中国人民解放军曾经的黑客行为,如今由一个承包商组成的顶级卫星网络实施。 Alex Plavevski/EPA, via Shutterstock

美国近十年前开始点名批评中国进行大量网上间谍活动,其中大部分是针对美国公司使用低级网络钓鱼电子邮件窃取知识产权。

周一,美国再次谴责中国发动网络攻击。但这些攻击非常具有侵略性,表明中国的网络攻击已经变得更加复杂和成熟,不再是十年前那个让美国官员感到困惑的数字对手。

拜登政府对网络攻击的控诉以及对数十名现任和前任美国官员的采访表明,中国在此期间重组了黑客行动。虽然它曾经对外国公司、智囊团和政府机构进行过相对简单的黑客攻击,但中国现在正在对世界各地的美国公司和利益集团进行秘密、分散的数字攻击。

据美国官员和政府谴责称,曾经的黑客攻击是由中国人民解放军部队通过措辞草率的鱼叉式钓鱼邮件进行的,而现在则由幌子公司和大学的承包商组成的精英卫星网络在中国安全部的指导下进行。

虽然网络钓鱼攻击仍然存在,但间谍活动已转入地下并采用复杂的技术。其中包括利用微软Exchange电子邮件服务和Pulse VPN安全设备等广泛使用的软件中的“零日”或未知安全漏洞,这些漏洞更难防御,并且可以让中国黑客潜伏更久。

“我们在过去两三年中看到的是中国的升级,”网络安全公司CrowdStrike的首席执行官乔治·库尔茨(George Kurtz)说。“与我们过去看到的破坏再抢夺的操作相比,现在他们的运作更像是专业的情报服务机构。”

长期以来,中国一直是美国最大的数字威胁之一。在2009年的机密文件《国家情报估计》(National Intelligence Estimate)中,中国和俄罗斯在美国的网络对手名单中位居前列,这份文件代表所有16个美国情报机构的共识。但中国被认为是更直接的威胁,因为它的工业贸易盗窃数量庞大。

但是现在,由于中国正在改造其黑客活动,这种威胁更加令人不安。此外,拜登政府已将网络攻击——包括勒索软件攻击——变成了与俄罗斯等超级大国的主要外交阵线,而美国与中国的关系在贸易和技术霸权等问题上也在持续恶化。

中国在黑客方面的突出地位在2010年对谷歌和安全公司RSA的攻击,以及在2013年对《纽约时报》的攻击中崭露头角。

这些和其他数千起违规行为促使奥巴马政府在2014年的一系列工业贸易盗窃谴责中指控中国人民解放军黑客。据《纽约数据》报道,中国人民解放军一个位于上海的单位,被称为61398单位,对数百起——一些人估计有数千起——美国公司的违规行为负有责任。



2015年,中国国家主席习近平访问会晤贝拉克·奥巴马总统。 Doug Mills/The New York Times

2015年,奥巴马官员威胁要以宣布制裁的方式迎接中国国家主席习近平对白宫的首次访问,此前中国对美国人事管理局进行了尤为激进的入侵。在那次攻击中,中国黑客窃取了被授予安全许可的美国人的敏感个人信息,包括超过2000万个指纹。

白宫官员很快达成了一项协议,中国将停止为其工业利益而对美国公司和利益集团进行黑客攻击。在奥巴马政府执政期间的18个月里,安全研究人员和情报官员观察到中国黑客行为显著减少。

唐纳德·J·特朗普总统上任后,与中国的贸易冲突和其它紧张关系加剧,黑客活动又开始了。到2018年,美国情报官员注意到一个变化:解放军的黑客消失了,取而代之的是国安部授意下工作的人员,该部门负责管理中国的情报、安全以及秘密警察。

情报官员和研究人员表示,为中国经济计划牟利的知识产权黑客行为并非来自解放军,而是来自一个由幌子公司和承包商组成的更为松散的网络,其中包括为中国一些领先科技公司工作的工程师。

目前尚不清楚中国如何与这些组织松散的黑客合作。一些网络安全专家推测,这些工程师拿现金为国家兼职,还有人认为,那些参与黑客网络的人别无选择,只能按照国家的要求去做。美国国家安全局(National Security Agency)在2013年的一份机密备忘录中表示:“与中国政府实体的确切联系尚不明确,但他们的活动表明,这可能是来自中国国安部的情报要求。”

周一,白宫的表态更加明确。在详细的起诉书中,美国指控中国国安部是今年针对微软Exchange邮件系统的侵略性攻击的幕后主使。

司法部还另外起诉了四名中国公民,指控他们配合黑客攻击,窃取航空、国防、生物制药等领域企业的商业秘密。

根据起诉书,这些中国人依靠海南仙盾这样的幌子公司活动,国安部设立这些公司是为了给中国情报机构合理的推诿。起诉书包括了一张被告人丁晓阳(音)的照片,他是海南仙盾的员工,在2018年因负责这家幌子公司的黑客行为受到了国安部的奖励。

美国还指责中国大学在其中扮演了关键角色,为幌子公司招募学生,并负责公司的关键业务,比如发工资。

起诉书也指出,中国“政府附属”的黑客进行了勒索软件攻击,勒索企业达数以百万计的美元。此前,对勒索软件攻击者的审查主要集中在俄罗斯、东欧和朝鲜。

周一,国务卿安东尼·J·布林肯(Antony J. Blinken)在声明中表示,中国国安部“扶植了一个涉及犯罪的合同黑客生态系统,这些黑客既执行政府支持的行动,也从事以自身经济利益为目的的网络犯罪活动。”

中国还打击了针对广泛存在的软硬件安全漏洞的研究,这可能有利于国家进行监视、反谍报和网络间谍活动。上周,中国宣布一项新规,要求中国安全研究人员在发现安全漏洞后的两日内报送政府,比如中国破坏微软邮件系统时依赖的“零日”漏洞。

这一政策是北京五年来积累自己“零日”漏洞活动的高潮。2016年,当局突然关闭了中国报告“零日”漏洞的最著名私人平台,并逮捕其创始人。两年后,中国警方宣布开始执行禁止“未经同意发布”漏洞的法律。同年,在国家的命令下,经常出现在西方大型黑客大会上的中国黑客不再现身。



网络安全公司CrowdStrike的首席执行官乔治·库尔茨说:“我们在过去两三年中看到的是中国的升级。” Mike Blake/Reuters

“如果他们继续保持这种访问级别,以他们的控制权,他们的情报界肯定会从中受益,”库尔茨在谈到中国时说。“这是一场网络军备竞赛。”

美国正式指控中国政府入侵微软邮件系统



负责网络和新兴技术事务的副国家安全顾问安·纽伯格正在领导拜登政府对微软黑客攻击的回应。 Pete Marovich for The New York Times

华盛顿——拜登政府周一正式指责中国政府侵入世界上许多大公司、政府和军事承包商使用的微软(Microsoft)电子邮件系统。与此同时,美国与包括所有北约成员国在内的一个广泛盟友团体一起谴责了北京在世界各地发动的网络攻击。

据白宫发布的一份声明,美国首次指控中国付钱给犯罪团伙,让其进行大规模黑客攻击,包括向公司勒索数以百万计美元的勒索软件攻击。今年3月,微软曾指出,与中国国家安全部有关的黑客利用了微软电子邮件系统的漏洞;美国周一上午的声明首次称,中国政府雇佣犯罪团伙侵入了世界各地的数万台计算机和网络,白宫表示,这种行为“让主要是私营部门的受害者付出了巨大的补救代价。”

国务卿安东尼·J·布林肯(Antony J. Blinken)周一在声明中说,中国的国家安全部“扶植了一个涉及犯罪的合同黑客生态系统,这些黑客既执行政府支持的行动,也从事以自身经济利益为目的的网络犯罪活动。”

“这些合同黑客让政府和企业为被盗的知识产权、支付赎金和减轻网络安全威胁工作付出了数十亿美元的代价,与此同时,中国的国家安全部一直为他们支付工资,”布林肯说。

自北约和欧盟的谴责不同寻常,因为这两个组织的大多数成员国都非常不愿意公开批评中国这个主要贸易伙伴。但就连德国也提了中国政府的行为,德国的公司也因微软Exchange系统被黑客攻击而受到严重打击,这种电子邮件系统由企业自行维护,而不是放在云端。

“我们呼吁包括中国在内的所有国家坚持自己的国际承诺和义务,在包括网络空间在内的国际体系中负责任地行事,”北约在声明中说。

尽管声明中有猛烈的抨击,但没有类似于白宫今年4月对俄罗斯施加的制裁措施,白宫当时指责俄罗斯发动了涉及范围广泛的“太阳风”(SolarWinds)攻击,让美国政府部门和100多家公司受到影响。(美国司法部的确已在上周五解封了今年5月的一份起诉书,指控四名中国居民在2011至2018年间侵入了数十家美国公司、大学和政府实体的计算机系统。据司法部说,这些黑客为了掩盖中国政府对他们行动的支持,成立了幌子公司。)

通过对俄罗斯实施制裁,并组织盟友对中国进行谴责,拜登政府与两个主要地缘政治对手的数字冷战比现代历史上任何时候都更深入。

尽管来自俄罗斯和中国的数字间谍活动、以及华盛顿阻止这些活动的努力都不是新鲜事,但拜登政府在点名这两个国家、以及组织相关的协调应对上表现了出人意料的积极强硬。

但到目前为止,大多数政府外的专家表示,美国尚未找到正确的防御和进攻行动组合,以形成有效的威慑。俄罗斯人和中国人也变得更加大胆。“太阳风”攻击是美国迄今发现的最复杂的攻击之一,是俄罗斯主要情报部门修改广泛使用的网络管理软件代码的努力,以便侵入逾1.8万家企业、联邦机构和智库。

中国的行动没那么复杂,但利用了一个微软当时尚未发现的漏洞,并用其进行间谍活动,削弱人们对企业使用的主要通信系统安全性的信心。政府高级官员说,拜登政府花了几个月的时间才建立起官员们所说的“高度信心”,认为黑客侵入微软电子邮件系统是在国家安全部的授意下进行的,而且得到了中国情报部门雇来的私人行动者的唆使。

中国上次在这种大规模黑客行动中被发现是2014年,当时它盗走了美国人事管理办公室(Office of Personnel Management)的2200多万份安全许可申请文件,让中国得以深入了解那些获准保守国家机密的美国人的生活。

拜登总统已承诺加强政府计算机系统的安全性,网络安全是他上个月在日内瓦与俄罗斯总统弗拉基米尔·V·普京(Vladimir V. Putin)举行峰会的一个重点。但拜登政府面临的问题是,如何应对来自中国的日益增长的威胁,尤其是在微软系统遭黑客攻击的事情被公开曝光之后。

高级政府官员周日与记者谈话时承认,公开谴责中国对防止未来的袭击只能起到有限的作用。

“任何单一行动都不能改变中国在网络空间的行为,”这位官员说。“也不可能靠一个国家的单独行动。”

但不对中国实施制裁的决定也很说明问题:制裁是许多盟国不会同意采取的步骤。

因此,拜登政府选择了召集足够多的盟友一起公开谴责中国,以最大限度地向北京施压,让其对网络攻击进行限制,这位官员说。

由美国、澳大利亚、英国、加拿大、欧盟、日本和新西兰联合发表的批评中国声明的内容异常广泛。这也是北约首次公开对北京的网络犯罪活动发表此类声明。

欧盟周一谴责了来自中国境内的“恶意网络活动”,但没有对中国政府的责任进行谴责。

“这种不负责任的有害行为给我们的政府机构和私营企业带来了安全风险和重大经济损失,并向我们的安全、经济和整个社会展示了相当大的溢出效应和系统性影响,”欧盟外交政策负责人何塞普·博雷尔·方特莱斯(Josep Borrell Fontelles)在一份声明中说。“这些活动可能与黑客组织有关,”该声明还说。

博雷尔呼吁中国当局不要允许“其领土被用于”此类活动,并呼吁中国“采取一切适当措施和合理可行的步骤来发现、调查和解决这个问题”。

美国国家安全局、联邦调查局,以及网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency)周一也发出警告说,中国的黑客行动对美国及其盟友构成“重大威胁”。中国的目标包括“政治、经济、军事和教育机构,以及关键基础设施”

警告称,受雇于中国政府的犯罪团伙的目的是窃取敏感数据、关键技术和知识产权。

联邦调查局在微软系统受黑客攻击一事上采取了不同寻常的步骤:除了对攻击进行调查外,它还获得了一项法庭命令,允许其进入未打补丁的公司系统,并从这些系统中删除中国黑客留下的、可能让黑客进行后续攻击的代码元素。这是联邦调查局在调查肇事者的同时首次采取补救行动