中国利用黑客大赛培养国内人才

网络战/民族国家攻击、欺诈管理和网络犯罪、培训和安全领导

研究发现，政府培育本土人才和雇佣黑客生态系统 Mathew J. Schwartz (欧洲信息安全) • 2024 年 6 月 13 日

中国已开发出零日漏洞管道。（图片来源：Shutterstock）

中国拥有世界上最优秀的网络安全研究人员和白帽黑客，并制定了严格的网络安全法，强制个人协助国家。

也可以看看： OnDemand | 解锁新的网络钓鱼基准：您的组织在 2023 年是否领先于时代？

这种结合似乎有助于增强中国民族国家黑客组织的实力，使其能够比任何其他国家利用更多的零日漏洞，因为它们支持北京强大的网络间谍计划，以及代表公共和私人实体进行知识产权盗窃， 根据 网络安全研究员 Eugenio Benincasa 的一份新报告。

瑞士公立研究型大学苏黎世联邦理工学院安全研究中心风险与弹性团队网络防御项目高级研究员贝宁卡萨表示，北京方面正在利用国内的夺旗赛和其他黑客竞赛来发现、培养和招募国内新的黑客人才，以及收集和传递有关零日漏洞的信息给该国的军事和情报机构。

“中国已经开发出一个多方面的‘雇佣黑客’生态系统，用于攻击目的，这与我们所见过的任何生态系统都不同。这个生态系统充分利用了该国民间黑客社区的才能，”贝宁卡萨说。 说 在社交平台X的一篇帖子中。

他所说的民间黑客是指从事白帽黑客的学生和专业人士（包括漏洞研究人员），白帽黑客的行为是出于非恶意目的，或以不明确符合国家目标的方式进行的。

报告称：“该系统让中国安全机构能够独家获取中国顶级民间黑客发现的零日漏洞，并允许北京随后将其间谍活动和网络攻击行动外包给私人承包商。”

贝宁卡萨对中国雇佣黑客和零日攻击生态系统的最新研究是在西方情报官员不断警告中国积极攻击关键基础设施，使其具备破坏网络的能力之后进行的。官员们表示，如果北京试图夺取对台湾的控制权，它可能会利用这种能力，试图减缓美国及其盟友的任何军事反应（见：英国、美国官员警告中国网络威胁）。

如果有人质疑中国政府正在培育和利用的中国民间黑客的能力，那么这份报告提供了充足的证据：

• 漏洞赏金计划：从 2017 年到 2023 年，通过漏洞赏金计划向 Apple、Google Android 和 Microsoft 报告的所有漏洞中有 27% 来自中国研究人员。
• Def Con CTF：从 2013 年到 2023 年，每年都有一到四支中国队伍（通常要与数百支其他队伍竞争）进入 Def Con 的夺旗决赛，成为继美国之后最成功的国家
• Pwn2Own：从2014年到2019年，在年度计算机黑客大会上，包括腾讯和奇虎360团队在内的“少数”中国研究人员获得的奖金总额份额从13%上升到79%，为他们带来了数百万美元，尽管2018年中国政府禁止中国研究人员参加此类国际比赛。

他说，多位黑客竞赛的获胜者在中国创办了夺旗赛，或创办了专注于发现零日漏洞并将其发送给中国军方和安全机构的初创公司。这些公司包括南京赛宁网络安全公司（又名 Cyber​​ Peace）、星越科技（又名星澜科技）、长亭科技（成立于 2014 年，2019 年被阿里云收购，阿里云是中国主要民间情报机构国家安全部的主要供应商）和博林科技（又名木联物联网科技）。

贝宁卡萨表示，民间黑客、拥有软件工程和科学项目的中国大学以及国家级黑客之间的界限似乎越来越模糊。至少一些与政府签约提供网络间谍服务或利用漏洞武器的私营公司似乎也具有高度的创业精神，积极主动地进行攻击性黑客攻击，窃取数据，然后将其出售给中国私营部门。

Margin Research 的网络安全研究员 Winnona Bernsen 表示，此类活动似乎仍在继续，最近的泄密证实，中国国内主办的天府杯黑客大赛是公安部的“漏洞馈送系统”。 说 在二月份的一份报告中。

她说：“当提交给天府的概念验证漏洞尚未形成完整的利用链（可供使用）时，公安部会将概念验证代码分发给私营公司以供进一步利用。”

贝宁卡萨表示，2023 年，天府杯的重点从针对西方公司开发的软件转向寻找国内产品的漏洞，包括 WPS、用友 YounGIP、致远协同运营管理平台、盘威 OA 和奇安信可信浏览器等文字处理和办公软件。他说，这可能反映出北京方面更注重加强其产品对外国黑客的保护，并提高其产品在海外的声誉。

北京雇佣黑客生态系统如何运作仍是一个未知数。得益于威胁情报公司和智库的广泛研究、美国司法部对被指控为高级持续威胁团体幌子公司工作的中国公民的起诉、黑客活动家（如 Inrupt Truth）的泄密以及今年早些时候与中国政府承包商 iSoon 有关的大量文件泄露（参见：iSoon 泄密显示与中国 APT 团体有关联），新的线索不断涌现。

这家位于上海的私营公司向 GitHub 泄露了 iSoon 文件，这说明这家黑客承包商的员工心怀不满，薪水微薄，但他们却代表中国间谍机构渗透到了多个地区政府，甚至可能是北约。

研究人员已经追踪到 iSoon 与其他科技公司（如中国最大的杀毒软件公司奇虎 360）之间的联系。Margin Research 的 Bernsen 报告称，根据泄密事件，奇虎 360 似乎已将客户的个人身份信息“出售给一家由其资助的、为政府客户开展情报工作的攻击性公司”。

但仍存在一些悬而未决的问题，例如中国漏洞研究人员如何以及何时被允许向国外供应商提交他们的研究结果（他们显然是这么做的）。

“尽管西方供应商收到大量有关零日漏洞的信息，但中国系统仍然能够有效利用西方产品。这引发了一个问题，为什么会这样，”贝宁卡萨说。“这些是不同的零日漏洞和零日漏洞链吗？这是补丁问题吗？还是中国效率的提高源于目标受害者的安全措施不足？”

另一个可能的解释是：中国政府可能经常选择不拖延或不拖延太久地允许向西方主要供应商报告漏洞，因为这些漏洞也可能被用来利用中国的苹果、谷歌安卓或微软产品用户。如果北京不让这些漏洞及时报告和修补，它是否会搬起石头砸自己的脚，因为另一个国家的情报机构——或犯罪分子——可能已经在中国发现并开始利用这些漏洞？