作者：艾特珍

长期以来，美国政府和个别安全企业、媒体、专家学者不断炒作“中国网络威胁论”，在没有充分证据的情况下，污蔑中国政府支持APT3、APT10等黑客组织窃取美方商业秘密和敏感数据。但是，美方将APT3、APT10等黑客组织与中国政府进行关联的推论存在诸多漏洞。

whois信息追溯无科学依据。美国在溯源时使用了whois注册信息作为证据，但众所周知，whois注册信息的审核是极其不严格的，申请人可以随意填写姓名、公司、地址、联系方式等信息，域名注册商并不审查核实数据真实性，并且whois信息提供隐私保护功能，因此，刻意暴露出来的姓名几乎不具备参考价值，完全是误导查证方向。

黑客工具广泛使用，APT攻击手法大同小异。很多黑客工具，都是开源放在github分享，意味着任何黑客组织、个人皆可以基于黑客工具进行简单修改后加以利用。不能通过攻击模式、黑客工具以及关联的公开whois信息，就认定某些攻击为同一伙黑客所为。以APT10为例，根据多个安全公司的多名分析师的分析，有未知黑客组织和来自中东的黑客组织，也曾多次利用相同工具开展针对香港、台湾等地的攻击，但是，在认定APT10隶属于中国的时候，有选择地忽视了以上几个黑客组织的行为。

社工数据几乎不具备参考价值。社工数据参考价值较低，得出的结论也就自然无法站住脚。根据Twitter数据分析，Twitter完全无法核实人员真实身份，仅根据Twitter之间的关注关系，以及某些账户从事信息安全相关工作，关注木马相关信息，即认定某人为APT组织成员，显然是不成立的。

栽赃陷害或模仿犯罪可能性极大。无论是APT3，还是APT10，从第一次曝光，到进行到溯源定位，耗时极长。在此期间，不断有安全公司发布威胁情报，剖析黑客组织使用工具、战术战法，致使真正的黑客组织可以用来模仿攻击行为，进行栽赃陷害。至少存在以下两种模仿可能：一是攻击者凭空捏造身份，模拟数据栽赃陷害；二是确实存在此人，攻击者认识其中一两个人，借对方身份窃取数据。以上行为，均会产生如境外威胁分析师所看到的数据特征，但是，均不能直接证明黑客身份，亦无法断定黑客组织关系。

缺失直接证据。众所周知，美国刑事案采用的定罪标准是“超越合理怀疑”，在法庭审判时，检方若要指控被告有罪，一定要提出确凿可信的证据来证明被告的罪行，并且要求证据是合法取得。令人不解的是，不知道为何在处理跨国案件时，反而显得轻率。不知道某安全公司是通过什么方式获得了中国公民的打车数据，也不知道一个无法验证真实性的whois信息，如何能够作为证据指控另一个企业法人。在针对疑似有中文语言背景的黑客组织溯源时，一切的可疑都被忽略，某安全公司给全世界黑客几年的时间去模仿犯罪，却因为一两条无法验证真伪的信息，认定黑客组织与中国政府有关！

总而言之，美方对于APT3、APT10的指控是毫无道理的，美国在处理APT3、APT10的时候，用一些无法称之为证据的线索，串起逻辑漏洞频出的证据链，直接认定存在某个黑客组织，组织内存在某些黑客成员，具备某些身份，并服务于中国政府机构，进而对中国进行指责的行为是毫无道理的，是极其恶意的栽赃陷害。

《光明日报》（ 2019年06月12日 03版）