沙利文通报！一则关于中国的消息令人震惊

美国总统拜登(Biden)的国家安全顾问发出的信息令人震惊。

据知情人士透露，2023年秋季，杰克·沙利文(Jake Sullivan)在白宫的一次秘密会议上告诉电信和科技行业高管，中国黑客已能够随意关闭美国数十个港口、电网和其他基础设施目标。沙利文说，这种攻击可能会危及生命，政府需要这些公司的帮助才能根除侵入者。

包括沙利文在内，当时在场者没有人知道：中国黑客也已经在逐渐深入美国电信网络。

人们曾经认为，中国黑客主要对商业机密和海量私人消费者数据感兴趣。但最新的黑客攻击事件清楚地表明，他们现在是中美潜在地缘政治冲突前线的士兵，在这场冲突中，网络战工具料将成为强大的武器。

美国国土安全部前网络安全高级官员布兰登·威尔斯(Brandon Wales)表示，如果未来与中国发生任何冲突，美国计算机网络会是关键战场。他曾密切跟踪中国针对美国基础设施的黑客活动。他说，黑客的预先部署和情报收集“旨在通过阻止美国投射力量并在美国国内制造混乱来确保他们获胜”。

随着中国不断加大对台湾的威胁，并朝着西方情报官员认为的2027年前具备攻台能力的目标努力，美国作为台湾最重要的支持者，可能会被卷入这场冲突。近年来，华盛顿和北京之间在其他方面的摩擦也有所加剧，候任总统川普(Trump)威胁要发动一场激烈的贸易战，而中国则在与俄罗斯建立更紧密的联盟。美国两党高层官员都警告说，中国是美国安全面临的最大危险。

上图：国家安全顾问杰克·沙利文10月在白宫。下图：俄罗斯总统普京和中国领导人习近平5月在北京。KENT NISHIMURA/GETTY IMAGES, SERGEI BOBYLYOV/AFP/GETTY IMAGES

在至少始于2019年并且仍在发生的基础设施攻击中，与中国军方有关联的黑客将自己嵌入到间谍通常会忽视的领域，包括夏威夷的一家自来水公司、休斯敦的一个港口和一家油气加工厂。

美国联邦调查局(Federal Bureau of Investigation，简称FBI)和私营部门的调查人员发现，这些黑客潜伏的时间有时长达数年，并定期测试访问权限。在一个地区机场，调查人员发现黑客获得了访问权限，然后每六个月返回一次，以确保他们仍然可以进入。黑客在一个水处理系统的网络中至少潜伏了九个月，他们进入了一台相邻的服务器，以研究该工厂的运营情况。在洛杉矶的一家公用事业公司，黑客搜索了有关该公司在紧急情况或危机情况下将如何应对的资料。遭入侵的基础设施的确切位置和其他细节是高度机密，无法完全确定。

美国安全官员表示，他们认为，这些基础设施入侵（由一个名为Volt Typhoon的组织实施）至少在一定程度上是为了破坏太平洋地区的军事供应线，并在其他方面阻碍美国应对未来与中国发生冲突的能力，包括针对中国可能攻台的行动。

另一起电信攻击事件始于2023年年中或更早，《华尔街日报》(The Wall Street Journal)于9月份首次报道了此事，当时一个与中国情报部门有关联的名为“盐台风”(Salt Typhoon)的黑客组织入侵了美国无线网络以及用于法院授权监控的系统。

他们能够访问100多万用户的数据，还获得了一些政府高级官员的音频资料，包括访问一些人的电话线路（川普曾使用这些人的手机）从而获得川普的电话音频。他们还将目标对准了参与副总统哈里斯(Kamala Harris)总统竞选活动的人员。

他们还能够从Verizon和AT&T窃取一份美国政府最近几个月根据法院命令进行监控的个人名单，其中包括被怀疑是中国特工的人员。

10月，台北中正纪念堂举行仪式。图片来源：TYRONE SIU/REUTERS

入侵者利用了已公开警告但尚未修补的已知软件漏洞。调查人员表示，他们仍在调查此次攻击的全部范围。

近几周听取了机密简报的议员和官员告诉《华尔街日报》，他们对入侵的深度以及解决这些黑客攻击的难度感到震惊，一些电信公司领导人表示，攻击的范围和严重程度让他们措手不及。

“他们非常小心地使用他们的技术，”拜登总统负责网络安全的副国家安全顾问安妮·纽伯格(Anne Neuberger)说。她说，在某些情况下，黑客删除了网络安全日志，而在另一些情况下，受害公司没有保留足够的日志，这意味着“我们永远不会知道”有关此次事件的范围和规模的细节。

位于华盛顿的中国驻美大使馆发言人刘鹏宇指责美国散布有关中国黑客威胁的虚假信息，以推进其地缘政治野心。刘鹏宇说，中国领导人习近平去年11月在秘鲁与美国总统拜登会晤时告诉拜登，没有证据支持这些指控。

刘鹏宇在提到分配给这些黑客组织的代号时说，美国有些人似乎热衷于制造各种“台风”。刘鹏宇说，美国需要停止对其他国家的网络攻击，不要再利用网络安全问题抹黑和诋毁中国。

Verizon表示，少数政府和政界知名客户被该威胁行为者特别盯上，这些人已收到通知。Verizon首席法律官Vandana Venkatesh表示：“在为解决该事件做了大量工作后，我们可以报告，Verizon已控制住与这一特定事件相关的活动。”

美国电话电报公司的一位发言人表示，该公司“目前在其网络中没有检测到民族国家行为者的活动”，该发言人还说，中国政府将目标对准了“少数具有外国情报价值的个人”，受影响的客户已在与执法部门的合作中得到通知。

“我们暴露的程度令人震惊”

一些参与调查的国家安全官员表示，他们认为，电信黑客攻击事件非常严重，网络遭到严重入侵，以至于美国可能永远无法确定中国黑客是否已被彻底根除。

几位高级议员和美国官员已经从传统的手机通话和短信转向使用Signal等加密应用，因为他们担心中国可能在监听。联邦执法官员已告知州和地方执法部门也这样做。（联邦特工已经在使用他们自己的加密系统来处理机密工作。）

图为纽约的一家AT&T商店。黑客攻击了该公司的电信网络。图片来源：GABBY JONES/BLOOMBERG NEWS

去年12月底，为了应对“盐台风”行动，联邦网络安全官员发布了新的指南，建议公众使用端到端加密进行通信，并表示应避免使用基于文本的多因素身份验证来登录账户，而应使用基于应用的方法。

十多年来，美国官员一直在警告网络空间威胁的快速演变，从勒索软件黑客锁定电脑并索要赎金，到政府指示下的窃取宝贵企业机密的行为。他们还对使用包括通信设备巨头华为(Huawei)和中兴通讯(ZTE)在内的中国设备表示担忧，称这些设备可能会为不受约束的间谍活动打开后门。《华尔街日报》去年12月报道称，美国当局正在调查中国TP-Link生产的热销家用互联网络由器是否构成国家安全风险，这些路由器与网络攻击有关。

但据美国官员和其他熟悉调查的人士称，中国政府不需要利用中国设备就能实现其在大规模的基础设施和电信攻击中的大部分目标。在这两类黑客攻击中，中国利用了美国公司几十年来一直信赖的各种老旧电信设备。

在这些电信攻击中，黑客利用了安全供应商Fortinet未修补的网络设备，并入侵了思科系统(Cisco Systems)的大型网络路由器。至少在一个案例中，他们控制了一个没有受到多因素身份验证（一种基本的安全措施）保护的高级网络管理帐户。

这让他们能够访问超过10万台路由器，并以此进一步发动攻击，这是个严重的失误，可能让黑客得以将流量复制回中国，并删除自己的数字痕迹。

一位知情人士说，路由器劫持事件发生在美国电话电报公司的网络内。

美国电话电报公司对此次路由器攻击事件不予置评。思科系统和Fortinet不予置评。

去年12月，Neuberger表示，美国电信运营商受害者已增至九家，而且可能还有更多。

除了对AT&T和Verizon的深度入侵外，黑客还侵入了属于Lumen Technologies和T-Mobile的其他网络。据知情人士透露，中国黑客还侵入了Charter Communications、Consolidated Communications和Windstream。

Lumen Technologies表示，该公司在其网络中已不再看到攻击者的踪迹，而且没有客户数据被访问。T-Mobile称，该公司阻止了最近企图渗透其系统的行为，并保护了敏感的客户信息不被访问。

包括Neuberger在内的一些美国官员表示，这起黑客事件凸显出，有必要为电信行业制定基线网络安全要求。拜登政府已通过行政命令为管道、铁路和航空业制定了此类强制性规定。

“网络空间是一个激烈较量的战场，”美国国家安全顾问沙利文说。“我们……已经取得了相当大的进展，但在那些我们没有强制性网络安全要求的行业，仍然存在严重漏洞。”

阿拉斯加州共和党参议员丹·沙利文(Dan Sullivan)在去年12月的一次国会听证会上说：“我们如此容易受到攻击，而且现在仍然如此，这令人震惊。”他将最近一次关于电信黑客事件的机密简报描述为“惊心动魄”。

基础设施遭黑客攻击也令官员们深感担忧。据知情人士透露，去年4月，美国国务卿布林肯(Antony Blinken)在北京与中国外交部长王毅举行了五个小时的会谈，期间布林肯表示，中国对实体基础设施的攻击令人担忧、危险且不断升级。

在摆着茶水的长桌旁，由助手陪同的王毅耸了耸肩，称这些指控是美国为了增加对军事支出的支持而捏造的幻觉。

4月，美国国务卿安东尼·布林肯（上图）与中国外交部长王毅在北京举行会谈。MARK SCHIEFELBEIN/AFP/GETTY IMAGES

据了解相关互动情况的美国官员说，在那一周晚些时候的另一次会议上，其他美国官员出示了将这些入侵行为与中国IP地址联系起来的证据。中国官员表示，他们会对此进行调查，然后给美国方面答复。但从未给出实质性答复。

这篇关于两类破坏性网络攻击的报道是基于对大约50名国家安全、执法和私营部门官员的采访。许多细节此前从未被报道过。

港口攻击

2021年8月19日上午，新一轮网络战的第一枪打响，中国黑客在短短31秒内就侵入了美国最大港口之一的数字基础设施。

在休斯敦港，一名冒充该港口一家软件供应商工程师的入侵者侵入了一台服务器，该服务器的设计目的是让员工在家重置密码。在港口方面意识到威胁并切断密码服务器与其网络的连接之前，黑客们设法下载了该港口所有员工的一组加密密码。

一份神秘文件引发了全球性追捕行动中国黑客如何在短短31秒内入侵休斯敦港

登录凭证

另外两个可疑的IP地址访问服务器，然后利用其与存储所有员工用户名和密码数据的服务器的连接下载完整的登录凭据列表。

攻击者们开始利用访问权限进一步探索该网络，而网络安全供应商则再次发出警告，称攻击者卷土重来。

港口网络安全人员将受损服务器从网络中移除，从而终止了攻击。

之后，该港口的网络安全主管克里斯·沃尔斯基(Chris Wolski)打电话给对美国港口拥有管辖权的海岸警卫队，通知了这次攻击，他称：“看来我们有麻烦了。”

休斯敦港化解了这一威胁，但调查人员表示，能不受限制地访问该港口的密码可能会让黑客有能力在其内部网络中四处活动，并找到藏身之处，直到他们想采取行动。黑客或许已经做好准备，能够扰乱或停止港口运营。

休斯敦港受到的上述攻击令美国官员获得了一个至关重要的早期线索，表明中国正瞄准那些没有存放企业或政府机密的攻击目标，并且正使用新颖的方式进行入侵。当时，休斯敦港才刚刚从基本杀毒软件升级，而且只有一名IT员工兼职负责网络安全。

FBI发现，这次入侵利用了密码软件中一个以前不为人知的漏洞。

微软的一个分析师小组确定，同一个黑客组织也利用了该软件中的这个漏洞攻击了一些咨询服务机构和IT公司。该软件来自另一家公司。这些分析师还发现，黑客们将目标对准了关岛的网络，关岛是美国在太平洋上的一个领土，也是美国一个重要海军基地的所在地。入侵者已经攻破了关岛的一家通信供应商。

这个位于华盛顿州雷德蒙德的团队利用微软产品（包括Office 365、Windows操作系统或Azure云）内置的安全功能发出的数十亿个信号来搜寻安全威胁。

据美国官员和网络威胁公司的研究人员称，从夏威夷的自来水公司和西海岸的一个港口，到制造业、教育业和建筑业等行业，入侵者开始出现在其他令人意想不到的地方。

休斯敦港，摄于9月。图片来源：BRANDON BELL/GETTY IMAGES

微软的分析师们意识到，他们看到了来自中国的新行为，一大批中国黑客同时侵入了一些关键基础设施，而这些基础设施似乎几乎没有间谍或商业价值。

不久前还在担任微软客户信任和安全副总裁的汤姆·伯特(Tom Burt)在采访中说，该公司的威胁研究人员发现了黑客手法和锁定受害者方面的共性，这有助于将攻击与一个共同的黑客组织联系起来。他说：“所有这些都表明，我们知道这是一个来自中国的新行动组织。”

根据微软和其他情报来源的信息，联邦探员在美国各地展开调查，并在2022年和2023年期间走访了十多个地点，听到了类似的说法。受害者的网络安全水平一般，有些人甚至不知道自己被入侵了。黑客通常不会安装恶意软件或窃取商业机密、政府机密或私人信息等数据，他们只是试图进入系统并了解系统。

使用旧路由器

在以前的案例中，FBI探员通常可以在找到黑客在美国租用的服务器后追踪到他们。

这一次，黑客是通过一种小型家庭办公室使用的路由器进入的，这种路由器将入侵伪装成合法的美国流量。

2023年巴塞罗那一个电信展上的思科展示台。图片来源：JORDI BOIXAREU/ZUMA PRESS

这些路由器主要由思科(Cisco)和Netgear制造，很容易受到攻击，因为它们太旧了，不再收到制造商的例行安全更新。一旦被黑客控制，这些路由器就会成为攻击其他受害者的跳板，而且不会引起警报，因为入侵看起来像是常规流量。Netgear不予置评。

据熟悉相关分析的现任和前任美国官员称，与此同时，美国国家安全局的分析师观察到，中国政府正开始为可能的攻台布局网络基础，包括在美国境内的行动。这些信息令新的基础设施黑客活动受到关注，让调查人员看到了更大的布局。

西方安全官员表示，美国官员与盟国分享了有关基础设施入侵的数据。

拜登政府多个机构的许多高级国家安全官员认为，对关岛和西海岸目标的关注表明，黑客的目标是台湾，他们正在尽一切努力减缓美国对中国可能发动的入侵的反应，为中国政府争取宝贵的时间来完成接管，甚至在美国的支援到来之前。

其他目标让分析人士感到不安。一个是西海岸的一个小型空中交通管制设施，另外一些是水处理厂。据熟悉讨论的官员说，这些选择表明，黑客正在寻找方法给美国平民造成痛苦，包括扰乱飞机航线或关闭当地水处理设施。

美国国家安全局副局长乔治·巴恩斯(George Barnes)在一次采访中表示，2022年底至2023年初，他曾怀疑中国政府的计划是否是让黑客被发现，从而恐吓美国不要插手台湾的潜在冲突。

巴恩斯说，在台海发生冲突的情况下，除了台湾本身，美国“将成为破坏性网络攻击的首要目标”。巴恩斯在2023年底离开了美国国家安全局，此前他在该情报机构工作了几十年。

2023年，时任美国国家安全局副局长的乔治·巴恩斯在参议院作证。图片来源：MICHAEL BROCHSTEIN/ZUMA PRESS

到2023年底，FBI已经收集到足够的信息，可以识别出数百台被黑客控制的小型办公室路由器。检察官要求法官授权远程进入这些路由器，并发出指令以清除恶意软件——这实际上是进入了不知情的美国受害者的家中，这些受害者多年前购买了这些路由器，他们并不知道自己的Wi-Fi网络被秘密用作攻击的发射台。

2024年1月，一名法官批准了这一请求，FBI展开了行动，消除了黑客的一个重要工具。

电信攻击

至少在几个月前，另一个与中国政府有关联的黑客组织对美国国内发起了另一场攻击，这一次是对美国通信系统的全面攻击。

2024年夏季，美国官员告诉2023年秋季曾访问白宫的一些公司的高管，一个与中国国家安全部情报部门有关联的组织已经潜入了他们的网络。

这些入侵者利用了电信公司用来相互传递数据的通道，这些通道通常没有多因素身份验证。多因素验证可以提供额外保护，类似于许多消费者登录银行账户时设置的保护，但多因素验证在电信运营商之间并不总是存在，部分原因是这些障碍会降低通话和网络流量的速度。

黑客还侵入了数十名美国国家安全和政策高级官员使用的手机线路，并且至少窃取了川普、即将上任的副总统万斯(JD Vance)以及与川普和哈里斯总统竞选团队有关联人员的部分电话音频。

调查人员称，另外，这些黑客还试图访问Verizon和美国电话电报公司的电话侦听系统，看起来是为了了解FBI和其他机构对在美国以及在全球各地活动的中国间谍的了解程度。

他们仍不确定“盐台风”行为者是否能够将实时内容——例如受到执法部门监视的人员的通话或短信——从侦听系统中传输回中国。

白宫，摄于12月。图片来源：TOM BRENNER/GETTY IMAGES

这些黑客在很长一段时间内得以在未被发现的情况下维持着对这些侦听系统的访问权限。调查人员称，在一家公司，他们在系统内潜伏了大约六个月，在另一家公司潜伏了大约18个月。截至10月份，也就是《华尔街日报》首次公开披露这些入侵事件几周后，黑客仍在这两家公司的电话侦听系统内。美国官员认为，这些黑客现在已经退出了上述电话侦听系统。

调查人员称，在《华尔街日报》首次报道后，这些黑客改变了行为方式，这进一步加大了定位和驱逐的难度。

2024年秋季，Verizon的一群高管和网络安全专家在得克萨斯州召开闭门会议，以找出入侵者，研究他们的行为并确定如何将他们驱逐出去。之后，该运营商对其网络中的每个路由器都进行了评估，以检查漏洞。

调查人员了解到，这些黑客有时会潜伏起来，只是观察网络流量，而在其他情况下，他们会窃取网络流量，通过遍布全球的复杂路径提取他们窃取的内容，然后将其传输到中国。他们是创建据点的专家，可以通过据点观察网络流量。例如，他们会像网络工程师那样行事，然后掩盖踪迹。

这些黑客的重点在一定程度上是区域性的：在哥伦比亚特区华盛顿及其周边工作的人员的电话记录是他们的首要目标。他们访问了100多万用户的通话事件日期记录，包括日期和时间戳、源IP地址和目标IP地址、电话号码和唯一的电话识别码。

“我们看到有海量的数据遭到窃取，”一名熟悉相关调查的FBI官员说。

私营部门与调查此案的联邦官员之间的关系有时会变得紧张，双方都表示对方没有履行好自己的职责。一些议员对驱逐这些黑客所需的时间越来越不耐烦。

在感恩节前不久，国家安全顾问沙利文再次召集了来自电信公司的最高级别高管，其中许多人与他大约一年前召集起来帮助解决基础设施黑客攻击的人是同一批人。这一次，电信公司自己成了受害者，沙利文敦促取得进展。

调查人员仍在确定此次数据窃取的全部范围和意图。他们表示，这些数据可以帮助黑客确定政府中不同的人与谁交谈，并更好地了解他们的社交和职业圈子。这些情报可能有助于未来对这些人的入侵或攻击。