拜登总统的国家安全顾问杰克·沙利文于上月。他在周四表示,白宫正在“密切关注”有关黑客入侵微软时所利用的漏洞“可能对美国智库和国防工业基地实体构成损害”的报道。 STEFANI REYNOLDS FOR THE NEW YORK TIMES

华盛顿——在计划就俄罗斯对美国政府机构和公司进行大规模黑客攻击展开报复之时,拜登政府又面临新的网络攻击,这引发了一个问题:要不要反击另一个主要对手——中国。

综合看来,这些反应将开始塑造拜登总统的新政府对不断升级的网络冲突的反应策略,以及他是否能找到办法,对那些经常利用政府和企业防御系统漏洞进行间谍活动、窃取信息,并可能破坏国家基础设施重要组成部分的对手施加更严厉的惩罚。

官员们表示,首个重大行动预计将在未来三周内展开,对俄罗斯网络进行一系列隐蔽的反击,目的是让弗拉基米尔·V·普京(Vladimir V. Putin)总统及其情报部门和军队看到,但不展示给更广泛的世界。

官员们表示,这些打击将会结合一些经济制裁——尽管真正有效的制裁已经所剩无几。在俄罗斯黑客攻击事件发生后,拜登的一项行政命令要求加紧巩固联邦政府网络,该攻击事件几个月来一直未被察觉,直到被一家私人网络安全公司发现。

在小企业、地方政府以及一些主要军事承包商使用的微软(Microsoft)电子邮件系统遭到严重入侵一事近日曝光后,这个问题在白宫、五角大楼和情报机构显得更加紧迫。

微软确认入侵者为一家得到政府支持的中国团队,并迅速采取行动发布补丁,让其软件用户关闭该漏洞。

但这引发了系统修补者与大批新的攻击者之间的竞赛——据微软称,其中包括七个新出现的中国攻击团体——这些攻击者试图趁系统还未修复时利用漏洞。

美国政府尚未正式公布谁应对这次黑客袭击负责的认定,但在白宫以及微软位于华盛顿州雷德蒙德的总部,人们担心间谍活动和盗窃可能只是更具破坏性活动的前奏,比如更改或销毁数据。

白宫在国家安全委员会(National Security Council)周日的一份声明中强调了局势的严重性。

“白宫正在采取一系列政府应对措施,评估和解决微软入侵事件的影响,”声明称。该机构表示,应对措施由前国家安全局(National Security Agency)高级官员安·纽伯格(Anne Neuberger)领导,她是一个新设职位的首位任职者——负责网络和新兴技术的副国家安全顾问。

声明称,国家安全官员整个周末都在努力解决黑客攻击问题,“这是一个仍在活跃的威胁,我们敦促网络运营商非常认真地对待它。”

拜登的国家安全顾问杰克·沙利文(Jake Sullivan)周四在Twitter上表示,白宫正在“密切关注”有关微软Exchange的漏洞“可能对美国智库和国防工业基地实体构成损害”的报道。

在发现这些攻击的同时,沙利文和纽伯格领导的拜登国家安全团队正在将阻止网络攻击列为首要任务,不管攻击目的是盗窃、修改数据还是完全关闭网络。总统曾承诺不会对俄罗斯的攻击“置之不理”,对于他来说,政府未来几周的反应将是对他的考验,看他是否有能力,在往往看不见但越来越重大的大国网络空间战斗中维护美国的实力。

从新政府成立的第一天起,沙利文就一直在整顿白宫力量,以制定这样的应对措施。1月20日发布的这道命令要求军方在战区以外进行无人机袭击前请示白宫,同时单列了一段就可能导致冲突升级的重大网络行动做出的指示。

然而,该命令维持了一份仍然保密的文件的效力,该文件由唐纳德·J·特朗普(Donald J. Trump)总统在2018年8月签署,赋予美国网络司令部(United States Cyber Command)比奥巴马政府时期更大的权力,可以在网络空间里进行日常的、短期的小规模战斗,通常不需要明确的总统授权。

据了解备忘录内容的官员透露,根据新命令,网络司令部将必须把规模和范围较大的行动提交给白宫,并允许国家安全委员会对这些行动进行审查或调整。即将对俄罗斯采取的行动,以及任何可能对中国做出的回应,都可能属于这一类别。

美国官员仍在努力了解中国攻击的范围和造成的损害,但自此事披露以来,他们每一天都会发现攻击的规模比之前想象的更大,潜在危害也更大。

“这是一次疯狂的大规模黑客攻击,”网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency)前局长克里斯托弗·C·克雷布斯(Christopher C. Krebs)周五在Twitter上写道。



微软认为是中国发起了黑客攻击,构成了与去年底俄罗斯人的“太阳风”黑客袭击相同的挑战。 SWAYNE B. HALL/ASSOCIATED PRESS

初步估计约有3万个系统受到影响,其中大部分是使用微软软件并在内部运行电子邮件系统的企业或政府机构所运营的系统。在微软云端运行的电子邮件和其他系统没有受到影响。

但入侵的范围和受害者的身份仍不清楚。中国人部署的范围虽然很广,但他们可能只是想从他们最感兴趣的一小群目标中获取信息。

但毫无疑问,此次袭击的规模让美国官员考虑是否也要对中国进行报复。这意味着,他们要与两个最大的持核对手开始一场可能会升级的冲突。

最近几天,越来越明显的一点是,被微软归咎于中国的黑客攻击与俄罗斯的“太阳风”(SolarWinds)攻击构成了许多相同的挑战,尽管攻击目标和方法有明显不同。

和俄罗斯人一样,中国攻击者也从他们在美国以假名租用的计算机服务器(本质上是云服务)发起对微软的攻击。这两个国家都知道,美国法律禁止情报机构查看位于美国的系统,他们正在利用这一法律限制。

“中国行为者显然花了时间去研究法律部门,并认识到,如果他们可以在美国境内开展活动,就能摆脱政府的一些最优秀的威胁追踪者,”负责调查的微软高管汤姆·伯特(Tom Burt)周五表示。

其结果是,无论是“太阳风”事件,还是最近的中国黑客攻击,美国情报机构似乎都忽略了事件发生的迹象,直到一家私营公司看到后向当局发出了警报。

白宫目前的讨论集中在应对方式上。在拜登担任副总统期间,沙利文曾担任拜登的国家安全顾问,当时奥巴马政府也曾努力应对一系列攻击。

其中包括中国在2014年从人事管理办公室窃取2250万份保密文件,以及俄罗斯对2016年总统大选发起的攻击。

在过去四年中,沙利文通过书面和口头形式多次明确表示,他认为仅靠传统的制裁,不足以迫使俄罗斯或者中国这样的大国开始就网络空间的新规则展开谈判。

但是政府官员往往担心,过于强烈的回应可能会导致事态升级。

来自俄罗斯和中国的攻击尤其令人担忧,两国显然都在美国的各系统里植入了“后门”,可能被用于更具破坏性的目的。

美国官员公开表示,目前的证据表明,俄罗斯“太阳风”袭击仅仅是为了窃取数据。但几位不愿公开身份的高级官员表示,他们相信这次行动的规模、范围和开支表明,俄国人的动机可能不止于此。

“让我震惊的是有多少攻击对我们系统的信誉构成了损害,”伯特说,“就像有人试图让这个国家不信任投票基础设施一样,而那是我们民主制度的核心组成部分。”

2016年,俄罗斯主要通过猜测或获取密码,进入了民主党全国委员会和州选民登记系统。但他们在“太阳风”黑客攻击中使用了一种更为复杂的方法,将代码插入该公司的软件更新中,这让他们得以深入到大约1.8万个使用该网络管理软件的系统中。一旦进入后,俄罗斯人就有了高级别的系统访问权限,无需密码。

同样,四年前,中国政府的黑客活动绝大多数是通过电子邮件进行网络钓鱼。但在过去几年里,中国军方的黑客部门整合为一支新的战略支援部队,类似于五角大楼的网络司令部。一些最重要的黑客行动由更为隐秘的国家安全部运作,作为中国主要的情报部门,该机构维护着一个由承包商组成的卫星网络。

北京还开始囤积所谓的“零日”(zero-days),即软件供应商不知道的、尚无补丁的代码缺陷。

2019年8月,安全研究人员第一次见识了这些未公开的零日漏洞是如何被利用的:谷歌零日计划(Project Zero)和Volexity(发现微软攻击的也是这家位于弗吉尼亚州雷斯顿的公司)的研究人员发现,中国黑客利用一个软件漏洞,可以监视维吾尔族网站的访问者。维吾尔族是一个遭受迫害的少数民族,国际社会已对迫害予以谴责。

在该行动被发现之前的两年时间里,访问这些网站的人都在不知情的情况下,将中国的植入代码下载到了自己的智能手机上,这使得北京方面能够实时监控他们的通讯。

中国对微软服务器的攻击,利用的是电子邮件软件中的四个零日漏洞。安全专家在周五估计,有多达3万个组织受到了黑客攻击的影响,安全问题方面的作者布莱恩·克雷布斯(Brian Krebs)首先报道了这个细节。但有证据表明,实际的数字可能会高得多。