荷兰总情报与安全局(荷兰语:Algemene Inlichtingen- en Veiligheidsdienst,缩写 AIVD)是荷兰的情报和安全机构,负责国内、国外和信号情报,保护国家安全,并协助"五眼联盟"(Five Eyes)调查外国公民。其军事对应机构是隶属于国防部的军事情报与安全局(Military Intelligence and Security Service,缩写 MIVD)。
《华尔街日报》最近的一篇报道《北溪管道破坏的真实故事》详细披露了北溪管道破坏事件的真相,其中一个引人注目的细节是,荷兰情报机构最早发现了这个破坏计划,并将这一情报共享给了美国中情局。这一细节凸显了荷兰在情报收集领域的能力。
之前我们也注意到荷兰在Stuxnet攻击中为"五眼联盟"提供了重要的情报支持。"五眼联盟"是一个由美国、英国、加拿大、澳大利亚、新西兰组成的情报分享联盟,而荷兰作为联盟外的国家,能为其提供关键情报,足以说明荷兰的情报实力。然而,在公开的资料中,我们从未见过有任何APT活动被归因于荷兰或荷兰政府。
JS对此开玩笑说:"据你所知。"暗示其实荷兰APT的活动可能比公开报道的更多。
相比之下,我们已经看到了法国、西班牙等其他欧洲国家的APT活动。他质疑,如果荷兰的网络能力如此强大,为什么我们没有发现他们的APT活动?
JS幽默地回应:"你别惹荷兰人。"他解释说,他之所以开"荷兰机器之神"(Deus ex machina)的玩笑,是因为在现实中,当你遇到棘手的网络问题时,最希望看到的就是荷兰情报机构AIVD和MIVD像救世主一样出现,提供解决方案。JS列举了一些荷兰情报机构的传奇事迹,比如他们曾经入侵了民主党全国委员会(DNC)黑客的摄像头,掌握了入侵的第一手资料;他们参与了棘手的北溪管道事件;至于谁将Stuxnet植入伊朗核设施,他们似乎也知情。JS引用了一个形象的比喻,称荷兰是"西欧最小的大国,也是最大的小国",他们以强大的实力,敢于告诉盟友真相,而不顾及面子问题。JS直言他非常欣赏荷兰,认为他们是一支被低估的网络力量。
那么,为什么像荷兰这样的网络强国从未在公开场合被抓现行?他们是最谨慎的,还是最聪明的?抑或他们曾经被发现,只是没有公开记录?
CR认为荷兰肯定有被抓现行的时候,他提到在斯诺登泄露的机密文件中,曾经出现过这样一个细节:美国国安局(NSA)需要访问一个恐BU分子论坛,但他们没有途径,荷兰情报机构主动伸出援手,利用一个"零日"漏洞帮助NSA得以访问,这让CR印象深刻。CR认为荷兰就像是"第六个五眼"(Five eyes)成员。
但JS提出,也许我们之所以很少听说荷兰的网络行动,是因为我们根本认不出来。他认为,西方国家一旦发现网络活动带有自己人的痕迹,就会下意识地"过敏",不愿深究,更不愿公开。JS坚持认为,作为情报专业人士,应该以开放的心态去研究每一起网络事件,而不是简单地回避他国的活动。他以乌克兰为例,指出除了少数俄罗斯公司,几乎没有人报道乌克兰的APT活动,这种基于政治立场的选择性披露是不专业的。
CR透露,业内有传言说,一些公司因为披露了乌克兰相关的事件,事后受到了特殊对待。这导致人们对披露敏感发现变得谨小慎微。
很多人都猜测他们一定与Stuxnet有某种联系,这个事件发生大约两周后,我回家后在我的餐厅里发现了一个立方体,就像 一个骰子。。我们在办公室里也有这个,所以这是一个游戏的一部分,你摇动骰子,有不同的可能答案,其中之一是休息一下。这个骰子在我们办公室里,突然出现在我的家里,放在餐桌上,上面写着休息一下的消息,所以显然是有人闯入了办公室,偷走了骰子,然后闯入我的家里,把它放在桌子上,只是为了证明一个观点,即无论何时他们想要,他们都可以闯入办公室,闯入我的家,最好的办法就是休息一下,事实上我确实休息了几个月。当你从事安全研究时,你必须明白你正在把自己变成一个目标。
天御,公众号:天御攻防实验室威胁情报 - 最危险的网络安全工作
那么,有没有可能一些被归因为美国等西方国家的网络活动,实际上是荷兰所为?这是否构成了一个不为人知的灰色地带?
对此,JS直言他坚信我们过去曾经见过荷兰的活动,只是没有恰当归因。他重申,情报界应该以开放和专业的态度去分析每一起事件,研究检测和应对的方法,而不是简单地视而不见。
为什么所有朝鲜APT都被归因为“Lazarus”?
好吧,因为业内有这样一种趋势,人们会基于其他人发布的研究构建,而不去验证和校准自己的数据源或自己的分析,而是简单地以其他人的调查结果为面值和真理。所以随着时间的推移,一家公司发布了一份报告,他们称之为“Lazarus”。另一家公司基于此进行扩展,将自己的遥测数据添加到上面,也称之为“Lazarus”。由于每个公司都有些不同,拥有不同的遥测来源、不同的方法和协议,最终的结果是一个由不同部分随时间拼凑在一起的混合行为体,并不能代表真实的行为体。。。我们可以互相学习,但我们不应盲目相信所有人的调查结果并在此基础上构建自己的调查。
Zer0d0y,公众号:天御攻防实验室抓APT的一点故事
综上,作为网络强国,荷兰在各类情报行动和APT活动中扮演着重要角色,只是出于政治敏感性,他们的行动很少被公开归因。不同的专家对此现象有不同的看法,有人认为情报界应该秉持专业,尽可能分析每一起事件,另一些人则认为回避盟友的活动是一种默契。这反映出网络威胁归因的复杂性,以及情报共享和威胁应对中的潜在灰色地带。对话还透露了一些业内传言,在披露敏感信息时可能面临的特殊对待,这进一步凸显了网络威胁情报领域错综复杂的政治生态。
推荐阅读
闲谈
威胁情报
1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链
APT
入侵分析与红队攻防
天御智库