中国政府支持的黑客行动方式发生改变

过去三年,中国政府支持的黑客的行动方式发生了剧烈改变,用有选择的攻击取代了此前漫无目的的行动,显示出北京将监控国家推向境外的新决心。安全研究人员和情报官员表示,中国政府为这一变化投入了大量资源,属于习近平主席在2016年发起的人民解放军重组的一部分。自那以后,中国的黑客们建立了一个新的技术武器库,比如对iPhone和安卓(Android)软件进行精密的黑客攻击,不再局限于电子邮件攻击和其他较基础的手段。

更精良的攻击主要针对中国的少数民族和他们在其他国家的侨民。在几起事件中,黑客攻击的目标是少数民族维吾尔人的手机。近年来,他们的聚居区新疆一直在大规模建设监控技术。“中国人首先用他们最好的工具对付自己的人民,因为他们最害怕的就是自己的人民,”前美国政府官员詹姆斯·A·刘易斯(James A. Lewis)说,他为华盛顿的战略研究中心(Center for Strategic Studies)撰写网络安全和间谍方面的文章。“然后他们才会把这些工具用于外国目标。”

中国扩大其监控和审查范围的意愿,在NBA休斯顿火箭队(Houston Rockets)的一名高管本月在Twitter上支持香港抗议者后得到了体现。中国的反应非常迅速,威胁到了NBA在中国建立的一系列商业关系。

今年8月,Facebook和Twitter表示清除了一个巨大的中国机器人网络,这些机器人在抗议活动中散布虚假信息。最近几周,一家安全公司追踪到中国黑客对香港媒体公司发起了长达数月的攻击。安全专家表示,中国黑客很可能将目标对准抗议者的手机,但他们尚未公布任何证据。

一些安全研究人员表示,中国黑客能力的提高,已使他们能与俄罗斯精英网络部队平起平坐。对维吾尔人手机的攻击提供了一个难得的机会,让我们得以一窥中国一些最先进的黑客工具如今如何被用来压制或惩罚批评人士。追踪针对iPhone的攻击的谷歌(Google)研究人员表示,在出售软件漏洞信息的黑市网站上,有关这些黑客攻击的软件缺陷的详情价值数千万美元。

在新疆的街道上,大量高端监控摄像头运行面部识别软件来识别和跟踪人们。专门设计的应用程序被用来筛查维吾尔人的手机,监控他们的通讯,并记录他们的行踪。获取逃离中国的维吾尔族人的电话,是这些全面监控工作的合理延伸——随着国内许多人被关押,流散海外的人越来越多。这种国外社区长期以来一直是北京关注的问题,新疆有许多人因为亲属在国外旅行或居住而被送入拘禁营。

中国警方还采取了不那么复杂的手段来控制逃亡的维吾尔人,他们使用聊天应用微信引诱维吾尔人返回家乡或威胁他们的家人。
中国外交部没有回应记者的置评请求。中国否认了过去有关其从事网络间谍活动的说法,并称中国也常常是这类活动的目标。
安全研究人员最近发现,中国人看起来发现了自己的系统遭到国家安全局(National Security Agency)的网络攻击,随后他们也使用了国家安全局的黑客工具。几周前,中国安全公司奇安信发表了一篇分析文章,将美国中央情报与一起针对中国航空业的黑客攻击联系在一起。

2015年,中国主席习近平访美期间与奥巴马会面。当时中美达成了一项网络安全协议。安全专家说,该协议给了中国提高网络间谍能力的时间和空间。

破解iPhone一直被认为是网络间谍的圣杯。“如果你能进入iPhone,你就有了自己的间谍手机,”网络安全公司火眼(FireEye)的情报分析主管约翰·赫尔特奎斯特(John Hultquist)说。

2016年FBI与苹果展开了一场对决,但依靠外界的帮助才得以破解。该局向一个匿名第三方支付了100多万美元,以破解一名在加州圣贝纳迪诺杀死了14人的枪手使用的iPhone。

谷歌的研究人员表示,他们发现iPhone的漏洞被用来感染一系列网站的访问者。尽管谷歌没有公布被攻击者的姓名,但苹果表示,在大约12个关注维吾尔人的网站上发现了他们。“你可以攻击一个为写研究报告而访问这个网站的日本高中生,但你也会攻击一个在中国有家人,并且支持这项事业的维吾尔人,”维吉尼亚州安全公司Volexity的创始人兼总裁史蒂文·阿戴尔(Steven Adair)说。

科技新闻网站TechCrunch最先报道了黑客活动与维吾尔人之间的联系。苹果的一次软件更新修复了这个漏洞。最近几周,Volexity的安全研究人员发现,中国的黑客活动也利用了谷歌的安卓应用的漏洞。Volexity发现,有几个关注维吾尔问题的网站感染了安卓恶意应用。该公司将这些攻击追溯到了两个中国黑客组织。

由于黑客攻击的目标是安卓和iPhone用户——尽管在新疆的维族人通常不使用iPhone——阿戴尔说,他认为黑客攻击的目标在一定程度上是居住在国外的维吾尔人。

发生在iPhone上的袭击表明,海外维吾尔人是袭击的目标之一,新疆的维吾尔人一般不使用这款手机,Volexity的总裁斯蒂芬·阿达尔说。“中国正在把数字监控扩展到境外,”他说。“它似乎真的在打击海外流民。”

多伦多大学(University of Toronto)蒙克全球事务学院(Munk School of Global Affairs)公民实验室(Citizen Lab)的另一组研究人员最近发现了一个同时进行的行动,使用了谷歌和Volexity发现的一些相同代码。直到今年5月,该行动还在攻击藏人的iPhone和安卓手机。

中国黑客利用WhatsApp信息,冒充《纽约时报》记者,以及国际特赦组织(Amnesty International)等组织的代表,对达赖喇嘛的私人办公室、西藏议会成员和西藏非政府组织等进行攻击。

与藏人组织合作应对网络安全威胁的组织TibCERT的秘书洛桑嘉措(Lobsang Gyatso)在接受采访时表示,与中国以前的监控尝试相比,最近的攻击明显升级。洛桑说,十年来,中国黑客用含有恶意附件的电子邮件攻击藏人。如果他们黑入了一个人的电脑,就会攻击受害者通讯录里的每一个人,尽可能地广撒网。但洛桑说,在过去三年里,情况发生了很大变化。

“最近的袭击是我们在社区里从未见过的,”他说。“这是一个巨大的资源转移。他们的目标是手机,还有更多的侦察活动。他们有私人电话号码,甚至那些不上网的人的电话号码。攻击者知道那些人都是谁,他们的办公室在哪里,他们做什么事。”

CrowdStrike负责情报工作的副总裁亚当·迈耶斯(Adam Meyers)说,这些行动明显比五年前精良得多。五年前,安全公司发现,中国黑客在“雨伞革命”中攻击了香港抗议者的手机。

当时,中国的黑客只能侵入“已越狱”或以某种方式修改过的手机,这些手机可以安装未经苹果官方商店审查的应用。近期对维族人的攻击进入了经过更新的iPhone,且没有引起机主的注意。“就中国的威胁等级排名而言,最大的威胁来自国内,”刘易斯说。“在中国人看来,头号威胁是失去对本国人口的信息控制。但美国稳居第二。”

中国黑客还利用他们改进的技术攻击外国政府和公司的计算机网络。他们曾以互联网和电信公司为目标,并曾侵入外国科技、化工、制造和矿业公司的计算机网络。空客(Airbus)公司最近表示,中国曾通过一个供应商对其发起过攻击。

2016年,习近平合并了类似美国网络战司令部(Cyber Command)的战略支援部队旗下多个军方黑客部门,并将国家的很多外国黑客行动从军队转移到更先进的国家安全部——中国的主要间谍机构。此次重组适逢2015年习近平和贝拉克·奥巴马(Barack Obama)总统就停止以商业利益为目的的网络间谍活动签订协议后,中国网络攻击暂时停止。

“该协议给了中国专注于使自身网络间谍能力专业化的时间和空间,”刘易斯说。“我们没想到会这样。”安全研究人员表示,中国官员们还打击了由政府资助的黑客利用兼职赚钱的欺诈行为——一个习近平总结称有时会损害黑客身份和工具的“腐败”问题。

虽然中国在改进它的行动,但安全专家表示,为保留先进的黑客攻击手段,中国还在压制安全研究。中国警方近期表示,他们计划执行国家法律,禁止未经授权的漏洞披露,中国研究人员近期也被禁止参加西方黑客大会的竞赛。“他们正严阵以待,”火眼的赫尔特奎斯特说。“他们已经认识到,可以利用这些资源协助他们的进攻和防御网络行动。”