「这不是孤立事件」——NASA监察长办公室在结案报告中写下这句话时,一场持续近五年的精密钓鱼行动刚刚被揭开。一名中国籍嫌疑人如何骗过NASA、空军、海军、陆军工程师,拿到出口管制的国防软件源代码?

案件骨架:一场"熟人"骗局

打开网易新闻 查看精彩图片

2017年1月至2021年12月,宋吴(音译)及其未具名同伙执行了一场针对美国国防科技体系的长期渗透。目标清单包括:NASA、空军、海军、陆军、联邦航空管理局,以及多所主要大学和私营企业。

作案手法并不依赖技术漏洞,而是利用人际信任。调查人员发现,嫌疑人会"严格研究目标"(rigorously research their targets),随后伪装成对方的朋友或同事,通过邮件索要航空航天设计和武器开发用的建模软件副本或源代码

这些软件因涉及国防用途,受出口管制法规约束。受害者在不知情的情况下违反了管制规定——他们以为自己只是在帮"熟人"一个小忙。

正方:这是一起典型的APT式经济间谍案

从调查细节看,此案具备高级持续性威胁(APT,即长期潜伏、多目标渗透的网络攻击模式)的核心特征:时间跨度长(近5年)、目标筛选精准(国防研发关键节点人员)、社会工程手段成熟(身份伪造+信任利用)。

NASA监察长办公室特别指出,嫌疑人使用的Gmail账户伪装成"一名曾与NASA合作的航空航天教授"。这种身份选择极具针对性——教授身份天然带有学术共享的合法性,与NASA的合作经历则消除了目标对陌生请求的警惕。

更关键的是目标选择:建模软件用于"航空航天设计和武器开发"。这类软件属于军民两用技术的核心工具链,获取源代码意味着可以逆向工程、仿制或寻找漏洞。出口管制恰恰反证了其战略价值。

五年间"数十名教授、研究员和工程师"中招,说明攻击规模远超普通网络犯罪。NASA网络安全与IT审计副监察长在其2024财年网络安全报告中将此列为重点案例,暗示其可能代表某种系统性操作模式。

反方:也可能是个人牟利,而非国家行为

然而,公开信息中存在模糊地带。起诉书与调查报告均未明确提及宋吴与任何中国官方机构的关联,"未具名同伙"的身份同样空白。

从获利模式看,出口管制软件的非法交易确实存在黑市需求。某些国防建模软件单套授权费用可达数十万美元,源代码价值更高。个人或小型团伙完全可能为纯粹经济利益铤而走险。

作案手法的技术含量也值得审视:Gmail伪装、身份冒用、邮件钓鱼——这些属于入门级攻击技术,而非通常与国家背景APT关联的零日漏洞或供应链攻击。五年未被发现,更多反映的是目标机构内部安全培训的缺失,而非攻击者技术高超。

一个细节是:案件曝光源于NASA收到的"警报",而非主动防御系统的拦截。这说明攻击链的断裂具有偶然性,而非必然被追溯。

关键证据:出口管制违规的"不知情"陷阱

调查报告反复强调受害者"unknowingly violated"(不知情地违反)出口管制。这一表述揭示了两个层面的问题。

第一层是操作层面:国防研发人员似乎对软件出口管制的边界认知模糊。建模软件在学术合作中的日常流转,与受控技术转移之间的界限,在"熟人请求"的场景下被轻易跨越。

第二层是制度层面:出口管制法规的合规培训可能存在盲区。如果数十名分散在不同机构的专业人员都能在类似话术下中招,说明攻击者精准利用了制度执行中的系统性漏洞。

这与传统间谍案的差异在于:嫌疑人不需要收买内线或植入恶意程序,只需要复制一套"请求-共享"的学术协作话语,就能让目标主动交出受控资产。

行业镜像:软件供应链的"人"环节

此案暴露的并非技术漏洞,而是供应链安全中最难修补的环节——人。NASA、军方、高校、企业构成了复杂的国防研发网络,人员流动、项目合作、学术交流是常态。攻击者只需要在这个网络中找到一个信任节点,就能横向移动。

更具警示意义的是软件类型:建模软件是数字化研发的基础设施。源代码泄露不仅影响单一项目,还可能暴露设计方法论、性能参数、甚至下游集成系统的接口逻辑。

对比近期其他案件——2024年Supermicro三名员工被控走私英伟达H100/H200/B200芯片的25亿美元方案,或同一时期中国军事数据泄露的10PB规模宣称——宋吴案的价值在于揭示了"低技术、高回报"的渗透路径。不需要突破防火墙,只需要突破人的判断。

我的判断:模式比个案更重要

回到NASA监察长那句「这不是孤立事件」——这句话的语境值得推敲。它可能指向宋吴案本身的持续性(五年、多机构、多同伙),也可能暗示调查人员发现了类似手法的其他未公开案件。

从可验证信息看,此案的核心教训在于:国防技术保护的传统边界(机构防火墙、网络隔离、访问控制)在学术-工业-政府的协作生态中正在被侵蚀。建模软件、仿真工具、设计平台——这些"生产力工具"的共享需求,与出口管制的合规要求之间存在张力。

攻击者选择的不是最难的目标,而是最"自然"的交互场景。五年未被发现,不是因为隐蔽性高,而是因为行为模式与正常业务流高度重合。

对于科技从业者而言,此案的价值在于重新校准对"敏感资产"的定义。源代码、设计文件、仿真模型——这些数字资产的价值不仅在于内容本身,还在于其嵌入的工作流和信任网络。保护它们需要的不只是技术控制,更是对协作边界的持续审视。

NASA的警报最终触发了调查,但警报本身来自何处?是某个受害者的事后报告,还是Gmail账户的异常检测?报告未明说。这个信息缺口恰恰说明:在人与软件的交互界面,防御方的可见性可能远低于攻击方。

当国防软件的保护依赖于每个工程师对"同事"邮件的独立判断时,系统性的脆弱就已经存在。宋吴案的意义,或许在于让这个长期被忽视的结构性问题进入了监管视野。

出口管制法规会因此修订吗?学术合作的安全审查会收紧吗?还是会出现新的技术解决方案,在不影响协作效率的前提下标记异常请求?这些问题的答案,将决定类似"熟人钓鱼"模式的成本曲线——是继续低廉易行,还是逐渐被压缩空间。