https://www.nytimes.com/2021/07/20/us/politics/china-hacking-pipelines.html

FBI 指中国十年间多次攻击美国油气管道网络

由美国、澳大利亚、英国、加拿大、欧盟、日本和新西兰联合发表的批评中国声明的内容异常广泛,这也是北约首次公开对北京的网络犯罪活动发表此类声明

拜登政府周二披露了有关过去十年美国石油和天然气管道网络大范围遭受国家支持的网络攻击的机密细节,这是对能源管道所有者发出的警告的一部分,要求他们提高系统安全性,以避免未来遭受攻击。

FBI 和国土安全部在周二的警告中透露,从 2011 年到 2013 年,中国支持的黑客把近二十多个拥有此类管道的公司作为目标,并多次实施入侵。两个部门首次表示,据它们判断,对运行管道的工业控制系统的「入侵可能是为了获得战略访问权,用于未来的运营,而不是窃取知识产权」。换句话说,黑客正准备控制管道,而不仅仅是窃取让管道发挥功能的技术。

23 家天然气管道运营商遭受了一种被称为鱼叉式钓鱼的电子邮件欺诈,其中 13 家被成功入侵,而三家「险些中招」。由于缺乏数据,尚不清楚七家运营商的入侵程度。

此次披露正值联邦政府试图促使管道行业提高安全性之际,此前,俄罗斯的一个勒索软件组织轻松迫使供应东海岸近一半的汽油、喷气燃料和柴油的管道网络关闭。那次对科洛尼尔管道(Colonial Pipeline)的攻击——针对的是公司的业务系统,而非管道本身的运营——导致其关闭输送,因为担心不知道攻击者下一步会做什么。随之而来的排队加油和能源短缺情况,让拜登总统看到了保护美国管道和关键基础设施免受网络攻击的紧迫性。

这份关于中国活动的解密报告附有一项安全指令,要求运输安全管理局(Transportation Security Administration)认定的重要管道所有者和运营商采取具体措施,防范勒索软件和其他攻击,并制定应急和恢复计划。具体步骤没有公开,但官员们表示,正在试图解决对科洛尼尔管道攻击进行评估时发现的一些巨大缺陷。(这个私人持有的公司对黑客利用其系统漏洞的情况几乎未置一词。)

该指令是继 5 月的另一项指令之后发布的,上一份指令要求企业向政府报告重大网络攻击。但这并没有让系统得到保护。

这份最新解密的报告提醒人们,在网络犯罪分子想出新方法挟持运营商索取赎金之前,国家支持的黑客已将目标对准了这些石油和天然气管道。勒索软件是一种恶意软件,它会对数据进行加密,直到受害者付款。对科洛尼尔管道的攻击导致它支付了大约 400 万美元的加密货币,其中一部分被犯罪分子留在加密货币钱包中的资金被 FBI 夺回。但正如一名执法官员所说,那是「碰上了运气」。几周后的另一次勒索软件攻击从牛肉产品生产商 JBS 那里拿到了 1100 万美元;没有一分钱被寻回。

美国国土安全部在解密报告中表示,近 10 年前,它开始频频回应石油管道和电力运营商所遭受的次数多到「令人感到担忧」的入侵。官员成功地将这些攻击的一部分追溯到中国,但在 2012 年,其动机尚不清楚:黑客是否在窃取工业机密?或者他们是否在为未来的攻击做准备?

「我们仍在努力寻找答案,」一位美国高级情报官员在 2013 年告诉《纽约时报》,「他们有可能两个目标都有。」

但周二的警报断言,其目标是「使美国管道基础设施处于危险之中」。

警告称:「这项活动的最终目的是帮助中国发展针对美国管道的网络攻击能力,导致管道的物理损坏或扰乱管道运营。」

该警告源于人们对关键基础设施网络防御的新担忧,科洛尼尔管道遭到攻击后,这种担忧更加突出。那次攻击引起了白宫和能源部的警觉,它们发现,在公共交通和化工炼油厂停产之前,美国最多只能再撑三天。

安全公司火眼(FireEye)的子公司麦迪安(Mandiant)表示,该公告与其在 2011 年至 2013 年间跟踪的中国对多家天然气管道公司和其他关键运营商的入侵行为一致。但该公司补充了一个令人不安的细节,指出它「强烈认为」,在一起案件中,中国黑客获得了控制权,这可能导致管道关闭或可能引发爆炸。

虽然该指令没有明确管道入侵活动的受害者,但在同一时段内被中国黑客入侵的企业包括泰尔文特公司(Telvent),它监控着北美半数以上的油气管道。2012 年 9 月,该公司在其电脑系统中发现了黑客,当时这些黑客已经在系统里逛了好几个月。该公司关闭了客户系统的远程访问,担心这会被用来关闭美国的基础设施。

中国政府否认自己是破坏泰尔文特公司的幕后主使。国会未能通过旨在提高管道和其他关键基础设施安全性的网络安全立法。而整个美国似乎就把此事抛到脑后了。

近十年之后,拜登政府才表示,美国石油和天然气管道从来没有遭受如此严重的黑客威胁。「美国人民的生命和生计,取决于我们保护国家关键基础设施免受不断升级的威胁的整体能力,」国土安全部长亚历杭德罗・N・马约卡斯(Alejandro N. Mayorkas)周一在声明中说道。

5 月的指令设定了 30 天期限,以「找出所有漏洞和相关补救措施,解决网络相关风险」,并将结果报告给运输安全管理局和国土安全部的网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency)。

拜登总统上任后不久就承诺,改善网络安全将是当务之急。本月,他与高级顾问会面,讨论了如何应对俄罗斯针对美国企业发起的一波勒索软件攻击,其中一次是 7 月 4 日针对佛罗里达州一家公司的攻击,后者专为向小型公司提供技术管理的公司提供软件。

白宫周一表示,负责监管情报的中国国家安全部是今年 3 月一次异常凶猛复杂攻击的幕后主使,影响了成千上万依赖微软 Exchange 邮件系统的受害者。

此外,美国司法部周一公开了对四名中国公民的起诉书,指控他们配合黑客攻击,窃取航空、国防、生物制药等领域企业的商业秘密。

根据起诉书,中国黑客以幌子公司的掩护进行活动,其中一些公司位于海南岛,他们利用中国的大学,不仅招募黑客进入政府队伍,还管理关键的商业操作,比如工资发放。美国官员和安全专家表示,这种分散结构的目的在于为中国国安部提供合理的推诿。

起诉书还透露,「政府附属」的中国黑客自己也从事营利项目,进行勒索软件攻击,勒索企业达数百万美元。

美国称中国在十年前的网络攻击中破坏了美国的管道

拜登政府周二透露,近 10 年前,为中国政府工作的黑客袭击了十多家美国管道运营商。拜登政府还发布了首个对管道行业的网络安全要求。

现任和前任官员表示,有关中国这一大规模黑客攻击行动的信息之前属于机密信息,虽然已经过时,但凸显出外国对美国基础设施的网络威胁的严重性。一个新的网络安全警报称,在某些情况下,黑客有能力对受损的管道进行物理破坏或干扰,尽管他们似乎没有这样做。

此前,美国政府高级官员曾警告称,中国、俄罗斯等一些国家有能力进行这种网络入侵。但很少有这么多关于某次具体的、据说取得成功的网络攻击行动的信息被公布。

美国联邦调查局(FBI)和国土安全部周二在联合警告中表示,2011 年至 2013 年间,中国政府支持的黑客攻击了近 24 家美国石油和天然气管道运营商,具体目标是让美国管道基础设施处于危险之中。

警告称,在已知的目标中,13 个被成功入侵,另外八个遭受了未知深度的入侵,由于受害者缺乏完整的电脑日志数据,官员们无法对其进行全面评估。另外三个目标被描述为差点被中国行动命中,中国的行动严重依赖鱼叉式钓鱼攻击。

警报称,这一行动的最终目的是帮助中国开发针对美国管道的网络攻击能力,对管道进行物理破坏或扰乱管道运营。警报还显示,这次网络攻击似乎是全局战略中的一步,中方希望获得进入美国工业控制系统的「战略通道」,以便未来开展行动,而不是为了窃取知识产权。

美国联邦调查局和国土安全部表示,他们在 2012 年 4 月首次意识到石油和天然气公司多次遭遇有针对性攻击,并在 2012 年和 2013 年向已知受到影响的受害者提供了补救服务。

美国前总统特朗普(Donald Trump)执政期间的国家情报总监 Dan Coats 曾在 2019 年 1 月公开警告称,中国有能力发动可能使美国关键基础设施瘫痪的网络攻击,「比如让一条天然气管道中断数天乃至数周」。一位知情人士称,Coats 的证词至少在一定程度上是指周二警报中更详细曝光的黑客活动。

周一,拜登政府公开指责与中国主要情报机构有关联的黑客今年对微软(Microsoft Corp., MSFT)的电子邮件软件发起一次影响深远的网络攻击,这是几十个国家共同谴责中国政府恶意网络活动的全球行动的一部分。但这种公开的谴责并不包括惩罚性措施,比如美国的制裁或外交驱逐。

中国官员称,美国周一详述的调查结果是毫无根据的攻击。至于美国有关入侵输油管道的指控,中国官员没有立即回复记者的置评请求。

中国黑客行动的最新细节周二公布之际,拜登政府对美国管道运营商发布了新的网络安全要求,旨在帮助防范勒索软件和其他形式的破坏性黑客攻击。几个月前,俄罗斯的一个黑客犯罪组织迫使东海岸的一条主要燃料管道关闭了近一周。

美国运输安全管理局的指令是此类指令中首个要求联邦政府指定的某些关键管道运营商采用特定网络安全标准的指令。运输安全管理局 5 月曾发布一项指令,要求输油管道在成为网络攻击的目标或受害者时通知联邦当局。

「美国人民的生命和生计取决于我们保护国家关键基础设施免受不断演变的威胁的总体能力,」美国国土安全部部长亚历杭德罗・马约卡斯(Alejandro Mayorkas)在一份声明中说。「通过这项安全指令,国土安全部可以更好地确保管道行业采取必要的措施,保护其业务免受不断上升的网络威胁,并更好地保护我们的国家和经济安全。」

该指令是一个最新信号,表明相比特朗普、奥巴马和小布什政府,拜登(Biden)政府打算更直接地插手管道安全事务。前几届美国政府顺应了管道行业的愿望,避免进行实体安全和网络安全方面的监管,而是倾向于采取合作策略。

拜登政府官员暂未公布该指令的内容。国土安全部在声明中表示,将要求国土安全部指定的关键管道的所有者和运营商实施具体的缓解措施,以防止勒索软件攻击和其他已知威胁,并提供恢复计划。

今年 5 月份,Colonial Pipeline 遭遇了勒索软件攻击,紧接着,又发生了一连串引人注目的勒索软件攻击事件,有关部门追踪到这些事件与俄罗斯犯罪团伙有关,其中一起攻击事件导致一家大型肉类加工企业短暂停产。经历了这些事件后,关键基础设施的网络安全问题成为拜登政府官员关注的一大领域。

美国情报官员多年来一直警告称,外国对手有可能通过对银行、医院或能源部门发动破坏性网络攻击危害国家或经济安全。例如,在 2018 年,特朗普政府指责俄罗斯政府多年来以美国能源基础设施为目标进行网络攻击,其中包括核设施和水利设施,在某些情况下,一些受影响计算机网络被远程访问。

中国近十年前这一针对美国管道的攻击似乎是有史以来最成功的行动之一。周二的警示称,中国黑客窃取了受害者的文件,包括密码和系统手册,并破坏了企业网络和控制管道的运营网络之间的跳转点。

该公司表示,所有这些信息将使一些人能通过多种渠道访问工业控制系统网络,并提供足够的访问权限使他们能对管道远程执行未经授权的操作,从而造成实质性后果。

美国正式指控中国政府入侵微软邮件系统

拜登政府周一正式指责中国政府侵入世界上许多大公司、政府和军事承包商使用的微软(Microsoft)电子邮件系统。与此同时,美国与包括所有北约成员国在内的一个广泛盟友团体一起谴责了北京在世界各地发动的网络攻击。

据白宫发布的一份声明,美国首次指控中国付钱给犯罪团伙,让其进行大规模黑客攻击,包括向公司勒索数以百万计美元的勒索软件攻击。今年 3 月,微软曾指出,与中国国家安全部有关的黑客利用了微软电子邮件系统的漏洞;美国周一上午的声明首次称,中国政府雇佣犯罪团伙侵入了世界各地的数万台计算机和网络,白宫表示,这种行为「让主要是私营部门的受害者付出了巨大的补救代价。」

国务卿安东尼・J・布林肯(Antony J. Blinken)周一在声明中说,中国的国家安全部「扶植了一个涉及犯罪的合同黑客生态系统,这些黑客既执行政府支持的行动,也从事以自身经济利益为目的的网络犯罪活动。」

「这些合同黑客让政府和企业为被盗的知识产权、支付赎金和减轻网络安全威胁工作付出了数十亿美元的代价,与此同时,中国的国家安全部一直为他们支付工资,」布林肯说。

来自北约和欧盟的谴责不同寻常,因为这两个组织的大多数成员国都非常不愿意公开批评中国这个主要贸易伙伴。但就连德国也提了中国政府的行为,德国的公司也因微软 Exchange 系统被黑客攻击而受到严重打击,这种电子邮件系统由企业自行维护,而不是放在云端。

「我们呼吁包括中国在内的所有国家坚持自己的国际承诺和义务,在包括网络空间在内的国际体系中负责任地行事,」北约在声明中说。

尽管声明中有猛烈的抨击,但没有类似于白宫今年 4 月对俄罗斯施加的制裁措施,白宫当时指责俄罗斯发动了涉及范围广泛的「太阳风」(SolarWinds)攻击,让美国政府部门和 100 多家公司受到影响。(美国司法部的确已在上周五解封了今年 5 月的一份起诉书,指控四名中国居民在 2011 至 2018 年间侵入了数十家美国公司、大学和政府实体的计算机系统。据司法部说,这些黑客为了掩盖中国政府对他们行动的支持,成立了幌子公司。)

通过对俄罗斯实施制裁,并组织盟友对中国进行谴责,拜登政府与两个主要地缘政治对手的数字冷战比现代历史上任何时候都更深入。

尽管来自俄罗斯和中国的数字间谍活动、以及华盛顿阻止这些活动的努力都不是新鲜事,但拜登政府在点名这两个国家、以及组织相关的协调应对上表现了出人意料的积极强硬。

但到目前为止,大多数政府外的专家表示,美国尚未找到正确的防御和进攻行动组合,以形成有效的威慑。俄罗斯人和中国人也变得更加大胆。「太阳风」攻击是美国迄今发现的最复杂的攻击之一,是俄罗斯主要情报部门修改广泛使用的网络管理软件代码的努力,以便侵入逾 1.8 万家企业、联邦机构和智库。

中国的行动没那么复杂,但利用了一个微软当时尚未发现的漏洞,并用其进行间谍活动,削弱人们对企业使用的主要通信系统安全性的信心。政府高级官员说,拜登政府花了几个月的时间才建立起官员们所说的「高度信心」,认为黑客侵入微软电子邮件系统是在国家安全部的授意下进行的,而且得到了中国情报部门雇来的私人行动者的唆使。

中国上次在这种大规模黑客行动中被发现是 2014 年,当时它盗走了美国人事管理办公室(Office of Personnel Management)的 2200 多万份安全许可申请文件,让中国得以深入了解那些获准保守国家机密的美国人的生活。

拜登总统已承诺加强政府计算机系统的安全性,网络安全是他上个月在日内瓦与俄罗斯总统弗拉基米尔・V・普京(Vladimir V. Putin)举行峰会的一个重点。但拜登政府面临的问题是,如何应对来自中国的日益增长的威胁,尤其是在微软系统遭黑客攻击的事情被公开曝光之后。

高级政府官员周日与记者谈话时承认,公开谴责中国对防止未来的袭击只能起到有限的作用。

「任何单一行动都不能改变中国在网络空间的行为,」这位官员说。「也不可能靠一个国家的单独行动。」

但不对中国实施制裁的决定也很说明问题:制裁是许多盟国不会同意采取的步骤。

因此,拜登政府选择了召集足够多的盟友一起公开谴责中国,以最大限度地向北京施压,让其对网络攻击进行限制,这位官员说。

由美国、澳大利亚、英国、加拿大、欧盟、日本和新西兰联合发表的批评中国声明的内容异常广泛。这也是北约首次公开对北京的网络犯罪活动发表此类声明。

欧盟周一谴责了来自中国境内的「恶意网络活动」,但没有对中国政府的责任进行谴责。

「这种不负责任的有害行为给我们的政府机构和私营企业带来了安全风险和重大经济损失,并向我们的安全、经济和整个社会展示了相当大的溢出效应和系统性影响,」欧盟外交政策负责人何塞普・博雷尔・方特莱斯(Josep Borrell Fontelles)在一份声明中说。「这些活动可能与黑客组织有关,」该声明还说。

博雷尔呼吁中国当局不要允许「其领土被用于」此类活动,并呼吁中国「采取一切适当措施和合理可行的步骤来发现、调查和解决这个问题」。

美国国家安全局、联邦调查局,以及网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency)周一也发出警告说,中国的黑客行动对美国及其盟友构成「重大威胁」。中国的目标包括「政治、经济、军事和教育机构,以及关键基础设施」。

警告称,受雇于中国政府的犯罪团伙的目的是窃取敏感数据、关键技术和知识产权。

联邦调查局在微软系统受黑客攻击一事上采取了不同寻常的步骤:除了对攻击进行调查外,它还获得了一项法庭命令,允许其进入未打补丁的公司系统,并从这些系统中删除中国黑客留下的、可能让黑客进行后续攻击的代码元素。这是联邦调查局在调查肇事者的同时首次采取补救行动。

拜登政府公开指责与中国有关联的黑客网络攻击

拜登(Joe Biden)政府公开指责与中国主要情报机构有关联的黑客今年对微软(Microsoft Corp., MSFT)的电子邮件软件发起一次影响深远的网络攻击,这是几十个国家共同谴责中国政府恶意网络活动的全球行动的一部分。

美国高级官员称,美国政府高度确信,与中国国家安全部有关的黑客对 Microsoft Exchange Server 软件实施了不同寻常的无差别攻击;这一事件在 3 月份浮出水面。

此外,四名中国公民因一系列不同的黑客入侵活动被起诉,这些入侵可追溯到 10 年前,据称他们从世界各地的公司和大学窃取了商业机密和研究机密。其中三人被指称为中国国家安全部人员,第四人据称受雇于一家帮助黑客攻击的中国幌子公司。

美国国务卿布林肯(Antony Blinken)周一称:「美国和全球各国要求中华人民共和国对其在网络空间不负责任的、破坏性的、带来不稳定的行为模式负责,这种行为模式对我们的经济和国家安全构成了重大威胁。」他还称,中国国家安全部「培育了一个由合约黑客罪犯构成的生态系统,他们既执行国家资助的活动,也为了自己的经济利益而实施网络犯罪」。

英国和欧盟等国家和组织加入了将 Microsoft Exchange Server 黑客事件归罪于中国的行动,据估计,这次袭击导致数以十万计的企业和组织容易受到网络入侵,其中大部分是小企业和组织。将微软黑客事件归罪于中国是周一更广泛的全球多个国家和组织谴责中国网络攻击行为的一部分,这些国家和组织包括美国、欧盟、英国、加拿大、澳大利亚、新西兰、日本和由 30 个成员国组成的北大西洋公约组织 (North Atlantic Treaty Organization, 简称﹕北约)。

拜登政府官员称,这次集体谴责是迄今为止国际社会抨击中国政府支持的黑客行为的最大规模行动。虽然声明各不相同,但这些国家普遍谴责中国从事有害的网络活动,包括窃取知识产权。

但这种公开的谴责并不包括惩罚性措施,比如美国的制裁或外交驱逐。这与美国政府最近因一系列所谓恶意网络活动针对俄罗斯采取的惩罚措施形成鲜明对比,这种强烈反差招致一些网络安全专家的批评。

华盛顿智库 Silverado Policy Accelerator 致力于实现美国网络安全战略现代化,该智库主席 Dmitri Alperovitch 称,美国没有进一步采取惩罚性措施,「与针对俄罗斯恶意行为者的行动相比,这看上去是在实行双重标准。我们对中国小心翼翼」。

一位美国高官称,拜登政府意识到,没有任何一项行动能改变中国政府的恶意网络行为,重点是让各国团结一致,针对中国政府采取统一的立场。这位官员称,与中国国家安全部有关的黑客已在利用犯罪承包商在全球范围内进行「未经批准的」网络行动。

在被记者问及源自中国和俄罗斯的黑客行为有何不同时,美国总统拜登称:「我的理解是,中国政府与俄罗斯政府一样,不是亲自做这件事,而是在保护那些正在做这件事的人,甚至可能为这些人的行动提供便利。」

美国牵头的这一指责是拜登政府迄今就中国针对美国政府和企业多年来的网络攻击采取的最重大行动。这些攻击通常涉及常规的民族国家间谍活动,以及窃取海军技术和新冠疫苗数据等有价值的知识产权。

美国司法部周一公布的起诉书指称,中国政府在维护 2015 年中国和奥巴马(Barack Obama)政府达成的一项协议方面所作甚少。该协议规定不得指示或支持为获取经济利益而窃取公司记录的网络攻击。特朗普(Donald Trump)政府也曾表示,中方多次违反该协议。这份起诉书是在 5 月份提出的,其中指控中国国家安全部的一个地区分支机构依靠一家幌子公司,在 2015 年的网络安全协议签署后继续实施此类攻击。这家幌子公司的员工和薪资是通过当地一所大学协调的。

起诉书指控这四人在 2011 年至 2018 年期间策划了一场黑客攻击活动,目的是通过窃取知识产权和商业信息,让中国的企业和商业部门受益。该起诉书似乎与 Microsoft Exchange Server 入侵事件没有直接关系,但指控这些黑客从世界各地的数十家公司和大学窃取信息,涉及埃博拉病毒研究、海事研究和其他主题。

美国当局已指责中国多年来针对美国企业和政府机构进行广泛的黑客攻击。中国历来否认这些指控。

中国驻美国大使馆发言人刘鹏宇周一晚些时候说,美国多次在网络安全问题上对中国进行无端攻击和恶意抹黑,这不过是又一个老把戏,没什么新意。

微软在 3 月份披露了 Exchange Server 遭黑客攻击,同时还发布了一个软件补丁,以修复在此次攻击中被利用的漏洞。微软当时认定攻击者是一个有政府背景的中国网络间谍组织,并把该组织称为 Hafnium。微软的这个评估结果得到了其他网络安全研究人员的支持。拜登政府直到现在才提供了攻击的归因,并且基本上认同民间领域给出的结论,还提供了一个更详细的鉴定。

据网络安全官员和分析师称,针对 Exchange Server 的攻击始自 1 月初,以缓慢而隐蔽的方式进行,这些黑客过去曾把传染病研究人员、律师事务所和大学作为攻击目标。但随着其他与中国有关的黑客组织的介入,这场攻击的行动节奏似乎加快了,当微软在 3 月初向客户发送软件补丁时,已有成千上万的服务器被感染。

微软称赞了周一发起的全球行动。微软负责客户安全与信任事务的副总裁 Tom Burt 说:「这样的归因将有助于国际社会能明确对无差别攻击的背后发起者追责。」

同样在周一,美国国家安全局(National Security Agency)、联邦调查局(Federal Bureau of Investigation)和网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency)联合公布了与中国政府有关的黑客们所偏好使用的 50 多种战术和技巧的技术细节。美国在揭露或强调指出恶意黑客攻击活动时,发布此类列表清单是常见之举,目的是帮助企业和关键基础设施运营商更好地保护自身计算机系统。

数月来,网络安全专家一直在向拜登政府施压,要求对中国涉嫌参与微软电子邮件黑客事件作出回应。

智库 Silverado 的 Alperovitch 称:「中国国安部承包商对 Microsoft Exchange 的黑客袭击,是迄今为止我们所见过来自中方行为者最不计后果的网络行动,比俄罗斯的 SolarWinds 黑客攻击要危险得多。SolarWinds 黑客攻击是去年 12 月发现的大规模网络间谍活动,该活动与其他被指控的活动一起,促使美国对莫斯科方面采取了一系列惩罚措施。

许多分析人士表示,拜登政府今年早些时候因 SolarWinds 事件惩罚俄罗斯的做法,打破了美国多年来容忍网络间谍活动作为 21 世纪可接受的间谍活动形式的外交政策。

曾担任职业检察官、去年任司法部国家安全部门副助理部长的 Kellen Dwyer 说,SolarWinds 攻击事件是一次间谍攻击,对于造成附带损害相对谨慎。

与此同时,Dwyer 表示,据称参与 Microsoft Exchange 黑客行动的中国人员攫取了大量数据,并肆意搜索整个互联网以寻找未修补的漏洞。他说:「这当然应该是一种我们想要定义并实施制裁的标准。」

上述新起诉书内遭指控的中方被告未被美国扣押。一些网络安全专家已表示,起诉外国政府支持的黑客往往收效甚微,因为这些被告很少能被带到美国法庭。美国官员为这种做法辩护称,这有助于说服盟国政府、私营部门和其他方了解相关问题涉及的范畴。

黑客们被指入侵了全球各地的数十所学校、公司和政府机构,从加利福尼亚州和佛罗里达州的抗病毒和疫苗研究机构到瑞士一家生产船舶涂料的化学品公司,再到宾夕法尼亚州一所拥有机器人工程项目的大学、美国国立卫生研究院(National Institutes of Health)和沙特的两个政府部门,黑客袭击事件层出不穷。前述起诉书未透露这些公司和大学的名称。

这份起诉书称,黑客们被指使用虚假的鱼叉式网络钓鱼邮件,然后把窃取的数据存储在 GitHub 上,将相关文件隐藏在考拉和特朗普的照片中。起诉书称,中国一所大学的教授配合了这些黑客的行动,包括为此类活动识别和招募黑客,并使用这所大学图书馆的地址作为幌子公司的所在地。

中国是如何成为美国主要网络威胁的

美国近十年前开始点名批评中国进行大量网上间谍活动,其中大部分是针对美国公司使用低级网络钓鱼电子邮件窃取知识产权。

周一,美国再次谴责中国发动网络攻击。但这些攻击非常具有侵略性,表明中国的网络攻击已经变得更加复杂和成熟,不再是十年前那个让美国官员感到困惑的数字对手。

拜登政府对网络攻击的控诉以及对数十名现任和前任美国官员的采访表明,中国在此期间重组了黑客行动。虽然它曾经对外国公司、智囊团和政府机构进行过相对简单的黑客攻击,但中国现在正在对世界各地的美国公司和利益集团进行秘密、分散的数字攻击。

据美国官员和政府谴责称,曾经的黑客攻击是由中国人民解放军部队通过措辞草率的鱼叉式钓鱼邮件进行的,而现在则由幌子公司和大学的承包商组成的精英卫星网络在中国安全部的指导下进行。

虽然网络钓鱼攻击仍然存在,但间谍活动已转入地下并采用复杂的技术。其中包括利用微软 Exchange 电子邮件服务和 Pulse VPN 安全设备等广泛使用的软件中的「零日」或未知安全漏洞,这些漏洞更难防御,并且可以让中国黑客潜伏更久。

「我们在过去两三年中看到的是中国的升级,」网络安全公司 CrowdStrike 的首席执行官乔治・库尔茨(George Kurtz)说。「与我们过去看到的破坏再抢夺的操作相比,现在他们的运作更像是专业的情报服务机构。」

长期以来,中国一直是美国最大的数字威胁之一。在 2009 年的机密文件《国家情报估计》(National Intelligence Estimate)中,中国和俄罗斯在美国的网络对手名单中位居前列,这份文件代表所有 16 个美国情报机构的共识。但中国被认为是更直接的威胁,因为它的工业贸易盗窃数量庞大。

但是现在,由于中国正在改造其黑客活动,这种威胁更加令人不安。此外,拜登政府已将网络攻击——包括勒索软件攻击——变成了与俄罗斯等超级大国的主要外交阵线,而美国与中国的关系在贸易和技术霸权等问题上也在持续恶化。

中国在黑客方面的突出地位在 2010 年对谷歌和安全公司 RSA 的攻击,以及在 2013 年对《纽约时报》的攻击中崭露头角。

这些和其他数千起违规行为促使奥巴马政府在 2014 年的一系列工业贸易盗窃谴责中指控中国人民解放军黑客。据《纽约数据》报道,中国人民解放军一个位于上海的单位,被称为 61398 单位,对数百起——一些人估计有数千起——美国公司的违规行为负有责任。

2015 年,奥巴马官员威胁要以宣布制裁的方式迎接中国国家主席习近平对白宫的首次访问,此前中国对美国人事管理局进行了尤为激进的入侵。在那次攻击中,中国黑客窃取了被授予安全许可的美国人的敏感个人信息,包括超过 2000 万个指纹。

白宫官员很快达成了一项协议,中国将停止为其工业利益而对美国公司和利益集团进行黑客攻击。在奥巴马政府执政期间的 18 个月里,安全研究人员和情报官员观察到中国黑客行为显著减少。

唐纳德・J・特朗普总统上任后,与中国的贸易冲突和其它紧张关系加剧,黑客活动又开始了。到 2018 年,美国情报官员注意到一个变化:解放军的黑客消失了,取而代之的是国安部授意下工作的人员,该部门负责管理中国的情报、安全以及秘密警察。

情报官员和研究人员表示,为中国经济计划牟利的知识产权黑客行为并非来自解放军,而是来自一个由幌子公司和承包商组成的更为松散的网络,其中包括为中国一些领先科技公司工作的工程师。

目前尚不清楚中国如何与这些组织松散的黑客合作。一些网络安全专家推测,这些工程师拿现金为国家兼职,还有人认为,那些参与黑客网络的人别无选择,只能按照国家的要求去做。美国国家安全局(National Security Agency)在 2013 年的一份机密备忘录中表示:「与中国政府实体的确切联系尚不明确,但他们的活动表明,这可能是来自中国国安部的情报要求。」

周一,白宫的表态更加明确。在详细的起诉书中,美国指控中国国安部是今年针对微软 Exchange 邮件系统的侵略性攻击的幕后主使。

司法部还另外起诉了四名中国公民,指控他们配合黑客攻击,窃取航空、国防、生物制药等领域企业的商业秘密。

根据起诉书,这些中国人依靠海南仙盾这样的幌子公司活动,国安部设立这些公司是为了给中国情报机构合理的推诿。起诉书包括了一张被告人丁晓阳(音)的照片,他是海南仙盾的员工,在 2018 年因负责这家幌子公司的黑客行为受到了国安部的奖励。

美国还指责中国大学在其中扮演了关键角色,为幌子公司招募学生,并负责公司的关键业务,比如发工资。

起诉书也指出,中国「政府附属」的黑客进行了勒索软件攻击,勒索企业达数以百万计的美元。此前,对勒索软件攻击者的审查主要集中在俄罗斯、东欧和朝鲜。

周一,国务卿安东尼・J・布林肯(Antony J. Blinken)在声明中表示,中国国安部「扶植了一个涉及犯罪的合同黑客生态系统,这些黑客既执行政府支持的行动,也从事以自身经济利益为目的的网络犯罪活动。」

中国还打击了针对广泛存在的软硬件安全漏洞的研究,这可能有利于国家进行监视、反谍报和网络间谍活动。上周,中国宣布一项新规,要求中国安全研究人员在发现安全漏洞后的两日内报送政府,比如中国破坏微软邮件系统时依赖的「零日」漏洞。

这一政策是北京五年来积累自己「零日」漏洞活动的高潮。2016 年,当局突然关闭了中国报告「零日」漏洞的最著名私人平台,并逮捕其创始人。两年后,中国警方宣布开始执行禁止「未经同意发布」漏洞的法律。同年,在国家的命令下,经常出现在西方大型黑客大会上的中国黑客不再现身。

「如果他们继续保持这种访问级别,以他们的控制权,他们的情报界肯定会从中受益,」库尔茨在谈到中国时说。「这是一场网络军备竞赛。

Laminar flow

Chimerica

我们应该学会去理解别人的观点,不仅仅是服从和被告知。

Project Che

我们应该学会去理解别人的观点,不仅仅是服从和被告知。

我们应该学会去理解别人的观点,不仅仅是服从和被告知。
我们应该学会去理解别人的观点,不仅仅是服从和被告知。
时代的水流漫过了每一只筏子,浸湿了我们的脚,而大雨迟早要来。

开门见山,明知山有虎

所有火中取栗、蹈火赴汤和洞若观火的报道,都是易燃品。

Continue Reading