英國《金融時報》近日報道,中共要求本國黑客缺席全球黑客大賽。一年一度的Pwn2Own黑客大賽上過去基本上全是中國人,他們囊括了所有競賽大獎,但今年幾乎沒有中國人參賽。

原因是中共間諜機構要求中國黑客向安全部或涉事公司報告其發現的漏洞。報道援引網絡安全專家的話說,中共的這一指示意在擴大中共掌握的情報儲備,如同把母雞放到狐狸堆裏。

「顯然這與當地控制有關。」美國網絡情報公司Recorded Future聯合創始人、首席執行官阿爾伯格(Christopher Ahlberg)說,「漏洞可能是軟件中的問題,但它們也是在軟件身上安裝後門的機會。」

報道指,中共方面目前正試圖收緊對科技和信息的控制,而中共國家安全部下達的指示更意味著中共正在採取一種日益孤立主義的科技路線。

中國黑客突然集體缺席頂級黑客大賽

黑客是發現全球軟件漏洞的重要參與者,藉助他們發現的漏洞,全球軟件供應商可在漏洞遭網絡犯罪份子利用前進行修補。

據網絡安全公司FireEye稱,谷歌(Google)、蘋果(Apple)、微軟(Microsoft)等美國跨國科技公司的一些漏洞是由中國黑客發現的。

儘管中共政府未發佈正式的禁止本國黑客參賽的文件,但中國選手已確認缺席3月舉行的Pwn2Own黑客大賽、還有上周在新加坡舉行的「黑帽網絡安全大會」(Black Hat)。

Pwn2Own黑客大賽是世界頂級黑客大賽之一,一年舉行一次。

要求黑客上報漏洞 如同把雞送給狐狸

FireEye首席技術官博蘭(Bryce Boland)證實:「中國黑客接到(中共)的指示,要求他們不再參加公開披露漏洞的賽事。」

此舉引發國外同行的關注,並擔憂這會造成「重大威脅」。阿爾伯格表示,現在中國黑客只能把發現的漏洞上報給軟件供應商或安全部,而中共安全部「可能會通知供應商,也可能不通知」。

《金融時報》的報道指,從中共國家信息安全漏洞庫(CNNVD)已能在一定程度上看出中共安全部的立場。國家信息安全漏洞庫收錄了各種軟件產品的已知漏洞。

根據Recorded Future的分析,中共國家信息安全漏洞庫改動了至少267個漏洞的發佈日期。該公司表示,這一滯後凸顯出中共安全部「很可能會考慮將(這些已查證的漏洞)用於攻擊性網絡行動」。

博蘭也表示,如果阻止黑客參加公開賽事的目的是讓黑客直接向國家信息安全漏洞庫上報,這將造就出一個「重大威脅」,因為中國黑客將擁有利用大量漏洞的空間。

「這就像是把漏洞庫放在美國中央情報局(CIA)一樣。」阿爾伯格拿美國的情報機構來比喻。「實際上是把母雞放在狐狸堆裏。這就是這裏面存在的政策問題,但它們已經這麼做了,理由很充份:它們想要完全地控制。」

美起訴三名黑客 疑與中共情報機構有關

外界的擔憂並非空穴來風,中共利用黑客入侵美國公司早已是公開的秘密。

早在2017年11月,美國對三名中國公民提起訴訟,罪名是利用黑客手段入侵穆迪、西門子和全球定位系統(GPS)製造商天寶(Trimble)。

遭美司法部起訴的三人吳英卓(音譯)、董浩(音譯)和夏磊(音譯),均供職於中國網絡安全企業廣州博御信息技術有限公司(Boyusec)。

美方指控他們涉嫌用帶有附件和惡意軟件鏈接的魚叉式網絡釣魚郵件入侵美公司的網絡。當這些公司的員工點擊郵件中的鏈接時,黑客就能訪問該公司的電腦、搜尋商業機密信息。

Recorded Future在2017年的報告中指出,博御是中共政府的承包商,與被稱為APT3的黑客組織有關聯。美司法部的報告更是表示:「博御有開發惡意技術和與中共情報部門合作的記錄。」