美国安全问题专家星期四(2月17日)在国会听证会上呼吁对更多中国大学进行制裁,以限制它们帮助中国发展网络进攻的能力。与此同时,美国网络安全公司研究发现,中国针对全球网络安全漏洞发动袭击的次数在去年大幅增加。
在这场由美国国会下属的美中经济与安全审查委员会(USCC)举办的听证会上,美国智库大西洋理事会客座研究员薇诺娜·德桑普瑞(Winnona DeSombre)说,中国是美国在网络空间的主要对手。她说,美国情报机构多次强调,中国拥有强大的网络攻击能力,能够对美国关键基础设施造成破坏。
“习近平在网络力量方面显著提高了中国的论调和能力。他完成了军队的现代化,并将宣传重点转移到追求全球信息主导地位。”德桑普瑞说。
在回答USCC成员有关如何回应中国网络威胁的问题时,传统基金会高级研究员成斌(Dean Cheng)直言不讳地提出对那些为中国军工单位出力的大学进行制裁。
成斌说:“中国的大学数量众多,但其中有一些大学很有意思,它们不属于教育部,实际上隶属于工业和信息化部——这是中国的军工综合体监督机构。这其中包括北京航空航天大学、南京航空航天大学、哈尔滨工业大学等,大约有八个。它们为中国军工综合体提供直接支援。”
成斌反问:“它们是否应该与美国的学术机构进行联合研究……他们的学生是否应该被我们的各类机构录取录用呢?”
乔治城大学安全与新兴技术中心研究分析员雷凯瑞(Dakota Cary)也在听证会上呼应了成斌的观点。他说,美国大学与美国政府之间不存在直接的网络进攻技术的提供渠道,相反,中国安全部门与许多中国大学在这方面的联系密切,因此造成双方网络能力发展的不对称性。
雷凯瑞在发言时说:“美国应该考虑将一些大学,列入美国商务部的实体清单。”
他在书面发言稿中提到,美国商务部的实体清单应该包括上海交通大学和东南大学。
“将这些学校列入清单不会阻碍它们为中国政府开展网络能力方面的工作,也不会改变它们与政府的关系,他们的能力发展也不会放缓。”雷凯瑞强调:“但是,将这些大学列入清单,我们的决策者可以阻止这些大学的其他部门通过合作获取美国人才和研究所需的高端技术。”
美国商务部目前已经将中国多个实体列入商务部的实体清单,这些实体涉嫌参与侵犯人权的行为、南中国海军事化、侵犯美国知识产权等问题。根据美国法律,向“实体清单”的实体出口、再出口或转让受美国《出口管理条例》(EAR)管辖的物项均需向美国商务部工业与安全局(BIS)申请许可证,且许可审查政策为“推定否决”。
与此同时,美国网络安全公司CrowdStrike最新发表《2022年全球威胁报告》指出,中国利用网络漏洞进行攻击的能力世界一流,在过去一年有上升的趋势。
CrowdStrike情报部门观察到源自中国行为者利用网络安全漏洞实施入侵的次数在2021大幅提升,报告说,与中国相关的黑客去年利用了已知的12个漏洞,是2020年的6倍,影响了9个不同的网络产品。
报告说,2021年标志了中国黑客进攻方式的转变。报告指出,中国黑客多年来依靠用户疏忽,例如打开恶意文档、下载恶意电邮中的附件、进入存在恶意代码的网站等方式,对目标进行网络攻击;但中国黑客去年开始将攻击的技术重点升级到利用直接面向互联网的设备和服务的安全漏洞进行主动快速攻击。
CrowdStrike情报事务高级副总裁亚当·迈耶斯(Adam Meyers)2月16日在一场网上说明会上说:“他们(中国黑客)越来越多地寻找企业级服务下手,比如VPN集中器、微软 Exchange服务器、源代码存储库等等。”
迈耶斯还指出,中国黑客的袭击目标与中国的政治目的契合。他说:“他们(中国)对(网络漏洞的)研究所做的投资获得了回报,他们能够在相当长的时间内成功地利用这些漏洞,并进入目标,从而使他们能够针对其间谍活动的目标搜集信息,无论是一带一路倡议,还是十四五计划、中国制造2025计划,从香港民主运动到法轮功、西藏问题等地缘政治问题,都是他们关注的。”
“这对他们来说是一个非常有价值的过程,在过去的一年里,他们非常有效地利用了这个过程。”
中国政府去年9月通过实施《数据安全法》强制公司在发现自身网络安全漏洞时首先向北京方面汇报。分析认为,这项规定会增强中国自身的网络安全防御能力,同时让中国黑客轻易获取发动“零日袭击”的网络资源。