报告发现：美国财政部遭黑客攻击暴露联邦安全失误模式——彭博社

插图：尼克·利特尔

网络安全问题正困扰着美国财政部，加剧了该机构与受其监管的银行之间的裂痕。财政部肩负着维护金融体系完整性的职责。

过去五年间，财政部遭遇了三次重大黑客攻击，其中两起自去年12月起被曝光。与此同时，今年其网络安全领导团队因埃隆·马斯克领导的政府效率部推动的人员离职而严重减员——这位世界首富已于五月离任。

彭博新闻通过查阅此前未公开的政府文件，并采访十余名相关人员（包括财政部现任及前任员工、银行高管和网络安全专家），揭露了这些黑客事件的新细节，凸显出对该部门网络安全防御能力长达数年的担忧。彭博调查显示，在这三起事件中，财政部均未能部署本可预防入侵或更早发现入侵者的安全措施。

例如今年四月，监管国民银行的财政部下属机构货币监理署披露称黑客自2023年5月起就侵入了其电子邮件系统。据知情人士透露，黑客使用本应触发内部警报的商用虚拟专用网络软件登录并查看数据。为讨论敏感信息，这些受访者与其他被采访者一样要求匿名。

根据一份文件披露，去年财政部曝出一起黑客入侵事件，疑似中国间谍在9月下旬至11月中旬期间侵入了时任财长珍妮特·耶伦及其他高层官员的电脑。黑客通过攻破财政部服务台使用的远程访问员工电脑的安全软件得手。两名知情人士称，黑客利用该权限在中国白天的常规工作时间翻查笔记本电脑和台式机，但财政部的监控系统未设置检测该安全软件在美国非工作时间异常登录的功能。

另据部门文件，2020年12月发现的第三起网络攻击始于当年早些时候，据称俄罗斯黑客窃听了少数财政部员工的电子邮件。财政部网络安全事件响应团队负责人向调查人员表示，若非一个简单疏忽——其团队未安排人员检查部门计算机系统中收集的可疑活动数据，本可更早阻止该攻击。

财政部监察长办公室关于2020年数据泄露事件报告的部分内容。来源：根据《信息自由法》诉讼获取的财政部文件。这些发现引发了对财政部保护敏感金融数据能力的质疑，以及对其每年逾10亿美元网络安全预算使用方式的拷问。鉴于其包括制裁执行、反洗钱调查和打击恐怖主义融资在内的多重国家安全与财政职责，财政部始终是外国情报机构的目标。财政部的安全漏洞令金融业感到不安——该行业需向该部门提交机密财务与安全信息，却日益将其视为防范网络犯罪和间谍活动链条中的薄弱环节。

财政部未直接回应有关网络攻击的具体问题。一位发言人表示，自特朗普总统第二任期上任以来，该部门已加强网络安全建设。

“在获悉拜登政府任内发生的网络安全漏洞后，财政部持续完善网络安全措施，“发言人表示，“在新领导层带领下，财政部正整合IT服务、限制人员访问权限并简化系统以减少攻击面，从而降低漏洞风险。精简的技术架构意味着更小的攻击面和更强的数据保护。特朗普总统及本届政府将继续支持现代化改革以强化网络安全。"（最近两起入侵事件中，黑客均发生在拜登政府时期攻入财政部网络；较早一起则发生在特朗普首个任期内）。

财政部去年披露的一起入侵事件中，疑似中国间谍入侵了时任财长珍妮特·耶伦及其他高级官员的计算机。摄影师：姜海云/彭博社一位前拜登政府官员表示，民主党发布的行政命令推动了联邦机构和软件供应商加强网络安全。该官员称，软件供应商还被要求提供整改证明，而这项规定已被特朗普政府撤销。

被称为OCC的银行监管机构发言人表示，该机构"实施符合联邦和行业标准的安全与隐私控制措施，并正在持续调查近期入侵事件”。

“货币监理署已对其现行IT安全政策与程序展开全面评估，旨在提升预防、检测及应对潜在安全问题的能力，”发言人表示。

彭博社调查还发现，联邦政府内部曾多次就该部门的网络安全漏洞发出警告。根据财政部文件，例如一项内部调查显示，部分货币监理署管理人员曾干扰安全团队开展电子邮件钓鱼诈骗防范的员工培训工作。

四月曝光的货币监理署遭袭事件将金融业推向临界点。该次入侵事件中，黑客对100多个邮箱账户进行了长达一年多的监控，获取了受联邦监管金融机构的高度敏感信息。摩根大通、纽约梅隆银行等美国多家大型银行采取非常措施予以应对，暂停向货币监理署电子传输包含网络安全审计结果、漏洞评估报告等机密资料的强制申报信息，目前相关业务已恢复。

六月，包括美国银行家协会在内的多家金融业代表组织联合致函财政部长斯科特·贝森特，对"联邦监管机构的网络安全风险管理现状表示担忧，强调亟需重大改革以确保监管流程不会因监管机构自身的安全缺陷给企业带来额外风险”。

“由于企业被要求作为监管流程的一部分向监管机构分享非公开的高度敏感信息，监管机构的系统一旦遭到入侵，可能使金融机构的薄弱环节和商业信息暴露在恶意行为者面前，使其处于战略劣势，”信中写道。

曾负责监管美军IT网络的国防信息系统局前首席信息官亨利·西恩凯维奇表示：“在金融犯罪确实呈增长趋势的当今世界，被监管实体无法信任监管机构的事实绝对令人震惊。”

位于华盛顿特区的财政部大楼。摄影师：沈婷/彭博社金融业团体正利用财政部最新的安全漏洞问题推动修改现行法规，旨在减少该部门强制银行共享的关于其自身数字防御和运营的数据量。他们认为当前是推进此事的良机，因特朗普已承诺推行放松管制政策，其政府官员也已开始放宽对金融业的监管规定。

据2017至2021年担任财政部首席信息官的埃里克·奥尔森介绍，财政部计算机网络覆盖800个物理地点（包括50个数据中心），包含超过20万台台式机、笔记本电脑和移动设备。财政部网络安全通过部门共享的服务工具与各局（包括货币监理署、国税局和美国铸币局）自行管理的系统相结合的方式进行管理。奥尔森及其他熟悉财政部系统的专家表示，网络安全运营的分散性带来了风险，因为各局的预算和员工技能水平参差不齐。

“在财政部这个案例中，你所面对的是顶级民用目标之一，”奥尔森表示，“这是一个拥有惊人任务领域组合的庞大机构，其受攻击面极其广泛。”

根据公开预算文件显示，自2020年底据称俄罗斯间谍入侵美国联邦机构事件曝光以来，该部门年度网络安全预算已激增约4亿美元。

“只能认为这些投入要么不完整，要么效果不佳，”奥尔森就财政部网络安全资金使用情况评论道。

财政部未就本文涉及的预算问题置评。

订阅网络简报通讯***，独家揭秘黑客与网络间谍的暗黑世界——以及企业如何构筑防线。***

财政部已多次收到关于网络安全缺陷和潜在隐患的警告。

例如，根据财政部监察长办公室向彭博社提供的报告（作为《信息自由法》诉讼的一部分披露），内部调查发现货币监理署某些管理人员曾破坏IT部门的反钓鱼演练。这些管理人员通过向员工提示培训邮件，使其能正确识别测试邮件，从而规避了应有的训练效果。

没有人受到惩罚，因为OCC没有针对此类行为的政策。此外，尽管广泛认可的指导原则指出此类演练不应具有惩罚性，但报告显示，一名员工告诉调查人员，他们之所以向同事通风报信，是因为结果被上报给管理层并“列入了我们的绩效计划”。

财政部监察长办公室报告的部分内容。来源：财政部，通过《信息自由法》诉讼获取。去年秋天另一份报告显示，监察长曾就承包商和分包商面临的网络攻击风险向财政部发出警告——而几个月后便披露了此类黑客事件。报告还指出，财政部及其他联邦机构尚未全面落实降低网络安全风险的指导方针。

另外，拜登政府发布了半年一度的评分卡，对联邦机构在改善网络安全方面的进展进行排名。就在去年秋天，财政部因在计算机网络防护升级速度和检测网络攻击方面得分较低而排名靠后。但这已较前一次评分卡垫底的排名有所提升。

财政部未就监察长的调查结果或本次报道涉及的网络安全评分卡置评。

金融界对美国财政部网络安全实践的担忧至少可以追溯到五年前，当时美国公司和联邦机构遭遇入侵事件，事后调查将攻击归因于俄罗斯对外情报局。

攻击者通过污染软件更新程序——这些更新来自德克萨斯州IT管理工具Orion的开发商SolarWinds公司——从而获得了财政部及其他联邦机构的高级访问权限，最终侵入其电子邮件系统。SolarWinds公司未回应置评请求邮件。

彭博社根据《信息自由法》诉讼获取的财政部监察长报告披露了关于SolarWinds攻击的新细节：该部门因网络安全人员配备不足而影响了攻击检测能力。负责主导入侵调查的财政部总部网络安全事件响应团队负责人向调查人员承认，其团队未设专人负责审查网络日志文件以识别可疑计算机活动。

监察长备忘录中引述该负责人访谈称，若当时配备专职人员，本可更早发现并阻止入侵。“财政部若收集更多日志，就必须配备审核人员，否则收集从不查看的数据毫无价值”，该负责人在问询中如是说。

文件还显示，黑客锁定了八个电子邮件账户，其中包括从事俄罗斯感兴趣的高度敏感问题工作的员工账户。据两位知情人士透露，其中一人是外国资产控制办公室的首席制裁调查员，曾参与调查俄罗斯雇佣军首领叶夫根尼·普里戈任的案件——这位俄罗斯总统弗拉基米尔·普京的亲密盟友在2023年发动兵变后不久身亡。另一名受害者则是负责监督该部门国家安全事务的副国务卿行政助理。

2011年，叶夫根尼·普里戈任（左）在莫斯科郊外的餐厅为普京上菜。摄影师：Misha Japaridze/美联社美国财政部未就"太阳风"网络攻击事件的新信息置评。

2021年3月，即黑客攻击首次披露数月后，70多家金融机构和贸易组织联名致信时任财长耶伦，批评财政部应对不力，并敦促未来发生类似事件时加强信息共享。

根据彭博社查阅的信件内容，此次入侵事件凸显出"需要加强协作，特别是当涉及政府系统中金融机构提供的敏感信息受影响时”。

最新发生的入侵事件进一步加剧了金融业的担忧。

财政部去年12月披露的入侵事件中，疑似受中国政府支持的黑客攻陷了包括耶伦及其部分副手在内的400多台笔记本电脑和台式机。为入侵这些系统，黑客攻破了财政部用于管理计算机远程访问的BeyondTrust公司网络安全软件。

由私募股权公司Clearlake Capital Group和Francisco Partners持有的BeyondTrust拒绝置评，并指向一份早前声明。

据参与调查的知情人士透露，美国财政部的监控系统未设置在美国工作时间之外检测BeyondTrust登录中的可疑模式。黑客在中国正常工作时间活动，多次访问财政部官员的计算机，其频率本应触发警报——如果设置了此类警报的话，其中一位人士表示。

该人士称，入侵事件发生后，财政部的网络安全团队更新了监控系统以检测此类模式。

基于采访的新细节显示，黑客采取了迂回路线入侵财政部。

他们通过一个名为Craft CMS的网站内容管理系统进入BeyondTrust的系统，该系统由总部位于俄勒冈州的Pixel & Tonic公司开发。BeyondTrust曾使用Craft CMS构建一个网站，黑客以某种方式获取了该网站的数字通行码，Pixel & Tonic创始人Brandon Kelly表示。

Kelly在一次采访中表示，Pixel & Tonic未发现其他客户遭遇类似漏洞利用，也不清楚黑客如何从该网站跳转至财政部系统。

“我们的软件是导致财政部遭黑客攻击事件链中的一环，“他说。

根据一份提交给国会议员并被彭博社看到的部门报告，财政部从BeyondTrust处得知此次入侵。知情人士称，黑客攻击后，财政部停止使用BeyondTrust的产品。财政部未就此次网络攻击的新细节发表评论。

在OCC最近的一次数据泄露事件中，黑客入侵了约15万封电子邮件，获取了该机构所称的"高度敏感的银行专有信息和监管信息”。

据知情人士此前向彭博社透露，OCC在被黑客利用的管理员邮箱账户上未启用多因素认证这一基础网络安全措施。该安全功能本应将验证码发送至账户持有人控制的设备，从而很可能阻止攻击者入侵。此前告知。

中国如何打造黑客军团

知情人士表示，被黑客用作入侵OCC网络的邮箱账户本应早已停用，且该账户缺少验证使用者是否通过政府授权设备或指定网络登录的安全机制。他们指出，黑客使用商业VPN的行为本应触发警报并启动进一步调查。

OCC发言人回应称，涉事账户设有"复杂密码"及独立的访问控制安全功能，但外部承包商未能正确配置该措施。发现入侵后，该局已与微软公司合作核查并确保安全功能按设计运行。

“OCC高度重视信息安全承诺，“发言人强调。

FTI咨询公司全球网络安全主管、前美国国家安全委员会和联邦调查局高级网络安全官员安东尼·费兰特表示，财政部系统遭入侵事件清楚地表明"负责金融监管的政府机构并非我们想象中的坚不可摧的堡垒”。

据知情人士透露，摩根大通和纽约梅隆银行在收到该局外部网络安全调查人员确认系统安全的通知后，最终重新连接了用于交换敏感数据的货币监理署系统。

有人担心DOGE对财政部网络防御系统的影响会使情况恶化。

彭博社3月援引法庭文件报道称，财政部公布计划将在其不同部门裁减"大量"员工（该部门员工总数超过10万人），以遵守特朗普实施DOGE计划的行政命令。

据知情人士透露，美国国税局的人员裁减导致其网络事件响应中心人手严重不足。摄影师：阿尔·德拉戈/彭博社彭博社报道称，财政部及其下属多个单位的许多计算机安全负责人已被停职、提前退休或接受了马斯克推动的买断方案。这包括国税局至少八名顶级网络安全工作人员，他们是该机构在报税季期间停职的50名IT员工中的一部分。

据知情人士透露，在美国国税局，这些裁员导致其网络安全事件响应中心和名为"安全访问数字身份"的系统（用于验证访问税务机构在线工具者身份）的人员配置仅勉强达标。

国税局未回应置评请求，财政部则拒绝对网络安全人员配置问题发表评论。财政部发言人此前向彭博社表示，被安排休假的国税局员工"主要是担任技术决策角色的非技术人员”。

知情人士称，在财政部高层中，接受DOGE买断计划的网络安全领导包括首席技术官、首席信息官、首席信息安全官以及多名副手和其他工作人员。

健康科技初创公司联合创始人、财政部DOGE团队成员萨姆·科科斯于五月被任命为该部门新任首席信息官。他未回应置评请求。