2月,美国在南卡罗来纳州海岸击落了中国的间谍气球,就在FBI对气球上的设备展开检查的前后,美国情报机构和微软发现了一个令他们更为担忧的入侵者:在关岛和美国其他地方的电信系统里,冒出神秘的计算机代码。
微软称,该代码是由一个中国政府黑客组织安装的,这引起了人们的警觉,因为关岛拥有太平洋港口和庞大的美国空军基地,如果台湾遭到入侵或封锁,那里将成为美国军事反应的核心。该行动非常隐蔽,有时通过家庭路由器和其他常见的消费类物联网设备进行,使入侵更加难以追踪。
该代码称作“web shell后门”,这次发现的web shell是一个可以远程访问服务器的恶意脚本。家用路由器特别容易受到攻击,尤其是那些没有更新软件和防护措施的旧型号。
这与吸引美国人注意力的气球不同,气球在敏感的核设施上空旋转,而计算机代码无法被击落并进行电视直播。因此,微软周三公布了代码的详细信息,使企业用户、制造商和其他人能够进行检测并予以删除。国家安全局与其他国内机构,以及澳大利亚、英国、新西兰和加拿大的对应机构一起发布了一份长达24页的建议,将微软的发现公之于众,并对“最近发现的来自中国的一系列活动”提出了更广泛的警告。
微软称该黑客组织为“伏特台风”,并表示它属于中国政府支持的一项行动,它不仅针对通信、电力和天然气等关键基础设施,还针对海上作业和运输。目前看来,入侵似乎是一场间谍活动。但中国人有意为之的话,他们可以利用这些经过专门设计穿透防火墙的代码发起破坏性攻击。
微软表示,到目前为止,没有证据表明该中国组织利用该访问权限进行了侵犯性攻击。与俄罗斯黑客组织不同,中国的情报和军事黑客通常将刺探情报放在首位。
政府官员在接受采访时表示,他们认为该代码是中国大规模情报收集工作的一部分,该工作涉及网络空间、外太空,以及美国人发现气球事件所涉及的低层大气层。
拜登政府拒绝讨论FBI在热气球设备上发现了什么。但这艘飞行器——更确切地说是一个巨大的飞行器——显然包括专用雷达和通信拦截设备,自气球被击落以来联邦调查局一直在对它们进行检查。
目前尚不清楚的是,政府对气球上的发现保持沉默究竟是出于不想让中国政府知道美国所获悉的情况,还是为了避开气球入侵事件后出现的外交裂痕。
周日,在日本广岛举行的一个新闻发布会上,拜登总统提到气球事件使华盛顿和北京之间本已冷淡的交流陷入瘫痪。
“然后这个愚蠢气球携带着相当于两辆货车大小的间谍设备在美国上空飞行,”他告诉记者,“它被击落了,在对话方面,一切都变了。”
他预测,两国关系将“很快开始解冻”。
对关岛的关注尤其引起了一些官员们的注意,他们正在评估中国进攻或封锁台湾的能力以及意愿。
中国从未承认侵入美国网络,即使在规模最大的一起事件中也是如此:在奥巴马政府期间,人事管理局大约2200万美国人的安全审查文件被盗,其中包括600万组指纹。数据外泄的过程持续了将近一年,并促使奥巴马总统和习近平主席达成协议,此后中国恶意网络活动短暂下降。
周三,中国向国内企业发出警告,要求警惕美国的黑客行为。美国针对中国的黑客行为也不少:在前国家安全局承包商斯诺登公布的文件中,有证据表明,美国曾试图侵入中国电信巨头华为的系统,以及军事和领导层目标。
电信网络是黑客的主要目标,关岛的这个系统对中国来说尤其重要,因为军事通信经常借用商业网络。
负责微软威胁情报部门的主管汤姆·伯特在采访中说,该公司的分析人员——其中许多是国家安全局和其他情报机构的资深人士——“在调查影响一个美国港口的入侵活动时”发现了这些代码。在追踪入侵过程时,他们发现了其他遭到攻击的网络,“包括关岛电信部门的一些网络”。
负责网络和新兴技术的副国家安全顾问安妮·纽伯格表示,“像今天曝光的活动这样的秘密行动是促使我们关注电信网络安全、使用可靠供应商的紧迫性的部分原因”,这些供应商的设备符合既定的网络安全标准。
纽伯格一直牵头在整个联邦政府推行针对关键基础设施的新网络安全标准。2021年,俄罗斯对科洛尼尔管道运输公司发起的勒索软件攻击中断了美国东岸的汽油、柴油和飞机燃料供应,令官员们对这些基础设施的脆弱感到惊讶。袭击发生后,拜登政府利用负责监管管道的运输安全管理局鲜为人知的权力,迫使私营的公用事业部门遵守一系列网络安全指令。
现在,纽伯格正在推动她所说的“对改善我们管道、铁路系统、供水系统和其他关键服务的网络安全的不懈关注”,包括对这些部门的网络安全做法提出要求,并与对这些基础设施面临的威胁具有“独特可见性”的公司展开更密切合作。
这些公司包括微软、谷歌、亚马逊和许多可以看到国内网络活动的电信公司。法律禁止包括国家安全局在内的情报机构在美国境内开展活动。但国家安全局被允许发布警告,正如在周三所做的那样,它与联邦调查局和国土安全部下属的网络基础设施与安全管理局一起发布了警告。
该机构的这份报告是美国政府迅速公布此类数据的相对较新举措的一部分,希望能阻止中国政府发起的类似行动。在过去的几年里,美国通常会隐瞒这些信息(有时还会将其归入保密级别),并且只与少数公司或组织分享。但这几乎总令黑客远远领先于政府。
在这种情况下,对关岛的关注尤其引起了一些官员们的注意,他们正在评估中国攻击或扼杀台湾的能力和意愿。习近平命令人民解放军要在2027年之前有能力拿下该岛。但中情局局长伯恩斯向国会指出,该命令“并不意味着他已经决定发动入侵”。
近年来,美国进行了数十次战棋推演,以便对这种攻击中可能出现的情况加以筹划,中国的首批预期动作之一将是切断美国的通信,拖延美国的反应能力。因此,演习设想了对卫星和地面通信的攻击,特别是在将调动军事资产的美国军事设施周围。
其中最重要的就是关岛,为帮助保卫台湾,那里的安德森空军基地将是美国空军许多任务的发射点,而那里的一个海军港口对美国潜艇来说至关重要。
延伸阅读:微软:中国黑客组织入侵美国关键网络设施
来源:德国之声
西方情报机构和微软公司揭露,有中国黑客组织广泛锁定并入侵了美国在关岛等地的关键网络基础设施,进行情搜。《纽约时报》示警,关岛是美军在亚太的核心基地,若通讯能力因此受阻,恐严重影响美国应对台海危机。北京则反驳这是“五眼联盟”散步虚假信息,称美国才是“黑客帝国”。
路透社报道,这是已知针对美国关键基础设施的最大网络间谍活动之一。
微软公司周三(5月24日)公布报告并警告,由中国政府支持、总部位于中国的黑客组织“伏特台风”(Volt Typhoon),自2021年运作以来,长期锁定并入侵美国多项产业的关键网络基础建设,包括通讯、制造、公用事业、运输、建筑、海事、政府、资讯技术和教育。
微软表示,“伏特台风”透过安装恶意软件代码“Web shell”进行入侵,有时通过家庭路由器和其他常见的互联网消费设备进行,因此更难被发现。
路透社报道,这是已知针对美国关键基础设施的最大网络间谍活动之一。
微软表示,该黑客组织的目的主要是为了情报搜集与潜伏发展,以便在未来发生危机事件时,有能力破坏美国和亚洲地区之间的关键通讯基础设施,但目前还没有证据表明已经发动了任何破坏性攻击。相反地,该组织更希望在不被侦测到的情况下,“尽可能长时间地执行间谍活动并保持访问权限”。
根据微软发布的报告,该间谍活动也包含美国关岛。英国《泰晤士报》报道,这次黑客入侵的重点包含美国在关岛的通信基础设施,对美国情报部门来说尤其令人担忧。
关岛有美国的海军港口及空军基地,是美国在亚洲的重要军事基地,也是应对该地区任何潜在冲突的关键基地。《纽约时报》示警,若台海危机发生、中国武力侵犯台湾,美国在关岛的通讯能力若遭切断,将严重影响应对。
关岛有美国的海军港口及空军基地,是美国在亚洲的重要军事基地
根据《纽约时报》报道,美国情报机构是在2月发现了这次的黑客入侵。大约同一时间,中美之间发生了“间谍气球”事件。美国指控飞入美国上空的中国气球,是用于中国情搜。一名不具名的美国政府官员在接受《纽约时报》采訪时表示,他们认为这次的恶意软件代码也是中国大规模情搜工作的其中一环。
微软警告,目前该黑客组织的入侵行为显然仍在进行中。微软公布了恶意代码的详细资讯,呼吁受害用户进行检测并删除。
“一个由中华人民共和国国家支持的行为者,正利用内建网络工具来躲避我们的侦防系统,并且不留下任何痕迹地,进行‘寄生攻击’(living off the land)。”美国国家安全局(NSA)网络安全主任乔伊斯(Rob Joyce)透过声明表示。
目前还不清楚有多少单位受到影响,但美国国家安全局表示,正在与加拿大、新西兰、澳大利亚和英国等合作伙伴以及美国联邦调查局合作调查。
加拿大网络安全机构表示,目前没有关于加拿大方受到黑客攻击的报告,但由于西方国家许多基础建设紧密相连,对单一国家的网络攻击可能影响到其他国家;英国同样警告,中国黑客对美国网络使用的技术可能适用于全世界。
中国驻华盛顿大使馆没有立即回应路透社的置论请求。
毛宁:美国在拓展新的散布虚假信息渠道,这不是第一次,也不会是最后一次
中国外交部在5月25日的例行记者会上回应,有注意到相关报道。发言人毛宁称,“这是一份东拼西凑、证据链严重缺失、极不专业的报告。我们还注意到,美国家安全局等政府机构以及英国、澳大利亚、加拿大、新西兰等国相关机构也同时发布了类似报告,很明显这是美国出于地缘政治目的发动‘五眼联盟’国家采取的集体虚假信息行动”。
这位中国外交部发言人还表示,“五眼联盟”是世界上最大的情报组织,美国家安全局是世界上最大的“黑客组织”,“他们联手发布虚假信息报告,本身就很讽刺。……无论如何变换手法,都改变不了美国才是‘黑客帝国’的事实”。
毛宁说:“我记得,去年9月中方有关机构发布报告,详细披露美国家安全局网络攻击中国西北工业大学情况。美方应当立即就有关网络攻击行为作出交待,而不是散布虚假信息,转移视线。”