沈逸：美國“假旗行動”污染全球網絡空間

（原標題：沈逸：美國“假旗行動”污染全球網絡空間）

中方10月14日發佈了第三份“伏特颱風”調查報告。這份最新調查報告不僅提供了更多的關鍵信息碎片，而且更爲明確地對關注全球網絡空間安全與治理議題的負責任相關方提出一個建議：必須重視一種此前沒有得到足夠關注的威脅，即掌握優勢技術能力的美國情報機構與安全機關，爲了自身的利益訴求，與高科技企業公開或者基於默契地展開合謀，在網絡攻擊中搞“假旗行動”（一種誤導溯源分析調查並栽贓陷害的行爲——編者注）。

此次調查報告提及的“大理石”軟件框架，最初曝光是在2017年，“維基揭秘”宣稱獲得了來自美國中央情報局（CIA）網絡情報中心的內部消息來源。它披露了被稱爲“穹頂7”（Vault7）的一系列機密文件、網絡工具，以及被稱爲各種框架的軟件，其中就包括“大理石”軟件。作爲中央情報局開發的一款反取證軟件，“大理石”軟件的主要功能是通過混淆和掩蓋網絡攻擊的真正源頭，使這些攻擊難以被追溯到真實的實施者。在技術路徑上，“大理石”軟件使用字符串混淆技術，隱藏惡意軟件中的文本信息。因爲這些文本通常會爲網絡取證專家提供線索，用以識別惡意軟件的開發者或者所屬國家。

實驗顯示，“大理石”軟件能夠模擬多種語言特徵，包括中文、俄文、阿拉伯文等，從而故意製造誤導性信息，給安全分析師造成攻擊來源於其他國家的錯覺。這種僞裝手段不僅增加了對網絡攻擊溯源調查的難度，還可能通過語言設置導致目標國家的誤判，以爲攻擊來自他們的對手而非來自美國的CIA等機構以及關聯企業。分析顯示，“大理石”軟件具有跨平臺的兼容性，能夠集成到不同類型的黑客工具中，而不僅僅是單獨運行的程序，這使得它可以爲多個美國情報機構以及關聯企業發起的網絡攻擊工具提供隱身保護。

結合具體的場景，以及美國情報機構如CIA的行動偏好，比如“撒謊、欺騙與偷竊”等，我們有理由相信，“大理石”軟件至少可以在三類具體場景中開展經典的“假旗行動”。第一，當美國情報機構對被其公開標定爲競爭對手或者敵對國家實施網絡竊密或者攻擊行動時，用來對抗溯源，保護攻擊來源。第二，當美國情報機構對其盟國和親密夥伴實施與盟友身份不相符，且可能在被有效溯源後威脅盟友關係的網絡竊密或者攻擊行動時，用來掩護身份，混淆視聽，將盟友的注意力和視線引向錯誤的方向，甚至方便美國以“安撫受害者，保衛盟友”的形象出現，確保盟友繼續將美國這個加害者當成保護者，給予錯誤的信任。第三，用於在美國國內誤導立法機構、新聞媒體與公衆，甚至是情報和國家安全機關的上級機構，爲“深層政府”的胡作非爲與部門利益，提供混淆視聽的虛假信息。

“伏特颱風”事件中，美方情報機構威脅安全企業刪改公開發布信息的舉動與“大理石”軟件框架的組合，展現了美國情報機構在網絡安全治理與國家安全重大議題上胡作非爲的經典模式：以部門預算和獲取凌駕於法律之上的行動自由爲目標，人爲虛構事實，在沒有直接關聯的情況下，用虛假信息和不實信息直接構造關聯，使用特定類型工具製造虛假證據，憑空捏造所謂來自他國的網絡攻擊，渲染安全威脅，製造安全焦慮，強化狂熱的麥卡錫主義情緒，以確保中情局的網絡監控與網絡攻擊行動能夠獲得額外的法律豁免、更多的經費支持，以及在美國國內政治中更大的影響力。

一些合理懷疑是，除了“伏特颱風”之外，美國國家安全機構和情報機關還實施了多少次類似的“假旗行動”；用“大理石”軟件等實施了多少次栽贓陷害；美國的盟友，尤其是歐洲盟友，有多少次所謂來自敵對國家的網絡攻擊行動，其實是被“大理石”軟件修改過的、來自美國國家安全機構或者關聯企業的攻擊。如果是這樣，很多時候，歐洲相關受害方其實扮演的是“被賣了還幫着數錢”的悲劇角色。

從全球網絡空間安全與戰略穩定的角度出發，根據中方發佈的相關最新報告，我們有必要構建一種更加有效的、能夠繞開美國的網絡安全信息共享與交流機制。只有這樣，才能確保網絡攻擊事件發生之後，人們能夠有一個不被美國國家安全和情報機構污染的平臺，或者可信的機制，進行準確而可靠的信息覈查與交流，從而找到真正的攻擊者，識別真實的威脅來源，爲全球網絡空間安全與戰略穩定奠定更加紮實的基礎。（作者是復旦大學網絡空間國際治理研究基地主任）