黑客渗透关岛后令美国情报机构感到恐惧 - 彭博社
Katrina Manson
关岛的电力基础设施。
摄影师:Anthony Henri Oftana,彭博商业周刊梅尔文·奎克在2022年美国联邦特工开始拜访他时意识到出了问题。“你能看看你的网络吗?”他们问奎克,他在关岛电力局担任网络安全工作,已经有六年了。然后,更隐秘地问:“我们能看看你的网络吗?”
在这种情况下,查看网络意味着分析通过其路由器和交换机流动的大量数据流量——通常要持续几个月——以寻找可能表明不当行为的微小异常。奎克对特工们为何如此担忧几乎没有头绪,他也很确定他的四人团队无法胜任这项任务。“我没想到会处理国家安全威胁,”他说,回忆起与特工的互动时,正参观GPA的一个变电站,那里的破旧铁丝围栏是唯一的真正保护。“但我现在必须面对。”然后深吸一口气。“是的。”
铁丝围栏环绕着GPA变电站。摄影师:Anthony Henri Oftana,彭博商业周刊GPA是关岛唯一的电力公司,关岛是一个梦幻般的热带乐园,美国于1898年首次控制了这里。这个岛屿现在是美国的一个领土,是国家最西端的地方,距离中国大陆的距离是美国本土的两倍多。关岛的经济以每年大约60万名游客为中心,他们被白色沙滩、卡地亚和劳力士商店吸引,还有机会醒来——正如岛上的口号所说——“在美国的一天开始的地方。”大多数游客是韩国人或日本人,但也有美国游客,尤其是那些在占据关岛约三分之一土地的美国军事基地工作的军人。酒店客人可能会注意到,身穿迷彩服的军人和刚从水滑梯上滑下来的半裸度假者一起排队等咖啡。
每年约有600,000名游客访问该岛。摄影师:Anthony Henri Oftana为彭博商业周刊拍摄美国海军是GPA最大的客户,消耗了2023年其产生的约20%的电力。Kwek在2022年开始接待的访问是美国对中国黑客渗透该岛大部分民用基础设施的令人担忧迹象的回应。军方依赖这些相同的系统来运营其基地,而美国情报界表示,这次黑客攻击活动可能旨在维持对一个至关重要的军事地点造成破坏的能力。尽管如此,军方仍将继续使用民用基础设施,即使在岛上进行数十亿美元的扩建,因为建设不会惠及当地居民的平行系统的潜在政治影响。
关岛的美国军事设施
来源:美国人口普查局
军事和政策专家描述的美中冲突的最坏情况通常涉及中国入侵台湾,并试图削弱美国在关岛日益增长的军事能力以阻碍反应。这可能意味着导弹攻击——一些中国弹道导弹因其能够到达该岛而被称为“关岛杀手”。但关岛的美国军事首领表示,网络攻击更有可能发生。
大收获DC
威胁美国系统的黑客
13:33
美国官员在证词和简报中回顾了中国黑客如何建立能力,以毒害全国的水供应,淹没家庭污水,并切断电话、电力、港口和机场,这些行为可能导致大量伤亡,干扰军事行动,并可能使美国陷入“社会恐慌”。目标,美国网络安全和基础设施安全局(CISA)主任詹·伊斯特利在2024年1月告诉国会,将是摧毁“所有一切,随时随地”。
中国已公开否认参与美国官员所描述的运动或其他战略黑客活动。在一份电子邮件声明中,驻华盛顿中国大使馆发言人刘鹏宇称此类指控为“毫无事实依据的抹黑攻击”,并补充说,北京“始终反对并打击所有形式的网络攻击。”
为数不多的有混凝土围栏的GPA变电站之一。大多数被链条围栏包围。摄影师:安东尼·亨利·奥夫塔纳为《彭博商业周刊》拍摄现在的挑战落在即将上任的政府身上。在其2024年纲领中,共和党承诺提高网络的安全标准,并保护关键基础设施免受网络攻击,这一目标将与其传统的反监管立场相矛盾。尽管唐纳德·特朗普在承诺军事防卫台湾方面犹豫不决,但他对中国采取了对抗性态度。持续的紧张局势可能会增加双方采取激进网络策略的动力。
涉及关岛的黑客活动现在被广泛称为“电压台风”,国家安全局官员表示,削弱其影响已成为首要任务。根据一位因调查敏感性而要求匿名的知情人士透露,美国全国范围内已经发现与该活动相关的100多起入侵事件。但在关岛,警报的闪烁程度无疑是最为严重的。美国官员越来越担心,他们的网络防御第一道防线落在了如关岛港务局和资源不足的私营公司等机构上,这些机构似乎无法——有时甚至不愿——面对这一威胁。
美国长期以来指责中国特工进行网络间谍活动,称他们窃取了从经济数据到军事机密以及几乎所有美国公民的个人数据。在去年12月底,美国财政部表示,它遭遇了一起“重大网络安全事件”,并将其归咎于一名中国国家支持的黑客。“盐台风”,另一个最近曝光的被指责为中国的活动,已经持续多年,据信在2024年总统竞选期间,针对特朗普和副总统卡马拉·哈里斯的竞选团队的手机,影响了九家美国电信运营商,并席卷了全球数十个国家。
怀疑中国赞助的黑客攻击
按受害者类别划分的网络操作
来源:外交关系委员会网络行动跟踪器
注意:其他包括多个类别内的行动或未分配类别的行动
由于主要关注数据,盐台风针对IT系统。相比之下,电压台风则专注于OT,即用于管理物理服务的操作技术系统。根据美国及其盟友的说法,其目标包括与港口、铁路、天然气管道、水系统和卫星相关的互联网网络,旨在获得控制权并干扰其操作。前NSA局长、退役四星将军保罗·中村表示,使用网络攻击来禁用非军事关键基础设施将构成对普通民众的故意攻击。
网络间谍活动通常在攻击者开始将大量数据从网络中转移时被发现。然而,电压台风则渗透其目标,然后作为真实用户操作,仅仅是在周围潜伏,这种技术被称为“依赖现有资源”。专家表示,目标是获得造成巨大伤害所需的访问级别,同时保持足够的安静以避免被发现。只要攻击者这样做,就很难知道他们已经进入。在许多情况下,发现电压台风存在的唯一方法是从大量常规使用数据中找到一些异常——在数百万次登录中,某个奇怪时间或不寻常地点的单次登录。
微软公司的研究人员在2021年调查休斯顿港口的网络攻击时发现了电压台风的第一个迹象。在2022年1月,他们注意到关岛一家电信公司出现了类似活动。黑客没有攻击计算机或智能手机,而是劫持了小型企业偏爱的手提式硬件防火墙等设备,以保护其网络。
海军陆战队基地布拉兹营是占据关岛重要部分的几个美国军事设施之一。摄影师:安东尼·亨利·奥夫塔纳,彭博商业周刊根据两位要求匿名以讨论敏感信息的人士,研究人员发现了来自黑客在Docomo Pacific的痕迹,该公司是总部位于东京的NTT Docomo Inc.的子公司,在关岛运营。运营全球光纤网络的Lumen Technologies Inc.的研究人员表示,该活动还针对岛政府的网络,即Guam.gov。美国海岸警卫队后来在关岛的另外三个实体中发现了Volt Typhoon。它拒绝透露受害者的名字,只表示他们都不是电信公司。这些泄露首次在此报道,Volt Typhoon对Docomo Pacific的攻击也是如此。
黑客在掩盖他们的踪迹方面非常谨慎。研究人员表示,他们删除了网络流量日志、安全程序,甚至一些可能引起审查的前攻击者的恶意软件。为了掩盖自己,Volt Typhoon背后的团队在关岛使用了一种在其他攻击中未部署的恶意软件,微软的研究人员将其视为该岛是高优先级的标志。在一个案例中,研究人员发现黑客在加密中留下了一串文本:“MAGA2024。”(他们不知道为什么。)
到2022年底,国防部确认关岛上的少数美国联邦网络也遭到渗透,包括旨在不可攻破的敏感防御网络,根据一位被告知调查结果的前美国国防官员的说法,他要求匿名以讨论非公开信息。该官员的直接反应是:“天哪!”
在他们甚至开始弄清楚如何清除黑客之前,Volt Typhoon 的受害者需要实施基本的网络卫生,进行广泛的网络检查——并且足够幸运地发现入侵的微妙迹象。前 GPA 网络系统管理员、现任关岛美国海岸警卫队工作人员的乔纳森·查古拉夫说:“几乎不可能知道黑客是否已经完全被清除。”政府范围内的努力——已经涉及美国网络司令部、海岸警卫队、CISA、FBI 和 NSA——可能需要数年时间。“这将是一场持续的斗争,”他说。
许多脆弱的基础设施是私有的,这意味着联邦机构如 FBI 需要获得访问权限。公司,毫无疑问,并不总是渴望让政府在他们的网络上窥探。更糟糕的是,在这种情况下,政府通常表示由于国家安全或法律问题,甚至无法向他们充分解释问题。
在关岛,美国政府一直在审查其依赖的小型操作的替代方案。但军方对做任何可能给人留下印象的事情持谨慎态度,即它正在为自己建设更高质量的基础设施,而将当地居民留给剩余的东西。这样做可能会破坏与当地居民之间微妙的关系,因为各派别对州地位和独立提出了竞争性的呼声。
洛尔德斯·阿夫拉圭·莱昂·格雷罗。摄影师:安东尼·亨利·奥夫塔纳,彭博商业周刊对于关岛的州长洛德斯·阿夫拉格·莱昂·格雷罗来说,身处中国的瞄准之下让人想起令人不安的历史类比。美国在西班牙美洲战争后首次毫无抵抗地占领了这个岛屿。它一直控制到1941年,当时日本在轰炸珍珠港后几个小时内入侵了关岛。在随后的日本占领期间,数千名当地人丧生,直到1944年美国重新夺回了这个岛屿。“我们经历了战争的暴行,”莱昂·格雷罗说。她表示,当她今天与美国指挥官会面时,他们告诉她,他们不会再失去这个岛屿,并补充说美国军方正在“迅速准备”。莱昂·格雷罗对这种军事集结感到宽慰。但那些对美国军事存在更为敌视的人则表示,正是美国的基地使得这个岛屿成为了目标。
美国在1944年重新夺回关岛,击败了日本。美国海军陆战队提供华盛顿一直在调动资源,以帮助岛上的私营公司跟上步伐。国家安全局最初请求亚马逊网络服务、Lumen Technologies、微软和Secureworks协助调查美国的情况,并准备一份指导潜在受害者的咨询公告。联邦调查局在2023年2月之前加快了对关岛的安全干预步伐,当时它向该岛派遣了一支快速反应网络团队。
关岛对网络干扰的脆弱性在2023年3月的一次攻击中得到了凸显,该攻击导致Docomo Pacific的运作混乱。该公司关闭了服务器以试图隔离入侵,导致岛上包括美国军人及其家属在内的许多人出现服务问题。“这样的事情真的会让一切陷入混乱,尤其是在关岛,因为我们实在太小了,”德维恩·圣尼古拉斯说,他是关岛的一位退任州参议员,自2023年以来一直负责国土安全和民防。“我们有点像是在黑暗中运作。”
德维恩·圣尼古拉斯。摄影师:安东尼·亨利·奥夫塔纳为《彭博商业周刊》拍摄那个五月,联邦政府发布了公告,旨在让新的受害者站出来,并改善政府对问题范围的理解。但该文件发布时,关岛正遭受实际台风袭击,负责当地公用事业的人们并不想在身体紧急情况下与抽象威胁进行互动。更糟糕的是,与风暴相关的停电不可逆转地消除了存储在临时系统中的数据,这些数据本可以帮助识别漏洞。
并不是所有关岛的人都以同样的紧迫感作出反应。莱昂·格雷罗表示,她在让当地电信公司与她讨论电压台风时遇到了困难。她说,他们的回应是,“‘是的,我们经历了一些事情,但已经处理好了。’”
岛上的一些人甚至对威胁的存在持怀疑态度。弗兰克·卢汉,关岛约40个政府机构的首席技术官,包括教育、军事事务和公共卫生部门,表示他没有看到任何人被妥协的第一手证据。“我称之为电压台风的幻觉,”他说。
这种不信任削弱了应对措施。该岛政府在2023年首次制定了网络安全计划,但2024年4月针对夏威夷和关岛的国家级网络演习发现了多个尚未解决的问题。知情的两位人士表示,白宫在7月敦促国防部采取更多措施来加强关岛的网络防御,他们要求匿名以讨论敏感信息。
在2024年初,参议院助手飞往关岛召开会议,讨论国会如何提供帮助。根据两位要求匿名讨论私人对话的与会者的说法,他们发现来自竞争电信公司的高管不愿意在彼此面前讨论他们的数字弱点。没有人有法律义务报告网络攻击。一位Docomo Pacific的代表抱怨说,美国政府似乎想要监控一切,某位与会者表示。
据几位了解安排的人士透露,联邦调查局、美国海岸警卫队等机构已安排在港口、能源电网及其他地方的网络上安装传感器。在GPA,Kwek和他的团队欢迎来自几家美国政府机构的帮助,这些机构的官员开始监控他们的网络。该公用事业公司仍然被专业的联邦访客淹没,他们试图找出异常流量。“最大的团队有20人,实际上在楼下待了两周,”Kwek说。他表示,GPA没有关于是否被Volt Typhoon攻击的确切信息。
梅尔文·Kwek。摄影师:安东尼·亨利·奥夫塔纳为《彭博商业周刊》拍摄联邦政府已提出承担私人运营的网络监控服务的费用。谷歌旗下的网络安全供应商Mandiant曾两次访问GPA讨论相关安排。该公用事业公司拒绝了他们的提议。Kwek表示,他担心谷歌在其网络上闲置。不过,他们已经迈出了重要的一步:出于对依赖当地电信公司将不可避免地使其脆弱的担忧,GPA已开始进行一项重要任务,铺设自己的光纤电缆网络,将其31个变电站连接到总部。
NTT,Docomo Pacific的母公司,拒绝讨论Volt Typhoon,而Docomo Pacific在会议即将举行前不久取消了与其新首席执行官的采访,随后表示“适当的当局”正在调查这次网络攻击。根据NTT Docomo为未能出售其在关岛的子公司而准备的2024年档案,彭博商业周刊审查了该档案。该公司没有回应进一步的问题。
据一位熟悉此事的人士透露,美国网络司令部在关岛电信公司GTA Teleguam的情况更为顺利,该机构正在提供旨在增强防御措施的支持。这种安排并不简单:犹他州Huntsman Family Investments LLC的合伙人Benjamin Wu表示,2017年收购GTA的他认为,很难平衡与美国军方“非常友好”的关系与不希望听到政府可能会接触到他们信息的客户之间的关系。
但Wu表示,关岛的小公司根本没有资源与中国最优秀的黑客对抗。“我不想听起来像个末日预言者,”他说,“但这几乎是太简单了。”