微软的黑客猎人：揭秘神秘的MSTIC部门 - 彭博社

微软招募前情报与军事人员协助追踪国家支持的黑客活动。

摄影师：Witthaya Prasongsin/Getty Images黑客入侵美国大型电信公司的线索几乎难以察觉——就像河水中细微的涟漪。据知情人士透露，这些波动对公司而言看似正常流量，但对微软公司的威胁分析师来说，却昭示着入侵者的存在。

当时无法评估此次入侵的严重性。后续需要数月的调查工作。但该知情人士表示潜在危害显而易见，即使微小波澜也可能预示着下游的灾难性后果。

去年秋天，世界获悉一个与中国政府有关联的黑客组织（后被命名为"盐风暴"）侵入了AT&T、威瑞森等九家美国电信公司。该组织窃取了数百万美国人的个人数据，并锁定了唐纳德·特朗普、卡玛拉·哈里斯和JD·万斯的手机。这是近年来最猖獗的网络攻击之一。

观看视频：中国如何打造黑客军团

在此次黑客识别中发挥核心作用的团队来自微软威胁情报中心（MSTIC），该部门主要由前政府、情报和军事人员组成。过去十年间，微软将MSTIC打造为美国网络防御体系的基石，与联邦调查局、网络安全和基础设施安全局等部门紧密合作，专门追踪从事间谍活动或意图破坏政府与企业网络的受国家支持的黑客组织。

微软使用天气主题来识别黑客。摄影师：乔纳·罗森伯格/彭博社这种由利益有时相左的人员拼凑而成的临时架构，极度依赖需要持续维护的人际关系。在特朗普政府着手重塑美国网络防御核心机构、并于四月初撤换国家安全局及美国网络司令部负责人蒂莫西·霍上将后，此类合作能持续到何种程度尚不明朗。

MSTIC的力量源于微软对网络空间的全局视野。Windows操作系统在全球超过十亿台个人电脑上运行，其云计算业务规模仅次于亚马逊，为95%的财富500强企业和多国政府提供服务。每天有数十亿封电子邮件和电话会议经由微软服务器传输。这些数据洪流使微软成为捕捉黑客活动的理想哨站。

拜登政府时期的网络与新兴技术副国家安全顾问安妮·纽伯格表示：“当企业产品部署在数百万系统上时，他们既能识别正常状态，也更容易发现异常。这正是微软等公司往往能率先检测到威胁的原因。”

微软的网络行动远非完美。其与国防部合作瓦解俄罗斯干扰2020年总统大选行动的计划最终流产。该公司自身的网络防御也多次失守，黑客不仅侵入其内部网络窃取客户数据，甚至直抵高管层。美国政府在一份严厉报告中痛斥微软无力抵御攻击，并要求其立即实施改革。

萨提亚·纳德拉摄影师：斯蒂芬·布拉希尔/盖蒂图片社作为回应，首席执行官萨提亚·纳德拉重组了微软的网络安全部门，并命令工程师将安全性置于首位。自去年初以来，该公司追踪和抵御国家级黑客的员工数量增加了两倍，并雇佣了更多全球分布的员工来搜寻和分类入侵行为。现在判断这些变革是否足以充分保护微软及其客户——或跟上已经开始将人工智能作为力量倍增器的黑客团伙——还为时过早。

微软在阻止黑客方面能做的有限。其主要目标是设置减速带，干扰或至少减缓对手的行动，在黑客窃取重要信息、破坏水务设施或扰乱选举之前抓住他们。该战略的关键部分包括公开披露入侵者的技术，赢得法院命令以劫持攻击者的黑客工具，然后将其关闭。

“老实说，你永远无法阻止这些人，”MSTIC负责人杰森·诺顿说。“我们知道我们面对的是代表政府的资源充足的单位或机构，进入成本低，投资回报高，而且有很多合理的推诿。我的工作是让对手的成功成本高得多。”

MSTIC是约翰·兰伯特的创意，他于1997年作为一名年轻的程序员进入国际商业机器公司从事安全工作。当时，从事安全工作被认为非常不酷，但兰伯特喜欢这种挑战。他于2000年加入微软，就在一系列计算机蠕虫感染Windows之前，促使当时的首席执行官比尔·盖茨暂停操作系统的工作以加强防御。不久之后，兰伯特发现了黑客和网络间谍的秘密世界。他开始利用关于微软程序崩溃的内部报告来寻找软件漏洞和试图利用这些漏洞的人。

到2013年，他已被委以监管微软网络安全团队的重任。由于企业客户正将核心应用迁移至微软数据中心，防范黑客入侵变得愈发复杂。作为云服务提供商，公司正成为更大的攻击目标，但同时也获得了更广阔的监控视野。2014年11月13日，兰伯特宣布整合多个现有团队成立MSTIC，并开始招募具有国家安全背景的外部人才。

其核心理念是通过研究对手来守护微软及客户安全。“他们研究我们、研究客户、研究技术，“兰伯特回忆当时的思考，“我们必须予以回击。”

2015年，兰伯特联系了距退役还有三年的空军军官诺顿，邀请他在华盛顿特区设立办事处。这位来自奥扎克山区的青年高中毕业即参军求学，曾担任中文语言专家，后花费十年协助军方追踪国家级黑客。诺顿对这个提议深感兴趣：“微软能让你影响整个战场格局，创造巨大改变。”

约翰·兰伯特来源：微软过去一年执掌MSTIC的诺顿，完美体现了微软珍视的黑客猎手特质：精通至少一个黑客集团关联关键国家的语言及地缘政治，兼具政府或军方经验。如今顶尖学府已开设网络安全专业课程——连大学先修课程体系都为高中生新增相关科目。但当年许多微软分析师投身这个新兴领域时，这类系统训练尚不存在，他们大多在实战中摸索战略战术。

如今，微软的追踪黑客行动团队汇聚了经验与资质各异的人才。朱迪·吴是亚洲网络威胁领域的顶尖专家，她通过研读中国军事理论来深入理解黑客战术。迈克尔·马托尼斯当前主攻俄罗斯黑客，擅长解析Telegram和社交媒体上可能预示未来攻击的对话。去年退休的资深安全高管汤姆·伯特，则凭借诉讼经验与外交手腕，管理着微软与政府、国防及网络安全官员间的复杂关系。

追捕黑客绝非易事。国家支持的数字间谍不断调整技术，以规避微软等安全公司在企业网络中布设的防线。这些团队会开发专门针对单一目标的定制化黑客工具，或制作欺骗性软件诱使受害者下载看似无害更新的恶意程序。他们能通过"靠山吃山"策略潜伏数年——利用合法应用程序收集信息。已知案例中，攻击者会从工作量管理系统悄无声息地跳转到密码保存工具，再渗透至员工邮箱。

微软威胁分析师会搜寻可疑模式，即行业所称的"入侵指标”。这可能包括计划外的软件更新，或企业网络敏感数据突然激增。通常自动化安全软件会捕捉到入侵指标并向分析团队发出警报，形成调查证据链。但数据筛选工作繁重，即便顶级分析师也需数月甚至更久才能确认攻击，锁定责任者更是难上加难。

由于黑客并不遵循常规办公时间，团队常在夜晚和周末加班。“我们得配合他们的工作时间，对吧？“吴女士说，“他们可不会过圣诞节。“去年圣诞期间，她的家人终于说服她关掉了手机。团队这种坚韧精神"源于个人责任感”，马托尼斯表示，并补充说突破可能就藏在"一次点击或一封邮件里”。

MSTIC分析师与政府同行的协作是个复杂过程，就像一群人试图拼凑一幅拼图——当完成时，会给出如何拆除炸弹的指示。各方并不总是急于告诉彼此他们拥有哪些碎片以及如何获得的。这是因为有时信息属于机密，或者微软不愿透露关于客户的保密材料。

虽然微软在电信公司内部发现了"盐台风”，但美国官员首次发现该组织迹象是在政府网络上，时任CISA主任珍·伊斯特利在一月份的公开谈话中表示。

据一位前美国官员称，政府当时无法知晓黑客已渗透进美国通信基础设施。尽管如此，九月份FBI和CISA仍向几家电信公司和互联网服务提供商警告了系统中可能出现异常活动，这位前官员和另一位知情人士透露。他们分享了关于路由器配置数据可疑下载的情报，帮助这些公司锁定调查方向。由于调查的机密性，两位消息人士均要求匿名。

纽伯格表示，MSTIC去年夏天在一家"关键"电信公司内部检测到的入侵事件，“使美国政府能够从情报角度进一步发现更多信息，因为这些线索让我们得以追踪中国的活动，识别他们的技术手段，并标记出来供其他电信公司在威胁狩猎中使用。“她称对手"竭力掩盖踪迹”，但拒绝透露微软最初发现他们的具体方式，也未指明最初检测到黑客活动的电信公司名称。

中国官方长期否认有关国家支持网络攻击的指控，并指责美国及美企散布虚假信息以推动政治议程。

国家行为体正越来越多地通过虚假信息活动来制造分歧。摄影：乔纳·罗森伯格/彭博社三年前，MSTIC获悉黑客已控制关岛（美国在西太平洋的领土）小企业的路由器和调制解调器。这些缺乏企业级安全防护的公司位于电信设施和美国海军基地附近——对认为中国可能在入侵台湾时对关岛发动网络攻击的政策制定者而言，这是个令人担忧的信号。

北京是主要嫌疑对象，但证明这一点花费了数月时间。调查期间，MSTIC联合了在太平洋该地区运营光纤线路的Lumen科技公司。该电信公司黑莲花实验室安全研究员瑞安·英格利希表示，MSTIC分析师希望了解Lumen是否在其网络中也发现可疑活动。通过合作，他们相互印证了关于被MSTIC称为"伏特台风"的中国组织攻击的发现。结合双方工作，他们揭露了伏特建立用于窃取数据的僵尸网络，并弄清了其运作方式。

伯特表示，尽管微软拥有广泛的数据触达能力，但最初对"伏特"组织的活动"可见性非常有限”。“MSTIC团队能发现这些黑客，确实做了非常出色的工作。“他指出，许多案例中受害者并未使用微软的软件或设备。但一位MSTIC分析师发现，黑客通过入侵路由器并劫持网络自有软件实施攻击——用行话说就是"靠山吃山”。

“这使得检测难度大大增加，“伯特说，“而且多数情况下，他们攻击的都是老旧过时、不受支持的平台，或是古老的工业控制系统等我们几乎无法监控的领域。所以首要挑战就是弄清楚他们的攻击目标。”

当MSTIC确认系统遭入侵后，微软会立即通知客户，协助加固网络并清除黑客。伯特称，若攻击涉及政府机构或危及国家安全，公司会在遵守客户隐私承诺的前提下，通过可信渠道联系网络安全局（CISA）和联邦调查局（FBI）等机构。

最棘手的决策莫过于是否公开披露。公开信息可能吓退黑客或帮助潜在受害者防范，但这也是一把双刃剑——让对手知晓微软的追踪手段会暴露检测漏洞。据知情人士透露，去年秋季盐台风黑客组织信息泄露后，该团伙立即改变了攻击策略以逃避追查。

虽然黑客通常以窃取敏感数据或瘫痪服务闻名，但越来越多国家行为体正通过虚假信息战煽动社会分裂。为应对这一威胁，微软于2022年收购了由前陆军步兵军官、FBI特工克林特·瓦茨创立的米尔布鲁公司。

在创立米尔布鲁之前，沃茨曾追踪外国恐怖组织，并绘制了2016年美国大选前俄罗斯社交媒体影响力行动的上升轨迹。据伯特透露，微软收购时，米尔布鲁已获得为美国网络司令部提供咨询的合同。微软将米尔布鲁更名为威胁分析中心（MTAC），并将其与MSTIC紧密整合。两支团队定期共享情报，特别是关于选举等重大地缘政治事件的信息。

微软威胁分析中心（MTAC）办公室位于纽约时代广场附近。摄影师：乔纳·罗森伯格/彭博社在纽约时代广场上方的MTAC办公室，研究人员近期观察到亲北京网络正优化其信息策略以更有效欺骗美国人。研究人员表示，中国的目标并非改变选民意向，而是加深党派分歧，将美国人进一步推向各自的政治阵营。前美国国务院官员、现主管MTAC中国事务的卡罗琳·阿格斯坦称，在此类行动中，分析师会统计近期帖文，描述其目标或政治叙事，分析潜在影响，并与微软其他团队分享对操纵者动机的研判。

MTAC与MSTIC曾联手证实2022年对阿尔巴尼亚政府机构的网络攻击源自伊朗。最初俄罗斯看似元凶，后MSTIC发现攻击者使用的恶意软件与伊朗多年前部署的工具存在重叠。这尚不足以定论，但现任MTAC情报分析主管布莱恩·普赖尔在攻击信息中发现其他确凿的伊朗痕迹——例如提及流亡阿尔巴尼亚的伊朗异见人士，以及德黑兰常用来形容该群体的贬称"伪君子”。微软向阿政府提交证据后，该国认为其可信度足以支持断交决定。

微软威胁情报中心(MSTIC)已建立起强大的黑客追踪体系，但威胁态势正快速演变。国家资助的攻击者开始利用人工智能加速密码破解和安全漏洞挖掘，并通过工作流程自动化发动更密集的攻击。尽管美国持续修补网络漏洞，但由于众多中小企业缺乏升级资源或意愿，其网络防御仍存在巨大隐患。

卡罗琳·阿格斯滕摄影：乔纳·罗森伯格/彭博社据伯特描述，美国西部数百家小型公用事业公司"规模仅相当于一个停着几辆卡车的车库加一台服务器”。若向管理人员询问系统信息，典型回答是：“服务器？哦，你是说鲍勃15年前装在办公室的那台电脑？我们被告知不要碰它。“但这些企业每家却能为数以十万计的客户供电。

伯特指出，仅梳理美国关键基础设施清单就是项艰巨任务。微软曾向政府索要公用事业公司名录，但数量庞大的小型企业使得完整统计难以实现。具有讽刺意味的是，微软加强自身产品安全性的举措反而可能增加追踪黑客的难度。安全公司Eclypsium（曾发现微软产品漏洞）的CEO尤里·布利金解释，精明的攻击者会转而攻击非微软运营或支持的网络系统。

布莱恩·普赖尔摄影师：乔纳·罗森伯格/彭博社在未来数月乃至数年内，微软将不得不重新点燃——甚至重建——与美国政府官员的关系。每逢白宫易主，这类公关工作都必不可少，但在特朗普主政的华盛顿，这一过程注定更为棘手。

“网络安全是项团队运动，“美国俄勒冈州民主党参议员罗恩·怀登表示，“政府无法独力应对，需要行业协助。但由于特朗普和DOGE的无理解雇导致CISA等机构人员大量流失，意味着政府内部能与企业合作并处理企业提供的线索的网络安全专家正越来越少。”