【大纪元2025年01月07日讯】(大纪元记者程雯综合报导)中共的网络黑客曾经被认为主要是对美国商业机密和大量私人消费者资料感兴趣,但是最新的黑客攻击表明,他们不仅站在中美之间潜在地缘政治冲突的前线,更是深入美国的关键基础设施,成为破坏和瘫痪基础设施、制造混乱以及阻止美国向中共投射遏制力量的网络战工具和军事武器。
从“网络窃贼”变成“网络战入侵工具”
2023年秋季,在白宫举行的一次秘密会议上,国家安全顾问杰克‧沙利文(Jake Sullivan)对与会的电信和科技公司高管表示,中国(中共)黑客已获得随意关闭数十个美国港口、电网和其它基础设施目标的能力。这种网络攻击可能会威胁众多生命,美国政府需要这些电信和科技公司的帮助来根除入侵者。
2024年11月下旬,沙利文再次召集了电信公司的高层——其中许多人参加了一年前的会议——以寻求对有关基础设施被中共黑客攻击的解决办法。这一次,电信公司本身也成了受害者,至少有9家美国电信公司遭到了中共黑客攻击。
针对美国基础设施和电信网络的两起大规模“台风”(Typhoon)黑客行动,颠覆了西方对北京想要什么的理解,同时也揭露了中共“键盘侠”的惊人技术水平和隐密性,他们已从一度的“网络窃贼”变成了“网络战入侵工具”。
国土安全部前高级网络安全官员布兰登‧威尔士(Brandon Wales)对《华尔街日报》表示,美国电脑网络是“未来与中国(中共)发生任何冲突的关键战场”。他认为,中共黑客的预先部署和情报收集“旨在通过阻止美国投射力量并在(美国)国内制造混乱来确保他们(中共)获胜”。
随着中共对台湾的威胁日益加剧,并致力于实现2027年武力夺取台湾的潜在目标——如果这会发生的话——美国可能会作为台湾最重要的支持者而被迫卷入这场台海战争。而在已持续了近3年的俄乌战争中,中共也与俄罗斯建立了更紧密的联盟。美国两党高级官员和国会议员都警告说,共产中国是美国安全的最大威胁。
攻击美国基础设施 或为台海冲突做准备
《华尔街日报》今年1月4日的一份报导提到,中共黑客至少早在2019年就开始攻击美国的基础设施,现在仍在进行中。这些黑客与中共军方有联系,他们入侵的场所是通常的商业间谍不太关注的地方,如夏威夷的一家自来水公司,休斯顿的一个港口,以及一家石油和天然气公司。
美国联邦调查局(FBI)和私营部门的调查人员发现,中共黑客有时会潜伏多年,定期测试访问权限。例如在一个地区机场,调查人员发现黑客早已获得了该机场系统的访问权限,然后每六个月返回一次,以确保他们仍然可以进入;在一个水处理系统的网络中,黑客花费了至少九个月的时间,然后又进入一个相邻的服务器以研究该水处理厂的运作;在洛杉矶的一家公用事业公司,黑客搜寻了有关该公用事业公司在紧急情况或危机时如何应对的资料。
美国安全官员表示,他们认为,由一个名为“伏特台风”(Volt Typhoon)的中共黑客组织实施的基础设施入侵行动,至少部分是为了扰乱美国的太平洋军事补给线,并以其它方式阻碍美国应对未来与共产中国发生冲突时的军事能力,包括在中共可能武力入侵台湾的情况下。
攻击美国电信网络 或针对美国知名政治人物
中共黑客大约在2023年中或更早的时候开始攻击美国电信网络。《华尔街日报》在2023年9月最早报导了一起事件,一个名为“盐台风”(Salt Typhoon)的黑客组织潜入了美国无线网络和用于法庭指定的监视用的通讯系统。
该“盐台风”黑客与中共情报部门有联系。他们能够访问超过100万美国电信用户的数据,并截获美国政府高级官员的通话音频,包括通过与川普通话的人的电话网络来获取与川普的一些通话。他们也针对了参与副总统贺锦丽(卡玛拉‧哈里斯)的总统竞选活动的人的通讯。
黑客们还能够从电信公司如Verizon(威瑞森公司)和AT&T获取美国政府近几个月根据法院命令监视的个人名单,其中包括可疑的中共特工。
这些黑客攻击利用了美国电信系统中已知的软件缺陷,这些缺陷已被公开警告但没有来得及修补。调查人员表示,他们仍在调查黑客对电信系统攻击的全部范围。
最近几周看到机密简报的国会议员和官员告诉《华尔街日报》,他们对黑客入侵的深度以及应对该黑客攻击的难度感到震惊。一些电信公司领导人也表示,他们对黑客攻击的范围和严重性感到措手不及。
拜登总统负责网络安全的副国家安全顾问安妮‧纽伯格(Anne Neuberger)说:“他们(中共黑客)对自己的技术非常谨慎。”她提到,在某些情况下,黑客删除了自己访问网络的日志,而在其它情况下,受害公司没有保留足够的日志,这意味着“我们永远不会知道其范围和规模”。
Verizon公司表示,少数的政府和政界知名客户是黑客的具体目标,而这些客户已收到通知。Verizon的首席法律官万达纳‧文卡特什(Vandana Venkatesh)说:“经过大量工作解决这一事件后,我们可以报告说,Verizon已遏制住了与这一特定事件相关的(黑客)活动。”
AT&T的一位女发言人说:“目前在我们的网络中没有发现任何国家政府行为者的活动。”她还表示,中共政府针对的是“少数涉及外国情报利益的个人”,AT&T公司已与执法机构合作通知了受影响的客户。
美国的暴露程度“令人震惊”
一些参与调查的国家安全官员对《华尔街日报》表示,他们认为电信黑客攻击如此严重,网络受到如此严重的破坏,美国可能永远无法肯定地说中共黑客已被彻底铲除。
由于担心可能被中共窃听,一些高级立法者和美国官员已从传统的手机通话和简讯转为使用Signal等加密应用程式。FBI特工则早已使用他们自己的加密系统进行机密工作通讯。
2024年12月下旬,为了应对“盐台风”黑客活动,联邦网络安全官员发布了新指南,建议公众使用端到端加密程序进行通信,并且应避免基于文字的账户登录身份验证,而应使用基于应用程序的身份验证。
十多年来,美国官员一直对网络空间中快速演变的威胁发出警告,从勒索软件黑客锁定电脑、要求支付巨额费用,到国家政府支持和指导下的对宝贵企业机密的盗窃。他们也对使用中国设备(包括华为和中兴通讯的设备)表示担忧,认为这些设备可能会为中共无所不为的间谍活动打开后门。2024年12月,《华尔街日报》报导说,美国当局正在调查中国TP-Link生产的很受欢迎的家庭网络路由器是否构成国家安全风险,这些路由器与网络攻击有关。
但据美国官员和其他熟悉调查情况的人士表示,北京实际上并不必须利用中国设备来实现对大部分美国基础设施和电信系统的大规模攻击。在这些黑客攻击中,中共利用了美国公司数十年来信任的但是已经老化的一系列电信设备的漏洞。
例如,在电信攻击中,黑客利用了安全供应商飞塔(Fortinet)未打补丁的网络设备,并破坏了思科系统(Cisco Systems)的大型网络路由器。至少在一个案例中,中共黑客掌握了一个不受多因素身份验证(一种基本保护措施)保护的高级网络管理账户。这使他们能够访问超过10万个路由器,从而可以进一步实施攻击——这是一个严重的失误,可让黑客能够将流量复制回中国并删除他们自己的数字轨迹。一位知情人士透露,这次的路由器劫持行动发生在AT&T的网络内。
2024年12月,纽伯格表示,受害的美国电信公司数量已增至九个,而且可能还会更多。
除了深度入侵AT&T和Verizon之外,黑客还侵入了流明科技公司(Lumen Technologies)和T-Mobile的网络。知情人士透露,中共黑客还侵入了特许通讯公司(Charter Communications)、联合通讯公司(Consolidated Communications)和风流公司(Windstream)的网络。
流明科技公司表示,该公司现在不再在其网络中看到攻击者的证据,也没有客户资料被访问。T-Mobile表示,该公司已经阻止了最近渗透其系统的尝试,并保护了敏感的客户资讯免遭访问。
包括纽伯格在内的一些美国官员表示,这起黑客攻击凸显了电信业对基本网络安全要求的必要性。拜登政府通过行政命令制定了此类强制任务以防止针对输送管道、铁路和航空业的黑客入侵。
国家安全顾问沙利文说:“网络空间是一个竞争激烈的战场。我们……已经取得了相当大的进展,但在我们没有强制性网络安全要求的领域仍然存在严重漏洞。”
联邦参议员丹‧沙利文(Dan Sullivan,阿拉斯加州共和党人)在去年12月的一次国会听证会上说:“令人震惊的是,我们所面临的风险是如此之大,而且仍然会如此。”他将最近看到关于电信黑客攻击事件的机密简报后的感受形容为“令人倒吸口凉气”。
基础设施黑客攻击也成为美中关系对话中的一个议题。知情人士透露,2024年4月,国务卿安东尼‧布林肯(Antony Blinken)在北京与中共外长王毅举行了长达五个小时的会议,布林肯向王毅表达了美方对中方攻击美国基础设施的危险和升级的担忧。
王毅指责这是美国为了支持其增加对军费开支而“捏造的幻觉”。
在紧跟那次会议后的另一次会议上,美国官员向中方提供了证据,证明那些黑客入侵与中国的IP位址有关。熟悉相关互动的美国官员告诉《华尔街日报》,当时中共官员表示,他们会研究此事并反馈给美方,然后就没有了下文。
对美网络战第一枪:骇入休斯顿港口设施
据《华尔街日报》披露,作为中共对美国的新型网络战争的第一枪发生在2021年8月19日上午,当时中共黑客仅用了31秒钟就在美国最大港口之一——休斯顿港口——的数字基础设施上站住了脚。
在休斯顿港,一名黑客入侵者冒充港口软件供应商的工程师,进入了一台旨在让员工从家中远程重置密码的服务器。在港口意识到威胁并切断密码服务器与网络的连接之前,黑客已设法下载了涉及港口所有工作人员的一组加密密码。
这名黑客离开时留下了后门,以便他或其他黑客轻易返回来。
大约在这个时候,网络安全供应商注意到了这项活动,并将其标记给港口的网络安全主管,但是网络安全主管检查后认为这是一场误报,于是他就去吃午餐了。
接着,另外两个来自可疑IP地址的入侵者又进入了那个密码服务器,然后使用网络链接从那个服务器上下载了员工登入凭证的完整清单。
然后,黑客们又开始利用他们的存取权限进一步探索港口网络,而网络安全供应商又发出了攻击者卷土重来的警告。
这时,港口的网络安全人员才将被感染的服务器从其网络中删除,从而结束了这起黑客攻击。
随后,该港口的网络安全负责人克里斯‧沃尔斯基(Chris Wolski)致电负责管理美国港口的海岸警卫队,通报了这次攻击事件,他还说:“看来我们遇到了问题。”
休斯顿港口消除了威胁,但不受限制地访问该港口网络的密码可能使黑客能够在港口内部网络中移动并找到隐藏的地方,直到他们想要采取行动。调查人员表示,黑客们最终可能会扰乱或停止港口运作。
休斯顿港口当时刚从基本的防毒软件升级,并且只有一名从事网络安全的兼职IT员工。这次黑客入侵向美国官员提供了一个重要的早期警报,即中共正在攻击不属于企业机密或政府机密的目标,并且正在使用“新颖”的方式入侵。
关键基础设施内发现大量中共黑客活动
FBI发现,休斯顿港口黑客入侵事件是由于密码软件中存在一个先前未知的缺陷。
微软(Microsoft)的一组分析师确定,同一个黑客组织也利用了另一家公司软件中的缺陷来攻击一些咨询服务和IT公司。分析人士还发现,黑客的目标是关岛的网络。
关岛是美国在太平洋的领土,是美国重要海军基地的所在地,黑客入侵破坏了该基地的通讯供应商。
华盛顿州雷德蒙德(Redmond)的团队利用Microsoft产品(包括Office 365、Windows作业系统或Azure云端)内建的安全功能发出的数十亿个讯号来寻找安全威胁。
据美国官员和一个网络威胁应对公司的研究人员说,黑客开始出现在其它令人惊讶的地方,从夏威夷自来水公司和西海岸港口,到制造、教育和建筑等行业。
微软分析师意识到,他们看到了来自中国(中共)的“新颖行为”,美国关键基础设施内有大量中共黑客活动,但同时这些基础设施似乎并没有什么间谍情报价值或商业价值。
直到最近,微软负责客户信任和安全的副总裁汤姆‧伯特(Tom Burt)在接受采访时表示,该公司的威胁研究人员发现了入侵者行为和受害者目标的共性,这有助于将网络攻击与一个常见的黑客组织联系起来。他说:“这一切都是为了,哦,好吧,我们知道,这是中国(中共)的一个新行动者团体。”
根据来自微软和其它情报线的信息,联邦特工在美国各地展开调查,并在2022年和2023年调查十多个网站时听到了类似的故事。受害者的网络安全状况一般,有些公司甚至不知道自己的网络已被破坏。黑客通常不会安装恶意软件或窃取商业机密或政府机密或私人资讯等数据,他们只是试图进入并了解系统。
利用旧的路由器伪装美国流量
在先前的案例中,FBI特工一旦发现黑客在美国租用服务器进行攻击,通常就能追踪到他们。
这次,黑客通过小型办公室和家庭办公室使用的一种路由器进行入侵,该路由器将黑客入侵伪装成合法的美国流量。
这些路由器主要由思科和网件(Netgear)公司制造,很容易受到攻击,因为它们太旧了,不再从制造商接收例行的安全更新。一旦受到黑客的控制,这些路由器就会充当其它受害者的踏脚石,而不会发出警报,因为这让黑客入侵看起来像是常规流量。
到2023年底,FBI已收集到足够的资讯来识别数百个黑客侵占的小型办公室路由器。检察官请求法官授权远端进入路由器并发出命令来消除恶意软件——这些恶意软件已经进入了毫无戒心的美国受害者的家中,他们几年前购买了路由器,现在并不知道他们的Wi-Fi网络正在被秘密攻击。
2024年1月,法官批准了这项请求,FBI得以执行了这项行动,摧毁了黑客的一个重要工具。
中共在为武力攻取台湾奠定网络战基础
据熟悉安全分析的现任和前任美国官员表示,美国国家安全局的分析人士观察到,北京正在开始为潜在的武力攻取台湾奠定网络战基础。这些资讯帮助人们专注于新的基础设施黑客活动,向调查人员展示了中共黑客活动的更大图景。
西方安全官员表示,美国官员与盟友分享了有关基础设施黑客入侵的数据。
对关岛和西海岸目标的关注向拜登政府的多个机构的许多高级国家安全官员表明,中共黑客的重点是台湾,他们在竭尽全力试图减缓美国对中共潜在入侵台湾的反应,为北京赢得宝贵的战争时间,让中共在美国的支援到来之前就完成对台湾的接管。
其它黑客目标则让美国分析师有不同见解。其中一个目标是美国西海岸的一个小型空中交通管制设施,另一些目标是一些水处理厂。据知情官员透露,这些选择表明中共黑客在寻找给美国平民造成痛苦的方法,包括扰乱飞机航线或关闭当地的水处理设施。
国家安全局前副局长乔治‧巴恩斯(George Barnes)在接受采访时表示,他在2022年底和2023年初曾想知道,北京的计划是否是为了让黑客行动被发现,从而恐吓美国不要介入潜在台湾冲突。
巴恩斯表示,继台湾之后——如果发生台海冲突的话——美国将成为中共破坏性网络攻击的“零目标”(Target Zero),即阻止美国对中共夺取台湾的行动造成“伤害”。
在美国电信系统中长期潜伏,大量窃取数据
2024年夏天,美国官员告诉一些电信公司,一个与中共国家安全部情报部门有联系的黑客组织已潜入他们的网络,这次是中共黑客对美国通讯系统的全面攻击。
黑客入侵者利用电信公司通过互相之间的连结——通常缺乏多因素身份验证——进行相互传递资料的途径进入通讯网络。这种额外的保护层,类似于许多消费者用来登入银行账户的多重保护层,并不总是存在于电信供应商之间,部分原因是这些额外的多因素身份验证会减慢电话呼叫和网络流量的速度。
黑客还能够进入数十名美国高级国家安全和政策官员使用的手机线路,以及截获至少一些来自候任总统川普、候任副总统万斯以及与川普竞选活动和贺锦丽竞选活动有关的人员的电话音频。
调查人员表示,黑客还试图进入Verizon和AT&T的窃听监控系统,显然是为了了解FBI和其它机构对北京在美国和国际上的间谍活动的了解程度。
调查人员发现,中共黑客能够长时间保持对监控系统的入侵而不被发现,例如,他们入侵了一家电信公司的网络,并在里面待了大约 6个月;他们在另一家电信公司的网络里待了大约18个月。
到2023年10月,在《华尔街日报》首次公开披露美国电信遭到黑客攻击事件几周后,上述两家公司的窃听系统内仍有中共黑客潜伏。美国官员相信这些黑客现在已经被清除了。
调查人员提到,在《华尔街日报》首次报导后,中共黑客随即改变了他们的入侵行为,这让定位和驱逐他们的工作变得更加复杂。
2023年秋天,Verizon公司领导和一些网络安全专家在德州召开闭门会议,以研究如何发现黑客入侵者以及如何驱逐他们。此后,该公司对其网络中的每个路由器进行了漏洞检查。
调查人员了解到,中共黑客有时会单纯潜伏,只是观察网络流量,有时会窃取网络流量,通过精心设计的路径在全球范围内绕一圈,然后再将流量数据输送到中国。这些中共黑客擅长找到一个立足点以观察网络流量,就像一个网络工程师在工作一样,然后他们也擅长掩盖他们的网络踪迹。
中共黑客的电信入侵重点是有区域性的,在华盛顿DC及其周边地区工作的个人的电话记录是他们的首要入侵目标。他们进入了超过 100万用户的通话记录,包括日期和时间戳记、来源IP地址和目标IP地址、电话号码以及独特的电话识别码。
一位熟悉调查情况的FBI官员说:“我们看到了大量的数据被截取。”
调查人员还在对电信黑客事件进行广泛调查,一些立法者已对驱逐中共黑客所需的时间太长感到不耐烦。
候任总统川普和他的新内阁即将上任,川普已经任命对华鹰派、国会议员迈克‧沃尔兹(Mike Waltz)担任他的白宫国家安全顾问,他还提名了新的情报总监图尔西‧加巴德(Tulsi Gabbard)和新的FBI局长卡什‧帕特尔(Kash Patel)。预计川普和他的这些高级阁员将会对美国情报与国安系统进行重大调整,届时再看川普新政府将会如何应对中共黑客。◇
(本文参考了《华尔街日报》的报导)
责任编辑:李琳#
