黑客滲透關島後令美國情報機構感到恐懼 - 彭博社
Katrina Manson
關島的電力基礎設施。
攝影師:Anthony Henri Oftana,彭博商業週刊梅爾文·奎克在2022年美國聯邦特工開始拜訪他時意識到出了問題。“你能看看你的網絡嗎?”他們問奎克,他在關島電力局擔任網絡安全工作,已經有六年了。然後,更隱秘地問:“我們能看看你的網絡嗎?”
在這種情況下,查看網絡意味着分析通過其路由器和交換機流動的大量數據流量——通常要持續幾個月——以尋找可能表明不當行為的微小異常。奎克對特工們為何如此擔憂幾乎沒有頭緒,他也很確定他的四人團隊無法勝任這項任務。“我沒想到會處理國家安全威脅,”他説,回憶起與特工的互動時,正參觀GPA的一個變電站,那裏的破舊鐵絲圍欄是唯一的真正保護。“但我現在必須面對。”然後深吸一口氣。“是的。”
鐵絲圍欄環繞着GPA變電站。攝影師:Anthony Henri Oftana,彭博商業週刊GPA是關島唯一的電力公司,關島是一個夢幻般的熱帶樂園,美國於1898年首次控制了這裏。這個島嶼現在是美國的一個領土,是國家最西端的地方,距離中國大陸的距離是美國本土的兩倍多。關島的經濟以每年大約60萬名遊客為中心,他們被白色沙灘、卡地亞和勞力士商店吸引,還有機會醒來——正如島上的口號所説——“在美國的一天開始的地方。”大多數遊客是韓國人或日本人,但也有美國遊客,尤其是那些在佔據關島約三分之一土地的美國軍事基地工作的軍人。酒店客人可能會注意到,身穿迷彩服的軍人和剛從水滑梯上滑下來的半裸度假者一起排隊等咖啡。
每年約有600,000名遊客訪問該島。攝影師:Anthony Henri Oftana為彭博商業週刊拍攝美國海軍是GPA最大的客户,消耗了2023年其產生的約20%的電力。Kwek在2022年開始接待的訪問是美國對中國黑客滲透該島大部分民用基礎設施的令人擔憂跡象的回應。軍方依賴這些相同的系統來運營其基地,而美國情報界表示,這次黑客攻擊活動可能旨在維持對一個至關重要的軍事地點造成破壞的能力。儘管如此,軍方仍將繼續使用民用基礎設施,即使在島上進行數十億美元的擴建,因為建設不會惠及當地居民的平行系統的潛在政治影響。
關島的美國軍事設施
來源:美國人口普查局
軍事和政策專家描述的美中衝突的最壞情況通常涉及中國入侵台灣,並試圖削弱美國在關島日益增長的軍事能力以阻礙反應。這可能意味着導彈攻擊——一些中國彈道導彈因其能夠到達該島而被稱為“關島殺手”。但關島的美國軍事首領表示,網絡攻擊更有可能發生。
大收穫DC
威脅美國系統的黑客
13:33
美國官員在證詞和簡報中回顧了中國黑客如何建立能力,以毒害全國的水供應,淹沒家庭污水,並切斷電話、電力、港口和機場,這些行為可能導致大量傷亡,干擾軍事行動,並可能使美國陷入“社會恐慌”。目標,美國網絡安全和基礎設施安全局(CISA)主任詹·伊斯特利在2024年1月告訴國會,將是摧毀“所有一切,隨時隨地”。
中國已公開否認參與美國官員所描述的運動或其他戰略黑客活動。在一份電子郵件聲明中,駐華盛頓中國大使館發言人劉鵬宇稱此類指控為“毫無事實依據的抹黑攻擊”,並補充説,北京“始終反對並打擊所有形式的網絡攻擊。”
為數不多的有混凝土圍欄的GPA變電站之一。大多數被鏈條圍欄包圍。攝影師:安東尼·亨利·奧夫塔納為《彭博商業週刊》拍攝現在的挑戰落在即將上任的政府身上。在其2024年綱領中,共和黨承諾提高網絡的安全標準,並保護關鍵基礎設施免受網絡攻擊,這一目標將與其傳統的反監管立場相矛盾。儘管唐納德·特朗普在承諾軍事防衞台灣方面猶豫不決,但他對中國採取了對抗性態度。持續的緊張局勢可能會增加雙方採取激進網絡策略的動力。
涉及關島的黑客活動現在被廣泛稱為“電壓颱風”,國家安全局官員表示,削弱其影響已成為首要任務。根據一位因調查敏感性而要求匿名的知情人士透露,美國全國範圍內已經發現與該活動相關的100多起入侵事件。但在關島,警報的閃爍程度無疑是最為嚴重的。美國官員越來越擔心,他們的網絡防禦第一道防線落在瞭如關島港務局和資源不足的私營公司等機構上,這些機構似乎無法——有時甚至不願——面對這一威脅。
美國長期以來指責中國特工進行網絡間諜活動,稱他們竊取了從經濟數據到軍事機密以及幾乎所有美國公民的個人數據。在去年12月底,美國財政部表示,它遭遇了一起“重大網絡安全事件”,並將其歸咎於一名中國國家支持的黑客。“鹽颱風”,另一個最近曝光的被指責為中國的活動,已經持續多年,據信在2024年總統競選期間,針對特朗普和副總統卡馬拉·哈里斯的競選團隊的手機,影響了九家美國電信運營商,並席捲了全球數十個國家。
懷疑中國贊助的黑客攻擊
按受害者類別劃分的網絡操作
來源:外交關係委員會網絡行動跟蹤器
注意:其他包括多個類別內的行動或未分配類別的行動
由於主要關注數據,鹽颱風針對IT系統。相比之下,電壓颱風則專注於OT,即用於管理物理服務的操作技術系統。根據美國及其盟友的説法,其目標包括與港口、鐵路、天然氣管道、水系統和衞星相關的互聯網網絡,旨在獲得控制權並干擾其操作。前NSA局長、退役四星將軍保羅·中村表示,使用網絡攻擊來禁用非軍事關鍵基礎設施將構成對普通民眾的故意攻擊。
網絡間諜活動通常在攻擊者開始將大量數據從網絡中轉移時被發現。然而,電壓颱風則滲透其目標,然後作為真實用户操作,僅僅是在周圍潛伏,這種技術被稱為“依賴現有資源”。專家表示,目標是獲得造成巨大傷害所需的訪問級別,同時保持足夠的安靜以避免被發現。只要攻擊者這樣做,就很難知道他們已經進入。在許多情況下,發現電壓颱風存在的唯一方法是從大量常規使用數據中找到一些異常——在數百萬次登錄中,某個奇怪時間或不尋常地點的單次登錄。
微軟公司的研究人員在2021年調查休斯頓港口的網絡攻擊時發現了電壓颱風的第一個跡象。在2022年1月,他們注意到關島一家電信公司出現了類似活動。黑客沒有攻擊計算機或智能手機,而是劫持了小型企業偏愛的手提式硬件防火牆等設備,以保護其網絡。
海軍陸戰隊基地布拉茲營是佔據關島重要部分的幾個美國軍事設施之一。攝影師:安東尼·亨利·奧夫塔納,彭博商業週刊根據兩位要求匿名以討論敏感信息的人士,研究人員發現了來自黑客在Docomo Pacific的痕跡,該公司是總部位於東京的NTT Docomo Inc.的子公司,在關島運營。運營全球光纖網絡的Lumen Technologies Inc.的研究人員表示,該活動還針對島政府的網絡,即Guam.gov。美國海岸警衞隊後來在關島的另外三個實體中發現了Volt Typhoon。它拒絕透露受害者的名字,只表示他們都不是電信公司。這些泄露首次在此報道,Volt Typhoon對Docomo Pacific的攻擊也是如此。
黑客在掩蓋他們的蹤跡方面非常謹慎。研究人員表示,他們刪除了網絡流量日誌、安全程序,甚至一些可能引起審查的前攻擊者的惡意軟件。為了掩蓋自己,Volt Typhoon背後的團隊在關島使用了一種在其他攻擊中未部署的惡意軟件,微軟的研究人員將其視為該島是高優先級的標誌。在一個案例中,研究人員發現黑客在加密中留下了一串文本:“MAGA2024。”(他們不知道為什麼。)
到2022年底,國防部確認關島上的少數美國聯邦網絡也遭到滲透,包括旨在不可攻破的敏感防禦網絡,根據一位被告知調查結果的前美國國防官員的説法,他要求匿名以討論非公開信息。該官員的直接反應是:“天哪!”
在他們甚至開始弄清楚如何清除黑客之前,Volt Typhoon 的受害者需要實施基本的網絡衞生,進行廣泛的網絡檢查——並且足夠幸運地發現入侵的微妙跡象。前 GPA 網絡系統管理員、現任關島美國海岸警衞隊工作人員的喬納森·查古拉夫説:“幾乎不可能知道黑客是否已經完全被清除。”政府範圍內的努力——已經涉及美國網絡司令部、海岸警衞隊、CISA、FBI 和 NSA——可能需要數年時間。“這將是一場持續的鬥爭,”他説。
許多脆弱的基礎設施是私有的,這意味着聯邦機構如 FBI 需要獲得訪問權限。公司,毫無疑問,並不總是渴望讓政府在他們的網絡上窺探。更糟糕的是,在這種情況下,政府通常表示由於國家安全或法律問題,甚至無法向他們充分解釋問題。
在關島,美國政府一直在審查其依賴的小型操作的替代方案。但軍方對做任何可能給人留下印象的事情持謹慎態度,即它正在為自己建設更高質量的基礎設施,而將當地居民留給剩餘的東西。這樣做可能會破壞與當地居民之間微妙的關係,因為各派別對州地位和獨立提出了競爭性的呼聲。
洛爾德斯·阿夫拉圭·萊昂·格雷羅。攝影師:安東尼·亨利·奧夫塔納,彭博商業週刊對於關島的州長洛德斯·阿夫拉格·萊昂·格雷羅來説,身處中國的瞄準之下讓人想起令人不安的歷史類比。美國在西班牙美洲戰爭後首次毫無抵抗地佔領了這個島嶼。它一直控制到1941年,當時日本在轟炸珍珠港後幾個小時內入侵了關島。在隨後的日本佔領期間,數千名當地人喪生,直到1944年美國重新奪回了這個島嶼。“我們經歷了戰爭的暴行,”萊昂·格雷羅説。她表示,當她今天與美國指揮官會面時,他們告訴她,他們不會再失去這個島嶼,並補充説美國軍方正在“迅速準備”。萊昂·格雷羅對這種軍事集結感到寬慰。但那些對美國軍事存在更為敵視的人則表示,正是美國的基地使得這個島嶼成為了目標。
美國在1944年重新奪回關島,擊敗了日本。美國海軍陸戰隊提供華盛頓一直在調動資源,以幫助島上的私營公司跟上步伐。國家安全局最初請求亞馬遜網絡服務、Lumen Technologies、微軟和Secureworks協助調查美國的情況,並準備一份指導潛在受害者的諮詢公告。聯邦調查局在2023年2月之前加快了對關島的安全乾預步伐,當時它向該島派遣了一支快速反應網絡團隊。
關島對網絡干擾的脆弱性在2023年3月的一次攻擊中得到了凸顯,該攻擊導致Docomo Pacific的運作混亂。該公司關閉了服務器以試圖隔離入侵,導致島上包括美國軍人及其家屬在內的許多人出現服務問題。“這樣的事情真的會讓一切陷入混亂,尤其是在關島,因為我們實在太小了,”德維恩·聖尼古拉斯説,他是關島的一位退任州參議員,自2023年以來一直負責國土安全和民防。“我們有點像是在黑暗中運作。”
德維恩·聖尼古拉斯。攝影師:安東尼·亨利·奧夫塔納為《彭博商業週刊》拍攝那個五月,聯邦政府發佈了公告,旨在讓新的受害者站出來,並改善政府對問題範圍的理解。但該文件發佈時,關島正遭受實際颱風襲擊,負責當地公用事業的人們並不想在身體緊急情況下與抽象威脅進行互動。更糟糕的是,與風暴相關的停電不可逆轉地消除了存儲在臨時系統中的數據,這些數據本可以幫助識別漏洞。
並不是所有關島的人都以同樣的緊迫感作出反應。萊昂·格雷羅表示,她在讓當地電信公司與她討論電壓颱風時遇到了困難。她説,他們的回應是,“‘是的,我們經歷了一些事情,但已經處理好了。’”
島上的一些人甚至對威脅的存在持懷疑態度。弗蘭克·盧漢,關島約40個政府機構的首席技術官,包括教育、軍事事務和公共衞生部門,表示他沒有看到任何人被妥協的第一手證據。“我稱之為電壓颱風的幻覺,”他説。
這種不信任削弱了應對措施。該島政府在2023年首次制定了網絡安全計劃,但2024年4月針對夏威夷和關島的國家級網絡演習發現了多個尚未解決的問題。知情的兩位人士表示,白宮在7月敦促國防部採取更多措施來加強關島的網絡防禦,他們要求匿名以討論敏感信息。
在2024年初,參議院助手飛往關島召開會議,討論國會如何提供幫助。根據兩位要求匿名討論私人對話的與會者的説法,他們發現來自競爭電信公司的高管不願意在彼此面前討論他們的數字弱點。沒有人有法律義務報告網絡攻擊。一位Docomo Pacific的代表抱怨説,美國政府似乎想要監控一切,某位與會者表示。
據幾位瞭解安排的人士透露,聯邦調查局、美國海岸警衞隊等機構已安排在港口、能源電網及其他地方的網絡上安裝傳感器。在GPA,Kwek和他的團隊歡迎來自幾家美國政府機構的幫助,這些機構的官員開始監控他們的網絡。該公用事業公司仍然被專業的聯邦訪客淹沒,他們試圖找出異常流量。“最大的團隊有20人,實際上在樓下待了兩週,”Kwek説。他表示,GPA沒有關於是否被Volt Typhoon攻擊的確切信息。
梅爾文·Kwek。攝影師:安東尼·亨利·奧夫塔納為《彭博商業週刊》拍攝聯邦政府已提出承擔私人運營的網絡監控服務的費用。谷歌旗下的網絡安全供應商Mandiant曾兩次訪問GPA討論相關安排。該公用事業公司拒絕了他們的提議。Kwek表示,他擔心谷歌在其網絡上閒置。不過,他們已經邁出了重要的一步:出於對依賴當地電信公司將不可避免地使其脆弱的擔憂,GPA已開始進行一項重要任務,鋪設自己的光纖電纜網絡,將其31個變電站連接到總部。
NTT,Docomo Pacific的母公司,拒絕討論Volt Typhoon,而Docomo Pacific在會議即將舉行前不久取消了與其新首席執行官的採訪,隨後表示“適當的當局”正在調查這次網絡攻擊。根據NTT Docomo為未能出售其在關島的子公司而準備的2024年檔案,彭博商業週刊審查了該檔案。該公司沒有回應進一步的問題。
據一位熟悉此事的人士透露,美國網絡司令部在關島電信公司GTA Teleguam的情況更為順利,該機構正在提供旨在增強防禦措施的支持。這種安排並不簡單:猶他州Huntsman Family Investments LLC的合夥人Benjamin Wu表示,2017年收購GTA的他認為,很難平衡與美國軍方“非常友好”的關係與不希望聽到政府可能會接觸到他們信息的客户之間的關係。
但Wu表示,關島的小公司根本沒有資源與中國最優秀的黑客對抗。“我不想聽起來像個末日預言者,”他説,“但這幾乎是太簡單了。”