標題: 中國和伊朗對美國發起新一輪駭客攻擊
新聞來源: https://is.gd/k3wQ7m
舊金山——美國的企業和政府機構一直是伊朗和中國駭客侵略性攻擊的目標。安全專家認
為，川普總統去年退出伊朗核協議的做法，以及他與中國的貿易衝突，讓這些駭客更有了
幹勁。
伊朗最近對美國銀行、企業和政府機構的網路攻擊比以前報導過的更為廣泛。據七名瞭解
情況的人士透露，數十家公司和多家美國機構已遭到了攻擊。這些人沒有得到公開討論這
些事件的授權。
這些被美國國家安全局和私人安全公司火眼(FireEye)的分析人士認為是伊朗所為的攻擊
，導致美國國土安全部在上個月政府停擺期間發佈了緊急命令。
據九名情報官員、私人安全研究人員和熟悉有關攻擊的律師說，與伊朗的攻擊同時發生的
，是中國為從美國軍方承包商和技術公司竊取貿易和軍事祕密發起的新一輪網路攻勢。由
於簽署了保密協議，這些人都要求不具名。
在讀給《紐約時報》記者聽的情報簡報摘要中，波音(Boeing)、通用電氣航空(General
Electric Aviation)和T-Mobile都在中國工業間諜活動最近的目標之列。這些公司都拒絕
討論它們受到的威脅，目前尚不清楚駭客是否在攻擊中得逞。
四年前，在美國總統巴拉克‧歐巴馬(Barack Obama)和中國國家主席習近平達成了一項停
止以竊取商業祕密為目的的駭客行為的里程碑式協議之後，中國的網路間諜活動降溫。
但情報官員和私人安全研究人員說，在美國與中國的貿易關係持續緊張的情況下，2015年
的這項協議似乎已被非正式地取消了。中國的駭客活動已經恢復到了以前的水平，而且他
們現在更加隱秘和熟練。
「網路是對手能夠用有效且惡劣的方式攻擊、報復我們，但遠遠達不到武裝攻擊或戰爭法
門檻的一種方式，」曾在美國國家情報總監手下擔任美國反間諜負責人的喬爾‧布倫納
(Joel Brenner) 說。
聯邦機構和私營企業又回到了它們五年前所處的境地：既要與來自中國和伊朗的越來越老
練、附屬於政府的駭客作鬥爭，這些駭客的目的是竊取貿易和軍事祕密、製造混亂，同時
還要應對來自俄羅斯的無休止的企圖。而且，駭客們似乎在蟄伏期大大提高了他們的技能
。
人們仍認為俄羅斯是美國最主要的駭客對手。除了在美國大選期間進行大範圍干預、散佈
虛假信息外，有人認為俄羅斯駭客還對核電站、電網和其他目標發起過攻擊。
來自中國和伊朗的威脅從未完全停止過，但在2015年簽署了核協議後，伊朗駭客的活躍程
度大大降低。情報官員得出結論認為，在大約18個月的時間裡，中國政府停止了其長達10
年的竊取商業機密的網上努力。
但安全研究人員和從事數據保護的律師說，中國駭客已恢復了出於商業動機的攻擊。研究
人員說，駭客的首要任務是為北京的五年經濟計畫作後盾，該計畫旨在讓中國成為人工智
慧和其他尖端技術的領軍力量。
「最近的一些情報收集出於軍事目的，或為某種未來的網路衝突做準備，但很多最近的盜
竊是受五年計畫要求和其他科技戰略的驅使，」亞當‧謝加爾(Adam Segal)說，他是對外
關係委員會的計算機網路項目主任。「他們一直有再次行動的打算。」
中國駐華盛頓大使館的官員沒有回覆記者的置評請求。
謝加爾和其他中國方面的安全專家說，曾經由中國人民解放軍的駭客發起的攻擊，現在由
中國國家安全部來做。
這些駭客在隱藏他們的蹤跡上做得更好了。他們不是直接攻擊目標，而是通過侵入攻擊目
標供應商的網路，用某種旁門打入。他們避開通常被認為是來自中國的惡意軟體，還靠加
密網路通信、刪除伺服器日誌及其他把自己的痕跡變得模糊不清的戰術。
「中國的駭客行動現在的指印很不一樣。這些隊伍對不留痕跡很注意，他們不想被逮住，
」曾任美國國家安全局東亞及太平洋網路威脅部門負責人的普麗西拉‧森內(Priscilla
Moriuchi)說。她那時的職責包括確認中國政府是否遵守了2015年協議的條款。
很難得到有關工業間諜攻擊的具體數據，部分原因是這些攻擊主要是為了竊取戰略性商業
祕密，而不是客戶和員工的個人信息，如果後者失盜，公司必須告知公眾。只有空客
(Airbus)這一家公司在最近幾週裡承認，中國駭客曾侵入其數據庫。
中國國家安全部發起的許多攻擊針對的都是一些戰略目標，比如接入數十萬（如果不是上
百萬的話）企業和政府網路的互聯網服務提供商。
森內上週發佈了一份有關中國國安部在長達一年的時間裡，攻擊西歐和美國的網路服務提
供商及其客戶的祕密行動的報告。森內現在是網路安全公司「記錄未來」(Recorded
Future)應對威脅部門的負責人。
唯一一家公開面對中國國安部的攻擊目標是Visma，這家挪威互聯網服務提供商擁有85萬
個客戶。攻擊Visma的目的是獲得其客戶的大量知識產權、戰略計畫和電子郵件，其中一
個客戶是為汽車、生物醫學、製藥和技術行業的當事人處理知識產權事務的美國律師事務
所。
對Visma的攻擊比以前的攻擊更難追蹤，以前的攻擊通常以所謂的魚叉式釣魚電子郵件開
始，目的是竊取個人證書。這次的攻擊始於竊來的第三方軟體服務Citrix的證書。攻擊者
沒有使用容易被追蹤到中國的惡意軟體，而是使用了所謂的「暗網」(Dark Web)上的可能
來自任何地方的惡意軟體。他們還使用了在線存儲服務Dropbox來轉移被盜的電子郵件和
文件。
美國聯邦機構也在努力阻止新一輪的伊朗間諜活動。
在川普政府退出核協議之後，國土安全部部長克爾斯蒂恩‧尼爾森(Kirstjen Nielsen)曾
在國會作證說，國土安全部對伊朗訴諸駭客攻擊的「可能性有預期」。
然而，上個月以六家聯邦機構為目標的伊朗駭客攻擊仍讓國土安全部措手不及。安全研究
人員說，這些利用了互聯網主幹上潛在弱點的攻擊仍在繼續，其破壞性和涉及範圍比機構
官員承認的要大。
伊朗駭客的最近一輪攻擊是去年從波斯灣國家的目標開始的。火眼的研究人員說，那以後
，他們將目標擴大到了80個，其中包括12個歐洲國家和美國的互聯網服務提供商、電信公
司和政府機構。
目前這輪駭客攻擊比伊朗以前的攻擊更難被發覺。火眼的研究人員說，伊朗駭客沒有直接
攻擊受害者，而是一直在攻擊互聯網的核心路由系統，攔截所謂域名註冊商之間的通信流
量。他們一旦截獲了攻擊目標的客戶的網站流量，就會使用竊來的登錄憑證進入受害者的
電子郵件系統。（域名註冊商掌握著成百上千家企業網站的鑰匙。）
「他們拿走了整郵箱的數據，」火眼網路間諜分析部門的高級經理本傑明‧裡德
(Benjamin Read)說。他表示，伊朗駭客的目標包括警察機關、情報機構和外交部，這表
明它是一場典型的、政府支持的間諜活動，而不是帶有牟利動機的犯罪活動。
伊朗駭客攻擊美國已有很長的歷史了，五年前或更早以前的攻擊事件現在才剛剛開始被公
諸於眾。
週三，美國司法部宣佈對前空軍情報專家莫妮卡‧維特(Monica Witt)提起公訴，罪名是
幫助伊朗進行網路間諜活動。伊朗伊斯蘭革命衛隊的四名成員也被指控犯有針對美國情報
機構成員的「計算機入侵和嚴重身份盜竊罪」。
美國財政部同在上週表示，將對新地平線組織(New Horizon Organization)和Net
Peygard Samavat公司，以及與這兩家伊朗公司有關聯的幾名人士實施制裁。美國財政部
官員說，新地平線通過開年度會議，讓伊朗可以從外國與會者那裡招募和收集情報。
維特的起訴書稱，她參加了其中一個會議。美國財政部官員說，Net Peygard用她提供的
信息，在2014年開始了一項跟蹤美國政府和軍事人員在線活動的行動。
伊朗駐聯合國代表團的代表沒有回應記者的置評請求。
伊朗最近的駭客攻擊使美國官員緊張。但是，在上個月發佈了有關這些攻擊的緊急命令後
，美國國土安全部的網路安全和基礎設施安全局基本上沒太把它們當回事兒。
該網路安全部門的一名官員說，大家認為沒有信息被盜，那些攻擊對運作沒有「實質性影
響」。但火眼公司的裡德及其他人表示，伊朗的數字間諜活動有明顯升級。
「如果你對伊朗人說，你將退出協議，並要盡一切可能去破壞他們的政府，」前反情報官
員布倫納說，「如果他們對我們的政府網路發起攻擊，你不會感到意外。」