏戰爭談判一直是一個複雜多變的局面,白宮不會詳細記錄整個過程中政府高層官員之間的每一次談話,最重要是,與特朗普就任時相比,「今天的戰爭更接近結束」。但據記錄,該次取消行動對運輸司令部造成了220萬美元的損失。1個月後,白宮宣布,拜登政府授權的暫停軍事援助的命令正式生效。
報道指,5名知情人士證實,航班暫停數日顯示政府在制定和實施國安政策方面存在混亂,而在五角大樓,混亂是一個公開的秘密,許多現任和前任官員表示,外交政策內部分歧、根深蒂固內部積怨、及缺乏經驗的工作人員,都是問題所在。
兩位消息人士對路透社表示,烏克蘭和歐洲官員於2月2日起詢問暫停飛行一事。運輸司令部記錄顯示,國防部長「SECDEF」曾下達口頭命令,停止飛行,但飛行於2月5日恢復。
然而,貨物運輸暫停數日,引起基輔民眾恐慌。報道引述消息人士稱,其後與烏方的談話中,美國政府將暫停視為「內部政治」。被取消的航班上載有拜登政府早已批准並獲得國會授權的武器。
自2022年2月俄烏衝突爆發後,美國已向烏克蘭提供數十億美元的軍事援助。大部分是在拜登政府執政期間交付,但仍有少量援助在籌備中,計劃今年夏天完成交付。
事實上,向烏克蘭運送武器需多個部門批准,可能需數周甚至數月才能完成。美國的大部分軍援都經過波蘭的物流中心,然後由烏克蘭代表接收並運入國。目前尚不清楚11 個被取消的航班是否是該月僅有的原定航班,波蘭已經儲存多少援助物資。
4月15日赫格塞斯的幾名高級顧問因被指控未經授權洩密而被「炒魷」。AP圖片
值得注意的是,此消息曝光之際,正值4月15日赫格塞斯的幾名高級顧問因被指控未經授權洩密而被「炒魷」,美國國務卿的通訊受包括國會在內的審查。
3位熟悉情況的消息人士稱,赫格塞斯誤解了與總統關於烏克蘭政策和援助運輸的討論,但無進一步說明。另4位了解情況的人士稱,五角大樓內部的一小部分工作人員建議赫格塞斯考慮暫停對烏克蘭的援助,惟當中許多人其實從未擔任過政府職務,多年來一直反對美對烏的援助。有知情人士形容,當時僅是「後勤暫停」。
消息人士透露,1月30日,赫格塞斯到橢圓形辦公室與特朗普會面,並帶了一份由特朗普一些高級政策顧問起草的備忘錄,促白宮考慮暫停對烏運武,以便在與俄羅斯的和平談判中獲得籌碼。當時,國務卿與其他參與烏克蘭政策的高級官員出席了會議,包括上周四被迫離職、預計將被提名為美國駐聯合國大使的國安顧問沃爾茲、及烏克蘭特使凱洛格(Keith Kellogg)。當時討論了美對俄烏的政策,包括可能加強對莫斯科的制裁,而停止援助烏方確實在討論中出現過。
但消息人士稱,在會談期間,特朗普再次拒絕停止對烏克蘭的援助,也拒絕命令赫格塞特在向基輔運送設備方面實施任何政策變更。
其後,五角大樓有工作人員向特朗普的親密顧問透露了暫停援助的消息,並與總統討論了是否恢復援助,惟運輸司令部已取消了 11 個航班,而當時媒體仍未知道赫格塞斯在當中所扮演的角色。消息人士稱,國安顧問沃爾茲最終介入,撤銷了這項決定。
特朗普上任後 承諾與俄烏合作結束戰爭,其兩位特使即基輔支持者凱洛格、及房地產巨頭、總統密友維特科夫,著手與雙方進行談判。另一方面,在五角大樓,赫格塞斯的一些政策顧問私下也開始起草撤回美國對烏支持的提案。另有些人此前曾建議共和黨議員推行「美國優先」外交政策,呼籲美國撤回在中東和歐洲的軍事承諾,美副總統萬斯也支持類似觀點。
據知情人士透露,白宮內鬥使政策制定過程變得複雜,正當在凱洛格和維特科夫試圖與俄烏達成和平協議之際,他們的工作人員在幕後主張美國撤回對基輔的支持,激怒了烏克蘭官員。
4月26日在梵蒂岡出席教宗方濟各葬禮期間,特朗普與澤連斯基曾短暫會晤。
而華府已與基輔簽訂一項關於其稀土礦產權的協議,有美官員稱該協議是為收回美國支持烏克蘭戰爭而花費的資金。
但有白宮官員公開表示,若俄烏和談短期內再無跡象取得明確進展,美方將不再參與斡旋。美國Axios新聞網4月22日引述消息人士披露,美國此前在巴黎向烏方提交了特朗普的「最終版」和平協議方案,僅有一頁紙,內容包括美國將承認克里米亞地區為俄羅斯領土,並非正式承認俄羅斯對自2022年俄烏爆發衝突以來幾乎所有佔領地區的控制權。根據方案,烏克蘭不得加入北約,但可加入歐盟,並將由歐洲國家向烏提供「強有力的安全保障」。
4月25日,《時代》雜誌刊出專訪特朗普,談及烏克蘭問題時,特朗普指責基輔挑起戰爭,指烏克蘭將失去約20%的領土,克里米亞歸俄羅斯。4月26日,在梵蒂岡出席已故教宗方濟各葬禮期間,特朗普與烏總統澤連斯基進行短暫會晤,之後特朗普在社交平台發文表示對普京不滿,聲稱正認真考慮對俄實施大規模制裁。4月30日美國財政部宣布,與烏克蘭簽署建立美烏重建投資基金的協議。5月2日,路透社引述消息稱,美國官員已經敲定針對俄羅斯的新一輪經濟制裁措施,包括針對銀行業和能源領域的舉措,迫使其接受美方盡快結束戰爭的要求。但明顯,特朗普開始失去耐性,因上任逾100日仍未解決其競選期間承諾俄烏衝突結束。
