**中国网络行动愈演愈烈,美国目标遭受更猛烈攻击**
华盛顿邮报报道,尽管美国政府最近发布多项起诉,指控中国对美国机构、记者和基础设施目标进行广泛的网络间谍活动,但多位现任和前任美国官员在采访中表示,中国黑客正在攻击范围更广的目标,并且在被发现后更难清除。
安全公司 CrowdStrike 检测到的疑似中国政府背景的黑客攻击事件,从 2023 年到去年增加了一倍以上,超过 330 起,并且在新政府上任后继续攀升。官员们表示,每次新总统上任时都会出现间谍活动的高峰期,网络安全和基础设施安全局 (CISA) 的重大人员削减也扰乱了一些应对协调工作。
安全公司 SentinelOne 的中国问题专家 Dakota Cary 表示:“美国绝对面临着有史以来最严重的中国黑客攻击。我们正处于中国黑客的黄金时代。”
官员和外部研究人员告诉《华盛顿邮报》,尽管各种中国黑客活动似乎由不同的政府机构领导,并且有不同的目标,但它们都受益于新技术以及北京方面推出的一种限制较少的网络攻击体系。
**“雇佣黑客”模式浮出水面**
美国官员表示,中国情报、军事和安全机构过去会选择目标,并指派自己的员工进行入侵。但中国政府决定采取更积极的方式,允许私营企业自行进行网络攻击和黑客活动。
这些公司正在招募顶尖黑客,他们会发现美国广泛使用的软件中以前未知的“零日”漏洞。然后,这些公司会寻找易受攻击的程序安装在哪里,一次性入侵大量程序,然后将访问权限出售给多个中国政府客户和其他安全公司。
一位不愿透露姓名的 FBI 官员表示,这种“雇佣黑客”模式导致成百上千的美国受害者,而不仅仅是少数,使得阻止攻击和确定哪些是中国的主要目标以及哪些是意外被黑变得困难。
这位官员表示:“他们会找到一个零日漏洞,扫描所有易受攻击的目标,然后尝试促成访问——现在我们在规模上遇到了一个更大的问题。这种激励结构的结果是,黑客攻击的数量大大增加。”
**美国的反制措施**
上周公布的一份起诉书指控一名在意大利被捕的中国男子,他涉嫌入侵一家名为上海抱朴网络科技有限公司的公司,检察官称该公司是“中国许多为中国政府进行黑客活动的‘使能’公司之一”。
几位前官员表示,尽管过去美国通过起诉、公开谴责和制裁等手段对中国起到了震慑作用,但现在似乎不再是这样了。
WestExec Advisors 的负责人、拜登政府时期国家情报总监办公室网络威胁分析负责人 Laura Galante 表示:“网络空间是中国和习近平的信心得到充分展示的领域。在这个领域,中国愿意接受与美国之间的大量政治风险。”
中国已经掌握了在受感染的美国设备网络中不被发现地移动的能力,因此与目标的最终连接看起来像是普通的国内连接。这使得它可以轻松绕过阻止海外链接的技术,并且不属于美国国家安全局 (NSA) 的管辖范围,因为法律规定 NSA 必须避免审查大多数国内传输。
**攻击目标的变化**
FBI 官员表示,北京方面越来越关注入侵软件和安全供应商,因为这些供应商可以一次性访问许多客户。一旦获得访问权限,黑客通常会添加看起来合法的新的电子邮件和协作帐户。
CISA 发言人 Marci McCarthy 表示:“网络空间仍然是恶意国家行为者和附属行为者的一个关键前线,包括那些与中华人民共和国有关联的行为者,他们试图破坏美国的关键基础设施。CISA 已经观察到一种持续且不断演变威胁模式,这突显了在所有关键基础设施部门保持高度警惕的重要性。”
McCarthy 反驳了有关防御协调中断的担忧,称“我们将继续与跨部门的合作伙伴以及私营部门密切合作,以确保采取统一的、全国性的方法来保护我们的基础设施免受快速演变的网络威胁。”
Crowell & Moring 律师事务所律师 Matthew F. Ferraro 表示:“与几年前相比,中国黑客的规模更大、水平更高、技术更先进。过去,他们会从上海的网络发起攻击,按照中国的时间工作,你可以看到他们的踪迹。但现在情况已经不是这样了。他们无处不在。”Ferraro 曾担任拜登政府时期国土安全部长的资深顾问。
**泄露文件揭示内幕**
去年,与中国军方、国家部委和地方警察合作的安全承包商 iSoon 泄露的文件曝光了中国加强黑客战略的情况。
这些文件描述了在 20 个国家/地区的合同和目标,其中包括印度移民数据、韩国的通话记录以及台湾道路的详细信息。其中还详细说明了一些服务的价格,例如承诺远程访问 iPhone 的价格为 25,000 美元,与政府客户的付款纠纷以及员工对长时间工作的不满。
今年 3 月公布的一份美国联邦起诉书中,点名了 iSoon 的八名员工和两名国家安全部官员,称该公司是“中国政府‘雇佣黑客’生态系统中的一个关键参与者”。iSoon 的代表无法联系置评。他们之前也未对这些指控作出回应。
安全公司 Qualys 的分析师 Ken Dunham 表示,除了政府与中国私营安全部门加强合作外,偶尔还会与犯罪团伙合作。美国和私营领域的专家此前曾报告称,中国政府团队入侵的美国公司中,公司文件被勒索软件加密,需要支付赎金才能解锁。美国安全公司 SentinelOne 和 Recorded Future 也报告称,中国团体在印度和巴西使用了勒索软件,目的是为政府制造合理的否认。
Dunham 表示:“中国喜欢制造模糊的黑客归属界限。”
中国大使馆发言人刘鹏宇称这些指控“毫无根据且不合理……事实上,美国长期以来对中国进行了长期、系统和大规模的网络攻击,中国已多次对此表示关切和反对。”
他提到了中国政府支持的一份 3 月份的报告,该报告声称美国已经渗透到中国的蜂窝网络、SIM 卡和设备。虽然美国官员拒绝就具体活动发表评论,但他们此前承认,他们曾试图渗透到中国网络以获取情报。
**三大黑客组织浮出水面**
中国最大的间谍活动正在以不同的方式演变。
去年 8 月,《华盛顿邮报》报道称,中国黑客已经渗透到美国主要的电信运营商,这是一项非常成功的间谍活动,使他们能够拦截高级政治家的通信。
据现任和前任官员称,这种渗透仍未完全得到控制。
美国国务院和财政部将此次行动的幕后黑手与中国国家安全部联系起来,微软将其命名为 Salt Typhoon。John Carlin 表示,Salt Typhoon 最近也出现在欧洲的核心通信基础设施中,他曾是司法部的高级国家安全官员,现在代表 Salt Typhoon 的一些美国受害者。
Salt Typhoon 还被指责入侵卫星通信提供商 Viasat。6 月 19 日,加拿大当局警告称,Salt Typhoon 自 2 月以来一直在利用 Cisco 路由器中的一个已知漏洞来入侵那里的通信运营商。
与美国一样,加拿大官员表示,最终目标是个人用户,他们的通话和短信可能会被拦截。他们还呼应了美国的警告,即通过建立对云服务提供商和其他与受感染的通信公司合作的机构的持久访问权限,Salt Typhoon 可能会扩大其覆盖范围,并在被清除后重新感染目标。
NBC 新闻首次报道的一份 6 月份国土安全部备忘录警告称,Salt Typhoon 还渗透了多个州机构,包括一个州的国民警卫队。DHS 表示,黑客窃取了管理员凭据和系统规范,这些凭据和规范可以帮助他们入侵相关实体,包括那些提供网络防御的实体。
美国官员怀疑由中国人民解放军运营的另一个黑客组织 Volt Typhoon 继续通过渗透不具有间谍价值的电力和供水设施来惊扰国家安全官员。美国情报部门领导人和国会议员已经得出结论,他们的目的是为在台湾发生直接冲突时制造混乱做好准备。联邦调查局和盟友发现了一个被入侵机器的秘密网络,该组织过去常常用来到达其目标,并在去年破坏了该网络。但官员和研究人员表示,Volt Typhoon 已经创建了一个新的网络,并且已经远远超出了他们最初发现的太平洋港口。
一位研究人员在 6 月份发现,中国学者发表的许多同行评审研究报告都从潜在攻击者的角度仔细分析了美国的电网,模拟了有针对性的故障,并“模拟了如何触发连锁停电以摧毁电网”。
不太为人所知的是第三个组织 Silk Typhoon 的活动,微软称其与国家安全部也有关联。官员和研究人员表示,该组织的技术是世界上最难被发现的技术之一。
它最初以窃取商业机密供中国公司使用而闻名,并且它继续以西方和亚洲的工业为目标,研究人员说。
但它也在热衷于追逐战略和外交机密,它在 2021 年通过大规模利用微软 Exchange 电子邮件程序中的一个漏洞来寻求这些机密。
官员们说,过去的受害者包括多个美国政府机构,最近公布的 2023 年对被指控的 Silk Typhoon 参与者尹克成和另一名男子的起诉书称,他们曾入侵一家美国国防承包商、一家智库和一家通信服务提供商。
Silk Typhoon 一直在寻找未修补或配置错误的软件,并在难以监控的路由器和安全设备中使用零日漏洞。
前国家安全检察官 Carlin 现在是 Paul, Weiss, Rifkind, Wharton & Garrison 律师事务所的合伙人,他说:“根据我们所看到的情况,我们从第三方运营商那里听到的情况以及与执法部门的对话,他们的节奏似乎加快了。”
跟踪其方法的研究人员称,自 12 月以来,Silk Typhoon 的一次行动已经抓获了大约 100 名已知受害者。据一位接近调查的人士称,其中包括西班牙和芬兰的政府部门,以及据台湾网络安全公司 TeamT5 的分析师 Che Chang 称,包括《华盛顿邮报》在内的日本、韩国和美国的媒体公司。
Chang 说,他的公司获得了该组织使用的恶意软件的副本,并扫描互联网以寻找其他感染。4 月和 5 月下旬,《华盛顿邮报》的一台机器都做出了回应,这表明它至少感染了一个月。据《华尔街日报》早些时候报道,《华盛顿邮报》的黑客获得了几名记者关于中国和其他主题的电子邮件。
《华盛顿邮报》发言人拒绝回应有关此事件的问题。
发现漏洞是艰巨的,但这只是战斗的一半。谷歌的 Mandiant Consulting 部门表示,在应对 2024 年的安全事件时,Silk Typhoon 是它最常遇到的间谍活动者。谷歌的 Mandiant Consulting 部门首席技术官 Charles Carmakal 说,它擅长在公司网络中移动,擦除可以显示其从一台机器移动到另一台机器的日志,并找到新的隐藏地点。“很少有人真正了解他们有多聪明,以及他们如何很好地隐藏重新进入的后门,”他说。
FBI 官员说,一旦被驱逐,Silk Typhoon 有时会试图“几乎立即”重新进入。
台北的 Katrina Northrop 为本报告做出了贡献。
分析大模型:gemma2
得分:-80
原因:
文章主要描述了中国网络黑客对美国机构和基础设施的攻击行为,并指出中国政府支持此类活动,对中国的负面描述较多,因此负面情绪较高。
原文地址:China’s cyber sector amplifies Beijing’s hacking of U.S. targets
新闻日期:2025-07-16
