自网络黑客责任从人民解放军移交给国家安全部后,中国的策略发生了变化。 Alex Plavevski/EPA, via Shutterstock
中国活跃的高科技企业不常招聘说柬埔寨语的人,因此寻找具备这种语言技能的三则高薪职位招聘广告显得格外醒目。广告的发布者是位于中国热带岛屿省份海南的一家互联网安全初创企业,他们在寻找撰写研究报告的人。
根据美国执法部门的说法,这家初创企业并非看起来那么简单。根据5月的一份联邦起诉书,海南仙盾科技发展有限公司是中国神秘的国家安全部控制的幌子公司网络当中的一家。检方称,他们侵入美国、柬埔寨、沙特阿拉伯等国家的电脑,寻找敏感的政府数据,还有一些不那么明显的间谍行为,比如获取新泽西州一家公司的消防系统的详细资料。
这些指控似乎让人们看到了中国政府的黑客活动越来越活跃,以及他们在策略上的明显转变:中国头号间谍机构打破传统界限,从私营部门招募人才。
这个新的黑客群体让中国的国家网络间谍机器变得更强大、更复杂,而且对其日益增多的政府和私营部门目标而言,也变得更加危险、更加难以预测。这种新类型的黑客不仅攻击政府目标,也攻击私人企业,将传统的间谍活动与赤裸裸的欺诈和其他牟利犯罪混在一起,它们得到了北京的支持,但未必受北京的控制。
中国的新做法借鉴了俄罗斯和伊朗的策略,多年来,许多公众和商业目标为此备受困扰。根据美国司法部去年公布的一份起诉书,一群与国家安全部门有联系的中国黑客索要赎金,否则会公布一家公司的程序源代码。另一份起诉书称,来自中国西南部的另一群黑客将对香港民主活动人士的网络攻击与游戏网站的欺诈行为混为一谈。该组织的一名成员吹嘘称有官方保护,只要不对国内目标下手。
“这种做法的好处是可以覆盖更多目标,刺激竞争。不利之处是不好控制,”澳大利亚网络安全公司Internet 2.0的负责人罗伯特·波特(Robert Potter)说。“我见过他们做一些非常愚蠢的事情,比如在一次间谍行动中试图窃取7万美元。”
调查人员认为,这些组织应该对近些年发生的一些重大数据泄露事件负责,包括万豪连锁酒店五亿名客人个人信息和大约2000万美国政府雇员信息被窃取,以及微软电子邮件系统今年遭到的黑客袭击(世界上许多大公司和政府都在使用这个邮件系统)。
非营利性地缘政治智库西尔维拉多政策加速器(Silverado Policy Accelerator)的主席德米特里·阿尔佩罗维奇(Dmitri Alperovitch)表示,微软的这次入侵与中国以往那种纪律严明的策略不同。
“他们盯上了之前毫无兴趣的组织,并通过勒索软件和其他攻击来利用这些组织,”阿尔佩罗维奇说。
在一系列草率的攻击和一场军队重组后,中国最高领导人习近平将更多的网络黑客责任从人民解放军移交给国家安全部,此后中国的策略发生了变化。这个间谍机构和共产党调查机构的混合体使用了更复杂的黑客工具,比如被称为“零日”(zero days)的安全漏洞,来针对公司、活动人士和他国政府。
中国国家主席习近平对中国人民解放军黑客活动的曝光感到尴尬。
中国国家主席习近平对中国人民解放军黑客活动的曝光感到尴尬。 Ng Han Guan/Associated Press
虽然该部门表现出一种对中国共产党忠心耿耿的形象,但它的黑客活动可以像地方特许经营一样运作。专家们表示,这些团体通常会按照自己的计划行事,有时还会参与商业网络犯罪这类副业。
这其中的信息是:“我们付钱给你,让你朝九晚五为中国国家安全工作,”阿尔佩罗维奇说。“你用剩下的时间、工具和渠道做什么,那是你自己的事。”
去年公布的一份大陪审团起诉书指控,中国西南城市成都一所电气工程学院的两名前同学肆意进入外国计算机服务器窃取异见者信息,从一家澳大利亚国防承包商那里窃取工程图纸。起诉书说,另一方面,两人试图敲诈勒索,要求支付报酬,否则就将一家身份不明的公司的源代码放到网上。
在这种制度下,中国黑客变得越来越有攻击性。据马萨诸塞州萨默维尔市一家研究与国家有关行为者使用互联网的公司“记录未来”(Recorded Future)称,自去年以来,全球与中国政府相关的攻击较前四年增长了近两倍。该机构表示,目前这一数字为平均每三个月超过1000次。
“考虑到这样的规模,FBI抓到过他们几次?”撰写有关中国间谍活动文章的美国退休高级情报官员尼古拉斯·埃夫提米德斯(Nicholas Eftimiades)说。“你不可能有足够的人手来应对这种猛烈攻击。”
这样的规模导致黑客行动很难被阻止,但黑客们不见得总是能掩盖自己的踪迹。他们有时会在网上留下一些线索,包括特工穿着国家安全制服的结婚照,露出马脚的招聘广告,以及对自己功绩的吹嘘。
检方表示,创办海南仙盾的目的是招募年轻人才,并且作为一种掩护,让它可以推诿自己不知情。公司在中国大学的留言板上发布招聘广告,并赞助了一场网络安全竞赛。
根据5月的起诉书,从海南(一个伸入南海的岛屿)开展的行动有时反映了当地的优先事项,比如窃取加州一所大学的海洋研究成果,以及对邻近的东南亚国家政府发动黑客攻击。该公司招聘柬埔寨人的广告是在柬埔寨选举前三个月发布的。
虽然一些攻击对象有明确的间谍目标,但也有一些似乎不那么集中。检方表示,黑客试图从一家机构窃取埃博拉疫苗的数据,从另一家机构窃取有关自动驾驶汽车的机密
司法部在7月公布了一份起诉书,详细描述了一个中国黑客组织的攻击行为。 Stefani Reynolds for The New York Times
2020年1月,一个曾经揭露中国国家安全黑客记录的神秘博客找到了线索。早在中国情报官员出现在美国的起诉书上之前,这个名为“入侵真相”(Intrusion Truth)的博客就已经在华盛顿的网络安全圈子里闻名。
“入侵真相”的运营者们在招聘网站上搜索海南公司招聘“渗透测试工程师”的广告,这种工程师通过研究网络如何被入侵来保护网络。
来自海南仙盾的一则招聘广告格外引人注目。这则2018年发布在四川大学计算机科学招聘版块上的广告吹嘘说,仙盾公司“收到大量政府机密相关业务”。
这家总部位于海南省会海口的公司每月支付大约8000元至2万元的工资——这对中国刚从大学毕业的科技员工来说是稳定的中产阶级工资——奖金最高可达约10万元。仙盾的广告中列出了另一个在寻找网络安全和外语专家的公司电子邮件地址,这表明它们同在一个网络之中。
“入侵真相”的运营者在一封电子邮件中写道,中国黑客组织越来越多地“分享恶意软件和漏洞,并且会协调行动”。由于工作的敏感性,这些运营者没有透露自己的身份。
仙盾公司的注册地址是海南大学图书馆。其电话号码与一名曾在中国人民解放军服役的计算机科学教授的号码一致,后者经营着一家网站,付费雇佣对破解密码有新奇想法的学生。该教授还没有被起诉。
其他记录和电话号码使“入侵真相”博客的作者们找到了该公司经理之一丁晓阳的一个电子邮件地址,以及一个经常变换的帐号。
起诉书称,丁晓阳是一名国家安全官员,负责管理在海南仙盾工作的黑客。其中包括了博客上没有找到的细节,比如丁晓阳从国家安全部获得了该组织授予年轻领导人的奖项。
记者无法联系到丁晓阳和起诉书中提到的其他人。
前商务部出口执法办公室中国问题专家马修·布拉奇尔(Matthew Brazil)表示,目前中国国家安全机构的踪迹还是可以找到的,但它可能正在学习如何更好地隐藏自己。布拉奇尔曾与人合写过一份有关中国间谍活动的研究报告。
“中国各部门的能力参差不齐,”他说。“他们正在改善,五年或十年后,情况将有所不同。”