关岛遭黑客入侵,美国情报部门深感恐慌
2022年,当美国联邦特工开始频繁拜访梅尔文·奎克时,他意识到事情有些不对劲。“你能检查一下你的网络吗?”他们问奎克。此前六年,奎克一直在关岛电力局(GPA)负责网络安全工作。这家机构是关岛政府的自治机构。“我们可以看看你的网络吗?”特工们更加隐晦地问道。
查看网络,意味着分析通过路由器和交换机传输的大量数据流量,通常需要数月时间,以寻找可能表明存在违规行为的微小异常。奎克并不清楚特工们为何如此担忧,他很确定自己只有四名员工的团队无法胜任这项任务。“我没想到会处理国家安全威胁,”奎克在视察GPA的变电站时回忆道,那里只有简陋的铁丝网作为保护。“但现在我正在处理。”他深吸一口气,“是的。”
GPA是关岛唯一的电力公司。关岛是位于太平洋上的一个热带岛屿,美国于1898年首次控制了该岛。如今,该岛是美国的领土,也是美国最西端的领土,距离中国大陆的距离是美国本土的两倍多。关岛的经济以每年约60万游客为中心,吸引他们的是白色的沙滩、卡地亚和劳力士商店,以及可以体验“美国从这里开始”的口号。大多数游客来自韩国或日本,也有美国游客,尤其是那些在占关岛三分之一土地的美国军事基地工作的军人。酒店客人可能会注意到,身穿迷彩服的军人和穿着清凉、刚从水滑梯上下来、身上还滴着水的度假者一起排队买咖啡。
美国海军是GPA最大的客户,2023年消耗了其发电量的约20%。奎克在2022年开始接待的拜访是美国对令人不安的迹象做出的回应,这些迹象表明中国黑客已经渗透到该岛的大部分民用基础设施中。军方依赖这些相同的系统来运作其基地。美国情报界表示,黑客行动的目的可能是为了保持对这一具有重要军事意义的地点造成破坏的能力。尽管如此,军方仍将继续使用民用基础设施,即便该岛正在进行数十亿美元的扩建,部分原因是建造不惠及当地居民的平行系统可能会产生政治影响。
正如军事和政策专家所描述的那样,美中冲突最坏的情况通常包括中国入侵台湾,并试图瘫痪关岛不断增长的美国军事力量,以阻止美国的反应。这可能意味着导弹袭击——一些中国弹道导弹因其能够到达该岛而被戏称为“关岛杀手”。但美国在关岛的最高军事领导人表示,网络攻击更有可能发生。
美国官员在证词和简报中讲述了中国黑客如何建立起破坏全国供水系统、用污水淹没房屋、切断电话、电力、港口和机场的能力,这些行动可能造成大规模伤亡、扰乱军事行动,并可能使美国陷入“社会恐慌”。美国网络安全和基础设施安全局(CISA)局长在2024年1月告诉国会,其目标是“一切,到处,同时瘫痪”。
中国否认参与美国官员所描述的行动或其他战略性黑客行动。中国驻华盛顿大使馆发言人刘鹏宇在一份电子邮件声明中称,此类指责是“毫无事实根据地抹黑中国”,并补充说,北京“一贯反对并打击一切形式的网络攻击”。
现在的挑战落在了即将上任的政府身上。共和党在其纲领中承诺提高网络安全标准,并保护关键基础设施免受网络攻击,这一目标必须与他们传统上对监管的反感相协调。尽管特朗普在军事上是否承诺保卫台湾的问题上摇摆不定,但他对中国采取了对抗性姿态。持续的紧张关系预示着双方在网络领域将采取更激进的行动。
涉及关岛的黑客行动现在被广泛称为“伏特台风”,美国国家安全局官员表示,解除其威胁已成为当务之急。据一位听取过调查简报并因该主题的敏感性而要求匿名的人士称,美国已经在全国范围内发现了100多起与该行动有关的入侵事件。但没有哪个地方的警报比关岛更响亮。美国官员越来越担心,他们的第一道网络防御线落在GPA等机构和资源不足的私营公司身上,所有这些机构似乎都无力,甚至有时不愿意面对这一威胁。
长期以来,美国一直指责中国进行网络间谍活动,称他们窃取了从经济数据到军事机密,以及几乎所有美国公民的个人数据。12月下旬,美国财政部表示,他们是“重大网络安全事件”的受害者,他们将此归咎于中国政府支持的黑客。“盐台风”是另一个最近曝光的、被指责为中国的行动,据信该行动已经持续了多年,并在2024年总统竞选期间将目标对准了特朗普和副总统卡玛拉·哈里斯的竞选团队的手机,损害了九家美国电信运营商,并席卷了全球数十个国家。
由于“盐台风”主要关注数据,因此其目标是IT系统。相比之下,“伏特台风”的重点是OT(运营技术)系统,这些系统用于管理物理服务。据美国及其盟友称,其目标包括与港口、铁路、天然气管道、供水系统和卫星相关的互联网网络,目的是控制和破坏它们的运营。美国国家安全局前局长、退役四星上将基思·亚历山大表示,利用网络攻击来瘫痪非军事关键基础设施相当于对普通民众的蓄意攻击。
网络间谍活动通常在攻击者开始将大量数据移出网络时被发现。“伏特台风”则渗透到目标中,然后像一个真正的用户一样操作,除了潜伏之外几乎什么都不做,这种技术被称为“借地生存”。专家表示,其目标是获得造成大规模损害所需的访问权限,同时保持足够安静以避免被发现。只要攻击者这样做,就很难知道他们是否已经进入内部。在许多情况下,发现“伏特台风”存在的唯一方法是从大量常规使用数据中找到一些异常,例如在数百万次登录中,来自一个不寻常的时间或位置的单次登录。研究人员在2021年调查休斯顿港的一次网络攻击时发现了“伏特台风”的最初迹象。2022年1月,他们在关岛的一家电信公司发现了类似的活动。
黑客没有攻击计算机或智能手机,而是接管了小型企业为了保护其网络而青睐的诸如手提包大小的硬件防火墙之类的设备。据两位知情人士透露,那年夏天,研究人员在东京电信公司NTT的子公司Docomo Pacific发现了黑客的踪迹。由于事涉敏感信息,他们要求匿名。运营着全球光缆网络的Lumen Technologies的研究人员表示,该行动还针对关岛政府的网络Guam.gov。美国海岸警卫队后来在关岛的其他三个实体中发现了“伏特台风”。它拒绝透露受害者的名字,只表示他们都不是电信公司。这些违规行为是首次在此处被报道,Docomo Pacific被“伏特台风”入侵也是如此。
黑客们在掩盖踪迹方面非常勤奋。研究人员表示,他们删除了网络流量日志、安全程序,甚至是一些之前攻击者的恶意软件,这些恶意软件如果被发现可能会引起注意。为了隐藏自己,“伏特台风”背后的团队在关岛使用了一种它在其他攻击中没有部署的恶意软件,微软的研究人员认为这表明该岛是一个高度优先事项。在一次事件中,研究人员发现黑客在加密中留下了一串文本:“MAGA2024”。(他们不知道为什么。)
到2022年底,美国国防部证实,该岛上的一些美国联邦网络也遭到了入侵,包括旨在坚不可摧的敏感国防网络。一位听取了调查结果简报的前美国国防官员表示,他的第一反应是:“我的天啊!”由于此事属于非公开信息,他要求匿名。
在开始弄清楚如何清除黑客之前,“伏特台风”的受害者需要实施基本的网络卫生、进行广泛的网络检查,并幸运地找到入侵的微妙迹象。美国海岸警卫队前网络系统管理员乔纳森·查古拉夫表示,几乎不可能知道黑客是否已被完全清除。目前在关岛为美国海岸警卫队工作。政府范围内的努力——已经涉及到美国网络司令部、海岸警卫队、CISA、联邦调查局和国家安全局——可能需要数年时间。“这将是一场持续的战斗,”他说。
许多脆弱的基础设施是私人拥有的,这意味着像联邦调查局这样的联邦机构需要获得访问权限。不出所料,公司并不总是渴望让政府在他们的网络上窥探。在这种情况下,政府往往表示,由于国家安全或法律问题,他们甚至无法向他们充分解释这个问题,这无济于事。
在关岛,美国政府一直在研究替代它所依赖的小型行动的方案。但是,军方担心采取任何可能给人留下印象的事情,即它正在为自己建设更高质量的基础设施,而让当地居民得到剩余的东西。这样做可能会破坏与当地居民的微妙关系,当地居民中一些派别呼吁建立州地位和独立。
对于关岛总督卢尔·莱昂·格雷罗来说,感觉自己处于中国的十字准星之下会引起令人不安的历史联想。美国在美西战争后首次不战而夺取了该岛。它一直持有该岛到1941年,当时日本在轰炸珍珠港数小时后入侵了该岛。在随后的日军占领中,成千上万的当地人丧生,直到美国在1944年重新征服该岛。“我们遭受了战争的暴行,”莱昂·格雷罗说。当她今天与美国指挥官会面时,他们告诉她他们不会再次失去该岛,她补充说,美国军方正在“加速集结”。莱昂·格雷罗认为这种集结令人安心。但是,那些对美国军事存在更加敌视的人表示,正是美国基地本身使该岛成为目标。
华盛顿一直在调动资源,以提高该岛私营公司的水平。美国国家安全局最初要求亚马逊网络服务公司、Lumen Technologies、微软和Secureworks帮助他们调查美国各地的情况,并准备一份指导潜在受害者的咨询公告。联邦调查局在2023年2月之前加快了关岛的安全干预步伐,当时它向该岛派遣了一个快速反应网络团队。
2023年3月,关岛的Docomo Pacific遭遇了一次攻击,这突显了关岛在网络中断方面的脆弱性。该公司关闭了试图隔离入侵的服务器,导致整个岛屿的人们,包括美国军事人员及其家属的服务中断。“像这样的事情真的会让一切陷入混乱,尤其是在关岛,因为我们太小了,”关岛州参议员德韦恩·圣尼古拉斯说,他自2023年以来一直在监督国土安全和民防。“我们有点像在黑暗中运作。”
大约在同一时间,联邦政府发布了公告,旨在让新的受害者挺身而出,并提高政府对问题范围的了解。但是,该文件发布时,关岛正遭受实际的台风袭击,当地公用事业公司的人员在面临实际紧急情况时,对抽象的威胁不感兴趣。更糟糕的是,与风暴相关的停电不可逆转地清除了存储在临时系统中的数据,这些数据本可以帮助识别违规行为。
并非关岛的每个人都以同样的紧迫感做出反应。莱昂·格雷罗表示,她很难让当地的电信公司参与到关于“伏特台风”的讨论中。她说,他们的回应是:“是的,我们经历过一些事情,但已经处理好了。”
岛上的一些人甚至对威胁的存在持怀疑态度。关岛约40个政府机构(包括教育、军事事务和公共卫生部门)的首席技术官弗兰克·卢詹表示,他没有亲眼看到任何人受到损害的证据。他说:“我称之为‘伏特台风’的幻觉。”
不信任正在削弱应对措施。该岛的政府在2023年首次制定了网络安全计划,但在2024年4月举行的针对夏威夷和关岛的国家级网络演习中,出现了多个尚未解决的问题。据两位知情人士透露,7月份,白宫敦促国防部采取更多措施来加强关岛的网络防御。由于事涉敏感信息,他们要求匿名。
2024年初,参议院助手飞往关岛,参加关于国会如何提供帮助的会议。据两位要求匿名讨论私人谈话的与会者称,他们发现来自竞争对手电信公司的高管不愿在彼此面前讨论他们的数字弱点。他们都没有法律义务报告网络攻击。一位Docomo Pacific的代表抱怨说,美国政府似乎想监视一切。
据几位听取过相关安排简报的人士透露,联邦调查局、美国海岸警卫队和其他机构已安排在港口、能源网和其他地方的网络上安装传感器。在GPA,奎克和他的团队欢迎来自美国政府多个机构的帮助,这些机构的官员开始监控他们的网络。该公用事业公司仍然被专业偏执的联邦访客淹没,他们试图找出异常的流量。“来访的最大团队是20个人,他们实际上在楼下坐了两个星期,”奎克说。他说,GPA没有关于它是否被“伏特台风”入侵的明确信息。
联邦政府已提出为私人运营的网络监控服务买单。谷歌旗下的网络安全供应商Mandiant两次访问了GPA,讨论相关安排。该公用事业公司拒绝了他们。奎克表示,他担心谷歌会坐在他们的网络上。不过,它已经采取了一个重大步骤:由于担心依赖当地的电信公司将不可避免地使其容易受到攻击,GPA已经开始了一项重要任务,即铺设自己的光纤电缆网络,将其31个变电站连接到其总部。
NTT是Docomo Pacific的母公司,该公司拒绝讨论“伏特台风”,Docomo Pacific在会晤即将举行之前取消了对其新任首席执行官的采访,后来表示“有关部门”正在调查网络攻击。据彭博商业周刊查阅的一份NTT Docomo为在关岛出售其子公司而准备的2024年档案显示,该公司仍在从黑客攻击中恢复。该公司没有回复进一步的问题。
据一位知情人士称,美国网络司令部在关岛电信公司GTA Teleguam取得了更大的成功,该机构正在提供旨在加强防御措施的支持。此类安排并非易事:位于犹他州的Holliday Partners合伙人吴先生表示,该公司于2017年收购了GTA,他表示很难在与美国军方“非常友好”的关系与不希望听到政府可能访问其信息的客户之间取得平衡。
但吴先生表示,关岛的小公司根本没有资源与中国最优秀的黑客对抗。“我不想听起来像个末日预言家,”他说,“但这太容易了。”
分析大模型:gemma2
得分:-70
原因:
文章主要描述中国黑客对美国在关岛的军事和民用设施进行网络攻击,并暗示中国可能利用网络攻击作为潜在冲突中的手段。作者对中国的负面情绪体现在对中国网络攻击行为的担忧和谴责,以及对美国政府未能有效保护关键基础设施的批评。
原文地址:Hackers Terrify US Intelligence After Infiltrating Guam
新闻日期:2025-01-03
