阿里巴巴再遭打压 《华日》:中共利用黑客进行网络攻击
【希望之声2021年12月23日】(希望之声记者李慧综合报导)马云阿里巴巴旗下阿里云计算有限公司在发现阿帕奇(Apache)“Log4j2元件”安全性漏洞问题后,首先上报给软件开发公司阿帕奇,而未及时向中共电信主管部门工信部报告。这被指“未有效支撑工信部展开网路安全威胁和漏洞管理”,因此被暂停“工信部网路安全威胁资讯共享平台”合作单位6个月。
综合媒体信息,阿里巴巴旗下阿里云计算有限公司在11月发现了Java日志库的阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞问题告知阿帕奇软件基金会。
Log4j2组件是基于Java语言的经典开源日志框架,被广泛用于业务系统开发。很多开发者在编写程序时都会将其直接集成在代码中。阿里云发现的漏洞编号为:CVE-2021-45046。
工信部12月17日网络信息显示,直到12月9日,工信部网络安全威胁和漏洞信息共享平台才收到有关网络安全专业机构的报告,称阿帕奇Log4j2组件存在严重安全漏洞。并指出是阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。
据陆媒信息,工信部认为,阿里云作为工信部网路安全威胁讯息共享平台的合作单位,在发现漏洞后却未能及时向电信主管部门报告,未有效支持工信部推动网路安全威胁及漏洞管理的政策。因此,阿里云被暂停作为工信部“网络安全威胁信息共享合作平台单位”6个月。暂停期满后,工信部将根据阿里云整顿改革的情况,再研究是否要恢复与阿里云的合作事宜。
受此消息影响,周三美股早盘时段,阿里巴巴ADR(BABA-US)大跌逾4%,报每股118.18美元,接近52周低点。周四阿里巴巴港股(BABA)跌近1%。
工信部今年7月发布《网路产品安全漏洞管理规定》,要求网路产品供应商在发现漏洞后,必须在2天内向工信部网路安全威胁和漏洞信息共享平台通报,且不得向供应商以外的境外组织及个人提供未公开的漏洞讯息。该规定于今年9月1日生效。
阿里云发布声明
12月23日,阿里云发布声明,解释其是按业界惯例向软件开发方Apache开源社区报告这一问题并请求帮助,并“自我检讨”说,阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
据《华尔街日报》信息,Apache软件基金会一位发言人称,目前正困扰世界各地政府和公司的这一漏洞是由阿里云(Alibaba Cloud)安全团队的研究人员陈兆军(Chen Zhaojun)最先报告的。该基金会在一天内接受了他的报告并开始研究修复方案。
网络安全专家表示,对于发现软件漏洞的研究人员而言,约定俗成的做法是以非公开方式将漏洞报告给可以发布修复程序的开发者。在这些补丁就位前把软件漏洞或更新公之于众,可能引发黑客争相利用这些漏洞进行网络攻击。
该基金会成员Gary Gregory对《华尔街日报》表示,Chen在12月9日提醒该基金会,中国聊天论坛上的用户正讨论该漏洞,黑客或许已在试图利用这一漏洞。
中共利用黑客进行网络攻击
早在中共工信部发布《网路产品安全漏洞管理规定》时,就有人担心该规定可让中共政府提早得知消费或企业软件的零时差漏洞,而得以发动攻击。
上周四(12月16日),《华尔街日报》发表文章,指中共支持的黑客正利用Log4j软件漏洞进行网络攻击。
文章指出,美国麦迪安网络安全公司(Mandiant)和微软(Microsoft Corp.,MSFT)都表示,他们观察到与中国和伊朗关联的黑客组织利用Log4j的漏洞发起了攻击。微软周三晚间在其网站上发布的公告中说,还观察到由朝鲜与土耳其支持的黑客利用这一漏洞发起攻击。一些黑客的攻击似乎是试验性的,其他则试图通过攻击来侵入在线目标。
微软表示,利用Log4j漏洞的其中一个组织正是今年早些时候与微软Exchange服务器遭广泛攻击有关的中共支持的组织。今年7月,拜登政府将微软Exchange遭到的网络攻击归咎于中共,并称非常确信与中共国安部关联的黑客是幕后黑手。其他几十个国家也指责中共。
网络安全研究人员说,该漏洞是多年来出现的最严重的网络安全威胁之一,可能在近期和远期造成毁灭性的攻击。黑客利用该漏洞,可在目标计算机上远程运行代码,进而有可能接管设备、安装勒索软件或为未来的攻击创建后门。
《华尔街日报》援引分析师指出,政府资助的黑客通常是资源最丰富且能力最强的一批黑客。
Log4j2漏洞目前正困扰世界各地的政府和公司
一名美国高级网络安全官员称,这个漏洞是其见过的最严重安全漏洞。
自从发现该漏洞以来,IBM、威睿(VMware Inc.)等技术供应商称,他们正为包含该漏洞的软件部署补丁。亚马逊和微软则表示,正监控这一问题。
美国发布了一项紧急指令,要求联邦机构采取措施在平安夜之前缓解相关威胁。
欧盟方面,成员国的网络安全响应团队正密切关注Log4j的发展。比利时国防部表示,考虑到与该漏洞有关的网络攻击,国防部已经关闭了部分计算机网络。
中共持续打压互联网巨头
对中国的科技巨头来说,2021年是相当难熬的一年。
2020年11月,阿里巴巴旗下市值高达350亿美元的蚂蚁金服上市案被临时喊卡。今年4月,中共国监总局以违反“反垄断法”为由,对阿里巴巴开罚人民币182亿元(27.8亿美元),创下中国“反垄断法”施行以来最高罚款。随后以同样理由罚款腾讯人民币100万元。
之后,在7月和11月再度以违反“反垄断法”为由,开罚阿里巴巴、滴滴、腾讯、苏宁、美团、百度、京东各50万元人民币。
其中,网约车龙头滴滴损失尤其惨重,6月底风光赴美上市后,市值最高涨到800亿美元。但挂牌不到一周,中共国家互联网信息办公室便以“严重违法违规收集使用个人信息问题”为由,通知应用商店下架所有滴滴的APP。网信办等七大部门随后更进驻滴滴,展开网络安全审查,导致滴滴在美股价一泻千里,市值也腰斩。12月初,滴滴终于不敌“国家安全”大帽,宣布启动在纽约证交所的退市手续,准备改赴香港上市。
北京当局这一连串的打压动作,导致过去一年来中概股惨遭抛售。美国媒体CNN统计,今年上半年以来在海外上市的中国企业,总市值累计已蒸发逾1.2兆美元。其中,阿里巴巴市值相较去年10月的高峰狂泻近44%,3,440亿美元的市值凭空消失;而腾讯股价也从今年初的高点惨跌近四成,逾4,000亿美元的市值蒸发。
据《彭博》9月公布的数据显示,阿里巴巴与腾讯已经双双跌出全球市值前十大的公司榜单。这是自2017年以来,全球市值前十大公司首次没有中国企业入列。
中共在12月初召开的经济会议上再度提及要加强对资本的监管,要对资本设置“红绿灯”,防止资本野蛮生长。这预示着中共对私企的镇压还将继续。
本文章或节目经希望之声编辑制作,转载请注明希望之声并包含原文标题及链接。
- 🔥免费PC翻墙、安卓VPN翻墙APP
- 🔥灵魂之谜|中华文化|治国大道
原文链接:阿里巴巴再遭打压 《华日》:中共利用黑客进行网络攻击


脸书专页
粉丝交流群
