遭美國多次點名的網絡安全公司安天科技：必須放棄幻想，準備鬥爭

本文獲《觀察者網》授權轉載，作者為安天科技集團聯合創始人、技術委員會副主任李柏松。

作為一名網絡安全從業者，我已經在安天從事了23年威脅分析工作。而這些年來最難忘的，是如何和同志們一起與最高水平的威脅鬥爭。這些威脅來自大洋彼岸。

工作起點和軌跡

安天對美方情報機構APT（高級持續性威脅）攻擊活動的分析，始於對「震網」（Stuxnet，又稱作超級工廠，是一種Windows平台上的電腦蠕蟲）事件的快速跟進。2010年7月，美、以情報機構聯合攻擊伊朗工業基礎設施一事被曝光。我們快速搭建模擬環境、還原「震網」作用機理，並在分析其USB擺渡控制條件機理等方面形成了特別分析成果。但當時，我們並未更深刻地從網絡空間軍事化的風險來看待「震網」事件，還只是將其作為工業場景安全的新型「技術風險」來看待。

直到我們試圖把「震網」攻擊和代號為「巴比倫行動」的以色列空軍偷襲伊拉克核反應堆這樣的軍事行動進行對比時，我們才意識到美方打開了潘多拉魔盒，即用網絡攻擊達成了傳統戰爭行動的局部等效性。

從「震網」的機理還原到與「毒曲」的同源關聯，再到針對「火焰」蠕蟲眾多模塊的馬拉松式的接力分析，我們在兩年多的時間裡幾乎消耗了全部高級分析人力，但依然不能完成所有模塊與分支的分析工作。我們的國際同行卡巴斯基也對「火焰」給出了「攻擊機制最複雜、威脅程度最高的計算機病毒之一，其結構複雜度是『震網』病毒的20倍。」的評價。

我們意識到，面前是多套史無前例的龐大超級惡意代碼工程體系。直到2019年，我們才基本完成了承載「震網」「火焰」「毒曲」「高斯」這一系列攻擊背後的惡意代碼工程體系全貌繪製。

2012年後，我們開始分析一組更為隱蔽的攻擊，這是更為複雜的平台化樣本，通訊指令完全加密。憑藉分析「震網」系列積累的經驗，我們克服了挑戰，完成了多種平台的樣本分析，包括此前從來沒有遇到過的Sun Sparc架構（Solaris系統）樣本、破解加密方式、還原控制指令集合等。

有些遺憾的是，多方面因素導致我們無法第一時間公佈這些分析成果。直到國際同行將相關攻擊組織命名為「方程式」，並披露了其Windows平台樣本後，我們才陸續公開了我們對Solaris、Linux、iOS等平台的樣本分析結果。

卡巴斯基的分析成果也帶給我們之前未分析的一個能力點，那就是「方程式」的面對硬盤固件的持久化能力。面對多種多樣的硬盤型號，公司嵌入式安全部門的同事和高校聯合研究者都來加入分析隊伍，大家按照硬盤品牌分工協作，開發了4種主流品牌的硬盤固件提取工具。而威脅分析工作重要魅力也在於，我們會不停地遇到全新的場景和挑戰。

在這個工作階段，我們關注的重心是圍繞組件化樣本結構、0day漏洞的儲備積累的組合運用、複雜的加密機制、更深度的持久化能力等，整體上還停留在面向惡意代碼和作用機理技術分析層面。2013年，斯諾登事件爆發，美國情報機構NSA的大量內部文檔在幾年內被陸續曝光。我們意識到，我們面對的威脅行為體是一個龐大的冰山，我們過去的分析工作其實是其水面之上的部分。

而其基於覆蓋全球信號情報獲取能力，由「棱鏡」「核子」「碼頭」等系統組成的「星風」體系，構建了全球網空地形測繪和覆蓋性目標畫像能力，建立了以「湍流」為代表的進攻性能力支撐體系，支撐起了具有精準定位能力、高度隱蔽性和反溯源能力的「21世紀信號情報框架」。數十個相互關聯的工程體系，組成了美方網空攻擊活動的巨大支撐體系。更是基於集成建設的IC Clouds（情報雲），彙聚從人力、電磁到網絡空間獲取和竊取的海量數據，形成了情報的富集效應。

這些則是冰山的水面之下的部分，也是其霸權體系的一個組成部分。正如我的同事、安天創始人肖新光同志指出的：

「其情報活動和作戰都已經有一套成熟的、漸進的體系，APT是這個體系眾多手段中的一個，因此也必然帶有其固有特色和痕跡。」

為此，2015年後，我們開始用「超高能力網空威脅行為體」來指代美方NSA等情報機構，並使用A2PT（即高級的高級持續性威脅）來標識其攻擊活動，以將其和其他威脅行為體的定向攻擊活動加以區別。同時，也提醒我們自己，對抗和分析這種攻擊能力會有多麼困難。更進一步的難點，則是閉合溯源、完整複盤其某次攻擊行動。由於有大量的外設、電磁中繼等支持，且很多攻擊活動可能並不在互聯網側閉合，因此其也很難在TCP/IP層面完整複盤。我們只能努力分析已經獲得的每一個樣本和線索，等待更好的時機。

幸運的是，2017年4月14日，名為「影子經紀人」的攻擊組織曝光了一批與NSA相關的數據，其中有一個名為「SWIFT」的文件夾引起安天工程師們的注意。經分析發現，這些數據是NSA在入侵中東最大SWIFT金融服務提供商EastNets（位於阿聯酋迪拜）時記錄的相關文檔和日誌。我們可以把此前對惡意代碼樣本和攻擊戰術的歷史分析成果作為珍珠，而把相關的日誌線索拼接在一起，就可以組成一條溯源的「珠鏈」，完整複盤還原美方攻擊跳板、目標場景環境、攻擊作業路徑、攻擊裝備清單和運用、戰術過程和作業後果。

為了讓公眾更好地理解這個複雜的攻擊過程，我們還做了一份完整的可視化呈現。每一次分析啟動，都是分析工程師團隊連續作戰的不眠之夜。但分析成果形成後，卻往往無法第一時間發佈。分析的工作就是戰鬥—等待—再戰鬥—再等待。這份報告最終在2019年6月正式公開發佈。

我們已經形成完整的分析框架方法，能夠從攻擊裝備、攻擊戰術、攻擊支撐基礎設施等角度，全面分析美方的網絡攻擊活動，開始以更加深入廣泛的視角審視美方網絡攻擊活動背後的國家意志之手。

點名、打壓與我們的應對

當我們回頭看這些工作，以及在這些過程中相關的風雨時，我們才意識到，在這樣一個抽絲剝繭、穿透迷霧的漫長艱辛過程中，儘管我們的初衷是通過分析工作洞悉威脅、守護客戶的安全、推進防禦技術的改善，但我們所觸動的卻是難以想像的龐然大物。

2010年，當我們從安天實驗室開始走向企業化運行的軌跡時，我們設想的是：憑藉十年磨礪出的反病毒引擎，做全球網絡安全產業的檢測能力的上游供應者。從網關設備的檢測引擎出口美國、日本等發達國家，到移動端反病毒引擎廣泛地展開國際合作，我們自以為在國際市場上已經站穩了腳跟。特別是在2012年到2014年，我們的移動引擎從首次獲得AV-TEST月度測試第一名，到獲得年度最佳獎項。我們特別堅信，憑藉技術優勢，我們有望能成為網絡安全領域的「聯發科」。

但從2013年開始，安天在美業務突然阻力重重。合作夥伴的法務部門告知我們，他們不能再使用來自中國的反病毒引擎。此時，我們才關注到，2012年美國會「美中經濟與安全審查委員會」舉行了首次所謂「中國網絡安全問題」的聽證會，但此時我們還有所不知的是，安天已經成為一類重點關注對象。

2015年，當我們還在為Cybersecurity Ventures全球網絡空間安全創新500強首次榜單排名95（是排名最高的中國廠商）而有些許自豪時，就驚詫地從一份斯諾登洩露的文檔中看到了安天的名字，美國國家安全局（NSA）和五眼聯盟（美、英、澳、加、新情報共享機制）秘密實施「拱形計劃」（CamberDaDa），著手監控卡巴斯基等全球23家有能力發現和溯源威脅的安全企業，安天作為中國唯一企業「赫然上榜」。CamberDaDa計劃始於2010年，正是我們聚焦「震網」分析的那一年。

這份洩露文檔，再次印證了美國情報機構和其他「五眼」國家情報機構通過入侵全球運營商等方式，在網絡側構建廣泛監聽能力。而這份文檔的主標題《An Easy Win》正是NSA基於這套機制，在信道側獲取網絡攻擊受害者發送給網絡安全廠商的郵件，來判斷自己的攻擊活動是否暴露，以及分析目標主機遭遇到的其他網絡攻擊，是否可以劫持利用。

斯諾登曝光文檔中的一句話說明了該秘密計劃的目的，「類似卡巴斯基反病毒軟件的這類安全產品持續對英國政府通信總部（GCHQ，英國情報機構）的行動能力構成挑戰，而軟件反向工程的目的就是要一直跟蹤此類軟件的能力，否則我們的行為將被檢測到。」

出於職業習慣，在威脅分析對抗中，我們一直都努力保持著冷靜。但這一次，我們感到了震驚和憤怒。我們發出了聲明：「我們認為監聽惡意代碼受害者的求助郵件，以圖達成某種利益和優勢的操作，是一種卑劣的行為。」

但拋開憤怒，我們的聲明中更多的還是從國際合作與全球網絡安全行業發展的視角做出警示：

「有關情報機構把自身所在國家以外的國際反病毒和安全廠商視為自己全球攻擊、監聽活動的絆腳石，同時又與自己國家的安全廠商微妙互動，這是強行在反病毒和安全廠商中劃分出陣營。這種思維一旦擴散下去，必將導致各國艱難形成的安全產業協作和應急協同機制蕩然無存，也將顯著傷害全球其他國家用戶對相關情報機構所在國家的安全廠商的基本信任，最終迫使網絡安全產業徹底回到『籬笆』劃定的地緣經濟之中」。

作為中國應急響應體系中積極參與國際合作的重要企業節點，我們的內心是非常珍視國際反病毒業界的協同機制和全球網絡安全產業的分工協作的。但當有人撕裂世界，則陣營化已經不可避免。

防禦A2PT攻擊是巨大的挑戰，而曝光A2PT攻擊同樣是巨大的挑戰。中國不僅僅是網絡攻擊的受害者，在西方所把持的國際輿論場中，中國是一個弱勢方。我們的聲音難以被重視，發佈報告揭露外方攻擊威脅的工作，國內較長時間中，並沒有獲得廣泛的重視和支持。

因此，我們對「方程式」的先發的兩篇重要分析成果（組件木馬和加密協議分析），是一直等待到卡巴斯基曝光後，才非常謹慎地選擇以純技術報告的方式發佈。特別是，在2015年5月，我們和國內同行直接點名某外方威脅分析報告先後發佈，但都遇到若干波折。導致之後幾個月，國內業界有些灰心和沉寂。

工作轉機很快到來，2016年419的網信工作座談會，擘畫出網絡安全工作的戰略目標和宏偉藍圖。2016年4月底，肖新光同志作為中方產業界代表，參加了網絡空間安全主題的國際論壇，並有機會公開發表技術報告。我們決定要揭露美方情報機構等對中國的APT攻擊活動，並給報告確定了一個很文藝的名字——「熊貓的傷痕」。

這是中國技術專家首次在國際論壇上正式披露相關內容。同志們都很關注報告的效果，等到了他那邊的晚上時間，我語音呼叫問他報告是否順利。他用硬擠出來的極為微弱的聲音說「效果很好」。報告結束後，可能是長時間積累的壓力的瞬間釋放，他咽部突然水腫，呼吸非常困難。他回到賓館後，就在衛生間吐了一口血。他對我說「肺子沒事兒，是嗓子毛細血管都破了」。

此後，我們一鼓作氣，迅速組織發佈了另外兩篇重要的分析成果，複盤了美國情報機構樣本的全平台覆蓋能力、繪製了其執行殺傷鏈的功能模塊地圖。

2016年12月，美國網絡安全機構NetScout發文，對中國網絡空間安全協會（CSAC）的成員組成進行分析，其中專門解析了安天，既肯定了安天對方程式組織的分析成果的價值，又將安天定義為「新代言人」（指中國政府的）。也許是美方很難理解一個中國安全企業對自己國家的熱愛和與威脅對抗的本能，也許這就是一頂刻意的帽子。總之，2017年開始，安天在美國市場的所有業務與合作徹底中斷。

2022年2月，美國會「美中經濟與安全審查委員會」 繼2012年之後再次舉行有關所謂「中國網空能力」的聽證會，與會美方人員建議多措並舉打壓中國網空能力建設。在關注的中方網空能力方面，會議特別點名了兩家中國網絡安全企業「安天實驗室和奇虎360」，「分析曝光了美國國家安全局和中央情報局的網絡行動」，並稱因為安天和奇虎360是中國「最古老的兩家反病毒公司」，所以他們推出這些信息可能讓民眾更加信服。相關內容再次出現在了美國國會相關的年度報告中。連鎖反應是，我們的亞洲國家的合作夥伴們也告知了我們將不再使用安天的引擎。

2024年2月，美國網絡安全公司SentinelOne發佈報告，用低質量的證據羅列和推理論述「中國網絡安全能力不足以指控美國攻擊」。報告中多次點名了安天，還有三處都直接指向了肖新光同志。SentinelOne是北約的技術支持機構和美國國土安全部的旋轉門公司，我們從他們的報告中閱讀到了滿滿的殖民者式樣的傲慢。這也讓安天CERT梳理歷史工作，最終發佈了我們的回應報告《如何讓「鷹鷲」在迷霧中顯形》。

SentinelOne的報告中還專門引用了我們在2016年的 「熊貓的傷痕」報告封面。於是《鷹鷲顯型》報告中，我們補充了這樣的結尾——

「施害者不因施害的高明而高貴，反抗者不因反抗的艱難而卑微。」

我們從未獨行

安天分析團隊溯源分析曝光美方情報機構網絡攻擊的工作，是中國網絡安全業界為守護安全、對抗威脅的努力的組成部分。這份工作是艱難的，但我們的工作並不孤獨。

從2010年「震網」事件，特別是2013年的斯諾登事件至今，全球多位網絡安全知名學者、安全研究者和安全企業，針對美方投放蠕蟲干擾他國工業基礎設施、入侵SWIFT服務機構獲取金融情報、弱化標準化組織的密碼標準強度、進行無差別網絡竊密與監控、污染供應鏈源頭、開發網絡攻擊武器並造成洩露、縱容滲透測試平台成為黑客工具等惡行進行分析揭露。

美方網絡霸權支撐體系的全貌能完整浮出水面，本身是全球網絡安全產業界和學術界，是全球熱愛和平正義的人們前仆後繼、共同鬥爭的成果。

參與這場鬥爭的，既有來自中國安全業界的企業與同仁，也有國際安全企業。許多國際學者、研究者都表現出了巨大的正義感和勇氣。密碼學家Niels Ferguson、Dan Shumow、Aris等人勇敢揭露了美國情報機構污染NIST算法標準。新西蘭密碼學家Mattew Green痛斥美國NSA每年花費2.5億美元，篡改加密標準、弱化通訊協議、與軟硬件廠商合作弱化隨機數強度、攻擊4G手機加密系統……

2023年4月，中國網絡安全產業聯盟（CCIA）發佈報告《美國情報機構網絡攻擊的歷史回顧》，基於全球業界和學界近千份研究文獻，梳理了各方分析過程及研究成果，展示了這場漫長而艱難的鬥爭。

這種共同的鬥爭依然在持續中。2023年6月，卡巴斯基曝光了美方針對蘋果手機依託iMessage漏洞投放木馬進行網絡間諜活動——三角行動；安天也適時公開了一篇長期未公開報告《量子系統擊穿蘋果手機》，揭露「方程式組織」基於「量子之手」系統在網絡側針對上網手機終端瀏覽器漏洞進行利用投放的攻擊樣本，共同揭露了美方在攻擊手機等互聯網設備的方式和能力。

產業聯盟報告中有一段話也引發了我們深深的共鳴和感慨。「曾在『震網』事件中充分深度分析的賽門鐵克、邁克菲等美國安全廠商如今對美國的網絡攻擊閉口不言；歐洲曾非常繁榮的反病毒產業體系，多年來在美國資本不斷滲透控股併購下，本地規模性標誌企業逐漸凋零。只有卡巴斯基，在多年打壓下仍倔強而孤獨地支撐著歐洲安全廠商的榮光。而中國網絡安全企業和產業在這個鬥爭過程中，儘管也面臨著巨大的壓力，但正在不斷做大做強。」

路程、思考、使命

我們是帶著「只有惡意代碼和安全威脅才是我們的敵人」的簡單質樸信念開啟創業之路的，但終於發現我們的工作不可能只停留於技術層面，而必須去直面威脅背後的超級行為體；我們是帶著「天下無毒」理想的憧憬啟航的，但終究發現「樹欲靜而風不止」。

從過去幾年風高浪急的國際地緣政治環境來看，單邊主義和霸權主義對世界的撕裂已經遠遠超過技術層面的對抗，不直面威脅背後的超級行為體展開鬥爭，就不可能維護真正的安全。中國網絡安全更與中國的數字化發展和全球利益息息相關，需要專業技術過硬、鬥爭經驗豐富的隊伍；需要強大的國家網絡安全體系；需要強大成熟的網絡安全產業，為我國雙循環發展提供安全保障。

在這個支撐能力頻譜中，威脅分析是一個重要的能力支點。持續的威脅分析是安全引擎和產品的優化設計、持續改進升級的基礎；其將攻擊的黑箱打破，讓防禦者在被動中獲得更多的可見性和主動權，在重大威脅和威脅趨勢判斷上能提供決策輔助參考。在外交和國際輿論鬥爭中，其也是揭露霸權主義國家將網絡空間軍事化的重要能力支撐。

威脅分析能力，一直是國內網絡安全的能力優勢項。在長期的威脅分析鬥爭過程中，中國網絡安全業界輸出了大量高質量的分析成果，推動了技術創新、產品開發和持續運營，也有效支撐了相關公共安全領域決策，誕生了多個代表性的分析響應團隊，形成了高水平分析工程師人才梯隊。

但作為威脅分析工作者，我有著深切的隱憂：中國網絡安全的威脅分析能力和意志力可能面臨衰退的風險。威脅分析工作長期以來並沒有被足夠重視。

一位國際友人曾對我說，「你們的對手可能比你們的客戶更理解你們的分析成果的價值」。國內高質量的分析成果當前有減少的趨勢。在分析工作中，相對急功近利、追逐先發漏洞和熱點事件，但不願意長時間、大成本投入地持續跟蹤深度威脅的情況比較普遍。有較好基礎積累的企業，也開始將分析能力的保持和提升視為一種高昂的企業成本，分析團隊的擴建和體系性完善基本停滯。

在監管機構中也一定存在忽視分析工作對於準確判定威脅、溯源威脅行為體、研判防禦的重點方向等方面的重大戰略價值等情況，導致缺少對分析工作的有效資源投入與保障，缺少高價值分析成果的有效認定和反饋，這都可能削弱我國網絡安全戰略能力的根基。

我們需要正視中國網絡安全事業發展必然面臨著很多困難和挑戰，每一個產業主體更是面臨著艱苦的生存、求變和發展。但時代所賦予的使命感和責任感也讓網絡安全從業者認識深刻意識到，歷史已經不允許我們有猶豫和徘徊，必須要與時俱進地提高網絡空間防禦能力、分析能力和威懾能力。為了更加美好、寧靜、安全的網絡空間，我們必須放棄幻想，準備鬥爭！