中美关系图片©网络照片
据华盛顿邮报今天警告说,中国网络军队正在入侵美国关键服务部门。美国官员称,夏威夷的一家公用事业公司、西海岸的一个港口和一条管道是去年的受害者之一。
华盛顿邮报说,美国官员和行业安全官员表示,中国军队正在增强破坏美国关键基础设施的能力,目标包括电力和水利设施以及通信和运输系统。这些专家表示,过去一年中,隶属于中国人民解放军的黑客已经侵入了大约两打关键实体的计算机系统。
他们表示,这些入侵是更广泛打击的一部分,目的是想办法在中美太平洋地区发生冲突时制造恐慌和混乱,或扰乱后勤。
知情人士告诉《华盛顿邮报》,受害者包括夏威夷的一家自来水公司、西海岸的一个主要港口以及至少一条石油和天然气管道。黑客还试图侵入德克萨斯州电网的运营商,该电网的运行独立于美国其他地区的电力系统。
由于此事敏感性而要求匿名的知情人士表示,包括电力公司在内的美国境外的几个实体也成为了黑客的受害者。
美国官员表示,这些入侵均未影响操作泵、活塞或任何关键功能的工业控制系统,也没有造成中断。但他们表示,对太平洋舰队所在地夏威夷以及至少一个港口和后勤中心的关注表明,如果冲突爆发,中共军方希望能够使美国飞越台湾向该地区运送部队和装备的努力变得复杂化。
这些先前未披露的细节有助于描绘一场被称为“伏特台风”的网络活动的画面,该活动大约一年前由美国政府首次发现,当时美国和中国正努力稳定两国关系,但现在这种关系比几十年来更加敌对。尽管中国战斗机在西太平洋对美国间谍机的近距离拦截数量激增,但中国军事指挥官在一年多的时间里拒绝与美国同行对话。美国总统拜登和中共国家主席习近平上个月才同意恢复这些沟通渠道。
据美国国土安全部网络安全和基础设施安全局(CISA)执行主任布兰登·威尔士(Brandon Wales)表示,“很明显,中国试图破坏关键基础设施的部分原因是为了在发生冲突时能够扰乱或摧毁关键基础设施,或者阻止美国向该地区投射力量。”布兰登·威尔士称,“与七到十年前中国的网络活动主要集中在政治和经济间谍活动相比,这是一个重大变化。”
美国国家安全局网络安全合作中心主任摩根·亚当斯基在一封电子邮件中证实,伏特台风的活动“似乎集中在印度-太平洋地区的目标,包括夏威夷”。
官员们表示,黑客通常会通过家庭或办公室路由器等无害设备发起攻击,然后再到达受害者手中,以此来掩盖自己的踪迹。一个关键目标是窃取员工凭证,他们可以冒充普通用户来返回。
但他们的一些进入方式尚未确定。
专门研究安全问题的智库詹姆斯敦基金会的中国安全研究研究员乔·麦克雷诺兹表示,黑客正在寻找一种方法进入并留在其中而不被发现。“你正试图在敌人的基础设施中建造隧道,以便稍后用来攻击。在那之前,你要等待,进行侦察,弄清楚你是否可以进入工业控制系统或更关键的公司或上游目标。有一天,如果你接到上头的命令,你就会从侦察转为攻击。”
向《华盛顿邮报》披露的信息是基于国家情报总监办公室二月份的年度威胁评估,该评估警告称,中国“几乎肯定有能力”发动网络攻击,破坏美国关键基础设施,包括石油和天然气管道以及铁路系统。评估称:“如果北京担心与美国即将发生重大冲突,它几乎肯定会考虑对美国本土关键基础设施和全球军事资产采取激进的网络行动。”
CISA执行助理主任埃里克·戈尔茨坦(Eric Goldstein)表示,受到“伏特台风”影响的一些受害者是各个行业的小型公司和组织,“不一定是那些与许多美国人所依赖的关键职能有直接相关联系的公司和组织”。他说,这可能是“机会主义目标即根据他们可以获得的机会”,一种在网络链中立足的方式,希望有一天能进入更大、更关键的客户。
看过一些文章的麦克雷诺兹表示,中国军官在内部文件中描述了他们如何在冲突中使用网络工具或“网络战”。他说,军事战略家谈到将空中和导弹袭击与指挥控制网络、关键基础设施、卫星网络和军事后勤系统的破坏同步进行。
他说,他们讨论了这些工具在两栖入侵中的应用。“他们非常清楚地认为这与台湾的情况有关,”他说,“尽管他们没有明确表示这就是我们接管台湾的方式。”
这远非中国首次尝试入侵关键基础设施。2012年,加拿大公司 Telvent(其软件远程操作北美主要天然气管道)通知客户,一名经验丰富的黑客突破了他们的防火墙并窃取了与工业控制系统相关的数据。网络安全公司 Mandiant追踪到此次泄露事件是由一个多战绩的解放军黑客组织61398发起的。该组织的五名成员于2014年因黑客攻击美国公司而被美国起诉。
当时,美国政府不确定中国的目的是收集情报还是预先做好破坏准备。如今,根据情报收集情况以及目标设施几乎没有政治或经济价值的情报这一事实,美国官员表示,很明显,渗透这些设施的唯一原因是能够在以后实施破坏性行动。
美国政府长期以来一直寻求改善与拥有美国大部分关键基础设施的私营部门以及能够检测网络威胁的科技公司的协调。CISA的 Goldstein表示,微软等公司会分享有关对手策略、系统受到损害的迹象以及缓解措施的匿名信息。他说,一般来说,这些公司不会看到黑客在客户网络中的存在,而是通过与黑客用来引导攻击的服务器的通信来检测它。
在某些情况下,受害者自己会向 CISA寻求帮助。戈尔茨坦说,在其他情况下,软件或通信供应商会向 CISA发出有关受害者的警报,政府必须寻求法院命令,迫使供应商透露受害者的身份。
5月份,微软表示,它发现“伏特台风” Volt Typhoon渗透到关岛和其他地方的关键基础设施,列出了多个部门。据知情人士透露,其中包括电信公司。分析人士表示,这些黑客攻击尤其令人担忧,因为关岛是距离有争议的台湾海峡最近的美国领土。
对水和能源系统等行业的入侵发生之际,拜登政府试图通过发布强制性网络安全规则来增强行业自卫能力。2021年夏天,政府推出了首个石油和天然气管道网络法规。今年三月,环境保护局宣布要求各州在公共供水系统审计中报告网络威胁。然而不久之后,三个州起诉政府,指控监管过度。
美国环保署撤回了该规定,并要求国会就一项规定采取行动。与此同时,该机构必须依靠各州自愿报告威胁。
在五月发布的联合咨询中,美国、英国、加拿大、澳大利亚和新西兰的五眼情报联盟就如何追捕入侵者提供了建议。挑战之一是黑客使用合法工具逃避防火墙和其他防御措施检测的策略,以便黑客的存在与正常网络活动融为一体。这种技术被称为“靠在地生存”。
“这些技术面临的两个最严峻的挑战是确定是否发生了妥协,然后一旦检测到,就确信攻击者已被驱逐,”美国国家安全局的网络安全协作中心与私营企业进行协调的亚当斯基说。
美国国家安全局和其他机构建议大规模重置密码,并更好地监控具有高网络权限的帐户。他们还敦促公司要求更安全的多因素身份验证形式,例如硬件令牌,而不是依赖发送到用户手机的短信,因为短信可能会被外国政府拦截。
尽管五月份的建议引起了越来越严格的审查,但黑客仍然能够寻找新的目标。
据 Recorded Future报道,今年8月,黑客试图将“伏特台风” Volt Typhoon使用的基础设施与德克萨斯州公用事业委员会和德克萨斯州电力可靠性委员会使用的互联网域或子域建立连接,该委员会负责运营该州的电网。尽管没有证据表明这些尝试成功渗透了该系统,但这一努力凸显了中共军方感兴趣的目标类型。
德克萨斯州的两家机构拒绝回答《华盛顿邮报》有关这些事件的问题。
安全可靠委员会表示,它与联邦机构和行业团体密切合作,拥有冗余系统和受控访问,作为“分层防御”的一部分。
在上个月拜登与习近平会面前的几周,美国国家安全局官员在行业会议上发表讲话,再次呼吁私营部门分享有关黑客企图的信息。美国国家安全局可以窥视对手的海外网络,而美国公司可以了解国内企业网络。美国官员表示,行业和政府可以共同更全面地了解攻击者的目标、策略和动机。
据知情人士透露,中国对关键基础设施进行网络入侵的话题是拜登与习近平会面时提出的拟议话题清单,但在四个小时的会议中并未出现。
