華盛頓郵報：中國網軍正在入侵美國關鍵服務要塞

華盛頓郵報說，美國官員和行業安全官員表示，中國軍隊正在增強破壞美國關鍵基礎設施的能力，目標包括電力和水利設施以及通信和運輸系統。這些專家表示，過去一年中，隸屬於中國人民解放軍的黑客已經侵入了大約兩打關鍵實體的計算機系統。

他們表示，這些入侵是更廣泛打擊的一部分，目的是想辦法在中美太平洋地區發生衝突時製造恐慌和混亂，或擾亂後勤。

知情人士告訴《華盛頓郵報》，受害者包括夏威夷的一家自來水公司、西海岸的一個主要港口以及至少一條石油和天然氣管道。 黑客還試圖侵入德克薩斯州電網的運營商，該電網的運行獨立於美國其他地區的電力系統。

由於此事敏感性而要求匿名的知情人士表示，包括電力公司在內的美國境外的幾個實體也成為了黑客的受害者。

美國官員表示，這些入侵均未影響操作泵、活塞或任何關鍵功能的工業控制系統， 也沒有造成中斷。但他們表示，對太平洋艦隊所在地夏威夷以及至少一個港口和後勤中心的關注表明，如果衝突爆發，中國軍方希望能夠使美國飛越台灣向該地區運送部隊和裝備的努力變得複雜化。

這些先前未披露的細節有助於描繪一場被稱為“伏特颱風”的網絡活動的畫面，該活動大約一年前由美國政府首次發現，當時美國和中國正努力穩定兩國關係，但現在這種關係比幾十年來更加敵對。 儘管中國戰鬥機在西太平洋對美國間諜機的近距離攔截數量激增，但中國軍事指揮官在一年多的時間裡拒絕與美國同行對話。美國總統拜登和中國國家主席習近平上個月才同意恢復這些溝通渠道。

據美國國土安全部網絡安全和基礎設施安全局 (CISA) 執行主任布蘭登·威爾士 (Brandon Wales) 表示，“很明顯，中國試圖破壞關鍵基礎設施的部分原因是為了在發生衝突時能夠擾亂或摧毀關鍵基礎設施，或者阻止美國向該地區投射力量。” 布蘭登·威爾士稱，“與七到十年前中國的網絡活動主要集中在政治和經濟間諜活動相比，這是一個重大變化。”

美國國家安全局網絡安全合作中心主任摩根·亞當斯基在一封電子郵件中證實，伏特颱風的活動“似乎集中在印度-太平洋地區的目標，包括夏威夷”。

官員們表示，黑客通常會通過家庭或辦公室路由器等無害設備發起攻擊，然後再到達受害者手中，以此來掩蓋自己的蹤跡。一個關鍵目標是竊取員工憑證，他們可以冒充普通用戶來返回。

但他們的一些進入方式尚未確定。

專門研究安全問題的智庫詹姆斯敦基金會的中國安全研究研究員喬·麥克雷諾茲表示，黑客正在尋找一種方法進入並留在其中而不被發現。“你正試圖在敵人的基礎設施中建造隧道，以便稍後用來攻擊。在那之前，你要等待，進行偵察，弄清楚你是否可以進入工業控制系統或更關鍵的公司或上游目標。有一天，如果你接到上頭的命令，你就會從偵察轉為攻擊。”

向《華盛頓郵報》披露的信息是基於國家情報總監辦公室二月份的年度威脅評估，該評估警告稱，中國“幾乎肯定有能力”發動網絡攻擊，破壞美國關鍵基礎設施，包括石油和天然氣管道以及鐵路系統。評估稱：“如果北京擔心與美國即將發生重大衝突，它幾乎肯定會考慮對美國本土關鍵基礎設施和全球軍事資產採取激進的網絡行動。”

CISA 執行助理主任埃里克·戈爾茨坦 (Eric Goldstein) 表示，受到“伏特颱風”影響的一些受害者是各個行業的小型公司和組織，“不一定是那些與許多美國人所依賴的關鍵職能有直接相關聯繫的公司和組織”。他說，這可能是“機會主義目標即根據他們可以獲得的機會”，一種在網絡鏈中立足的方式，希望有一天能進入更大、更關鍵的客戶。

看過一些文章的麥克雷諾茲表示，中國軍官在內部文件中描述了他們如何在衝突中使用網絡工具或“網絡戰”。 他說，軍事戰略家談到將空中和導彈襲擊與指揮控制網絡、關鍵基礎設施、衛星網絡和軍事後勤系統的破壞同步進行。

他說，他們討論了這些工具在兩棲入侵中的應用。“他們非常清楚地認為這與台灣的情況有關，”他說，“儘管他們沒有明確表示這就是我們接管台灣的方式。”

這遠非中國首次嘗試入侵關鍵基礎設施。2012 年，加拿大公司 Telvent（其軟件遠程操作北美主要天然氣管道）通知客戶，一名經驗豐富的黑客突破了他們的防火牆並竊取了與工業控制系統相關的數據。網絡安全公司 Mandiant 追蹤到此次泄露事件是由一個多戰績的解放軍黑客組織 61398 發起的。該組織的五名成員於 2014 年因黑客攻擊美國公司而被美國起訴。

當時，美國政府不確定中國的目的是收集情報還是預先做好破壞準備。如今，根據情報收集情況以及目標設施幾乎沒有政治或經濟價值的情報這一事實， 美國官員表示，很明顯，滲透這些設施的唯一原因是能夠在以後實施破壞性行動。

美國政府長期以來一直尋求改善與擁有美國大部分關鍵基礎設施的私營部門以及能夠檢測網絡威脅的科技公司的協調。CISA 的 Goldstein 表示，微軟等公司會分享有關對手策略、系統受到損害的跡象以及緩解措施的匿名信息。他說，一般來說，這些公司不會看到黑客在客戶網絡中的存在，而是通過與黑客用來引導攻擊的服務器的通信來檢測它。

在某些情況下，受害者自己會向 CISA 尋求幫助。戈爾茨坦說，在其他情況下，軟件或通信供應商會向 CISA 發出有關受害者的警報，政府必須尋求法院命令，迫使供應商透露受害者的身份。

5 月份，微軟表示，它發現“伏特颱風” Volt Typhoon 滲透到關島和其他地方的關鍵基礎設施，列出了多個部門。據知情人士透露，其中包括電信公司。分析人士表示，這些黑客攻擊尤其令人擔憂，因為關島是距離有爭議的台灣海峽最近的美國領土。

對水和能源系統等行業的入侵發生之際，拜登政府試圖通過發布強制性網絡安全規則來增強行業自衛能力。2021 年夏天，政府推出了首個石油和天然氣管道網絡法規。今年三月，環境保護局宣布要求各州在公共供水系統審計中報告網絡威脅。然而不久之後，三個州起訴政府，指控監管過度。

美國環保署撤回了該規定，並要求國會就一項規定採取行動。與此同時，該機構必須依靠各州自願報告威脅。

在五月發布的聯合諮詢中，美國、英國、加拿大、澳大利亞和新西蘭的五眼情報聯盟就如何追捕入侵者提供了建議。挑戰之一是黑客使用合法工具逃避防火牆和其他防禦措施檢測的策略， 以便黑客的存在與正常網絡活動融為一體。這種技術被稱為“靠在地生存”。

“這些技術面臨的兩個最嚴峻的挑戰是確定是否發生了妥協，然後一旦檢測到，就確信攻擊者已被驅逐，”美國國家安全局的網絡安全協作中心與私營企業進行協調的亞當斯基說。

美國國家安全局和其他機構建議大規模重置密碼，並更好地監控具有高網絡權限的帳戶。他們還敦促公司要求更安全的多因素身份驗證形式，例如硬件令牌，而不是依賴發送到用戶手機的短信，因為短信可能會被外國政府攔截。

儘管五月份的建議引起了越來越嚴格的審查，但黑客仍然能夠尋找新的目標。

據 Recorded Future 報道，今年 8 月，黑客試圖將“伏特颱風” Volt Typhoon 使用的基礎設施與德克薩斯州公用事業委員會和德克薩斯州電力可靠性委員會使用的互聯網域或子域建立連接，該委員會負責運營該州的電網。儘管沒有證據表明這些嘗試成功滲透了該系統，但這一努力凸顯了中國軍方感興趣的目標類型。

德克薩斯州的兩家機構拒絕回答《華盛頓郵報》有關這些事件的問題。

安全可靠委員會表示，它與聯邦機構和行業團體密切合作，擁有冗餘系統和受控訪問，作為“分層防禦”的一部分。

在上個月拜登與習近平會面前的幾周，美國國家安全局官員在行業會議上發表講話，再次呼籲私營部門分享有關黑客企圖的信息。美國國家安全局可以窺視對手的海外網絡，而美國公司可以了解國內企業網絡。美國官員表示，行業和政府可以共同更全面地了解攻擊者的目標、策略和動機。

據知情人士透露，中國對關鍵基礎設施進行網絡入侵的話題是拜登與習近平會面時提出的擬議話題清單，但在四個小時的會議中並未出現。