中国黑客已造成对美直接军事和政治威胁

美国司法部上星期三(3月5日)宣布对12名中国黑客及中国公安部官员提起诉讼；同一天，美国众议院美国与中国共产党战略竞争特设委员会以“终结台风：如何遏制北京的网络行动并加强美国薄弱的网络防御”为主题，召开其新一届国会的首场公开听证会……

来自中国的黑客威胁正受到美国政府和网络安全专家越来越多的关注。中国黑客的行动不再仅限于窃取商业机密，而是针对美国关键基础设施、政府机构、政党组织，甚至总统候选人的竞选团队。最新曝光的中国黑客行动--包括“伏特台风”(Volt Typhoon)、“盐台风”(Salt Typhoon)、“丝绸台风”(Silk Typhoon)等等，都显现这一新特点。专家们多次警告，中国黑客的威胁正从经济间谍活动升级为更具战略性的国家安全风险。

司法部上星期三的诉讼案甚至揭开了一个成熟的“黑客雇佣军”产业链。被美国政府提起诉讼的12人中，有八人来自私营黑客公司，安洵(i-Soon)信息技术有限公司，他们受雇于中国政府，执行包括针对异见人士、媒体机构、国防承包商和政府机构在内的大规模攻击，并出售窃取的信息给中国官方。

同天，美国众议院美国与中国共产党战略竞争特设委员会召开主题为“终结台风：如何遏制北京的网络行动并加强美国薄弱的网络防御”的听证会。该委员会警告说，中共网络威胁是北京试图摧毁美国生活方式的更大战略的一部分。委员会领袖表示，“中国对我们关键基础设施的渗透就像一把上膛的枪，直接瞄准美国人民”。

与此同时，前国安官员呼吁，要降低中国黑客破坏关键基础设施的风险，美国必须停止使用包括TP-Link等中国制造的网络路由器。

1月22日，在美国国会众议院国土安全委员会也举行了一场有关网络安全的听证会。在这个听证会上，美国国会议员和网络安全专家警告称，中国黑客的威胁已经达到了前所未有的程度。该委员会主席、田纳西州共和党联邦众议员马克·格林(Mark Green)称“中国已经在我们的基础设施中扎根。”

“这意味着如果我们与中国发生冲突，中国共产党可以随时关闭我们的重要服务，包括通讯、电力、港口和水系统等。”他说。

这一警告凸显了美中网络战所面临的新局面。早期，中国黑客的行动多集中在窃取商业机密和大规模的消费者数据，以支持中国经济发展。但其近期行动表明，中国黑客的目标和手段显著升级，成为应对潜在地缘政治冲突的重要战略工具。

《华尔街日报》曾在1月4日的一篇报道中详细阐述中国黑客如何从“商业毛贼”演变为“军事利器”，通过代号为“Typhoon”的系列行动威胁美国的基础设施与通信网络。这些黑客行动不仅显现中国黑客日益精湛的技术手段，更让美国感受到这些中国黑客成为地缘政治冲突中“网络前线士兵”的威胁。

美国国土安全部前网络安全高级官员布兰登·威尔斯(Brandon Wales)对该报表示，如果未来与中国发生任何冲突，美国计算机网络会是关键战场。

以下是近年中较为重大的几起中国黑客攻击行动--

伏特台风：基础设施攻击

伏特台风被认为是由中国军方支持的黑客组织，其主要目标是美国的关键基础设施，包括能源、水务、通信和交通系统。这些攻击的主要特点是长期潜伏，了解系统运行方式，从而为未来可能的系统破坏行动铺平道路。

关键案例：

夏威夷水务公司：黑客潜伏长达9个月，深入研究水厂的运行方式。

洛杉矶公用事业公司：尝试获取紧急响应计划的具体信息。

关岛通信网络：入侵关键通信设施，为可能的台海冲突部署做准备。

休斯敦港口：2021年8月，黑客利用密码管理服务器漏洞，快速获取所有员工的加密密码。尽管攻击被及时阻止，但可能留下潜伏入口。

西海岸小型空中交通管制设施：可能扰乱航班调度，对平民生活造成影响。

制造业、教育业和建筑领域，等等：显示出黑客试图广泛掌握美国关键领域系统运行的意图。

这类攻击的目的是掌握基础设施系统的运行方式，而非直接窃取数据。

“微软的分析师们意识到，他们看到了来自中国的新行为，一大批中国黑客同时侵入了一些关键基础设施，而这些基础设施似乎几乎没有间谍或商业价值。”《华尔街日报》报道说。

“根据微软和其他情报来源的信息，联邦探员在美国各地展开调查，并在2022年和2023年期间走访了十多个地点，听到了类似的说法。受害者的网络安全水平一般，有些人甚至不知道自己被入侵了。黑客通常不会安装恶意软件或窃取商业机密、政府机密或私人信息等数据，他们只是试图进入系统并了解系统。”

美国安全官员向该报表示，伏特台风的攻击行动“至少在一定程度上是为了破坏太平洋地区的军事供应线，并在其他方面阻碍美国应对未来与中国发生冲突的能力，包括针对中国可能攻台的行动。”

但也有官员指出，鉴于西海岸一个小型空中交通管制设施和一些水处理厂也成了伏特台风的目标，这表明“黑客正在寻找方法给美国平民造成痛苦，包括扰乱飞机航线或关闭当地水处理设施。”

曾任美国国家安全局副局长的乔治·巴恩斯(George Barnes)告诉《华尔街日报》，他甚至怀疑北京是用意就是让这些黑客的行为被发现，从而恐吓美国不要插手台湾的潜在冲突。巴恩斯认为，一旦台海战争爆发，除台湾外，美国“将成为破坏性网络攻击的首要目标”。

盐台风：电信网络攻击

盐台风是另一支被认为与中国国家安全部相关的黑客组织，其主要目标是美国的电信网络和监控系统。这些攻击也显现出中国黑客对美国通信基础设施的深度渗透及其可能的政治和军事意图。

攻击目标：

高级政府官员、议员：包括现任总统唐纳德·川普(Donald Trump)和前副总统卡玛拉·哈里斯(Kamala Harris)2024年竞选团队要员、竞选团队要员和在任高级政府官员的通话音频。

法院监督系统：窃取美国政府根据法院命令进行监控的个人名单，其中包括被怀疑是中国特工的人员。

“这些黑客的重点在一定程度上是区域性的：在哥伦比亚特区华盛顿及其周边工作的人员的电话记录是他们的首要目标。他们访问了100多万用户的通话事件日期记录，包括日期和时间戳、源IP地址和目标IP地址、电话号码和唯一的电话识别码。”《华尔街日报》报道说。

丝绸台风：云端、网络供应链攻击

美国微软威胁情报团队近日发布的报告揭露了一个新的中国黑客行动团伙丝绸台风(之前称Hafnium)在全球范围内的新型网络攻击策略。与以往主要针对微软Exchange服务器漏洞的攻击方式不同，丝绸台风已将目标转向IT供应链，利用远程管理工具、云端应用程序和 API 密钥突破企业和政府的安全防线，从而渗透到其下游客户的网络中。

丝绸台风最近参与的一起已知攻击是在去年12月，其攻击对象是美国财政部和其前部长珍妮特·耶伦(Janet Yellen)。

“尹克成入侵了一家美国软件供应商 BeyondTrust，从而成功黑入美国财政部的敏感办公室，包括负责经济制裁的部门，并获取了财政部长耶伦的一些非机密文件。”《华盛顿邮报》当时援引消息人士报道称。BeyondTrust是美国财政部的合同供应商。

微软这份报告指出，丝绸台风是一个中国国家支持的“资源充足且技术精湛的”黑客组织，其主要特点包括：

利用“零日”(Zero-day)漏洞，迅速发动大规模攻击。（零日漏洞是指软件或硬件中的安全缺陷在开发者尚未发现或修复前，就已被攻击者利用的漏洞。）

锁定IT供应链，通过管理服务提供商、云存储供应商、远程管理工具等获取初始访问权限；

渗透云端环境，突破云安全体系，获取美国政府、企业及法律机构的敏感数据。

微软的网络安全专家认为，这些攻击表明中国黑客正在将其攻击策略从传统的单点突破升级为更具规模化的供应链攻击，以影响更大范围的目标。

网络安全专家指出，网络间谍行为无法完全根除。纽约智库外交关系委员会研究中国及网络战的学者亚当·西格尔(Adam Segal)在其刊于《外交事务》的文章中说，中国领导层不仅认为这些行动中获取的信息对其国家安全和外交政策至关重要，他们相信美国同样对中国实施类似的网络间谍活动。“在这类攻击中，进攻方往往相较于防御方占据优势，因此中国不可能被‘劝说’放弃这些行动，”西格尔写道。

但他同时指出，这并不意味着美国只能被动承受这些攻击。他认为，川普政府可以通过以下措施更有效地遏制对手--

推进技术现代化，提升网络防御能力；

加强对关键基础设施运营商的支持，提高重要领域的安全性；

扩大美国对中国黑客的反制行动，主动破坏其网络活动，并增加其攻击成本。

西格尔也强调了美国网络间谍活动与中国等对手国家类似行动的区别。“在进行网络间谍活动时，美国及其盟友仅针对合法的国家安全利益，而不会谋求经济利益、不会过度收集普通民众的数据，也不会对第三方造成伤害。”