纽时|中国伊朗加剧对美国的网络攻击

美国的企业和政府机构一直是伊朗和中国黑客侵略性攻击的目标。安全专家认为,特朗普总统去年退出伊朗核协议的做法,以及他与中国的贸易冲突,让这些黑客更有了干劲。

伊朗最近对美国银行、企业和政府机构的网络攻击比以前报道过的更为广泛。据七名了解情况的人士透露,数十家公司和多家美国机构已遭到了攻击。这些人没有得到公开讨论这些事件的授权。这些被美国国家安全局和私人安全公司火眼(FireEye)的分析人士认为是伊朗所为的攻击,导致美国国土安全部在上个月政府停摆期间发布了紧急命令。

据九名情报官员、私人安全研究人员和熟悉有关攻击的律师说,与伊朗的攻击同时发生的,是中国为从美国军方承包商和技术公司窃取贸易和军事秘密发起的新一轮网络攻势。由于签署了保密协议,这些人都要求不具名。

在读给《纽约时报》记者听的情报简报摘要中,波音(Boeing)、通用电气航空(General Electric Aviation)和T-Mobile都在中国工业间谍活动最近的目标之列。这些公司都拒绝讨论它们受到的威胁,目前尚不清楚黑客是否在攻击中得逞。

四年前,在美国总统巴拉克·奥巴马(Barack Obama)和中国国家主席习近平达成了一项停止以窃取商业秘密为目的的黑客行为的里程碑式协议之后,中国的网络间谍活动降温。但情报官员和私人安全研究人员说,在美国与中国的贸易关系持续紧张的情况下,2015年的这项协议似乎已被非正式地取消了。中国的黑客活动已经恢复到了以前的水平,而且他们现在更加隐秘和熟练。

“网络是对手能够用有效且恶劣的方式攻击、报复我们,但远远达不到武装攻击或战争法门槛的一种方式,”曾在美国国家情报总监手下担任美国反间谍负责人的乔尔·布伦纳(Joel Brenner) 说。联邦机构和私营企业又回到了它们五年前所处的境地:既要与来自中国和伊朗的越来越老练、附属于政府的黑客作斗争,这些黑客的目的是窃取贸易和军事秘密、制造混乱,同时还要应对来自俄罗斯的无休止的企图。而且,黑客们似乎在蛰伏期大大提高了他们的技能。

人们仍认为俄罗斯是美国最主要的黑客对手。除了在美国大选期间进行大范围干预、散布虚假信息外,有人认为俄罗斯黑客还对核电站、电网和其他目标发起过攻击。来自中国和伊朗的威胁从未完全停止过,但在2015年签署了核协议后,伊朗黑客的活跃程度大大降低。情报官员得出结论认为,在大约18个月的时间里,中国政府停止了其长达10年的窃取商业机密的网上努力。

但安全研究人员和从事数据保护的律师说,中国黑客已恢复了出于商业动机的攻击。研究人员说,黑客的首要任务是为北京的五年经济计划作后盾,该计划旨在让中国成为人工智能和其他尖端技术的领军力量。“最近的一些情报收集出于军事目的,或为某种未来的网络冲突做准备,但很多最近的盗窃是受五年计划要求和其他科技战略的驱使,”亚当·谢加尔(Adam Segal)说,他是对外关系委员会的计算机网络项目主任。“他们一直有再次行动的打算。”

中国驻华盛顿大使馆的官员没有回复记者的置评请求。

谢加尔和其他中国方面的安全专家说,曾经由中国人民解放军的黑客发起的攻击,现在由中国国家安全部来做。这些黑客在隐藏他们的踪迹上做得更好了。他们不是直接攻击目标,而是通过侵入攻击目标供应商的网络,用某种旁门打入。他们避开通常被认为是来自中国的恶意软件,还靠加密网络通信、删除服务器日志及其他把自己的痕迹变得模糊不清的战术。

“中国的黑客行动现在的指印很不一样。这些队伍对不留痕迹很注意,他们不想被逮住,”曾任美国国家安全局东亚及太平洋网络威胁部门负责人的普丽西拉·森内(Priscilla Moriuchi)说。她那时的职责包括确认中国政府是否遵守了2015年协议的条款。
很难得到有关工业间谍攻击的具体数据,部分原因是这些攻击主要是为了窃取战略性商业秘密,而不是客户和员工的个人信息,如果后者失盗,公司必须告知公众。只有空客(Airbus)这一家公司在最近几周里承认,中国黑客曾侵入其数据库。

中国国家安全部发起的许多攻击针对的都是一些战略目标,比如接入数十万(如果不是上百万的话)企业和政府网络的互联网服务提供商。森内上周发布了一份有关中国国安部在长达一年的时间里,攻击西欧和美国的网络服务提供商及其客户的秘密行动的报告。森内现在是网络安全公司“记录未来”(Recorded Future)应对威胁部门的负责人。

唯一一家公开面对中国国安部的攻击目标是Visma,这家挪威互联网服务提供商拥有85万个客户。攻击Visma的目的是获得其客户的大量知识产权、战略计划和电子邮件,其中一个客户是为汽车、生物医学、制药和技术行业的当事人处理知识产权事务的美国律师事务所。

对Visma的攻击比以前的攻击更难追踪,以前的攻击通常以所谓的鱼叉式钓鱼电子邮件开始,目的是窃取个人证书。这次的攻击始于窃来的第三方软件服务Citrix的证书。攻击者没有使用容易被追踪到中国的恶意软件,而是使用了所谓的“暗网”(Dark Web)上的可能来自任何地方的恶意软件。他们还使用了在线存储服务Dropbox来转移被盗的电子邮件和文件。

美国联邦机构也在努力阻止新一轮的伊朗间谍活动。

在特朗普政府退出核协议之后,国土安全部部长克尔斯蒂恩·尼尔森(Kirstjen Nielsen)曾在国会作证说,国土安全部对伊朗诉诸黑客攻击的“可能性有预期”。安全公司火眼旗下一家机构的负责人斯图尔特·戴维斯(Stuart Davis)认为,最近的一波网络攻击是伊朗黑客所为。然而,上个月以六家联邦机构为目标的伊朗黑客攻击仍让国土安全部措手不及。安全研究人员说,这些利用了互联网主干上潜在弱点的攻击仍在继续,其破坏性和涉及范围比机构官员承认的要大。

伊朗黑客的最近一轮攻击是去年从波斯湾国家的目标开始的。火眼的研究人员说,那以后,他们将目标扩大到了80个,其中包括12个欧洲国家和美国的互联网服务提供商、电信公司和政府机构。目前这轮黑客攻击比伊朗以前的攻击更难被发觉。火眼的研究人员说,伊朗黑客没有直接攻击受害者,而是一直在攻击互联网的核心路由系统,拦截所谓域名注册商之间的通信流量。他们一旦截获了攻击目标的客户的网站流量,就会使用窃来的登录凭证进入受害者的电子邮件系统。(域名注册商掌握着成百上千家企业网站的钥匙。)

“他们拿走了整邮箱的数据,”火眼网络间谍分析部门的高级经理本杰明·里德(Benjamin Read)说。他表示,伊朗黑客的目标包括警察机关、情报机构和外交部,这表明它是一场典型的、政府支持的间谍活动,而不是带有牟利动机的犯罪活动。

伊朗黑客攻击美国已有很长的历史了,五年前或更早以前的攻击事件现在才刚刚开始被公诸于众。

周三,美国司法部宣布对前空军情报专家莫妮卡·维特(Monica Witt)提起公诉,罪名是帮助伊朗进行网络间谍活动。伊朗伊斯兰革命卫队的四名成员也被指控犯有针对美国情报机构成员的“计算机入侵和严重身份盗窃罪”。

美国财政部同在上周表示,将对新地平线组织(New Horizon Organization)和Net Peygard Samavat公司,以及与这两家伊朗公司有关联的几名人士实施制裁。美国财政部官员说,新地平线通过开年度会议,让伊朗可以从外国与会者那里招募和收集情报。维特的起诉书称,她参加了其中一个会议。美国财政部官员说,Net Peygard用她提供的信息,在2014年开始了一项跟踪美国政府和军事人员在线活动的行动。

伊朗驻联合国代表团的代表没有回应记者的置评请求。伊朗最近的黑客攻击使美国官员紧张。但是,在上个月发布了有关这些攻击的紧急命令后,美国国土安全部的网络安全和基础设施安全局基本上没太把它们当回事儿。该网络安全部门的一名官员说,大家认为没有信息被盗,那些攻击对运作没有“实质性影响”。但火眼公司的里德及其他人表示,伊朗的数字间谍活动有明显升级。
“如果你对伊朗人说,你将退出协议,并要尽一切可能去破坏他们的政府,”前反情报官员布伦纳说,“如果他们对我们的政府网络发起攻击,你不会感到意外。”